Politique de confidentialité

Dernière mise à jour — 28 avril 2026

1. Responsable du traitement

Éditeur : Silvio Rota, personne physique résidente en Suisse. Contact : privacy@moneydocs.app

2. Stockage des données

Stockage local par défaut. Toutes vos données financières (dépenses, projets, rapports, catégories, marchands) sont stockées sur votre appareil dans une base de données chiffrée avec SQLCipher (AES-256). MoneyDocs n’a pas de serveur central et ne stocke aucune donnée utilisateur sur ses propres infrastructures.

Sauvegarde cloud optionnelle (opt-in). Vous pouvez activer une sauvegarde automatique chiffrée vers votre propre Google Drive depuis les paramètres. Quand cette option est activée, des copies de vos données sont chiffrées sur votre appareil puis déposées dans un dossier privé de votre Drive. Le détail de ce mécanisme est décrit à l’article 4. Cette option est désactivée par défaut. Si vous ne l’activez pas, vos données ne quittent jamais votre appareil sauf si vous les exportez ou partagez explicitement (PDF, CSV, paquet .moneydocs).

Aucun compte MoneyDocs. L’application ne crée aucun compte utilisateur chez l’Éditeur. Aucune donnée n’est associée à votre identité chez nous.

3. Données envoyées à notre backend OCR

Lorsque vous scannez un reçu, les informations suivantes sont transmises à notre backend d’extraction, via une connexion HTTPS chiffrée, à travers un proxy serveur (Supabase) :

  • L’image du reçu (redimensionnée). Actuellement, l’image n’est pas conservée après traitement. Nous pourrions à l’avenir la conserver sous forme anonyme pour améliorer la qualité du moteur OCR — si cette option est activée, la présente politique sera mise à jour et vous en serez informé dans l’application.
  • Un identifiant d’appareil aléatoire et persistant (device_id) — ne contient ni votre nom, ni votre email, ni votre numéro de téléphone, ni votre identifiant publicitaire. Il sert à gérer vos quotas d’utilisation et à associer vos corrections à vos extractions.
  • Les données extraites du reçu : marchand, montant, devise, date, catégorie, taxes, numéro de TVA, sous-total, commentaire éventuel. Ces données sont conservées de manière anonyme pour améliorer la qualité du moteur OCR en continu.
  • D’autres métadonnées techniques imprimées sur le reçu : numéro de facture, numéro de carte de fidélité du magasin (lorsqu’il est imprimé), code du point de vente, type de paiement (« carte », « espèces », « chèque »…), ainsi que le résultat brut retourné par notre fournisseur OCR, à des fins de diagnostic et d’amélioration du service.
  • Les coordonnées des zones de texte (bounding boxes) et le texte détecté.
  • Vos corrections éventuelles : si vous corrigez un marchand mal reconnu, une catégorie ou un montant, votre correction est envoyée et conservée de manière anonyme pour améliorer les futures extractions pour tous les utilisateurs.

Ce que nous ne collectons JAMAIS, même si c’est imprimé sur votre reçu :

  • Aucun chiffre de votre numéro de carte bancaire, y compris les 4 derniers chiffres parfois imprimés par certains terminaux. Cette donnée est volontairement exclue de la collecte et purgée des données historiques.
  • Votre nom, votre email, votre numéro de téléphone personnel, votre adresse.

Aucun humain ne consulte les reçus individuellement.

4. Sauvegarde cloud (option facultative)

Si vous activez la sauvegarde cloud, le mécanisme suivant s’applique :

4.1 Destination

Les sauvegardes sont stockées dans un dossier visible nommé « MoneyDocs - Sauvegardes » dans votre propre compte Google Drive. Vous pouvez y accéder, en consulter la liste et supprimer manuellement d’anciennes sauvegardes depuis l’interface Drive standard. L’application utilise le scope OAuth drive.file, qui ne lui donne accès qu’aux fichiers qu’elle a elle-même créés dans votre Drive — elle ne peut ni voir ni toucher vos autres documents Drive. MoneyDocs n’a pas son propre serveur de sauvegarde. L’Éditeur n’a aucun accès aux fichiers ainsi déposés ; seul vous, via votre compte Google, y avez accès.

