Politique de confidentialité
Dernière mise à jour : 21 mars 2026
La présente politique de confidentialité décrit les données personnelles collectées lors de l'utilisation de l'application Cashbah, les finalités de leur traitement, ainsi que les mesures mises en place pour en assurer la sécurité et la confidentialité.
1. Responsable du traitement
Le responsable du traitement est :
Honoré Tomaka
44 rue Gustave Scrive, 59110 La Madeleine, France
support@cashbah.app
2. Données collectées
a) Données fournies directement par l'utilisateur
- Identité : nom, prénom
- Coordonnées : adresse email
- Informations de connexion : mot de passe (stocké de manière sécurisée), date de création, historique de connexions
- Données issues de l'authentification via Google : nom, adresse email, identifiant OAuth
- Données d'importation CSV : fichiers de relevés bancaires téléversés
- Données de paiement : traitées par Stripe (numéro de carte non stocké par Cashbah)
b) Données saisies ou générées dans l'application
- Budgets, objectifs financiers
- Comptes bancaires synchronisés ou ajoutés manuellement : IBAN, nom de la banque, solde, historique des transactions
- Données liées aux transactions : montant, date, libellé, contrepartie
- Préférences de notification push
La fourniture de vos données d'identité (nom, prénom) et d'adresse email est nécessaire à la création de votre compte. Sans ces données, le service ne peut pas être fourni. Les autres données (import CSV, notifications push) sont facultatives.
c) Données collectées automatiquement
- Données techniques : adresse IP, appareil, navigateur, journaux d'erreurs, user agent
- Données d'usage : interactions anonymisées avec l'application (événements de navigation)
3. Finalités et bases légales
| Finalité | Base légale |
|---|---|
| Création et gestion du compte utilisateur | Exécution du contrat |
| Connexion sécurisée et gestion des sessions | Exécution du contrat |
| Agrégation bancaire via un prestataire agréé (GoCardless) | Consentement explicite + obligations légales (directive PSD2) |
| Affichage et gestion du budget, des comptes et des objectifs | Exécution du contrat |
| Amélioration de l'ergonomie et des fonctionnalités | Intérêt légitime (analyse anonymisée) |
| Détection et correction des erreurs techniques | Intérêt légitime |
| Hébergement, sauvegarde et sécurité des données | Exécution du contrat |
| Gestion des abonnements et paiements | Exécution du contrat |
| Envoi d'emails transactionnels | Exécution du contrat |
| Amélioration de la qualité des données (nettoyage des libellés de transaction via IA) | Intérêt légitime (amélioration du service) |
| Notifications push | Consentement explicite |
| Importation de données bancaires (CSV) | Exécution du contrat |
Cashbah n'effectue aucune prise de décision automatisée produisant des effets juridiques au sens de l'article 22 du RGPD.
4. Prestataires et transferts de données
a) Traitements réalisés par Cashbah
- Création et gestion du compte
- Stockage des budgets, objectifs, comptes et transactions
- Gestion des préférences et paramètres utilisateur
- Traitement des données bancaires synchronisées ou saisies
- Notifications et personnalisation de l'expérience utilisateur
b) Sous-traitants
| Prestataire | Rôle | Données traitées principales | Localisation | Cadre juridique (transfert) |
|---|---|---|---|---|
| Clerk | Authentification, sessions | Nom, prénom, email, IP, cookies, appareil, données Google OAuth | États-Unis | Data Privacy Framework (DPF) |
| GoCardless | Agrégation bancaire (AISP) | IBAN, solde, transactions, contreparties, consentement | Union Européenne | Pas de transfert |
| PostHog | Analyse d'usage (sans cookies) | Événements anonymisés, interactions dans l'app | Union Européenne | Pas de transfert |
| Sentry | Suivi des erreurs | Logs techniques, user agent, adresse IP | États-Unis | DPF + Clauses contractuelles types (SCC) |
| Hetzner | Hébergement de l'API GraphQL | Logs techniques, requêtes GraphQL | Allemagne (UE) | Pas de transfert |
| Railway | Hébergement backend et base de données | Bases de données, logs techniques | Union Européenne | Clauses contractuelles types (SCC) |
| Vercel | Hébergement du site web | IP, user agent (logs techniques) | États-Unis | Data Privacy Framework (DPF) |
| Stripe | Paiement, abonnements | Données de carte (tokenisées), email, historique facturation | États-Unis | Data Privacy Framework (DPF) |
| Mailjet | Emails transactionnels | Adresse email, prénom | Union Européenne | Pas de transfert |
| OpenAI | Amélioration de la qualité des données | Libellés bancaires anonymisés (sans IBAN, nom, montant) | États-Unis | Data Privacy Framework (DPF) + Clauses contractuelles types (SCC) |
5. Durée de conservation
Les données sont conservées selon les durées suivantes :
- Données du compte : durée d'utilisation du service, suppression sur demande
- Données de paiement : conformément aux obligations comptables (10 ans pour les factures — art. L123-22 Code de commerce)
- Logs techniques : 12 mois maximum
- Données d'analyse (PostHog) : 24 mois
En cas de suppression du compte, l'ensemble des données associées est automatiquement supprimé, sauf obligation légale contraire.
6. Vos droits
Vous pouvez exercer les droits suivants :
- Droit d'accès
- Droit de rectification
- Droit à l'effacement
- Droit à la limitation du traitement
- Droit à la portabilité
- Droit d'opposition
Pour exercer ces droits, vous pouvez nous contacter à l'adresse suivante : support@cashbah.app Une réponse vous sera apportée dans un délai maximal d'un mois.
Vous avez également la possibilité d'introduire une réclamation auprès de la CNIL (www.cnil.fr).
7. Sécurité
Cashbah met en œuvre des mesures de sécurité conformes aux standards du secteur pour protéger les données contre la perte, l'accès non autorisé, la divulgation ou l'altération. Cela inclut notamment le chiffrement des données en transit, la restriction des accès et la surveillance des incidents.
8. Analyse d'usage
Cashbah utilise PostHog pour analyser comment vous utilisez l'application et l'améliorer. Cette analyse est soumise à votre consentement explicite.
Aucune donnée personnelle (email, nom, IBAN) n'est envoyée à PostHog. Vous pouvez modifier votre choix à tout moment.
9. Cookies
Cashbah utilise uniquement des cookies techniques nécessaires au bon fonctionnement du service (authentification, gestion de session), des cookies techniques Stripe (nécessaires au processus de paiement sécurisé, exemptés de consentement — recommandation CNIL) et des cookies d'analyse, soumis à votre consentement.
Aucun cookie à des fins publicitaires ou de profilage n'est utilisé.
10. Modifications
Cette politique de confidentialité peut être modifiée à tout moment en cas d'évolution de l'application ou du cadre réglementaire. L'utilisateur sera informé en cas de modification substantielle.