Dashboard / Politique de Confidentialité

🔒 Politique de Confidentialité

Dernière mise à jour : 9 juin 2026

1Introduction

Famivest accorde une importance primordiale à la protection de vos données personnelles. Cette politique explique quelles données nous collectons, pourquoi, comment nous les utilisons et quels sont vos droits, conformément au RGPD (UE 2016/679) et à la loi Informatique et Libertés n°78-17 du 6 janvier 1978 modifiée.

2Responsable du traitement

Dénomination
Famivest
Responsable
Laurent de Pibrac
SIREN
813 580 271
SIRET
813 580 271 00035
Adresse
9 Rue des Clouet, 37210 Rochecorbon
Contact
contact@famivest.com

3Données collectées

  • Données d'identification : nom, prénom, adresse e-mail
  • Données d'authentification : mot de passe haché (bcrypt) ou jeton OAuth Google
  • Données patrimoniales : biens, prêts, comptes, assurances et documents saisis
  • Données de facturation : historique des transactions via Stripe (les numéros de carte ne sont pas stockés)
  • Données de connexion : adresse IP, navigateur, date/heure (logs techniques)
ℹ️ Cookies utilisés
Famivest utilise uniquement des cookies techniques nécessaires : cookie de session HttpOnly (authentification) et cookie de sécurité Cloudflare Turnstile (protection anti-bot). Aucun cookie publicitaire, analytique ou de traçage tiers.

4Finalités et bases légales

FinalitéBase légale (RGPD)
Fourniture du service et gestion du compteExécution du contrat — Art. 6.1.b
Authentification et sécuritéIntérêt légitime — Art. 6.1.f
Facturation et abonnementsObligation légale — Art. 6.1.c
Amélioration du serviceIntérêt légitime — Art. 6.1.f
Conservation des logs de connexionObligation légale — Art. 6.1.c

5Sous-traitants et transferts

Vos données ne sont jamais vendues ni cédées à des tiers à des fins commerciales. Sous-traitants impliqués :

  • Supabase Inc. (États-Unis) — BDD, authentification, fonctions serveur. Hébergement AWS Paris (eu-west-3, France). Clauses Contractuelles Types.
  • Netlify Inc. (États-Unis) — CDN et déploiement. Clauses Contractuelles Types.
  • Cloudflare Inc. (États-Unis) — Protection anti-bot (Turnstile). Cookie de sécurité uniquement. Data Privacy Framework UE-USA.
  • Stripe Inc. (États-Unis) — Traitement des paiements. PCI-DSS. Data Privacy Framework UE-USA.
  • Mistral AI SAS (France — traitement intra-UE) — API d'intelligence artificielle pour les assistants patrimoniaux, la veille juridique, les experts IA spécialisés et l'extraction automatisée de données cadastrales à partir des documents que vous importez (relevés de propriété, actes notariés, documents « Informations sur un bien » téléchargés depuis votre espace impots.gouv.fr) par reconnaissance optique de caractères (OCR) et structuration. Données hébergées au sein de l'Union Européenne.
  • Powens (France — traitement intra-UE) — Agrégation bancaire open banking (DSP2/PSD2). Établissement de paiement agréé ACPR. Données hébergées en France.
  • Resend Inc. (États-Unis) — Envoi des emails transactionnels (confirmations, rappels, alertes de compte). Clauses Contractuelles Types.
  • Twilio Inc. (États-Unis) — Envoi des SMS de vérification OTP pour la signature électronique. Data Privacy Framework UE-USA. Clauses Contractuelles Types.

Documents que vous importez et extraction par IA : lorsque vous importez un document pour en extraire automatiquement vos parcelles cadastrales (par exemple un relevé de propriété ou un acte notarié), ce document est transmis à notre sous-traitant Mistral AI (Union Européenne) pour reconnaissance optique de caractères (OCR) et structuration des données. Ces documents pouvant contenir des informations relatives à des tiers (co-indivisaires, bénéficiaires…), nous vous recommandons de n'importer que l'extrait utile — la désignation cadastrale des biens — et de masquer les informations non nécessaires à l'extraction. Pour les documents « Informations sur un bien », l'extraction exclut volontairement l'identité du titulaire et son numéro fiscal personnel ; elle peut relever la nature du droit (pleine propriété, usufruit ou nue-propriété) et le fait d'une indivision, sans jamais identifier les éventuels co-indivisaires. Le traitement est réalisé exclusivement au sein de l'Union Européenne.

Partage avec votre conseiller (sur votre consentement) : si vous êtes accompagné par un professionnel (par exemple un conseiller en gestion de patrimoine) utilisant Famivest, vous pouvez l'autoriser à consulter vos comptes bancaires agrégés en lecture seule. Ce partage n'a lieu que si vous l'activez explicitement depuis votre espace (rubrique « Mes conseillers », conseiller par conseiller) et reste révocable à tout moment. Votre conseiller ne peut jamais ajouter ni modifier une connexion bancaire, ni initier la moindre opération. En l'absence de consentement de votre part, aucun professionnel n'accède à vos données bancaires.

