Politique de Confidentialité

Effective date: 2026-04-18

Cette Politique de Confidentialité explique comment MyAutoBudget ("le Service", "nous", "notre") traite vos informations. MyAutoBudget est exploité par Josh Jones, un développeur logiciel indépendant basé en Arizona, États-Unis. Nous croyons en la transparence, c'est pourquoi cette politique est rédigée dans un langage clair et nous sommes francs sur ce que nous avons et n'avons pas encore construit.

1. Ce que nous collectons

Informations de compte : Lorsque vous vous inscrivez, nous collectons une adresse e-mail, un nom d'affichage et un mot de passe. Votre mot de passe est stocké sous la forme d'un hachage cryptographique unidirectionnel - nous n'avons jamais accès à votre mot de passe en texte brut.

Données financières que vous entrez : Comptes, soldes, factures, sources de revenus, bacs d'allocation, objectifs d'épargne et enregistrements similaires. Toutes ces données sont saisies par vous et stockées uniquement pour fournir les fonctionnalités de budgétisation auxquelles vous vous êtes inscrit.

Données Plaid (optionnel) : Si vous choisissez de connecter un compte bancaire via notre intégration Plaid, nous recevons les soldes des comptes, les données de transactions et les métadonnées de compte (comme les taux d'intérêt annuels) de Plaid en votre nom. La connexion Plaid est en lecture seule — MyAutoBudget ne peut pas initier de virements, effectuer de paiements ou modifier votre compte bancaire de quelque manière que ce soit. Nous ne recevons ni ne stockons pas vos identifiants de connexion bancaire — ceux-ci sont entièrement gérés par Plaid conformément à leur propre politique de confidentialité.

Journaux du serveur et opérationnels : Nous conservons des journaux d'accès et opérationnels limités (tels que les adresses IP, les horodatages des demandes, les chemins d'URL et les informations d'erreur) pour la sécurité, la fiabilité et la prévention des abus. Ces journaux sont conservés pendant au maximum 30 jours.

2. Comment nous utilisons vos données

Nous utilisons vos données pour fournir le Service, maintenir la fiabilité et la sécurité, corriger les bogues et améliorer les fonctionnalités de budgétisation et les fonctionnalités du produit. Cela inclut la génération de votre tableau de bord budgétaire, l'exécution de calculs et de projections, et l'envoi d'e-mails transactionnels (tels que des liens de réinitialisation de mot de passe). Nous n'utilisons pas vos données financières personnelles pour la publicité, le profilage entre utilisateurs ou la vente à des tiers.

Nous pouvons générer des statistiques opérationnelles agrégées et anonymisées (par exemple, taux d'erreurs, compteurs d'utilisation des fonctionnalités ou métriques de performance) pour maintenir et améliorer le Service. Ces statistiques sont conçues pour ne pas identifier les utilisateurs individuels et ne sont pas vendues à des tiers.

3. Isolation et accès aux données

Nous concevons le Service de manière à ce que les enregistrements financiers de chaque utilisateur soient isolés de ceux des autres utilisateurs. Dans le cours normal de l'exploitation de MyAutoBudget, nous n'examinons pas les données financières individuelles des utilisateurs. Étant donné que le Service est exploité par un petit fournisseur indépendant, l'opérateur dispose d'un accès administratif à l'infrastructure sous-jacente. L'accès aux données de compte peut intervenir lorsqu'il est raisonnablement nécessaire pour fournir une assistance, enquêter sur un problème signalé, maintenir ou sécuriser le Service, respecter des obligations légales ou répondre à un incident de sécurité. Lorsqu'un accès lié au support est nécessaire pour un problème spécifique que vous signalez, nous ferons des efforts raisonnables pour vous en informer lorsque cela est pratiquement possible.

4. Maturité en matière de sécurité et de confidentialité

Nous voulons être transparents sur la maturité actuelle de notre infrastructure de sécurité et de confidentialité. Les protections suivantes ont été mises en œuvre et sont actives :

• Chiffrement au repos — les champs financiers sensibles et les jetons d'accès Plaid sont chiffrés au niveau de l'application avant d'être écrits dans le stockage persistant. La clé de chiffrement est stockée séparément des fichiers de base de données.
• Exportation de données en libre-service — vous pouvez télécharger une copie complète de toutes vos données au format JSON depuis la page Profil à tout moment, sans avoir besoin de nous contacter.
• Suppression autonome du compte — vous pouvez supprimer définitivement votre compte et toutes les données associées à partir de la page Profil. La suppression nécessite une confirmation de mot de passe et supprime votre enregistrement d'authentification, toutes les sessions et vos données financières d'utilisateur du stockage d'application actif.
• Isolation des données par utilisateur — les dossiers financiers de chaque utilisateur sont logiquement isolés de ceux des autres utilisateurs, et notre architecture de stockage actuelle maintient les données financières des utilisateurs séparées par utilisateur.
• HTTPS/TLS en transit — toutes les connexions au Service sont chiffrées.
• Hachage de mot de passe — les mots de passe sont stockés à l'aide d'un algorithme de hachage unidirectionnel moderne et salé.
• Protections CSRF — les jetons de falsification de demande intersites sont appliqués aux demandes de changement d'état.
• Sécurité de la session — les jetons de session sont cryptographiquement aléatoires et expirent après une période configurable.
• Limitation du débit de connexion — les tentatives de connexion par force brute sont limitées.