4.2 Contenu sauvegardé

Chaque sauvegarde contient un instantané complet de votre base locale : dépenses, projets, rapports, catégories, marchands, ainsi que les fichiers image des justificatifs et des projets. Le format est le même que celui des paquets .moneydocs exportés manuellement.

4.3 Chiffrement de bout en bout

Avant d’être envoyée sur Drive, chaque sauvegarde est chiffrée sur votre appareil avec AES-256-GCM (nonce aléatoire de 96 bits, tag d’authentification de 128 bits). La clé de chiffrement est dérivée d’un mot de passe que vous choisissez une seule fois lors de l’activation de la sauvegarde, et qu’il vous appartient de retenir ou de conserver dans un gestionnaire de mots de passe. Ce mot de passe est :

  • choisi par vous lors de l’activation (au moins 8 caractères) ;
  • dérivé en clé AES-256 par la fonction PBKDF2-HMAC-SHA256 avec 600 000 itérations, sur votre appareil uniquement ;
  • jamais transmis ni stocké chez l’Éditeur ou chez Google — il ne quitte votre appareil que sous votre contrôle (mémoire ou gestionnaire de mots de passe).

Conséquence : chiffrement de bout en bout (E2E) effectif. La clé étant dérivée d’un secret connu de vous seul, ni l’Éditeur ni Google ne disposent du moyen technique de déchiffrer vos sauvegardes. Une obligation légale ou un accès non autorisé à votre compte Google ne suffisent pas à les rendre lisibles : seules les personnes en possession de votre mot de passe peuvent y accéder.

Contrepartie assumée — perte définitive en cas d’oubli. Si vous oubliez votre mot de passe, vos sauvegardes cloud deviennent définitivement illisibles, y compris pour vous-même. L’Éditeur ne dispose d’aucun moyen technique de les récupérer — c’est précisément ce qui garantit leur confidentialité E2E. L’application affiche cet avertissement de manière visible lors de l’activation, et exige une saisie en deux étapes (mot de passe + confirmation) avant de finaliser l’activation.

4.4 Désactivation, suppression et changement de mot de passe

À tout moment vous pouvez :

  • Désactiver la sauvegarde cloud depuis les paramètres. Les sauvegardes existantes sur votre Drive ne sont pas effacées automatiquement (vous pouvez les conserver en cas de besoin).
  • Supprimer les sauvegardes directement depuis l’interface Drive en supprimant le dossier « MoneyDocs - Sauvegardes » (les fichiers passent à la corbeille Drive, puis sont définitivement effacés selon votre politique Drive).
  • Révoquer l’accès de MoneyDocs à votre Drive depuis vos paramètres de sécurité Google.
  • Changer votre mot de passe : désactivez puis réactivez la sauvegarde dans les paramètres ; l’application vous demandera de choisir un nouveau mot de passe et toutes les sauvegardes futures seront chiffrées avec cette nouvelle clé. Les sauvegardes antérieures, chiffrées avec l’ancien mot de passe, resteront déchiffrables tant que vous vous souvenez de l’ancien.

5. Services tiers et sous-traitants

  • Veryfi / Google Document AI — traitement OCR des images via notre backend proxy. Nous ne leur transmettons que l’image et le texte nécessaires à l’extraction ; vos clés API ne sont jamais embarquées dans l’app.
  • Supabase, Inc. (Singapour) — héberge notre backend OCR et nos bases de données techniques.
  • ExchangeRate-API — taux de change en temps réel.
  • Google LLC (États-Unis) — uniquement si vous activez la sauvegarde cloud (article 4). Google stocke vos sauvegardes chiffrées dans votre propre Drive personnel. La clé de chiffrement n’est jamais transmise à Google : elle est dérivée localement de votre mot de passe (article 4.3). Le transfert de données vers les États-Unis est encadré par les clauses contractuelles types de la Commission européenne et par le Data Privacy Framework UE-US.

