Politique de confidentialité

La protection de vos données personnelles est une priorité pour SERENIFY. La présente politique vous informe, en toute transparence, sur la manière dont nous collectons, utilisons, stockons et protégeons vos données, conformément au Règlement général sur la protection des données (UE 2016/679 — « RGPD ») et à la loi Informatique et Libertés modifiée.

1. Responsable du traitement

Le responsable du traitement de vos données est la société SERENIFY, Société par Actions Simplifiée au capital de 42 000 €, dont le siège social est situé au 78 rue des Entrepreneurs, 75015 Paris, immatriculée au RCS Paris sous le numéro B 912 345 678. Vous pouvez nous joindre à l’adresse dpo@serenify.com.

Conformément à l’article 37 du RGPD, SERENIFY a désigné un Délégué à la Protection des Données (DPO) chargé de veiller au respect du RGPD et à la sécurité de vos données. Le DPO est joignable à l’adresse dpo@serenify.com.

2. Périmètre

La présente politique s’applique au site internet serenify.com, site vitrine sans inscription ni transaction, ainsi qu’à l’application mobile Serenify (iOS et Android), au sein de laquelle s’effectuent l’inscription, l’utilisation du Service et la souscription à l’abonnement Premium.

3. Données que nous collectons

3.1 Données collectées sur le site internet

Le site serenify.com étant un site vitrine, aucune donnée d’inscription ou de paiement n’y est collectée. Nous collectons uniquement :

  • des données de connexion générées automatiquement par les logs techniques : adresse IP, type de navigateur, système d’exploitation, pages visitées, durée de visite ;
  • des données de mesure d’audience issues de cookies analytiques (uniquement après votre consentement) : pages vues, parcours, taux de rebond ;
  • les informations saisies dans le formulaire de support : nom, prénom, adresse email et message ;
  • l’adresse email saisie pour l’inscription à la newsletter.

3.2 Données collectées dans l’application mobile

L’inscription et l’utilisation du Service ayant lieu exclusivement sur l’application mobile, nous y collectons :

  • des données d’identification que vous saisissez vous-même : nom, prénom, adresse email, mot de passe (toujours hashé), date de naissance ;
  • des données de profil : situation professionnelle, objectifs financiers, niveau de connaissance en finance personnelle ;
  • des données financières issues de l’agrégation bancaire DSP2 : soldes, transactions, catégories de dépenses et enveloppes de projets ;
  • des données techniques collectées automatiquement : identifiant d’appareil, système d’exploitation, version de l’application, logs d’utilisation ;
  • des données d’usage : modules consultés, simulations effectuées, fréquence d’utilisation ;
  • des données d’abonnement transmises par Apple ou Google : type d’offre (Gratuit ou Premium) et statut de l’abonnement.

Important : Serenify ne collecte aucune donnée bancaire de paiement (numéro de carte, CVV). Les paiements sont opérés directement par Apple ou Google.

4. Finalités et bases légales

Conformément à l’article 6 du RGPD, chaque traitement repose sur une base légale précise.

La création et la gestion de votre compte ainsi que la fourniture des fonctionnalités du Service (suivi de budget, enveloppes, simulateurs, modules pédagogiques) sont mises en œuvre sur la base de l’exécution du contrat qui nous lie (Art. 6.1.b RGPD).

L’agrégation bancaire DSP2 repose sur votre consentement explicite (Art. 6.1.a RGPD), recueilli au moment de chaque connexion bancaire et renouvelé tous les 180 jours conformément à la directive DSP2.

La gestion de votre abonnement Premium repose également sur l’exécution du contrat. La personnalisation pédagogique (recommandations de modules adaptés à votre profil) est fondée sur notre intérêt légitime à vous proposer un Service pertinent (Art. 6.1.f RGPD).

Le support client est nécessaire à l’exécution du contrat. L’envoi de la newsletter repose sur votre consentement (Art. 6.1.a RGPD), retirable à tout moment via le lien de désinscription présent dans chaque email.

La sécurité du Service et la lutte contre la fraude s’appuient sur notre intérêt légitime ainsi que sur nos obligations légales. Enfin, la mesure d’audience du site internet est conditionnée à votre consentement via le bandeau cookies.

