← PatriSim

Politique de confidentialité · Version 1.1 · Dernière mise à jour : 27 mai 2026

Politique de confidentialité

La présente politique décrit la manière dont PatriSim collecte, utilise, conserve et protège les données à caractère personnel de ses utilisateurs, conformément au Règlement (UE) 2016/679 du 27 avril 2016 (« RGPD ») et à la loi française n° 78-17 du 6 janvier 1978 modifiée (« Informatique et Libertés »).

1. Responsable de traitement

Le responsable du traitement des données est :

• Jonathan SIA, entrepreneur individuel
• SIREN 817 395 668
• Siège : 38 rue du Four, 94360 Bry-sur-Marne, France
• Contact : contact@patrisim.fr

Aucun délégué à la protection des données (DPO) n'a été désigné, le traitement n'entrant pas dans les cas où la désignation est obligatoire (article 37 RGPD). Toute demande relative aux données personnelles peut être adressée à l'email ci-dessus.

2. Données collectées et finalités

Catégorie de données	Finalité	Base légale (art. 6 RGPD)	Durée de conservation
Adresse email	Création et authentification du compte (magic link), communication relative au service	Exécution du contrat (art. 6.1.b)	Pendant toute la durée du compte + 3 ans après inactivité
Simulations et données patrimoniales saisies (biens, foyer fiscal, projections)	Fourniture du service, sauvegarde et synchronisation multi-appareils	Exécution du contrat (art. 6.1.b)	Compte anonyme : stockage local (navigateur) uniquement. Compte connecté : sauvegarde sur serveur Supabase (Royaume-Uni, région Londres) + copie locale, pendant la durée du compte. Suppression possible à tout moment.
Statut d'abonnement et historique des transactions	Gestion des accès payants, comptabilité	Obligation légale (art. 6.1.c), durée de conservation comptable	10 ans (article L.123-22 du Code de commerce)
Données techniques anonymisées (pages visitées, événements analytics)	Mesure d'audience et amélioration du service	Intérêt légitime (art. 6.1.f)	Agrégat, conservé indéfiniment ; aucune donnée individuelle stockée (Plausible n'utilise ni cookie ni identifiant individuel)
Logs techniques (adresse IP, user-agent, horodatages)	Sécurité, détection d'abus, débogage	Intérêt légitime (art. 6.1.f)	12 mois maximum

Aucune donnée sensible au sens de l'article 9 RGPD (origine raciale, opinions politiques, religion, santé, etc.) n'est collectée. PatriSim ne procède à aucun profilage automatisé produisant des effets juridiques sur l'utilisateur (art. 22 RGPD).

3. Destinataires et sous-traitants

Les données sont traitées exclusivement par l'Éditeur et par les sous-traitants techniques suivants, sélectionnés pour leurs garanties en matière de sécurité et de conformité RGPD (article 28 RGPD).

Sous-traitant	Rôle	Localisation	Encadrement transferts
Supabase (SUPABASE PTE. LTD.)	Hébergement base de données + authentification	Données stockées au Royaume-Uni (Londres, eu-west-2)	DPA Supabase + décision d'adéquation Royaume-Uni de la Commission européenne
Vercel Inc.	Hébergement de l'application et des pages statiques, livraison via réseau Edge global, logs techniques	États-Unis (artefacts de build, logs sur AWS US), réseau Edge mondial pour la diffusion du contenu statique	Clauses Contractuelles Types (CCT) de la Commission européenne + certification EU-U.S. Data Privacy Framework (DPF)
Sentry (Functional Software, Inc.)	Supervision des erreurs JavaScript en production et reproduction de session sur erreur (Session Replay, 10 % d'échantillonnage)	Union européenne : serveurs Sentry situés en Allemagne (Frankfurt)	Résidence des données en UE ; opérateur Sentry Inc. (États-Unis) encadré par CCT + DPF ; filtre appliqué avant envoi pour effacer les données personnelles (email, jeton de session)
Lemon Squeezy LLC	Traitement des paiements et facturation (Merchant of Record)	États-Unis (Irlande pour la zone EU)	DPA Lemon Squeezy + CCT + politique propre : lemonsqueezy.com/legal/privacy-policy
Plausible Analytics	Mesure d'audience anonyme	Union européenne (Allemagne)	Aucun transfert hors UE ; pas de cookie ; pas d'identifiant individuel

Aucune donnée n'est cédée, louée ou vendue à un tiers à des fins commerciales. Les données peuvent être communiquées à une autorité judiciaire ou administrative française sur demande légalement fondée.

