Cadre de protection des informations personnelles

Perspective d'ensemble

sorenthiva fonctionne depuis Brest en tant que plateforme dédiée à la gestion financière par activités. Notre approche repose sur un principe simple : votre contrôle prime. Nous ne dérivons aucune information sans raison fonctionnelle, et nous vous expliquons pourquoi chaque catégorie existe.

Ce document adopte une structure narrative centrée sur vos interactions avec notre système. Plutôt que de suivre le parcours habituel des politiques (collecte, usage, partage, droits), nous articulons notre explication autour de moments précis : quand vous créez un compte, quand vous sollicitez notre équipe, quand vous utilisez nos outils de planification budgétaire, et quand vous demandez des ajustements ou suppressions.

Détails capturés lors de l'inscription

Lorsque vous décidez de rejoindre sorenthiva, nous enregistrons plusieurs éléments qui permettent l'identification et la personnalisation de votre espace. Cette phase initiale constitue le moment où le volume d'informations captées atteint son maximum.

Éléments d'identité de base

Votre nom complet apparaît dans les communications que nous vous adressons. Votre adresse électronique devient l'identifiant principal — c'est par ce canal que nous validons votre identité, que nous envoyons les alertes de sécurité, et que nous transmettons les mises à jour importantes concernant votre compte.

Un mot de passe chiffré protège l'accès à votre environnement personnel. Nous ne conservons jamais la version lisible de ce mot de passe : seule une empreinte cryptographique est stockée dans notre infrastructure, et même nos administrateurs système ne peuvent la déchiffrer.

Informations liées à l'usage fonctionnel

Au fur et à mesure que vous construisez vos budgets par activité, nous enregistrons les catégories que vous créez, les montants alloués, les périodes définies, et les ajustements que vous opérez. Ces données forment le cœur même du service : sans elles, impossible de générer des rapports, de suivre l'évolution de vos allocations, ou de vous proposer des visualisations pertinentes.

Nous détectons également votre fuseau horaire et votre préférence linguistique pour adapter l'interface. Si vous configurez des notifications personnalisées (alertes de dépassement budgétaire, rappels mensuels), ces paramètres sont également enregistrés pour respecter vos choix.

Traces techniques automatiques

Chaque fois que vous interagissez avec notre plateforme, certains détails techniques sont générés par votre navigateur ou appareil : type de système d'exploitation, version du navigateur, résolution d'écran, adresse IP attribuée par votre fournisseur d'accès. Ces éléments nous aident à diagnostiquer les problèmes techniques, à améliorer la compatibilité sur différents environnements, et à détecter des tentatives d'accès frauduleux.

Nous ne corrélons jamais ces traces avec des bases externes pour établir des profils comportementaux. Leur utilisation reste strictement limitée à la maintenance, la sécurité, et l'optimisation de la performance de nos serveurs.

Fondements juridiques qui autorisent ces opérations

Le cadre réglementaire européen impose que chaque traitement repose sur une base légale explicite. Voici comment nous justifions nos pratiques :

• Exécution contractuelle : Quand vous souscrivez à sorenthiva, vous concluez un accord avec nous. Traiter vos coordonnées, vos budgets, et vos paramètres devient indispensable pour respecter nos engagements envers vous. Sans ce traitement, nous ne pourrions tout simplement pas fournir le service que vous attendez.
• Intérêt légitime : Améliorer la sécurité de notre infrastructure, prévenir les abus, analyser les dysfonctionnements techniques — ces objectifs relèvent de notre intérêt légitime, à condition qu'ils n'empiètent pas excessivement sur vos droits. Nous effectuons régulièrement des tests d'équilibre pour vérifier que nos pratiques restent proportionnées.
• Consentement explicite : Dans certains cas (par exemple, si vous activez des fonctionnalités optionnelles ou si vous acceptez de recevoir notre lettre d'information mensuelle), nous sollicitons votre accord préalable. Ce consentement peut être retiré à tout moment via les paramètres de votre compte ou en nous contactant directement.
• Obligations légales : Parfois, la loi française ou européenne nous impose de conserver certaines informations pendant une durée déterminée (par exemple, les données comptables ou fiscales). Dans ces situations, nous n'avons pas de marge de manœuvre — la réglementation prévaut.

Circulation des informations vers l'extérieur

Nous limitons drastiquement les situations où vos détails quittent notre infrastructure. Voici les cas où un transfert peut se produire :

Prestataires techniques indispensables

Notre plateforme repose sur des services externes pour l'hébergement, la sauvegarde des données, et l'envoi des communications par courrier électronique. Ces prestataires agissent sous nos instructions strictes, conformément à des contrats qui leur interdisent d'utiliser vos informations à leurs propres fins. Nous sélectionnons uniquement des partenaires qui appliquent des mesures de sécurité comparables aux nôtres et qui respectent les normes européennes de protection.

