FinStack← Retour au site

Politique de Confidentialité

Dernière mise à jour : 31 mars 2026

Préambule

FinStack SAS (ci-après « FinStack », « nous ») accorde une importance primordiale à la protection des données personnelles. La présente Politique de Confidentialité décrit comment FinStack collecte, utilise, stocke et protège les données personnelles dans le cadre de l'utilisation de la Plateforme FinStack, conformément au Règlement (UE) 2016/679 du 27 avril 2016 (RGPD) et à la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés.

Article 1 — Identité du responsable de traitement

FinStack SAS

7 Rue de Chaillot, 75016 Paris, France

SIREN : 101 121 754

Email de contact RGPD : contact@finstack-ai.com

Représentant légal : Victor JOYAUD, Président

Article 2 — Double rôle de FinStack au regard du RGPD

FinStack exerce deux rôles distincts selon les données traitées :

2.1 Responsable de traitement

FinStack agit en qualité de responsable de traitement pour :

  • Les données des comptes utilisateurs de la Plateforme (identité, email, authentification)
  • Les données de facturation et de gestion commerciale
  • Les données de contact des prospects et Clients
  • Les données de logs et sécurité de la Plateforme

2.2 Sous-traitant

FinStack agit en qualité de sous-traitant au sens de l'article 28 du RGPD pour :

  • Les données personnelles contenues dans les documents financiers (CIM, mémos, notes d'appels) téléchargés par les Clients sur la Plateforme, dont les Clients sont responsables de traitement.

Dans ce second cas, le traitement est régi par l'Accord de Traitement des Données (DPA) annexé aux CGV.

Article 3 — Données collectées

3.1 Données collectées directement

Données de compte et d'accès :

  • Prénom, nom
  • Adresse email professionnelle
  • Rôle au sein du Client (admin, analyste, associate, etc.)
  • Données d'authentification (identifiants chiffrés, tokens de session)

Données de facturation :

  • Dénomination sociale du Client
  • Numéro de TVA intracommunautaire
  • Adresse de facturation
  • Coordonnées bancaires (RIB) pour le règlement

Données de contact (prospects) :

  • Prénom, nom, email, société, poste

Données d'usage et techniques :

  • Logs de connexion (adresse IP, horodatage, navigateur)
  • Métriques d'usage de la Plateforme (fonctionnalités utilisées, volumes traités)
  • Données de performance et de débogage (anonymisées)

3.2 Données traitées en tant que sous-traitant

Dans le cadre du traitement des documents financiers uploadés par les Clients :

  • Données structurées extraites (JSON) : données financières clés identifiées dans les CIM (chiffre d'affaires, EBITDA, etc.) — stockées dans l'espace de travail du Client
  • Hash SHA-256 des documents traités : empreinte cryptographique permettant la traçabilité sans stocker le contenu brut
  • Données personnelles éventuellement mentionnées dans les documents financiers (noms de dirigeants, actionnaires, experts) — présentes dans les données structurées extraites

3.3 Données NON collectées

FinStack ne collecte et ne stocke JAMAIS :

  • Le contenu brut des CIM et documents financiers téléchargés (traitement éphémère en mémoire uniquement — voir article 6)
  • Les enregistrements audio des appels experts (seules les notes textuelles sont traitées)
  • Les données personnelles sensibles au sens de l'article 9 du RGPD (données de santé, opinions politiques, etc.)

Article 4 — Bases légales des traitements

| Traitement | Base légale | Article RGPD | | --- | --- | --- | | Gestion des comptes utilisateurs | Exécution du contrat | Art. 6.1.b | | Fourniture du service SaaS | Exécution du contrat | Art. 6.1.b | | Facturation et comptabilité | Obligation légale | Art. 6.1.c | | Sécurité et prévention des fraudes | Intérêt légitime | Art. 6.1.f | | Communication commerciale (Clients) | Intérêt légitime | Art. 6.1.f | | Communication commerciale (prospects) | Consentement ou intérêt légitime | Art. 6.1.a / 6.1.f | | Logs et audit de sécurité | Intérêt légitime + Obligation légale | Art. 6.1.c / 6.1.f | | Traitement documents financiers Clients | Exécution du contrat (sous-traitant) | Art. 6.1.b (via DPA) |

Article 5 — Finalités des traitements

Les données collectées sont utilisées exclusivement pour les finalités suivantes :

  • Fourniture du service : accès à la Plateforme, génération des Livrables, personnalisation du branding
  • Gestion de la relation Client : support technique, assistance, communications relatives au service
  • Facturation : émission des factures, suivi des paiements, relances
  • Sécurité : prévention des accès non autorisés, détection d'anomalies, gestion des incidents
  • Conformité légale : respect des obligations légales et réglementaires applicables
  • Amélioration du service : analyse des métriques d'usage agrégées et anonymisées

FinStack n'utilise aucune donnée Client à des fins publicitaires, de profilage commercial ou de revente à des tiers.