La protection suivante n'est pas encore mise en œuvre :

• Audit de sécurité indépendant — le Service n'a pas subi de test de pénétration formel ou d'audit de sécurité indépendant.

Aucun système n'est parfaitement sûr. Veuillez considérer ces limitations lorsque vous décidez quelles données saisir dans le Service.

5. Avant de connecter vos comptes bancaires

MyAutoBudget est un outil de budgétisation indépendant en version bêta publique. Ce n'est pas une banque et n'a pas subi d'audit de sécurité indépendant. Si vous choisissez de connecter des comptes financiers via Plaid, vous devez le faire avec cette compréhension. Les fonds détenus dans vos propres comptes bancaires restent assujettis aux conditions et protections de votre banque. MyAutoBudget ne fournit pas d'assurance-dépôts FDIC ou similaire.

6. Partage de données

Nous ne vendons pas, ne louons pas et ne partageons pas vos données personnelles avec des tiers à des fins de marketing ou de publicité. Nous partageons les données uniquement dans ces circonstances limitées :

• Plaid (si vous choisissez de participer) — pour récupérer les soldes des comptes, les données de transactions et les informations sur les engagements (comme les taux d'intérêt annuels des cartes de crédit). Plaid agit en tant que sous-traitant de données en votre nom. Consultez la politique de confidentialité de Plaid pour plus de détails sur la façon dont ils gèrent vos identifiants bancaires.
• Livraison par courrier électronique — nous utilisons un service de messagerie SMTP pour envoyer des liens de réinitialisation de mot de passe. Le service reçoit uniquement votre adresse e-mail et le contenu du message.
• Obligations légales - nous pouvons divulguer des données si cela est requis par la loi, un règlement, une assignation à comparaître ou un processus juridique valide.

7. Conservation et suppression des données

Nous conservons vos données tant que votre compte reste actif. Vous pouvez supprimer définitivement votre compte et les données d'application associées à tout moment depuis la page Profil, sous réserve de confirmation par mot de passe. Nous supprimerons alors votre enregistrement d'authentification, vos sessions et vos données financières du stockage actif de l'application. Nous ne maintenons pas intentionnellement de sauvegardes à long terme accessibles à l'utilisateur des données financières après suppression, mais des données résiduelles limitées peuvent temporairement subsister dans des journaux de courte durée, des instantanés d'infrastructure ou des systèmes en attente d'expiration ou de réécriture normale. Une fois la suppression effectuée dans les systèmes actifs, vos données ne peuvent pas être restaurées par nos soins. La suppression en libre-service via la page Profil est traitée rapidement dans les systèmes actifs de l'application. Si vous soumettez une demande de suppression par e-mail à support@myautobudget.com, nous la traiterons dans un délai de 30 jours.

8. Notification de violation

Si nous confirmions un incident de sécurité qui compromet matériellement vos données personnelles, nous notifierons les utilisateurs concernés sans délai indu et, dans la mesure du possible, dans les 72 heures suivant la confirmation. L'avis décrira la nature de l'incident, les données impliquées telles qu'elles étaient alors comprises, les mesures que nous prenons et les actions de protection recommandées le cas échéant.

9. Où vos données sont hébergées

Le Service fonctionne sur deux couches d'infrastructure distinctes. La couche applicative est hébergée sur l'infrastructure Fly.io aux États-Unis (région Los Angeles / LAX). Vos données d'authentification et vos enregistrements financiers chiffrés sont stockés séparément sur l'infrastructure Turso (SQLite/libSQL managé), qui fonctionne sur Amazon Web Services dans la région Ouest des États-Unis ; les données au repos sont chiffrées au niveau applicatif avant d'atteindre le stockage Turso. Les pratiques de sécurité de Fly.io sont décrites dans leur documentation de sécurité.

10. Cookies et suivi

Nous utilisons un seul cookie de session strictement nécessaire pour vous maintenir connecté. Nous n'utilisons pas de cookies d'analyse, de suivi publicitaire ou de scripts de suivi tiers. Nous ne participons pas au suivi entre sites ou à la publicité comportementale. Il n'y a pas de pixels, de balises ou de SDK tiers sur aucune page du Service.