Processeurs de paiement

Si vous souscrivez à une offre payante, vos coordonnées bancaires transitent vers un processeur de paiement certifié PCI-DSS. Nous ne conservons jamais les numéros de carte complets sur nos serveurs — seuls des identifiants anonymisés (tokens) sont stockés pour faciliter les renouvellements automatiques si vous le souhaitez.

Requêtes légales contraignantes

Dans des circonstances exceptionnelles, une autorité judiciaire ou administrative peut nous ordonner de divulguer certaines informations. Nous examinons systématiquement la légalité et la proportionnalité de chaque demande, et nous ne communiquons que le strict minimum requis par l'ordre reçu. Chaque fois que la loi nous y autorise, nous vous informons de l'existence de cette requête.

Situations de continuité d'activité

En cas de fusion, acquisition, ou cession d'actifs, vos données pourraient être transférées vers la nouvelle entité responsable. Nous vous préviendrons au moins 30 jours à l'avance, et vous aurez la possibilité de clôturer votre compte avant le transfert si vous ne souhaitez pas continuer avec le nouvel exploitant.

Durée pendant laquelle nous conservons vos éléments

Nous n'accumulons pas indéfiniment les informations. Chaque catégorie obéit à une logique de rétention précise :

• Données de compte actif : Tant que votre compte reste ouvert et que vous l'utilisez, nous conservons l'ensemble des informations nécessaires au fonctionnement du service. Si vous demandez la fermeture, nous lançons un processus de suppression qui s'achève sous 90 jours maximum, sauf obligations légales contraires.
• Traces techniques et logs de sécurité : Ces enregistrements sont automatiquement purgés après 12 mois. Ils servent uniquement à détecter des anomalies, enquêter sur des incidents de sécurité, ou résoudre des bugs signalés par les utilisateurs.
• Correspondances par courrier électronique : Vos échanges avec notre support sont archivés pendant 3 ans après la dernière interaction. Cette période nous permet de maintenir une continuité si vous revenez vers nous avec une question liée à un problème antérieur.
• Documents comptables et fiscaux : La réglementation française nous oblige à conserver certains justificatifs pendant 10 ans. Cette obligation s'applique uniquement aux informations strictement nécessaires à la conformité fiscale, et non à l'intégralité de votre profil utilisateur.

Mesures de protection que nous appliquons

La sécurité constitue un effort permanent, jamais un état définitif. Nous combinons plusieurs couches de défense pour protéger vos informations contre les accès non autorisés, les pertes accidentelles, et les fuites malveillantes.

Chiffrement des flux et des stockages

Tous les échanges entre votre navigateur et nos serveurs transitent via des connexions TLS 1.3, garantissant que personne ne peut intercepter vos données en transit. Sur nos serveurs, les informations sensibles (mots de passe, coordonnées bancaires tokenisées) sont chiffrées au repos avec des algorithmes AES-256.

Contrôles d'accès granulaires

Nos employés n'ont accès qu'aux portions du système nécessaires à leur fonction. Un développeur travaillant sur l'interface graphique ne peut pas consulter la base des utilisateurs ; un membre de l'équipe support dispose de permissions limitées et journalisées pour résoudre vos problèmes sans accéder à l'ensemble de votre historique.

Surveillance continue et réponse aux incidents

Des outils automatisés scrutent en permanence notre infrastructure pour détecter les comportements anormaux : tentatives de connexion répétées, pics d'extraction de données inhabituels, modifications de configurations critiques. En cas d'alerte, notre équipe technique intervient immédiatement pour isoler la menace, évaluer l'impact, et déployer les correctifs nécessaires.

Nous effectuons également des audits de sécurité externes une fois par an, conduits par des spécialistes indépendants qui testent nos défenses et recommandent des améliorations. Les conclusions de ces audits sont systématiquement intégrées dans notre feuille de route technique.

Limites inhérentes

Malgré ces précautions, aucun système n'est invulnérable. Un acteur malveillant suffisamment déterminé et outillé pourrait théoriquement contourner nos défenses. En cas de violation avérée affectant vos données, nous vous informerons sous 72 heures maximum, en précisant la nature de l'incident, les catégories d'informations concernées, et les mesures prises pour limiter les dégâts.

Capacités de contrôle à votre disposition

Le cadre européen vous confère plusieurs droits que nous nous engageons à honorer rapidement. Voici comment les exercer concrètement :

Consultation de vos informations

Vous pouvez demander une copie complète des données que nous détenons sur vous. Nous générons un fichier structuré (format JSON ou CSV, selon votre préférence) contenant l'intégralité de votre profil, vos budgets, vos paramètres, et vos échanges avec notre support. Ce fichier vous est transmis sous 30 jours suivant votre demande.

Rectification des inexactitudes

Si certaines informations sont obsolètes ou erronées, vous pouvez les corriger directement depuis les paramètres de votre compte. Pour des modifications plus complexes (par exemple, si vous souhaitez modifier l'historique de correspondances), contactez notre équipe qui effectuera les ajustements nécessaires après vérification de votre identité.