6Durées de conservation

CatégorieDuréeBase légale
Données de compte (actif)Durée de l'abonnementExécution du contrat
Données patrimoniales — compte désactivé temporairement30 jours (suppression automatique si non réactivé)Délai de grâce contractuel
Données patrimoniales — après suppression définitive demandéeSupprimées dans les 24 h suivant la confirmationArt. 17 RGPD — droit à l'effacement
Documents importés pour extraction (relevés cadastraux, actes notariés, « informations sur un bien » d'impots.gouv.fr)Fichier source supprimé immédiatement après le traitement automatique (OCR) ; seules les données structurées extraites sont conservées avec votre patrimoineArt. 5.1.c RGPD — minimisation
Documents signés électroniquement (tous, avec ou sans co-signataires)3 ans après la clôture du compteArt. 6.1.f RGPD — intérêt légitime opérateur + Art. 1367 C.civ. — valeur probatoire
Données de facturation (pseudonymisées, sans données perso en clair)10 ansArt. L123-22 C.com.
Logs de connexion (adresse IP hachée SHA-256)1 anLCEN — Décret n°2021-1363
Sauvegardes techniques (Supabase PITR)7 jours maximumInfrastructure — purge automatique
ℹ️ Pseudonymisation des données archivées
Les données de facturation et journaux de connexion conservés après suppression du compte ne contiennent aucune donnée personnelle identifiable en clair. Seuls des condensés cryptographiques (SHA-256) de l'identifiant et de l'e-mail sont conservés, exclusivement à des fins de conformité légale.

7Vos droits

  • Accès (Art. 15), Rectification (Art. 16)
  • Limitation du traitement (Art. 18), Opposition (Art. 21)
  • Effacement (Art. 17 — droit à l'oubli) : exercé directement depuis Mon compte → Zone sensible → Supprimer mon compte. La suppression est effective dans les 24 heures. Un lien d'annulation valable 24 heures est envoyé par email.
  • Portabilité (Art. 20) : export complet de vos données au format JSON, disponible à tout moment depuis Mon compte → Export de mes données. L'export inclut : profil, foyer, patrimoine immobilier, foncier, SCI, sociétés, véhicules, crédits, gestion locative, finances, épargne, IR, dépenses fiscales, agrégation bancaire. Sont exclus les données générées par le service (calculs automatiques, échanges IA) et les fichiers Storage (disponibles sur demande).
  • Réclamation auprès de la CNIL : www.cnil.fr

Pour exercer vos droits (hors effacement et portabilité qui disposent d'un accès direct dans l'application) : contact@famivest.com — Réponse sous 1 mois (Art. 12 RGPD).

8Sécurité

  • Chiffrement en transit (TLS 1.3) et au repos (AES-256)
  • Authentification sécurisée (bcrypt, OAuth 2.0, cookie HttpOnly)
  • Protection anti-bot (Cloudflare Turnstile)
  • Contrôle d'accès strict par utilisateur (Row Level Security)
  • Hébergement France — AWS Paris (eu-west-3)
  • Sauvegardes régulières chiffrées (AES-256)

Notification de violation : en cas de violation susceptible d'engendrer un risque pour vos droits, Famivest notifie la CNIL sous 72 heures (Art. 33 RGPD) et informe les personnes concernées sans délai injustifié si le risque est élevé (Art. 34 RGPD).

Contact sécurité : contact@famivest.com — objet « Sécurité ».

9Modifications

Cette politique peut être mise à jour. En cas de modification substantielle, notification par e-mail avec un préavis de 30 jours.

10Contact

  • E-mail : contact@famivest.com
  • Adresse : 9 Rue des Clouet, 37210 Rochecorbon

1Introduction

Famivest is committed to protecting your personal data. This policy explains what data we collect, why, how we use it, and your rights under GDPR (EU 2016/679).

2Data Controller

Entity
Famivest
Controller
Laurent de Pibrac
SIREN
813 580 271
SIRET
813 580 271 00035
Address
9 Rue des Clouet, 37210 Rochecorbon, France
Contact
contact@famivest.com

3Data Collected

  • Identification: name, email address
  • Authentication: hashed password or Google OAuth token
  • Wealth data: real estate, loans, accounts, insurance and documents
  • Billing: transaction history via Stripe (no card numbers stored)
  • Connection logs: IP address, browser, timestamps
ℹ️ Cookies used
Famivest uses only strictly necessary technical cookies: HttpOnly session cookie (authentication) and Cloudflare Turnstile security cookie (bot protection). No advertising, analytics, or tracking cookies.

