Conformité RGPD

BankStatementLab est pleinement engagé dans le respect du Règlement Général sur la Protection des Données (UE) 2016/679. En tant que service qui traite des relevés bancaires — des documents financiers hautement sensibles — nous nous imposons les standards les plus élevés en matière de protection des données. Nous agissons en tant que sous-traitant pour le compte de nos utilisateurs (responsables de traitement). Nous traitons vos documents uniquement dans le but de les convertir en formats structurés (Excel, CSV, JSON). Nous n'analysons, ne profilons et ne réutilisons jamais vos données financières. Notre approche est simple : ne collecter que le strict nécessaire, traiter le plus rapidement possible, et supprimer dès que le travail est terminé.

Nous suivons le principe de minimisation des données. Nous ne collectons que ce qui est strictement nécessaire au fonctionnement du service : • Informations de compte : adresse email, mot de passe hashé, préférence linguistique • Données de facturation : entièrement gérées par Stripe — nous ne stockons jamais vos numéros de carte bancaire • Fichiers importés : PDF de relevés bancaires, traités en mémoire et jamais enregistrés sur nos serveurs • Résultats d'extraction : données structurées de transactions (colonnes, montants, dates) conservées aussi longtemps que vous en avez besoin • Logs techniques : métriques d'utilisation anonymisées pour l'amélioration du service, sans aucune donnée personnelle identifiable Nous ne collectons PAS : votre adresse IP à des fins de suivi, votre historique de navigation, vos empreintes numériques, ni aucune donnée au-delà de ce qui est listé ci-dessus.

Lorsque vous importez un PDF de relevé bancaire, voici exactement ce qui se passe : 1. Votre fichier est envoyé via une connexion chiffrée TLS 1.3 2. Le PDF est traité en mémoire sur notre serveur 3. Notre moteur d'extraction IA lit et structure les données 4. Les données structurées (transactions, colonnes) sont enregistrées dans votre compte 5. Le PDF original n'est jamais enregistré sur nos serveurs Ce processus prend généralement quelques secondes. Votre PDF source n'est jamais enregistré sur notre infrastructure. Pour les utilisateurs invités (sans compte), les PDF sont conservés 24 heures maximum pour permettre la finalisation de l'extraction, puis définitivement supprimés.

Nous mettons en œuvre plusieurs couches de sécurité pour protéger vos données : • Chiffrement en transit : toutes les communications entre votre navigateur et nos serveurs utilisent TLS 1.3, le standard de chiffrement le plus récent • Sécurité des mots de passe : tous les mots de passe sont hashés avec bcrypt et sel — nous ne stockons jamais de mots de passe en clair • Authentification sécurisée : authentification par JWT avec cookies sécurisés et httpOnly • Contrôle d'accès : accès strict basé sur les rôles — vous seul pouvez accéder à vos extractions • Sécurité de l'infrastructure : nos serveurs fonctionnent sur des environnements renforcés avec mises à jour de sécurité automatiques • Surveillance des dépendances : nous auditons et mettons à jour régulièrement toutes les dépendances logicielles

La suppression des fichiers n'est pas optionnelle — elle est automatique et systématique : • PDF sources : jamais enregistrés sur nos serveurs. Traités en mémoire uniquement. • Fichiers de traitement temporaires (pages découpées) : nettoyés automatiquement dans les 24 heures • Extractions invité : entièrement supprimées après 24 heures • Extractions en erreur ou éphémères : nettoyées automatiquement dans les 24 heures Notre système de nettoyage automatisé s'exécute quotidiennement pour garantir qu'aucun fichier n'est jamais oublié. Chaque exécution est journalisée et surveillée pour garantir la fiabilité.

Pour les utilisateurs enregistrés, nous vous donnons le contrôle total sur la rétention de vos données : • Suppression auto DÉSACTIVÉE (par défaut) : vos résultats d'extraction sont conservés jusqu'à ce que vous les supprimiez manuellement • Suppression auto ACTIVÉE : choisissez une période de rétention de 1 à 30 jours. Les extractions plus anciennes sont automatiquement et définitivement supprimées Vous pouvez configurer votre politique de rétention à tout moment depuis vos paramètres de profil. Les changements s'appliquent immédiatement — si vous réduisez votre période de rétention, les extractions dépassant la nouvelle limite seront supprimées au prochain nettoyage automatique. Pour les données de facturation, nous conservons les factures pendant 7 ans conformément au droit fiscal français. Les informations de compte sont supprimées 30 jours après la fermeture du compte.