11. Vos droits

Selon votre localisation, vous pouvez disposer de droits en vertu des lois applicables en matière de confidentialité (comme le CCPA si vous résidez en Californie, ou le RGPD si vous êtes dans l'UE/EEE). Ceux-ci peuvent inclure le droit d'accéder, de rectifier, de supprimer ou de transférer vos données, ou de vous opposer à certains traitements. Vous pouvez exercer votre droit à la portabilité des données et à la suppression de compte directement depuis la page Profil. Pour toute autre demande, envoyez un e-mail à support@myautobudget.com. Nous répondrons dans un délai de 30 jours.

12. Vie privée des enfants

Le Service n'est pas destiné aux personnes de moins de 18 ans. Nous ne collectons pas sciemment des données auprès de mineurs. Si nous découvrez que nous avons inadvertance collecté des données auprès d'une personne de moins de 18 ans, nous les supprimerons rapidement.

13. Modifications de cette politique

Nous pouvons mettre à jour cette politique de confidentialité de temps à autre. Pour les modifications importantes, nous vous notifierons par e-mail ou par un avis visible dans le Service au moins 14 jours avant l'entrée en vigueur des modifications, et nous mettrons à jour la date d'effet en haut de cette page. L'utilisation continue du Service après la période de notification constitue une acceptation de la politique révisée.

14. Droit Applicable

Cette politique de confidentialité est régie par les lois de l'État de l'Arizona, États-Unis.

15. Traduction

Cette politique de confidentialité peut être disponible dans des langues autres que l'anglais. En cas de conflit ou d'incohérence entre une version traduite et la version anglaise, la version anglaise prévaut.

16. Contact

Des questions sur cette politique, vos données ou une préoccupation en matière de confidentialité ? Écrivez-nous à support@myautobudget.com. Pour signaler un problème de sécurité suspecté, envoyez un e-mail à support@myautobudget.com avec l'objet "Problème de sécurité".

Service Availability

MyAutoBudget is currently available only to residents of the United States, Canada, and Mexico. Requests originating from other jurisdictions are blocked at the network layer using IP-based geolocation. If you access the Service from a sanctioned jurisdiction or a jurisdiction outside our service area, we may be required to refuse service and will display a notice to that effect under RFC 7725 (HTTP 451 Unavailable For Legal Reasons).

Categories of Personal Information We Collect

In the last twelve months we have collected the following categories of personal information, as those categories are defined by the California Consumer Privacy Act (CCPA), as amended by the California Privacy Rights Act (CPRA):

• Identifiers: your email address, display name, and an internal numeric user ID.
• Commercial information: your subscription status, billing history (processed by our payment processor, Stripe), and coupon redemptions.
• Internet or other similar network activity: the IP address of the devices you use to access the Service, browser user-agent, approximate country / region derived from your IP address, and request timestamps.
• Financial information you choose to enter: accounts, balances, bills, income, transactions, allocations, and goals that you record in the Service. All such fields are encrypted at rest using Fernet (AES-128-CBC + HMAC-SHA256) with a key controlled by MyAutoBudget.
• Inferences: projections and insights derived algorithmically from the financial data you enter (for example, an ETA for a savings goal). Inferences are regenerated on demand and are not persisted across sessions.

How We Use Personal Information

We use the categories above exclusively to operate, secure, and improve the Service; to process your subscription; to send transactional email (such as password-reset and email-verification messages); and to comply with our legal obligations. We do not use personal information for advertising, for building profiles to sell to third parties, or for any purpose that is not reasonably necessary to deliver the Service you requested.

Sale or Sharing of Personal Information

We do not sell your personal information, and we do not share it for cross-context behavioral advertising, as those terms are defined under the CCPA/CPRA. We have not sold or shared personal information in the preceding twelve months, and we have no present intention to do so.

You can record an opt-out of any future sale or sharing in two equally effective ways:

• Enable the checkbox on the Privacy Preferences section of your profile. This records a Do Not Sell or Share My Personal Information election on your account and appends a dated entry to our Consent Log.
• Browse with the Global Privacy Control (GPC) signal enabled in your browser or extension. We honor GPC as a legally-binding opt-out under California Civil Code § 1798.135(b)(1); the first authenticated request we receive with a valid Sec-GPC: 1 header automatically records a Do Not Sell / Share election on your account.

Your Rights as a US Resident

Depending on your state of residence you may have some or all of the following rights with respect to your personal information: the right to know what we have collected about you and how we use it; the right to access a copy of that information in a portable format; the right to correct inaccurate information; the right to delete your information; and the right to opt out of any sale or sharing. The exact scope of these rights depends on your state's statute (CCPA/CPRA for California; CPA for Colorado; CTDPA for Connecticut; UCPA for Utah; VCDPA for Virginia; and similar laws in other states).

