Retour|Politique de confidentialité

Politique de Confidentialité

Version V2 du 4 mai 2026

Version V2. Mise à jour pour conformité CNIL et RGPD : sous-traitants exhaustifs, transferts hors UE détaillés, décisions automatisées (article 22), durées de conservation. Une relecture par un juriste spécialisé est prévue avant publication grand public.

1.Responsable du traitement

Cantia, Entreprise Individuelle (Rudy Fraize)

SIREN 914 658 604 · 173 rue de Courcelles, 75017 Paris, France

Contact : support@cantia.fr

2.Données collectées

  • Données d'inscription : nom, prénom, adresse email
  • Données de connexion : identifiants, logs de connexion
  • Données financières importées : historique de transactions, positions, soldes (via API en lecture seule des courtiers et plateformes)
  • Données de paiement : gérées exclusivement par Stripe (Cantia ne stocke aucune donnée bancaire en clair)
  • Données d'usage : pages visitées, fonctionnalités utilisées
  • Contenus IA : requêtes adressées à l'assistant Génius et documents soumis à l'OCR fiscal

3.Finalités du traitement

  • Fourniture et amélioration du service
  • Génération de rapports fiscaux
  • Analyse de performance et statistiques personnelles
  • Fonctionnement de l'assistant IA Génius
  • Communication avec l'Utilisateur (support, mises à jour)
  • Respect des obligations légales et réglementaires

4.Base légale

  • Exécution du contrat (fourniture du service Cantia)
  • Consentement (cookies non essentiels, communications marketing, opt-in Telegram)
  • Intérêt légitime (amélioration du service, sécurité, prévention de la fraude)
  • Obligations légales (conservation fiscale, comptabilité)

5.Durée de conservation

  • Compte utilisateur actif : durée de l'abonnement, plus 3 ans à compter de la dernière activité
  • Données fiscales : 6 ans (article L.102 B du Livre des procédures fiscales)
  • Logs techniques : 12 mois
  • Données de paiement : conservées par Stripe selon sa propre politique ; côté Cantia, seul un identifiant de paiement (token) est conservé
  • Cookies non essentiels : 13 mois maximum (recommandation CNIL)
  • Contenus Génius IA et OCR : suppression dès consommation, aucun cache persistant des contenus soumis

6.Sous-traitants et destinataires des données

Vos données ne sont jamais vendues. Elles sont communiquées aux sous-traitants suivants, chacun encadré par un contrat de sous-traitance conforme à l'article 28 du RGPD :

Vercel Inc.

340 S Lemon Ave #4133, Walnut, CA 91789, USA

  • Finalité : Hébergement applicatif et CDN
  • Données : Ensemble des données saisies, journaux d'accès, métadonnées techniques
  • Transfert : États-Unis. Garanties : Clauses Contractuelles Types (CCT) Commission européenne 2021/914 et EU-US Data Privacy Framework (DPF) lorsque certifié.

Supabase Inc.

970 Toa Payoh North #07-04, Singapore 318992 (cluster effectif Francfort, Allemagne)

  • Finalité : Base de données applicative, authentification, stockage de fichiers
  • Données : Profil utilisateur, transactions financières, actifs, paramètres
  • Transfert : Localisation effective : Union européenne (cluster Frankfurt eu-central-1).

Stripe Inc.

354 Oyster Point Boulevard, South San Francisco, CA 94080, USA

  • Finalité : Traitement des paiements et des abonnements
  • Données : Email, nom, adresse de facturation, données bancaires (token uniquement, jamais le numéro de carte complet)
  • Transfert : États-Unis. Garanties : CCT et DPF.

Anthropic, PBC

548 Market St PMB 90375, San Francisco, CA 94104, USA

  • Finalité : Traitement des requêtes Génius IA (analyses patrimoine, simulations, briefing matinal)
  • Données : Contenus des conversations Génius, contexte patrimonial pseudonymisé pour les analyses
  • Transfert : États-Unis. Garanties : CCT et politique Anthropic API (aucun entraînement sur les données API).

OpenAI LLC

3180 18th Street, San Francisco, CA 94110, USA

  • Finalité : OCR documents fiscaux, vision IA factures et relevés bancaires
  • Données : Contenus des documents soumis (relevés, justificatifs)
  • Transfert : États-Unis. Garanties : CCT et politique OpenAI API (aucun entraînement sur les données API).

Resend, Inc.

2261 Market Street #5039, San Francisco, CA 94114, USA

  • Finalité : Envoi des emails transactionnels (confirmation, alertes, notifications, briefing matinal)
  • Données : Adresse email de l'Utilisateur, contenus des messages
  • Transfert : États-Unis. Garanties : CCT.

Bridge (Société Bridge SAS)

France

  • Finalité : Agrégation de comptes bancaires PSD2, lorsque cette fonctionnalité est activée par l'Utilisateur
  • Données : Identifiants bancaires (tokens uniquement, jamais les identifiants en clair), transactions, soldes
  • Transfert : Localisation effective : Union européenne (France). Statut : Prestataire de Services d'Information sur les Comptes (PSIC) agréé ACPR.

OVHcloud (OVH SAS)

2 rue Kellermann, 59100 Roubaix, France

  • Finalité : Hébergement de la boîte email professionnelle support@cantia.fr (Zimbra)
  • Données : Correspondances email avec le service client
  • Transfert : Localisation effective : Union européenne (France).

Telegram Messenger Inc.

British Virgin Islands, opéré depuis les Émirats Arabes Unis

  • Finalité : Notifications via bot Telegram (option opt-in)
  • Données : Identifiant Telegram de l'Utilisateur, messages de notification
  • Transfert : Hors Union européenne. Base juridique : consentement explicite de l'Utilisateur lors de l'activation. La fonctionnalité reste désactivée par défaut.