En vertu du RGPD, vous disposez des droits suivants, et nous facilitons leur exercice : • Droit d'accès (Art. 15) : demandez une copie de toutes les données que nous détenons sur vous • Droit de rectification (Art. 16) : corrigez toute donnée personnelle inexacte • Droit à l'effacement (Art. 17) : supprimez votre compte et toutes les données associées à tout moment — directement depuis votre profil, sans demande nécessaire • Droit à la limitation (Art. 18) : demandez que nous limitions le traitement de vos données • Droit à la portabilité (Art. 20) : exportez vos données d'extraction dans des formats standard (Excel, CSV, JSON) à tout moment • Droit d'opposition (Art. 21) : opposez-vous à tout traitement de vos données Pour exercer l'un de ces droits, contactez-nous à support@bankstatementlab.com. Nous répondons à toutes les demandes dans un délai de 30 jours, conformément au RGPD.

Nous utilisons un nombre limité de sous-traitants de confiance pour fournir notre service. Chacun est soigneusement sélectionné et contractuellement lié au respect du RGPD : • Hébergement et infrastructure : nos serveurs sont situés dans l'Union européenne • Traitement des paiements : Stripe (certifié PCI DSS Niveau 1) — nous ne voyons ni ne stockons jamais vos données de carte bancaire • Extraction IA : nous utilisons des modèles d'IA pour traiter le contenu des documents. Les données envoyées pour extraction sont limitées au contenu du document et ne sont pas utilisées pour entraîner des modèles • Email : emails transactionnels uniquement (vérification de compte, réinitialisation de mot de passe) Nous n'utilisons aucun réseau publicitaire, traqueur de réseaux sociaux ou outil d'analyse tiers partageant des données en dehors de l'UE.

Dans le cas improbable d'une violation de données, nous nous engageons à : • Notifier l'autorité de contrôle compétente (la CNIL en France) dans les 72 heures suivant la prise de connaissance de la violation, conformément à l'Article 33 du RGPD • Notifier les utilisateurs concernés dans les meilleurs délais si la violation est susceptible d'entraîner un risque élevé pour leurs droits et libertés (Article 34) • Documenter toutes les violations, leurs effets et les mesures correctives prises Nous maintenons des procédures de réponse aux incidents et testons régulièrement nos systèmes pour prévenir les violations. À ce jour, nous n'avons subi aucune violation de données.

Lorsque vous supprimez votre compte depuis votre profil : • Toutes vos données d'extraction (transactions, colonnes, montants) sont définitivement effacées • Tous les fichiers PDF associés sont supprimés du disque (s'il en reste) • Vos informations de compte (email, paramètres) sont anonymisées • Seules des métadonnées analytiques anonymisées sont conservées (nombre de pages, temps de traitement) — sans aucun lien avec votre identité Ce processus est immédiat et irréversible. Il satisfait pleinement l'Article 17 du RGPD (droit à l'effacement). Vous n'avez pas besoin de nous contacter — vous pouvez le faire vous-même, à tout moment, depuis les paramètres de votre compte.

Pour les clients entreprise et business ayant besoin d'un Accord de Traitement des Données (DPA) formel comme l'exige l'Article 28 du RGPD, nous fournissons un DPA standard sur demande. Notre DPA couvre : • Nature et finalité du traitement • Types de données personnelles traitées • Catégories de personnes concernées • Obligations des sous-traitants • Mesures de sécurité des données • Procédures de notification de violation • Suppression des données à la fin du contrat Pour demander un DPA, contactez-nous à support@bankstatementlab.com.

Pour toute question sur nos pratiques de protection des données, notre conformité RGPD ou pour exercer vos droits : • Email : support@bankstatementlab.com • Formulaire de contact : disponible sur notre page de contact Nous nous efforçons de répondre à toutes les demandes relatives à la vie privée dans un délai de 30 jours. Pour les questions urgentes liées à la sécurité des données, nous visons un délai de réponse de 24 heures. Si vous estimez que vos droits en matière de protection des données ont été violés, vous avez également le droit de déposer une plainte auprès de votre autorité de contrôle locale. En France, il s'agit de la CNIL (Commission Nationale de l'Informatique et des Libertés).