You can exercise most of these rights directly in the Service:

• Access / portability: Profile → Download your data produces a JSON export of every record we hold about you.
• Correction: you can edit account identifiers on the Profile page and any financial record through the normal management screens.
• Deletion: the "Delete Account" control on the Profile page permanently removes your account and all associated financial data. We retain a one-way hash of the email address and the original account creation timestamp for the sole purpose of preventing abusive re-creation of free trials; this hash is not reversible and cannot be used to identify you.
• Opt-out of sale or sharing: see the preceding section.

To exercise any right that cannot be exercised through the self-service controls above, email us at privacy@myautobudget.com. We verify requests by requiring that you submit them from the email address of record on the account, and we will respond within forty-five (45) days of receiving a verifiable request as required by California Civil Code § 1798.130. You may designate an authorised agent to submit a request on your behalf; the agent must provide written proof of the designation, and we will in all cases verify the identity of the consumer directly.

Non-discrimination. We will not deny you service, charge you a different price, or provide you a different level or quality of service because you exercised any right under the CCPA, CPRA, or analogous state law.

Service Providers

We disclose personal information only to the following categories of service providers, each of which is bound by a written contract that limits their use of the information to the purpose for which we engaged them:

• Turso — managed SQLite (libSQL) hosting for the authentication database and the per-user financial databases. Turso operates on Amazon Web Services in the United States West region. Data at rest is encrypted at the application layer before it reaches Turso storage.
• Stripe, Inc. — subscription billing and payment processing. We never store your card number, expiry, or CVV; Stripe issues the charge directly and returns only a subscription identifier.
• Plaid Inc. — optional bank-account aggregation for users who choose to link an account. Plaid handles all contact with your financial institution; we receive only the normalised account and transaction data that you elect to share.
• SMTP relay — a transactional-email provider used to send password-reset and email-verification messages. Only your email address and the message body leave our infrastructure.
• Cloudflare, Inc. — DNS, DDoS mitigation, and (optionally) the geo-country header used to determine jurisdiction for service availability.

Global Privacy Control (GPC) & Browser Signals

In addition to honoring explicit opt-outs recorded via the Profile page, MyAutoBudget respects the Sec-GPC HTTP header defined by the Global Privacy Control working group as a legally-binding Do Not Sell / Share opt-out under California Civil Code § 1798.135 and corresponding provisions of the Colorado Privacy Act and Connecticut Data Privacy Act. A browser or browser extension that emits Sec-GPC: 1 on a request from an authenticated session will cause the Service to automatically record a Do Not Sell / Share election on that account; the election is reflected in the Consent Log and persists across future sessions.

We do not respond to the legacy "Do Not Track" browser header because that signal has been deprecated and carries no unambiguous legal meaning. GPC supersedes DNT for this purpose.

California Shine the Light (Civil Code § 1798.83)

We do not share personal information with third parties for their own direct-marketing purposes, so no "Shine the Light" disclosure is required. If this changes, we will update this policy and provide the statutorily-required notice.

California Civil Code § 1789.3 Notice

Under California Civil Code § 1789.3, users of the Service from California are entitled to the following consumer rights notice: the Complaint Assistance Unit of the Division of Consumer Services of the California Department of Consumer Affairs may be contacted in writing at 1625 North Market Blvd., Suite N 112, Sacramento, CA 95834, or by telephone at (800) 952-5210 or (916) 445-1254.

Mexico — LFPDPPP

Users in Mexico have rights of Access, Rectification, Cancellation, and Opposition ("ARCO" rights) under the Ley Federal de Protección de Datos Personales en Posesión de los Particulares. The self-service export, edit, and delete controls described above satisfy the Access, Rectification, and Cancellation rights in full. To exercise the right of Opposition or to submit any ARCO request that cannot be satisfied by self-service, email privacy@myautobudget.com.

Canada — PIPEDA & Provincial Equivalents

Canadian users are protected by the Personal Information Protection and Electronic Documents Act and, where applicable, by provincial statutes (Quebec's Law 25, Alberta's PIPA, British Columbia's PIPA). We handle personal information in accordance with the ten Fair Information Principles and will respond to any access or correction request within thirty (30) days as required by section 8 of PIPEDA.

Consent Log & Version History

Each time you create an account, toggle a privacy preference, or transmit a browser-level opt-out signal, we append an immutable row to an internal Consent Log recording the event, the date, and the version of this Privacy Policy and of our Terms of Use in force at that moment. You can review the last ten entries in your own log from the Privacy Preferences section of your profile and request the full record as part of a data-subject access request.

Contact

For any privacy question, data-subject request, or notice of complaint, contact:

MyAutoBudget — Privacy
Email: privacy@myautobudget.com