4. Transferts hors Union européenne

Les données patrimoniales (simulations, biens, foyer) des utilisateurs connectés sont hébergées par Supabase sur des serveurs situés au Royaume-Uni (Londres). Le Royaume-Uni fait l'objet d'une décision d'adéquation de la Commission européenne (28 juin 2021) reconnaissant un niveau de protection des données équivalent à celui du RGPD : aucun mécanisme de transfert supplémentaire n'est requis pour ce stockage.

Les autres sous-traitants susceptibles de traiter des données aux États-Unis encadrent ces transferts par les Clauses Contractuelles Types de la Commission européenne (Décision 2021/914) et la certification EU-U.S. Data Privacy Framework (DPF). Sont concernés :

• Vercel : artefacts de build et logs techniques (adresses IP, user-agent, horodatages) stockés sur AWS aux États-Unis. Aucune donnée patrimoniale ni de compte n'y transite. Vercel est certifié DPF et signe des CCT.
• Lemon Squeezy : traitement des paiements lorsque les offres payantes seront activées (non actif en beta). CCT + DPF.

Le sous-traitant Sentry stocke les données de supervision en Allemagne (résidence UE) ; bien que la société Sentry Inc. soit américaine, aucune donnée n'est transférée hors UE en fonctionnement normal.

5. Sécurité

L'Éditeur met en œuvre les mesures techniques et organisationnelles appropriées pour garantir la sécurité des données :

• chiffrement TLS pour toutes les communications (HTTPS obligatoire) ;
• chiffrement au repos des données stockées par Supabase ;
• authentification par lien magique (pas de mot de passe à compromettre) ;
• isolation par règles d'accès côté base de données : un utilisateur ne peut accéder qu'à ses propres données ;
• journalisation des accès et détection d'anomalies ;
• sauvegardes automatiques quotidiennes (Supabase).

En cas de violation de données susceptible d'engendrer un risque pour les droits et libertés des utilisateurs, l'Éditeur notifiera la CNIL dans les 72 heures (article 33 RGPD) et informera les personnes concernées sans délai injustifié (article 34 RGPD).

6. Vos droits

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants sur vos données personnelles :

• Droit d'accès (art. 15) : obtenir confirmation que vos données sont traitées et en recevoir une copie.
• Droit de rectification (art. 16) : faire corriger une donnée inexacte ou incomplète.
• Droit à l'effacement / « droit à l'oubli » (art. 17) : faire supprimer vos données dans les cas prévus.
• Droit à la limitation du traitement (art. 18).
• Droit à la portabilité (art. 20) : recevoir vos données dans un format structuré, lisible par machine (JSON dans notre cas), ou les transférer à un autre responsable de traitement.
• Droit d'opposition (art. 21), pour les traitements fondés sur l'intérêt légitime.
• Droit de définir des directives post-mortem sur le sort de vos données (article 85 de la loi Informatique et Libertés).

Pour exercer ces droits, contactez contact@patrisim.fr. Une réponse sera apportée dans un délai d'un mois, conformément à l'article 12 RGPD. Une justification d'identité pourra être demandée en cas de doute raisonnable.

L'application PatriSim propose, depuis le compte utilisateur, l'export complet des données en JSON (portabilité immédiate) ainsi qu'une suppression du compte à la demande.

7. Réclamation auprès de la CNIL

Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :

• 3, place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
• cnil.fr/fr/plaintes

8. Cookies et traceurs

PatriSim n'utilise aucun cookie de mesure d'audience ni de cookie publicitaire. La mesure d'audience s'effectue via Plausible Analytics, sans cookie ni identifiant individuel, conformément aux recommandations de la CNIL : aucun bandeau de consentement cookies n'est requis.

Les seuls éléments techniques utilisés sont :

• un stockage local du navigateur, strictement nécessaire au fonctionnement du service (sauvegarde locale des simulations, préférences d'affichage), exempté de consentement au titre de l'article 82 de la loi Informatique et Libertés ;
• un cookie d'authentification Supabase (session), strictement nécessaire à la connexion, lui aussi exempté.

9. Modifications de la présente politique

La présente politique peut être mise à jour. Les modifications substantielles seront notifiées aux utilisateurs disposant d'un compte par email, au moins 30 jours avant leur entrée en vigueur. La date de dernière mise à jour figure en en-tête.