Politique de Confidentialité

Dernière mise à jour : 15 mai 2026 · Application Moniyo (iOS & Android)

0. Mentions Légales (LCEN)

---

1. Responsable du traitement

Aucun délégué à la protection des données (DPO) n'est désigné, les traitements effectués n'atteignant pas les seuils imposant cette désignation. Toute demande relative à vos données est traitée sous 1 mois (art. 12 RGPD).

2. Données collectées

2.1 Données que vous fournissez

• Adresse e-mail — à l'inscription
• Données financières déclaratives — revenus, dépenses, objectifs saisis dans les quêtes
• Documents financiers (RADAR Premium) — relevés PDF/CSV uploadés pour analyse IA, traités en mémoire puis supprimés, jamais conservés sur nos serveurs

2.2 Données collectées automatiquement

• UID Firebase — identifiant anonyme créé dès l'ouverture de l'app (avant toute inscription) ; constitue une donnée personnelle au sens du RGPD
• Données de progression — quêtes complétées, XP, niveau, badges
• Bilans mensuels — réponses aux questions de suivi de progression financière
• Retours utilisateur — messages de feedback envoyés depuis l'app
• Données d'interaction (Firebase Analytics) — quêtes complétées, navigation dans l'app, anonymisées
• Données locales (appareil) — préférences de langue, état d'onboarding, session d'authentification ; stockées uniquement sur votre appareil, jamais transmises à nos serveurs

2.3 Ce que nous ne collectons pas

• Localisation géographique
• Contacts ou agenda
• Identifiants publicitaires (IDFA/GAID)
• Données biométriques ou de santé

3. Finalités et bases légales

Finalité	Base légale (RGPD art. 6)
Création et gestion du compte	Exécution du contrat (6.1.b)
Fourniture des quêtes et suivi de progression	Exécution du contrat (6.1.b)
Analyse RADAR IA des relevés (Premium)	Consentement explicite (6.1.a)
Gestion de l'abonnement (App Store / Play)	Exécution du contrat (6.1.b)
Analyse anonymisée des interactions (Firebase Analytics)	Intérêt légitime — amélioration du service (6.1.f)
Suppression du compte et des données	Obligation légale + contrat (6.1.b/c)

4. Sous-traitants

Sous-traitant	Rôle	Localisation / transferts	Garanties
Google LLC (Firebase)	Auth, base de données, Cloud Functions, crash	Firestore : eur3 (UE, Belgique + Pays-Bas) — Functions : europe-west1 (Belgique) — Auth : multi-région	CCT Commission européenne
Google LLC (Gemini API / Gemini Flash)	Analyse IA RADAR des relevés PDF/CSV envoyés par l'utilisateur	Traitement IA susceptible d'être opéré hors UE	CCT Commission européenne + Data Processing Addendum Google pour les services payants
RevenueCat Inc.	Gestion abonnements	USA	CCT Commission européenne
Apple Inc. / Google LLC	Distribution + paiements	USA	Conditions Apple / Google

4.1 Analyse IA RADAR avec Google Gemini

Lorsque vous utilisez RADAR Premium, le relevé PDF/CSV que vous sélectionnez est transmis depuis l'application à une Cloud Function Moniyo en Europe (europe-west1, Belgique). Le texte extrait du document est ensuite envoyé à Google Gemini API pour produire l'analyse RADAR.

Google agit comme sous-traitant pour ce traitement. Pour les services payants Gemini API, Google indique ne pas utiliser les prompts, documents ou réponses pour améliorer ses produits, et traiter ces données selon son Data Processing Addendum.

Moniyo ne conserve jamais le fichier PDF/CSV uploadé. Nous ne stockons pas d'IBAN, de RIB, de numéro de compte, de numéro de carte ou d'identifiant bancaire. Seuls les résultats structurés nécessaires à la fonctionnalité RADAR sont conservés : catégories, montants agrégés, score, alertes, insights et plan d'action.

Vos données ne sont jamais vendues. Les partenaires ne reçoivent pas directement votre nom, votre e-mail ou vos données financières via les liens externes Moniyo.

5. Liens externes et affiliation

Moniyo affiche des liens vers des sites de partenaires (banques, courtiers, comparateurs, etc.). Lorsque vous cliquez sur un de ces liens, vous quittez l'application et vous êtes redirigé vers le site du partenaire.