CoinMarketCap et fournisseurs de cours marchés

Variable

  • Finalité : Lecture de cours de marchés (sources publiques)
  • Données : Aucune donnée utilisateur transmise. Cantia consomme uniquement des données publiques de cours.
  • Transfert : Sans objet.

7.Transferts hors Union européenne

Certaines données personnelles sont transférées vers des sous-traitants situés en dehors de l'Espace Économique Européen, notamment aux États-Unis (Vercel, Stripe, Anthropic, OpenAI, Resend) et aux Émirats Arabes Unis (Telegram, sur opt-in de l'Utilisateur).

Ces transferts sont encadrés par les garanties suivantes :

  • Clauses Contractuelles Types (CCT) approuvées par la Commission européenne (décision 2021/914 du 4 juin 2021), signées avec chaque sous-traitant concerné
  • EU-US Data Privacy Framework (DPF) lorsque le sous-traitant est certifié auprès du Department of Commerce américain
  • Mesures techniques complémentaires : chiffrement en transit (TLS 1.2 minimum) et au repos (AES-256), pseudonymisation des contenus IA, restriction des données strictement nécessaires
  • Consentement explicite de l'Utilisateur pour les transferts hors UE non couverts par CCT (cas Telegram, opt-in)

Les copies des Clauses Contractuelles Types signées avec nos sous-traitants sont disponibles sur simple demande à support@cantia.fr.

8.Sécurité

  • Chiffrement des données en transit (TLS 1.3 sur Vercel, TLS 1.2 minimum côté sous-traitants)
  • Chiffrement au repos (AES-256)
  • Clés API connectées stockées de manière chiffrée
  • Accès restreint aux données personnelles, journalisation des accès administratifs
  • API en lecture seule uniquement, aucune capacité d'ordre ou de mouvement de fonds

9.Décisions automatisées et profilage (article 22 RGPD)

Cantia met en œuvre des traitements automatisés et des analyses algorithmiques produisant des résultats à finalité informative et éducative. Aucune décision produisant des effets juridiques ou affectant significativement l'Utilisateur n'est prise sans intervention humaine.

Les principaux traitements algorithmiques mis en œuvre sont :

  • Catégorisation automatique des transactions Budget : détection automatique de catégorie (alimentation, transport, etc.) via règles déterministes et IA. L'Utilisateur peut modifier librement chaque catégorisation.
  • Analyses Génius IA : production d'observations contextuelles sur le patrimoine et le budget, sans recommandation personnalisée d'investissement.
  • Score de santé patrimoniale et budgétaire : agrégat informatif (note sur 100) calculé à partir des données saisies. Indicateur pédagogique, sans valeur de conseil.
  • Briefing matinal Génius : synthèse quotidienne automatisée des évolutions patrimoine, budget et fiscalité.
  • Détection de patterns : identification de transferts internes, doublons, anomalies de catégorisation. Toujours soumise à validation de l'Utilisateur.

Conformément à l'article 22 du RGPD, l'Utilisateur dispose à tout moment :

  • du droit d'obtenir une intervention humaine, en contactant support@cantia.fr
  • du droit d'exprimer son point de vue
  • du droit de contester la décision algorithmique
  • du droit d'obtenir des informations utiles sur la logique sous-jacente

Aucun traitement de Cantia ne procède à un scoring de solvabilité, à une évaluation de risque crédit ou à une décision de fourniture de service automatisée.

10.Droits de l'Utilisateur (RGPD)

Conformément au Règlement Général sur la Protection des Données (RGPD), vous disposez des droits suivants sur vos données personnelles :

  • Droit d'accès (article 15)
  • Droit de rectification (article 16)
  • Droit à l'effacement, dit « droit à l'oubli » (article 17)
  • Droit à la limitation du traitement (article 18)
  • Droit à la portabilité (article 20)
  • Droit d'opposition (article 21)
  • Droits liés aux décisions automatisées (article 22, voir section dédiée ci-dessus)

Pour exercer ces droits, adressez votre demande à support@cantia.fr. Une réponse vous sera apportée dans le délai d'un (1) mois à compter de la réception de la demande, prolongeable de deux (2) mois maximum en cas de complexité ou de demandes multiples, conformément à l'article 12 du RGPD.

Réclamation auprès de la CNIL
En cas de réclamation non résolue, vous pouvez saisir l'autorité de contrôle compétente :
Commission Nationale de l'Informatique et des Libertés (CNIL)
3 Place de Fontenoy, TSA 80715, 75334 PARIS CEDEX 07
https://www.cnil.fr/fr/plaintes

11.Cookies

Cantia utilise uniquement des cookies essentiels au fonctionnement du service (authentification, préférences). Aucun cookie publicitaire ni de mesure d'audience tiers n'est utilisé. Les cookies non essentiels éventuellement déposés (par exemple à des fins de mesure interne) sont soumis à votre consentement préalable et conservés pendant treize (13) mois maximum, conformément à la recommandation CNIL.

12.Mise à jour de la politique

La présente politique est susceptible d'être mise à jour pour tenir compte d'évolutions réglementaires ou de nouveaux services proposés par Cantia. Toute modification substantielle est notifiée à l'Utilisateur par courrier électronique avec un préavis de trente (30) jours avant son entrée en vigueur.

Version V2 du 4 mai 2026. La version précédente (V1 du 17 avril 2026) est disponible sur demande à support@cantia.fr.
CGU·CGV·Mentions légales