Certains traitements sont par ailleurs imposés par le respect d’obligations légales (Art. 6.1.c RGPD), notamment la comptabilité et la lutte contre le blanchiment de capitaux.

5. Destinataires et sous-traitants

Vos données ne sont jamais vendues à des tiers. Elles sont accessibles, dans la limite de leurs missions, à notre personnel interne habilité (équipes produit, support, sécurité, DPO), soumis à une obligation contractuelle de confidentialité.

Pour fournir le Service, nous faisons appel à des sous-traitants techniques, chacun lié à Serenify par un accord de traitement de données (DPA) conforme à l’article 28 du RGPD :

  • OVHcloud SAS (Roubaix, France) assure l’hébergement du site internet et de nos serveurs applicatifs. Les serveurs sont certifiés ISO 27001 et ISO 14001.
  • Powens SAS (Paris, France) est notre partenaire d’agrégation bancaire DSP2. Powens est un prestataire de services d’information sur les comptes (AISP) agréé par l’ACPR sous le n° 16518.
  • Apple Distribution International Ltd. (Cork, Irlande) opère la distribution iOS, le paiement et la facturation de l’abonnement Premium souscrit depuis un appareil Apple.
  • Google Commerce Limited (Dublin, Irlande) opère la distribution Android, le paiement et la facturation de l’abonnement Premium souscrit depuis un appareil Android.
  • Google LLC (États-Unis) fournit Google Analytics 4 pour la mesure d’audience du site internet, uniquement après votre consentement.
  • Intuit Inc. (Mailchimp) (États-Unis) gère l’envoi de la newsletter, uniquement après votre consentement.

En cas de réquisition légale émanant d’autorités compétentes (ACPR, CNIL, TRACFIN, autorités judiciaires), vos données peuvent leur être communiquées dans le strict cadre prévu par la loi.

6. Transferts hors Union européenne

Certains de nos sous-traitants (Google) sont susceptibles de traiter vos données aux États-Unis. Ces transferts sont encadrés par le Data Privacy Framework (DPF) — décision d’adéquation de la Commission européenne du 10 juillet 2023 — ou, à défaut, par des Clauses Contractuelles Types (CCT) approuvées par la Commission européenne.

Vous pouvez obtenir une copie de ces garanties en contactant dpo@serenify.com.

7. Durée de conservation

Vos données sont conservées pour la durée strictement nécessaire à la finalité poursuivie :

  – Les données liées à un compte actif sont conservées pendant toute la durée du contrat ;

  – Les données d’un compte inactif sont supprimées au bout de 3 ans d’inactivité, après une notification préalable ;

  – Les données bancaires agrégées sont conservées pendant 13 mois glissants et supprimées automatiquement au-delà ;

  – Les données comptables (factures, abonnement) sont conservées pendant 10 ans, conformément aux obligations du Code de commerce ;

  – Les données de connexion et logs techniques sont conservées pendant 12 mois, conformément à la LCEN ;

  – Les données de newsletter sont conservées jusqu’au retrait du consentement de l’utilisateur, et au maximum 3 ans à compter du dernier contact effectif, conformément à la recommandation CNIL applicable à la prospection commerciale ;

  – Les données de mesure d’audience du site sont conservées pendant 13 mois, conformément à la recommandation CNIL ;

  – Les demandes envoyées via le formulaire de support sont conservées pendant 3 ans après votre dernière interaction avec nous.

Passés ces délais, les données sont supprimées définitivement ou anonymisées à des fins statistiques.

8. Sécurité

Serenify met en œuvre des mesures techniques et organisationnelles conformes à l’état de l’art pour protéger vos données. Les communications avec nos serveurs sont chiffrées en transit via TLS 1.3, et les données sensibles sont chiffrées au repos via AES-256.

Les mots de passe sont hashés avec l’algorithme bcrypt et un sel cryptographique. Une authentification à deux facteurs est disponible dans l’application. Les environnements de production et de test sont strictement cloisonnés.

Les accès aux données sensibles sont journalisés et supervisés, et nous procédons à des tests d’intrusion annuels réalisés par un prestataire externe. Des sauvegardes chiffrées quotidiennes sont effectuées et conservées pendant 30 jours.

