Politique de confidentialité

Le responsable du traitement des données personnelles est Bastien Schaller (entrepreneur individuel exploitant sous le nom commercial Buject), dont les coordonnées figurent dans les mentions légales.

Pour toute question relative à vos données personnelles, contactez-nous à hello@buject.com.

Dans le cadre de l'utilisation de Buject, nous collectons :

• Données d'identification: email, mot de passe chiffré, nom d'utilisateur (optionnel).
• Données du questionnaire initial : réponses déclaratives sur votre situation financière, utilisées pour calculer votre grade.
• Données de suivi budgétaire : dépenses que vous saisissez volontairement, catégories, montants, dates.
• Données d'utilisation de l'app : points, séries, badges débloqués, missions accomplies.
• Données de navigation et techniques: adresse IP (anonymisée après 13 mois), type d'appareil, système d'exploitation, user-agent, timestamp des connexions. Aucun cookie publicitaire n'est déposé.

Buject ne se connecte à aucun compte bancaire et ne collecte aucune donnée bancaire. Toutes les informations financières sont saisies manuellement par vous.

Vos données sont utilisées pour :

• Fournir et améliorer le service Buject
• Personnaliser les recommandations selon votre grade
• Gérer votre compte et vos préférences
• Assurer la sécurité de l'application
• Vous contacter pour des communications liées au service (changements de plan, incidents, mises à jour critiques)
• Envoyer des rappels et récapitulatifs périodiques (rappel de saisie, check-in hebdomadaire), uniquement si vous y avez consenti. Désactivables à tout moment depuis les paramètres de l'application ou via le lien "se désinscrire" présent dans chaque email.
• Respecter nos obligations légales

Le traitement de vos données repose sur plusieurs bases légales :

• Exécution du contrat (CGU) : gestion du compte, calcul du grade, fonctionnalités budgétaires, suivi des dépenses.
• Intérêt légitime: sécurité de l'application, prévention de la fraude, amélioration du service (logs techniques anonymisés).
• Consentement : envoi de rappels par email, cookies non essentiels, communications produit.

Vos données sont conservées selon les durées suivantes :

• Données de compte: pendant l'utilisation du service + 30 jours après suppression du compte.
• Données de facturation : 10 ans (obligation comptable).
• Logs techniques et de sécurité : 13 mois maximum.
• Sauvegardes : purgées selon la politique de Supabase (7 jours sur plan Pro).

Vos données sont hébergées par Supabase Inc.sur des serveurs situés en Irlande (région eu-west-1), au sein de l'Union européenne, conformément au RGPD.

Les données transitent chiffrées en TLS et sont stockées chiffrées au repos (AES-256). L'accès aux données de production est strictement limité aux opérations nécessaires et journalisé.

Buject ne revend ni ne partage vos données personnelles avec des annonceurs ou des tiers à des fins commerciales. C'est une ligne rouge de notre modèle.

Les seuls tiers ayant accès à certaines de vos données sont nos sous-traitants techniques, strictement nécessaires au fonctionnement du service :

• Supabase Inc. (hébergement des données) — serveurs en Irlande, UE
• Stripe Payments Europe Ltd (traitement des paiements) — Irlande, UE
• Resend(envoi d'emails transactionnels et rappels) — société américaine (États-Unis)
• Vercel Inc.(hébergement de l'application) — société américaine, avec CDN de distribution mondial

Pour les sous-traitants situés hors Union européenne (Resend, Vercel), le transfert de données personnelles est encadré par les Clauses Contractuelles Types (SCC) adoptées par la Commission européenne par décision du 4 juin 2021, conformément à l'article 46 du RGPD. Chacun de ces sous-traitants est lié à Buject par un accord de traitement des données (DPA). Les données transférées sont limitées au strict nécessaire à leur prestation (par exemple : adresse email pour Resend, métadonnées de requête pour Vercel).

Conformément au RGPD et à la loi Informatique et Libertés, vous disposez des droits suivants :

• Droit d'accès : consulter les données que nous détenons sur vous.
• Droit de rectification : corriger des données inexactes.
• Droit à l'effacement: demander la suppression définitive de votre compte et de toutes vos données, en 2 clics depuis les paramètres de l'app.
• Droit à la limitation : demander la suspension temporaire du traitement.
• Droit d'opposition : vous opposer à certains traitements.
• Droit à la portabilité : récupérer vos données dans un format structuré, à demander par email.
• Droit de retirer votre consentement à tout moment pour les traitements fondés sur le consentement.
• Droit de définir des directives post-mortem sur vos données (article 40-1 loi Informatique et Libertés).

Pour exercer ces droits, écrivez-nous à hello@buject.com. Vous pouvez également introduire une réclamation auprès de la CNIL (cnil.fr).

Buject envoie trois types de communications :

• Emails transactionnels(création de compte, confirmation d'abonnement, réinitialisation de mot de passe) : indispensables au service, vous ne pouvez pas les désactiver sans supprimer votre compte.
• Rappels de saisie et check-in hebdomadaire: optionnels, activés uniquement avec votre consentement, désactivables à tout moment depuis les paramètres de l'application ou via le lien "se désinscrire" de chaque email.
• Communications produit (nouveautés, fonctionnalités) : envoyées uniquement avec votre consentement explicite, désinscription en un clic.

Le site buject.com n'utilise que des cookies strictement nécessaires au fonctionnement du service (session d'authentification, préférences d'interface). Aucun cookie de mesure d'audience, de publicité ou de tracking tiers n'est déposé sans votre consentement explicite. Si des cookies de mesure d'audience sont ajoutés à l'avenir (par exemple Plausible Analytics, outil sans cookies), cette politique sera mise à jour.

En cas de violation de données personnelles susceptible d'engendrer un risque élevé pour vos droits et libertés, Buject s'engage à vous en informer dans les meilleurs délais et à notifier la CNIL dans un délai de 72 heures, conformément aux articles 33 et 34 du RGPD.

Cette politique peut être mise à jour pour refléter des évolutions du service ou du cadre légal. En cas de modification substantielle, vous serez informé par email au moins 30 jours avant l'entrée en vigueur.