1.Responsable du traitement
Velocewealth (« nous », « notre ») est responsable du traitement des données personnelles collectées via le service. Pour toute question :privacy@velocewealth.app.
Politique de confidentialité
Conforme au RGPD (UE 2016/679) · version du 9 mai 2026
2.Données collectées
Nous collectons les catégories suivantes :
- Identité & compte : nom complet, adresse email, mot de passe (chiffré, jamais stocké en clair), pays, langue, devise.
- Véhicules : marque, modèle, année, immatriculation, VIN (optionnel), kilométrage, date et prix d'achat, photo, motorisation, assurance.
- Dépenses énergie : station, type d'énergie, quantité, prix, date, kilométrage, photo de ticket éventuelle.
- Entretien : description, coût, garage, kilométrage, factures éventuelles, hash d'intégrité.
- Données de paiement : traitées exclusivement par Stripe Inc. ; nous stockons uniquement l'identifiant client Stripe (jamais de numéro de carte).
- Données techniques : adresse IP de connexion, user-agent, journaux d'accès (conservés 30 jours pour la sécurité).
3.Finalités et bases légales
| Finalité | Base légale |
|---|---|
| Fourniture du Service | Exécution du contrat (art. 6.1.b) |
| Facturation et abonnement | Obligation légale (art. 6.1.c) |
| Sécurité (rate limit, journaux) | Intérêt légitime (art. 6.1.f) |
| Communication produit | Consentement (art. 6.1.a) |
| OCR via Google Vision | Exécution du contrat (sous-traitance) |
4.Durées de conservation
- Compte actif : aussi longtemps que le compte est actif.
- Compte fermé : suppression sous 30 jours, sauf factures conservées 10 ans (obligation comptable française).
- Journaux d'accès : 30 jours.
- Tickets envoyés à Google Vision : non conservés chez Google une fois traités (cf. accord Google Cloud DPA).
5.Sous-traitants
- Supabase (Frankfurt, Allemagne) — hébergement DB, auth, storage. Conforme RGPD, hébergement UE.
- Vercel (Francfort, France, Irlande) — hébergement applicatif. Edge / régions configurables UE.
- Stripe (Irlande) — paiements. Certifié PCI-DSS, DPA RGPD signé.
- Google Cloud Vision (UE) — OCR sur tickets, sans conservation post-traitement.
- Mapbox (USA) — affichage de carte ; SCC (Standard Contractual Clauses) appliquées pour le transfert.
6.Vos droits
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants, exerçables depuis Paramètres → Sécurité ou par email à privacy@velocewealth.app :
- Accès & portabilité : export complet de vos données au format JSON, en un clic depuis votre compte.
- Rectification : modification directe depuis vos paramètres ; pour les entrées du carnet certifié immutables, par ajout d'une entrée corrective.
- Effacement : suppression du compte avec délai de grâce de 30 jours (annulable pendant cette période).
- Limitation et opposition : sur simple demande.
- Réclamation auprès de la CNIL (cnil.fr) ou de l'autorité de protection des données de votre pays.
7.Sécurité
Mots de passe hachés (bcrypt côté Supabase Auth). Données sensibles chiffrées au repos. Communication TLS 1.3. Row Level Security PostgreSQL : chaque utilisateur ne peut accéder qu'à ses propres données. Audit trail immuable pour le carnet certifié.
En cas de violation de données, notification dans les 72h conformément à l'article 33 du RGPD.
8.Cookies
Velocewealth n'utilise que des cookies strictement nécessaires (session d'authentification, préférences). Aucun cookie publicitaire, aucun traçage tiers. Voir notre politique cookies.
9.Transferts hors UE
La majorité des traitements ont lieu dans l'UE. Pour les sous-traitants situés hors UE (Mapbox notamment), les Standard Contractual Clauses de la Commission européenne sont appliquées.
10.Modifications
Toute évolution substantielle de cette politique vous sera notifiée par email au moins 30 jours avant son entrée en vigueur.