L’ensemble est hébergé chez OVHcloud à Roubaix, France, dans une infrastructure souveraine certifiée ISO 27001 et ISO 14001. Nous maintenons par ailleurs un plan de continuité d’activité en cas d’incident majeur.

En cas de violation de données personnelles affectant vos droits, Serenify s’engage à notifier la CNIL dans les 72 heures et à vous informer dans les plus brefs délais, conformément aux articles 33 et 34 du RGPD.

9. Vos droits

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants sur vos données :

  • le droit d’accès : obtenir une copie de vos données et des informations sur leur traitement ;
  • le droit de rectification : corriger des données inexactes ou incomplètes ;
  • le droit à l’effacement : demander la suppression de vos données (« droit à l’oubli »), dans les limites prévues par la loi ;
  • le droit à la limitation du traitement : restreindre temporairement l’usage de vos données ;
  • le droit d’opposition : vous opposer à un traitement fondé sur notre intérêt légitime ;
  • le droit à la portabilité : récupérer vos données dans un format structuré et réutilisable ;
  • le droit de retirer votre consentement à tout moment, sans porter atteinte à la licéité des traitements antérieurs ;
  • le droit de définir des directives post-mortem sur le sort de vos données après votre décès, conformément à la loi Informatique et Libertés.

Comment exercer vos droits

Vous pouvez exercer vos droits par email à dpo@serenify.com, par courrier à l’adresse SERENIFY — DPO — 78 rue des Entrepreneurs, 75015 Paris, ou directement depuis l’application via le menu Paramètres Confidentialité Mes données.

Serenify s’engage à vous répondre dans un délai d’un mois, prorogeable de deux mois en cas de complexité. Une pièce d’identité pourra vous être demandée afin de vérifier votre identité.

Réclamation auprès de la CNIL

Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la Commission Nationale de l’Informatique et des Libertés (CNIL), située au 3 Place de Fontenoy, 75007 Paris, joignable par téléphone au 01 53 73 22 22 ou via le site www.cnil.fr.

10. Cookies et traceurs (site internet)

Lors de votre première visite sur serenify.com, un bandeau vous permet d’accepter, de refuser ou de personnaliser vos préférences en matière de cookies.

Nous utilisons des cookies strictement nécessaires au fonctionnement du site et à la sécurité, qui ne requièrent pas de consentement et sont déposés uniquement pour la durée de votre session.

Des cookies de mesure d’audience (Google Analytics 4) ne sont déposés qu’après votre consentement et permettent d’analyser le trafic du site de manière statistique. Ils sont conservés au maximum 13 mois.

Un cookie de préférences (Complianz) est utilisé pour mémoriser votre choix relatif au bandeau cookies. Il est conservé 12 mois.

Vous pouvez à tout moment modifier vos préférences via le lien « Gérer mes cookies » présent en bas de chaque page, ou directement depuis les paramètres de votre navigateur.

11. Protection des mineurs

Le Service est réservé aux personnes majeures (18 ans et plus). Serenify ne collecte pas sciemment de données concernant des mineurs. Si nous apprenons qu’un mineur s’est inscrit, nous procédons sans délai à la suppression de son compte.

Pour signaler le compte d’un mineur, écrivez-nous à dpo@serenify.com.

12. Modifications de la politique

Serenify se réserve le droit de modifier la présente politique. En cas de modification substantielle, vous serez informé par email (si vous êtes utilisateur inscrit), par un bandeau d’information sur le site et dans l’application, et ce au moins 30 jours avant l’entrée en vigueur des modifications.

La date de dernière mise à jour figure systématiquement en tête de la présente politique.

13. Contact

Pour toute question relative à la protection de vos données :

  • Délégué à la Protection des Données (DPO) : dpo@serenify.com
  • Adresse postale : SERENIFY — DPO — 78 rue des Entrepreneurs, 75015 Paris
  • Autorité de contrôle : CNIL — www.cnil.fr

Scanner le QR code pour télécharger l'application

Ouvrez l’application appareil photo pour scanner le code QR et appuyez sur le lien qui apparaît.

Télécharger Serenify sur Google Play
Télécharger Serenify sur l'App Store