Aucun SDK d’analytics, pas de Firebase, pas de crash reporting, pas de framework publicitaire.

6. Sécurité et base légale (RGPD / nLPD)

Le traitement des données décrit à l’article 3 est fondé sur l’intérêt légitime de l’éditeur à améliorer la qualité de son service OCR, équilibré avec votre droit à la vie privée par les mesures suivantes :

  • Les données conservées ne sont pas nominatives : elles ne sont rattachées qu’à un identifiant technique aléatoire (device_id).
  • Elles sont conservées à des fins d’amélioration du modèle OCR pour une durée indéterminée tant que l’éditeur exploite le service ; elles peuvent être purgées à votre demande sur simple email (voir article 11).
  • Elles ne sont ni revendues, ni partagées avec des annonceurs, ni utilisées à des fins commerciales autres que l’amélioration du service MoneyDocs et de son moteur OCR.
  • La base de données locale est chiffrée avec SQLCipher (AES-256).
  • Les fichiers image des justificatifs stockés localement sont placés dans le sandbox privé de l’app, accessible uniquement à MoneyDocs. Ils ne bénéficient pas d’un chiffrement supplémentaire au niveau du fichier — c’est une amélioration prévue pour une version ultérieure.
  • Clés de chiffrement stockées dans le matériel sécurisé de votre appareil (Android Keystore).
  • Tout le trafic réseau passe en HTTPS avec épinglage de certificats (certificate pinning) sur les endpoints Supabase et ExchangeRate.
  • Verrouillage optionnel par PIN et biométrie.
  • Sauvegardes cloud chiffrées de bout en bout (si activées) : la clé n’existe que sur votre appareil et dans votre mot de passe ; voir article 4.3 pour l’algorithme et le modèle de menace.

Votre droit d’opposition : vous pouvez toujours saisir vos dépenses manuellement pour éviter tout envoi au backend OCR.

7. Vos droits (RGPD / nLPD)

Conformément au Règlement général sur la protection des données (RGPD, UE) et à la loi fédérale suisse sur la protection des données (nLPD), vous disposez des droits suivants :

  • Accès et rectification — les données stockées sur votre appareil sont à votre disposition ; vous y accédez et les modifiez librement dans l’application.
  • Effacement local — désinstaller l’application supprime toutes les données stockées localement.
  • Effacement distant — sur simple demande adressée à privacy@moneydocs.app avec votre device_id (disponible dans les paramètres de l’application), nous purgeons du backend OCR toutes les extractions, corrections et journaux associés.
  • Droit de retrait de la sauvegarde cloud — vous pouvez à tout moment désactiver et supprimer vos sauvegardes Drive, et réinitialiser votre mot de passe (article 4.4).
  • Portabilité — vous pouvez exporter toutes vos données locales à tout moment (PDF, CSV, paquet .moneydocs).
  • Opposition — saisissez vos dépenses manuellement pour éviter tout envoi au backend OCR.
  • Pas de compte à supprimer — il n’y a pas de compte utilisateur chez nous.

8. Enfants

MoneyDocs ne s’adresse pas aux enfants de moins de 13 ans et ne collecte pas sciemment de données d’enfants.

9. Modifications

Nous pouvons mettre à jour cette politique. La version courante est toujours disponible sur cette page et dans les paramètres de l’application. En cas de modification substantielle (par exemple activation de la conservation des images), vous en serez informé directement dans l’application.

10. Contact

Pour toute question relative à cette politique, ou pour exercer l’un des droits mentionnés à l’article 7, écrivez à privacy@moneydocs.app.

11. Droit applicable

Cette politique est régie par le droit suisse. For juridique : Suisse.