Certains liens externes pourront contenir des paramètres d'affiliation permettant à Moniyo de recevoir une commission si vous finalisez une souscription chez le partenaire. Ces paramètres ne contiennent pas directement votre nom, votre e-mail ou vos données financières. Ils peuvent contenir un identifiant technique de campagne ou de clic permettant l'attribution.

Une fois sur le site du partenaire, ce sont ses propres conditions d'utilisation et sa politique de confidentialité qui s'appliquent. Le partenaire peut traiter vos données conformément à sa politique, notamment poser des cookies ou utiliser un système de tracking propre. Nous vous invitons à consulter sa politique de confidentialité avant toute action sur son site.

Pour plus de détails sur notre modèle de partenariat, consultez la page Pourquoi ces partenaires ?.

6. Durée de conservation

Données	Durée
Compte (email, UID, progression)	Jusqu'à suppression du compte
Documents RADAR uploadés	Non conservés (traitement immédiat)
Résultats d'analyse RADAR	12 mois pendant l'abonnement RADAR actif ; 3 mois après expiration, ou jusqu'à suppression manuelle
Données d'interaction (Firebase Analytics)	14 mois (paramètre Google Analytics)
Logs de facturation	10 ans (obligation comptable française)

Conservation des résultats RADAR

Les résultats des analyses Tactical Scan sont conservés pendant la durée de votre abonnement RADAR, dans la limite des 12 derniers mois. Après expiration de votre abonnement, vos analyses restent consultables pendant 3 mois en lecture seule, puis sont supprimées automatiquement.

Pendant la période d'essai gratuit de 7 jours, l'accès Tactical Scan est limité à 3 scans afin de prévenir les abus du système d'essai et de garantir l'équité entre utilisateurs.

Vous pouvez les supprimer plus tôt à tout moment depuis Profil → Système → Effacer mes analyses RADAR ou depuis la section RADAR de l'application.

La base légale est l'exécution du contrat (article 6.1.b du RGPD) pendant l'abonnement actif, puis l'intérêt légitime (article 6.1.f) pour la fenêtre de consultation de 3 mois après expiration, justifiée par la continuité d'usage et la possibilité de réactivation.

En cas de suppression de votre compte, l'ensemble des résultats RADAR associés est définitivement effacé lors du traitement de la demande de suppression de compte.

Note importante : les fichiers PDF/CSV importés pour analyse sont supprimés immédiatement après le traitement. Seuls les insights structurés au format JSON sont conservés, pour une durée maximale de 12 mois sauf suppression plus rapide par l'utilisateur.

7. Vos droits RGPD

• Accès (art. 15) — obtenir une copie de vos données
• Rectification (art. 16) — corriger des données inexactes
• Effacement (art. 17) — supprimer vos analyses RADAR via Profil → Système → Effacer mes analyses RADAR, ou supprimer votre compte via Profil → Supprimer mon compte
• Limitation (art. 18) — restreindre certains traitements
• Portabilité (art. 20) — recevoir vos données dans un format structuré
• Opposition (art. 21) — s'opposer aux traitements sur intérêt légitime
• Retrait du consentement — à tout moment pour les futurs traitements RADAR depuis Profil → Système → Analyses IA RADAR

Contact : privacy@moniyo.app — réponse sous 1 mois.

8. Traceurs et analytics

• Firebase Analytics : actif — suivi anonymisé des interactions dans l'app (quêtes, navigation). Aucun identifiant publicitaire collecté.
• Aucune CMP requise en l'absence de traceurs publicitaires

9. Sécurité

• Communications chiffrées HTTPS/TLS
• Règles Firestore strictes : chaque utilisateur n'accède qu'à ses propres données
• Authentification obligatoire pour tout accès
• Clés API stockées dans Google Secret Manager
• Documents RADAR traités en mémoire, jamais persistés

10. Mineurs

L'application est réservée aux personnes de 18 ans et plus. Contactez privacy@moniyo.app pour signaler un compte créé par un mineur.

11. Transferts hors UE

Google Gemini, RevenueCat et Apple sont aux États-Unis. Ces transferts sont encadrés par des Clauses Contractuelles Types (CCT) conformément à l'article 46 du RGPD. Les données Firestore restent en eur3 (multi-région UE — Belgique + Pays-Bas) et les Cloud Functions tournent en europe-west1 (Belgique).

12. Modifications

En cas de modification substantielle, vous serez notifié dans l'application ou par e-mail. La date de mise à jour figure toujours en haut de ce document.

13. Contact