Article 6 — Traitement éphémère des documents financiers confidentiels

Les CIM (Confidential Information Memorandums) et autres documents financiers confidentiels téléchargés sur la Plateforme font l'objet d'un traitement strictement éphémère :

  1. Chargement en mémoire vive uniquement : le document est chargé dans la RAM de la fonction serverless pour analyse
  2. Extraction des données structurées : les informations clés sont extraites et sauvegardées au format JSON dans l'espace de travail du Client
  3. Suppression immédiate du document brut après traitement : aucune persistance sur disque, en base de données ou en stockage cloud
  4. Traçabilité : un hash SHA-256 du document est enregistré dans un journal d'audit (cim_processing_log) pour des fins de traçabilité, sans jamais stocker le contenu

Cette architecture garantit que les documents financiers confidentiels ne sont jamais exposés à des risques de fuite par vol de base de données ou de stockage.

Article 7 — Intelligence artificielle et protection des données

7.1 Modèles IA utilisés

FinStack utilise des modèles d'intelligence artificielle pour le traitement des documents, notamment les modèles Mistral AI (société française, Union Européenne).

7.2 Principe de zéro rétention par l'IA

FinStack a conclu avec ses fournisseurs d'IA des accords contractuels « No Training » garantissant que :

  • Les données transmises aux modèles IA ne sont jamais utilisées pour entraîner, affiner ou améliorer les modèles
  • Les modèles IA traitent les données en mode stateless (sans mémoire) : aucune donnée n'est conservée entre deux requêtes
  • Les données sont traitées exclusivement sur des infrastructures localisées dans l'Union Européenne

7.3 Conformité Cloud Act et Schrems II

L'architecture de FinStack est conçue pour garantir la conformité avec :

  • L'arrêt Schrems II (CJUE, juillet 2020) : aucune donnée ne transite vers ou n'est stockée sur des infrastructures soumises au droit américain de surveillance
  • Le US CLOUD Act (2018) : les fournisseurs IA utilisés (Mistral AI, société française) ne sont pas soumis à la juridiction américaine

Article 8 — Hébergement et localisation des données

L'ensemble des données traitées par FinStack est hébergé exclusivement en France, dans l'Union Européenne :

| Composant | Fournisseur | Localisation | Données hébergées | | --- | --- | --- | --- | | Application et API | Vercel (région cdg1) | Paris, France | Fonctions serverless, cache | | Base de données | Supabase (région eu-west-3) | Paris, France | Données utilisateurs, données structurées extraites | | Traitement IA | Mistral AI | Union Européenne | Traitement en transit uniquement, zéro rétention |

Aucun transfert de données hors de l'Union Européenne n'est effectué.

Article 9 — Durées de conservation

| Catégorie de données | Durée de conservation | Justification | | --- | --- | --- | | Données de compte utilisateur | Durée du contrat + 3 ans | Gestion des litiges éventuels | | Données de facturation | 10 ans | Obligation comptable légale (Art. L.123-22 C.com.) | | Données structurées extraites (JSON) | Durée du contrat + 30 jours | Portabilité des données à la résiliation | | Contenu brut des CIM | 0 — traitement éphémère | Architecture sécurisée | | Hash SHA-256 (journal d'audit) | 5 ans | Traçabilité et audit de conformité | | Logs de sécurité | 12 mois | Détection des incidents de sécurité | | Données de contact prospects | 3 ans sans activité | Intérêt légitime — prospection commerciale |

Article 10 — Partage des données et sous-traitants

FinStack ne vend, ne loue et ne cède aucune donnée personnelle à des tiers à des fins commerciales.

Les données peuvent être partagées avec les sous-traitants techniques suivants, dans le strict cadre de la fourniture du service :

| Sous-traitant | Rôle | Localisation infrastructure | | --- | --- | --- | | Mistral AI | Traitement IA des documents | UE (France) | | Vercel | Hébergement frontend et API | France (région cdg1) | | Supabase | Base de données et stockage | France (région eu-west-3) | | Upstash | Rate limiting (métriques techniques) | UE |

Des données peuvent également être transmises aux autorités compétentes dans les cas prévus par la loi (réquisition judiciaire, obligation légale de déclaration).