Limitation ou opposition au traitement

Dans certaines situations, vous pouvez nous demander de suspendre temporairement l'utilisation de vos données, par exemple si vous contestez leur exactitude ou si vous vous opposez à un traitement fondé sur notre intérêt légitime. Nous gèlerons alors les opérations concernées jusqu'à résolution du différend, sauf obligations légales impératives.

Suppression complète

Vous pouvez exiger l'effacement de vos informations si elles ne sont plus nécessaires aux finalités initiales, si vous retirez votre consentement, ou si vous estimez qu'elles sont traitées de manière illicite. Nous procédons à la suppression sous 90 jours maximum, à l'exception des éléments que la loi nous impose de conserver (documents comptables, par exemple).

Portabilité des données

Si vous souhaitez migrer vers un autre service de budgétisation, vous pouvez récupérer vos données dans un format structuré et couramment utilisé. Cette extraction inclut vos budgets, catégories, allocations, et historiques de modifications, sous une forme réutilisable par d'autres plateformes compatibles.

Retrait du consentement

Si un traitement repose sur votre consentement (par exemple, l'envoi de notre lettre d'information), vous pouvez le retirer à tout moment via le lien de désabonnement présent dans chaque message, ou directement depuis les paramètres de votre compte. Ce retrait ne remet pas en cause la licéité des opérations effectuées avant votre décision.

Transferts hors de l'Union européenne

Nos serveurs principaux sont hébergés en France, au sein de centres de données certifiés ISO 27001. Toutefois, certains prestataires techniques que nous utilisons (plateformes d'analyse de bugs, services de distribution de contenu) peuvent disposer d'infrastructures situées hors de l'Espace économique européen.

Lorsqu'un transfert vers un pays tiers s'avère nécessaire, nous vérifions que le destinataire applique des garanties appropriées : clauses contractuelles types validées par la Commission européenne, certification sous des mécanismes reconnus, ou décision d'adéquation établissant que le pays concerné offre un niveau de protection équivalent à celui de l'UE.

Nous révisons annuellement la liste de nos sous-traitants internationaux pour nous assurer que leur situation juridique et technique reste conforme aux exigences européennes. En cas de changement réglementaire majeur (invalidation d'un mécanisme de transfert, par exemple), nous adaptons immédiatement nos contrats ou rapatrions les traitements vers des prestataires basés en Europe.

Informations concernant les mineurs

sorenthiva s'adresse à des utilisateurs majeurs ou bénéficiant d'une autorisation parentale explicite. Si vous avez moins de 18 ans, vous ne pouvez créer un compte sans l'accord préalable de vos représentants légaux.

Nous ne collectons jamais sciemment d'informations auprès de mineurs non accompagnés. Si nous découvrons qu'un utilisateur a fourni une date de naissance indiquant une minorité sans autorisation parentale, nous suspendons immédiatement le compte concerné et supprimons les données associées, sauf demande contraire des responsables légaux.

Évolutions de ce cadre

Ce document n'est pas gravé dans le marbre. Nos pratiques évoluent en fonction des retours utilisateurs, des progrès techniques, et des modifications réglementaires. Lorsque nous apportons des changements substantiels (par exemple, introduction d'un nouveau prestataire, modification des durées de conservation, ou ajout de finalités de traitement), nous publions une version actualisée sur cette page.

La date de dernière mise à jour apparaît clairement en haut du document. Si les modifications affectent significativement vos droits ou la manière dont nous manipulons vos informations, nous vous prévenons par courrier électronique au moins 30 jours avant leur entrée en vigueur. Vous disposez alors de la possibilité de clôturer votre compte si vous n'acceptez pas les nouvelles conditions.

Les versions antérieures de cette politique restent archivées et accessibles sur simple demande, vous permettant de comparer les évolutions et de vérifier nos engagements passés.

Escalade et recours externes

Si vous estimez que nous ne respectons pas nos obligations, ou si vous n'êtes pas satisfait de la manière dont nous traitons vos demandes, plusieurs voies de recours s'offrent à vous :

• Contact direct avec notre équipe : Dans la majorité des cas, un échange constructif permet de résoudre rapidement les malentendus. Écrivez-nous à contact@sorenthiva.com en exposant clairement votre préoccupation — nous nous engageons à investiguer sérieusement chaque réclamation.
• Médiation : Si le dialogue direct n'aboutit pas, vous pouvez solliciter l'intervention d'un médiateur indépendant spécialisé dans la protection des données. Nous nous engageons à coopérer de bonne foi avec tout médiateur désigné par vos soins.
• Autorité de contrôle : Vous disposez du droit de déposer une plainte auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL), l'autorité française chargée de veiller au respect du RGPD. La CNIL peut mener des enquêtes, émettre des avertissements, ou prononcer des sanctions si elle constate des manquements.
• Recours judiciaire : En dernier ressort, vous pouvez saisir les tribunaux compétents pour faire valoir vos droits et obtenir réparation en cas de préjudice avéré.