La société Pivot, exploitant la plateforme accessible à l'adresse diwanbg.work, est responsable du traitement de vos données personnelles au sens du Règlement Général sur la Protection des Données (RGPD) et de la loi Informatique et Libertés.

Contact DPO : [email protected]

Nous collectons les catégories de données suivantes :

• Données d'identification : nom, prénom, adresse email, mot de passe (hashé).
• Données financières : transactions bancaires, soldes de comptes, budgets, objectifs d'épargne (via Powens/Budget Insight pour la synchronisation bancaire).
• Données professionnelles : clients, projets, devis, factures, paiements, documents, identifiants de trousseau (chiffrés AES-256-GCM).
• Données techniques : adresse IP, type de navigateur, pages visitées, durée de session.
• Données de consentement : date et heure d'acceptation des CGV, de la politique de confidentialité, et du consentement marketing.

Nous faisons appel aux sous-traitants suivants :

• Railway (Hébergement) — serveurs aux États-Unis, clauses contractuelles types (CCT) conformément à l'art. 46 RGPD.
• Powens / Budget Insight (Agrégation bancaire) — société française, données hébergées en UE, agréée ACPR.
• Resend (Envoi d'emails) — serveurs aux États-Unis, CCT en place.
• Cloudflare (DNS, CDN, protection DDoS) — clauses contractuelles types.

Aucune donnée n'est vendue à des tiers. Les transferts hors UE sont encadrés par des clauses contractuelles types approuvées par la Commission européenne.

• Données de compte : conservées pendant la durée de votre inscription, puis supprimées sous 30 jours après demande de suppression.
• Données bancaires synchronisées : supprimées dans les 48 heures suivant la déconnexion de Powens ou la suppression du compte.
• Factures et documents comptables : conservés 10 ans (obligation légale, art. L123-22 du Code de commerce).
• Logs de sécurité : 90 jours.
• Tokens expirés/révoqués : supprimés sous 1 an.
• Données soft-deleted : purgées après 1 an.

Nous mettons en œuvre les mesures de sécurité suivantes :

• Chiffrement des mots de passe avec bcrypt (cost factor 10).
• Chiffrement des données sensibles (trousseau, tokens Powens) avec AES-256-GCM.
• Communications exclusivement en HTTPS/TLS.
• Tokens d'authentification JWT signés HS256, transmis via cookies httpOnly, Secure, SameSite=Lax.
• Protection CSRF par vérification d'origine sur toutes les mutations.
• Rate limiting sur toutes les routes API.
• Hachage SHA-256 des tokens de partage et de vérification d'email.

Conformément au RGPD (articles 15 à 22), vous disposez des droits suivants :

• Droit d'accès : obtenir une copie de vos données personnelles.
• Droit de rectification : corriger vos données inexactes.
• Droit à l'effacement : demander la suppression de votre compte et de vos données.
• Droit à la portabilité : exporter vos données dans un format structuré (JSON).
• Droit d'opposition : vous opposer au traitement fondé sur l'intérêt légitime.
• Droit de limitation : restreindre le traitement dans certains cas.
• Retrait du consentement : à tout moment pour les traitements fondés sur le consentement (marketing, Powens).

Pour exercer vos droits, contactez-nous à [email protected]. Nous répondons sous 30 jours maximum.

Vous disposez également du droit de déposer une réclamation auprès de la CNIL (www.cnil.fr).

Pivot utilise uniquement des cookies strictement nécessaires au fonctionnement du service (cookies d'authentification httpOnly). Nous n'utilisons pas de cookies de tracking, d'analytics ou publicitaires.

Nous nous réservons le droit de modifier cette politique de confidentialité à tout moment. En cas de modification substantielle, nous vous informerons par email ou via une notification dans l'application. La date de dernière mise à jour est indiquée en haut de cette page.

Pour toute question relative à la protection de vos données :

• Email : [email protected]
• Plateforme : diwanbg.work