Article 11 — Sécurité des données

FinStack met en œuvre les mesures techniques et organisationnelles suivantes pour protéger les données personnelles :

Mesures techniques :

  • Chiffrement en transit : TLS 1.2 minimum (HTTPS obligatoire)
  • Chiffrement au repos : AES-256 (standard bancaire) via Supabase
  • Authentification des utilisateurs : identifiants individuels, sessions à durée limitée
  • Contrôle d'accès : Row Level Security (RLS) — isolation technique totale entre Clients
  • Traitement éphémère des documents sensibles (voir article 6)
  • Rate limiting des API pour prévenir les attaques par déni de service

Mesures organisationnelles :

  • Accès aux données de production strictement limité aux fondateurs
  • Engagement de confidentialité pour tout personnel accédant aux données
  • Politique de gestion des incidents de sécurité formalisée
  • Absence de stockage des CIM — réduction maximale de la surface d'attaque

Article 12 — Vos droits en matière de données personnelles

Conformément au RGPD, vous disposez des droits suivants sur vos données personnelles :

| Droit | Description | | --- | --- | | Droit d'accès (Art. 15) | Obtenir une copie des données personnelles vous concernant | | Droit de rectification (Art. 16) | Corriger des données inexactes ou incomplètes | | Droit à l'effacement (Art. 17) | Demander la suppression de vos données (« droit à l'oubli ») | | Droit à la portabilité (Art. 20) | Recevoir vos données dans un format structuré et lisible | | Droit d'opposition (Art. 21) | Vous opposer au traitement basé sur l'intérêt légitime | | Droit à la limitation (Art. 18) | Demander la suspension temporaire d'un traitement | | Droit de retrait du consentement | Retirer votre consentement à tout moment (sans effet rétroactif) |

Pour exercer vos droits : adressez une demande écrite à contact@finstack-ai.com, en précisant votre identité et la nature de votre demande. FinStack répondra dans un délai de 30 jours (avec possibilité de prolongation de 2 mois supplémentaires pour les demandes complexes, avec notification).

Article 13 — Cookies

La Plateforme FinStack utilise uniquement des cookies strictement nécessaires au fonctionnement du service :

  • Cookies de session d'authentification (maintien de la connexion)
  • Cookies de sécurité (protection CSRF)

FinStack n'utilise aucun cookie de tracking, de profilage ou à des fins publicitaires.

Aucun outil d'analyse tiers (Google Analytics, Meta Pixel, etc.) n'est déployé sur la Plateforme.

Les cookies nécessaires ne peuvent pas être refusés sans empêcher le fonctionnement de la Plateforme.

Article 14 — Notification de violation de données

En cas de violation de données personnelles susceptible d'engendrer un risque pour les droits et libertés des personnes concernées, FinStack :

  • Notifiera la CNIL dans les 72 heures suivant la prise de connaissance de l'incident (Art. 33 RGPD)
  • Informera les personnes concernées dans les meilleurs délais en cas de risque élevé (Art. 34 RGPD)
  • Notifiera les Clients responsables de traitement concernés dans les meilleurs délais pour les données traitées en qualité de sous-traitant

Article 15 — Délégué à la Protection des Données (DPO)

FinStack ne dispose pas de Délégué à la Protection des Données (DPO) désigné à titre obligatoire, conformément à l'article 37 du RGPD (PME ne réalisant pas de traitements à grande échelle de catégories particulières de données).

Le point de contact RGPD de FinStack est :

Victor JOYAUD — contact@finstack-ai.com — 06 17 54 15 89

Article 16 — Modifications de la présente politique

FinStack se réserve le droit de modifier la présente Politique de Confidentialité pour l'adapter à l'évolution de la réglementation ou des pratiques de traitement. En cas de modifications substantielles, les utilisateurs seront informés par email et/ou par notification sur la Plateforme, avec un préavis de 30 jours.

La politique en vigueur est toujours accessible sur la Plateforme à l'adresse finstack-sage.vercel.app/politique-confidentialite.

Article 17 — Autorité de contrôle compétente

Si vous estimez que le traitement de vos données personnelles par FinStack ne respecte pas la réglementation applicable, vous disposez du droit d'introduire une réclamation auprès de l'autorité de contrôle compétente :

Commission Nationale de l'Informatique et des Libertés (CNIL)

3 Place de Fontenoy — TSA 80715 — 75334 Paris Cedex 07

Téléphone : 01 53 73 22 22

Site : www.cnil.fr

Article 18 — Contact

Pour toute question relative à la présente Politique de Confidentialité ou pour exercer vos droits :

  • Email : contact@finstack-ai.com
  • Adresse postale : FinStack, 7 Rue de Chaillot, 75016 Paris, France
  • Téléphone : 06 17 54 15 89