Politique de confidentialité

Dernière mise à jour : 20/04/2026

    Résumé : TrezAsso collecte uniquement les données nécessaires au fonctionnement du service. Nous ne vendons ni ne partageons vos données avec des tiers à des fins commerciales. Toutes les données sont hébergées en Europe.

1. Responsable du traitement

Le responsable du traitement des données est ML MULTISERVICE, Auto-entrepreneur, dont le siège est situé 18 Rue des Varennes, 37300 Joué-lès-Tours.
Contact DPO / données : contact@trezasso.fr

2. Données collectées

Données de compte

Nom, prénom, adresse email
Mot de passe (hashé Argon2id — jamais stocké en clair)
Date d'inscription, dernière connexion
Configuration 2FA optionnelle (clé secrète TOTP chiffrée)

Données de l'association

Dénomination, SIREN/RNA, adresse, email et téléphone de contact
Données financières saisies ou synchronisées (transactions, budgets, catégories)
Documents justificatifs uploadés (chiffrés AES-256-GCM)

Données bancaires

La connexion bancaire est assurée par Bridge by Bankin', prestataire de services de paiement agréé par l'ACPR (numéro d'agrément 16568).
TrezAsso ne stocke jamais vos identifiants bancaires. Seuls les jetons d'accès chiffrés sont conservés.
Les données de transactions (libellé, montant, date) sont stockées sur nos serveurs pour permettre la gestion de trésorerie.

Données techniques

Adresse IP (journaux d'accès, conservée 12 mois maximum)
Identifiant de session (cookie httpOnly, secure, SameSite=Strict)
Jeton CSRF (cookie de session)

3. Finalités et base légale

Les traitements sont fondés sur les bases légales suivantes (RGPD art. 6) :

Exécution du contrat : gestion du compte, synchronisation bancaire, fourniture du service de trésorerie
Intérêt légitime : sécurité de la plateforme, journalisation des accès, prévention des fraudes
Obligation légale : conservation des données de facturation (10 ans)
Consentement : envoi de communications marketing (opt-in explicite)

4. Durées de conservation

Données de compte actif : durée de l'abonnement + 3 ans
Données de compte supprimé : 30 jours (puis anonymisation ou suppression)
Données financières (transactions, budgets) : durée de l'abonnement + 10 ans (obligation comptable)
Documents justificatifs : durée de l'abonnement + 10 ans
Journaux d'accès : 12 mois maximum
Données de facturation : 10 ans (article L.123-22 du Code de commerce)

5. Destinataires des données

Vos données peuvent être transmises aux sous-traitants suivants, dans le cadre exclusif de la fourniture du service :

Infomaniak (hébergement, serveurs en Europe)
Bridge by Bankin' (agrégation bancaire, données bancaires uniquement)
Prestataire email transactionnel (à définir — envoi d'emails de notification et de compte)

Aucune donnée n'est cédée, vendue ou louée à des tiers à des fins commerciales.

6. Transferts hors UE

Les données sont hébergées en Europe (France / Suisse). Aucun transfert de données à caractère personnel n'est effectué vers des pays tiers à l'Union Européenne sans garanties appropriées conformes au RGPD.

7. Sécurité

Communications chiffrées TLS 1.2+ (HTTPS obligatoire)
Mots de passe hachés Argon2id
Documents chiffrés AES-256-GCM
Jetons 2FA chiffrés en base
Accès à la base de données limité au réseau interne
Protection CSRF sur toutes les requêtes de modification
Journalisation des connexions et actions sensibles

8. Vos droits

Conformément au RGPD, vous disposez des droits suivants :

Droit d'accès : obtenir une copie de vos données
Droit de rectification : corriger des données inexactes
Droit à l'effacement : demander la suppression de vos données
Droit à la portabilité : recevoir vos données dans un format structuré
Droit d'opposition : vous opposer à certains traitements
Droit à la limitation : limiter le traitement de vos données

Pour exercer ces droits : contact@trezasso.fr.
Réponse sous 30 jours. En cas de réclamation non résolue, vous pouvez saisir la CNIL.

9. Cookies

TrezAsso utilise uniquement des cookies strictement nécessaires :

PHPSESSID — session d'authentification (durée : session navigateur)
csrf_token — protection contre les attaques CSRF (durée : session navigateur)

Aucun cookie publicitaire, analytique ou de tracking tiers n'est déposé.

10. Modifications

Cette politique peut être mise à jour. Toute modification substantielle sera notifiée par email et/ou via l'interface de l'application. La date de dernière mise à jour figure en haut de ce document.