4Purposes and Legal Bases

PurposeLegal basis (GDPR)
Service provision and account managementContract performance — Art. 6.1.b
Authentication and securityLegitimate interest — Art. 6.1.f
Billing and subscriptionsLegal obligation — Art. 6.1.c
Service improvementLegitimate interest — Art. 6.1.f
Connection log retentionLegal obligation — Art. 6.1.c

5Sub-processors and Transfers

  • Supabase Inc. (USA) — Database, auth, server functions. AWS Paris (eu-west-3). Standard Contractual Clauses.
  • Netlify Inc. (USA) — CDN and deployment. Standard Contractual Clauses.
  • Cloudflare Inc. (USA) — Bot protection (Turnstile). Security cookie only. EU-US Data Privacy Framework.
  • Stripe Inc. (USA) — Payments. PCI-DSS certified. EU-US Data Privacy Framework.
  • Mistral AI SAS (France — intra-EU processing) — AI API for wealth management assistants, legal watch, specialised AI experts and automated extraction of cadastral data from the documents you import (property records, notarial deeds, "Property Information" documents downloaded from your impots.gouv.fr account) via optical character recognition (OCR) and structuring. Data hosted within the European Union.
  • Powens (France — intra-EU processing) — Open banking aggregation (PSD2). ACPR-licensed payment institution. Data hosted in France.
  • Resend Inc. (USA) — Transactional email delivery (confirmations, reminders, account alerts). Standard Contractual Clauses.
  • Twilio Inc. (USA) — SMS OTP verification for electronic signatures. EU-US Data Privacy Framework. Standard Contractual Clauses.

Documents you import and AI extraction: when you import a document to automatically extract your cadastral parcels (for example a property record or a notarial deed), this document is sent to our sub-processor Mistral AI (European Union) for optical character recognition (OCR) and data structuring. As these documents may contain information about third parties (co-owners, beneficiaries, etc.), we recommend importing only the useful extract — the cadastral description of the assets — and redacting information not required for the extraction. For "Property Information" documents, the extraction deliberately excludes the holder's identity and personal tax number; it may capture the nature of the right (full ownership, usufruct or bare ownership) and the existence of an indivision, without ever identifying any co-owners. Processing takes place exclusively within the European Union.

Sharing with your advisor (subject to your consent): if you are supported by a professional (e.g. a wealth-management advisor) using Famivest, you may authorise them to view your aggregated bank accounts in read-only mode. This sharing only occurs if you explicitly enable it from your account (the "My advisors" area, advisor by advisor) and remains revocable at any time. Your advisor can never add or modify a bank connection, nor initiate any operation. Without your consent, no professional accesses your banking data.

6Data Retention

Data categoryRetentionLegal basis
Account data (active)Duration of subscriptionContract performance
Wealth data — suspended account30 days (auto-deleted if not reactivated)Contractual grace period
Wealth data — after definitive deletion requestDeleted within 24 hoursGDPR Art. 17 — right to erasure
Electronically signed documents (all, with or without co-signers)3 years after account closureGDPR Art. 6.1.f — legitimate interest as signature service operator + French Civil Code Art. 1367 — evidentiary value
Billing data (pseudonymised, no personal data in clear)10 yearsFrench Commercial Code Art. L123-22
Connection logs (hashed IP — SHA-256)1 yearFrench LCEN — Decree 2021-1363
Technical backups (Supabase PITR)7 days maximumInfrastructure — automatic purge
ℹ️ Pseudonymisation of archived data
Billing data and connection logs retained after account deletion contain no personally identifiable data in clear text. Only cryptographic hashes (SHA-256) of the user ID and email are kept, exclusively for legal compliance purposes.

7Your Rights

  • Access (Art. 15), Rectification (Art. 16)
  • Restriction of processing (Art. 18), Object (Art. 21)
  • Erasure (Art. 17 — right to be forgotten): exercised directly from My Account → Sensitive zone → Delete my account. Deletion is effective within 24 hours. A cancellation link valid for 24 hours is sent by email.
  • Portability (Art. 20): complete export of your data in JSON format, available at any time from My Account → Export my data. The export includes: profile, household, real estate, land, SCI, companies, vehicles, loans, rental management, finances, savings, income tax, fiscal expenses, banking aggregation. Excluded: service-generated data (automatic calculations, AI conversations) and Storage files (available on request).
  • Complaint to the CNIL: www.cnil.fr

To exercise your rights (other than erasure and portability which have direct access in the app): contact@famivest.com — Response within 1 month (Art. 12 GDPR).

8Security

  • Encryption in transit (TLS 1.3) and at rest (AES-256)
  • Secure authentication (bcrypt, OAuth 2.0, HttpOnly cookie)
  • Bot protection (Cloudflare Turnstile)
  • Per-user access control (Row Level Security)
  • Hosting in France — AWS Paris (eu-west-3)
  • Regular encrypted backups (AES-256)

Breach notification: in case of a breach likely to result in risk to your rights, Famivest will notify the CNIL within 72 hours (Art. 33 GDPR) and inform affected users without undue delay if the risk is high (Art. 34 GDPR).

Security contact: contact@famivest.com — subject "Security".

9Changes

This policy may be updated. Material changes notified by email with 30 days' notice.

10Contact

  • Email: contact@famivest.com
  • Address: 9 Rue des Clouet, 37210 Rochecorbon, France
Mentions légales · CGU · CGV · © 2026 Famivest