Politique de confidentialité

Dernière mise à jour : 8 mai 2026

1. Données collectées

Arbolia collecte le minimum strict nécessaire au fonctionnement du service. La liste exhaustive des données traitées côté serveur est la suivante :

Email : utilisé pour l’authentification et la communication relative au programme bêta.
Hash du mot de passe : votre mot de passe en clair n’est jamais transmis ni stocké côté serveur. Seule une empreinte (hash) cryptographique est conservée pour vérifier votre identité.
Secret 2FA TOTP : chiffré côté client avant transmission, jamais accessible en clair côté serveur.
Métadonnées de connexion : adresse IP, agent utilisateur (user-agent) et horodatages, conservés à titre d’audit de sécurité.

Données jamais accessibles côté serveur en clair : montants, valorisations, codes ISIN, libellés d’enveloppes, opérations, objectifs. L’ensemble de vos données patrimoniales est chiffré dans votre navigateur à l’aide d’une clé dérivée de votre mot de passe (architecture KEK / DEK), avant toute transmission.

2. Finalités de traitement

Vos données sont traitées exclusivement pour les finalités suivantes :

Authentification et sécurisation de l’accès à votre compte.
Audit de sécurité et détection d’anomalies.
Communication relative au programme bêta (sondages, mises à jour produit, alertes incidents).

Aucun traitement publicitaire, aucun partage avec un tiers à des fins commerciales et aucune revente ne sont effectués.

3. Architecture zero-knowledge

Arbolia ne peut techniquement pas accéder à vos données patrimoniales. Le chiffrement se fait dans votre navigateur (architecture KEK / DEK, AES-256-GCM, dérivation Argon2id). Seuls votre mot de passe et votre kit de récupération BIP39 (24 mots) permettent de déchiffrer vos données. En cas de perte simultanée de votre mot de passe et de votre kit de récupération, vos données sont irrécupérables — y compris par nous, l’éditeur. Cette propriété est volontaire et constitue le cœur de la promesse d’Arbolia.

4. Vos droits RGPD

Conformément au Règlement Général sur la Protection des Données (RGPD), vous disposez des droits suivants. Pour chacun, nous vous indiquons la fonctionnalité directement disponible dans votre espace personnel.

Droit d’accès : exportez vos données depuis https://app.arbolia.fr/settings/account.
Droit à la suppression : supprimez votre compte depuis https://app.arbolia.fr/settings/account#delete.
Droit à la portabilité : un export JSON chiffré de vos données est téléchargeable depuis vos paramètres de compte.
Droit de rectification : vous pouvez modifier vos enveloppes, positions et opérations directement dans l’application.
Droit d’opposition : adressez votre demande à dpo@arbolia.fr.
Droit à la limitation du traitement : adressez votre demande à dpo@arbolia.fr.

Vous pouvez également introduire une réclamation auprès de la Commission Nationale de l’Informatique et des Libertés (CNIL).

5. Durées de conservation

Compte actif : vos données sont conservées tant que votre compte existe.
Inactivité prolongée : une alerte par email est envoyée après 12 mois sans connexion. Le compte est supprimé automatiquement après 24 mois sans connexion (alignement sur la recommandation CNIL).
Journaux d’audit : conservés 12 mois (durée minimale conforme aux obligations de sécurité et compatible RGPD).
Sauvegardes : rotation 30 jours, chiffrées au repos.

6. Cookies et traceurs

Arbolia n’utilise aucun cookie tiers et aucun outil d’analytics durant la phase bêta. Un seul cookie est déposé : un cookie de session technique (HTTPOnly, SameSite=Strict, Secure) strictement nécessaire à l’authentification.

7. Sous-traitants

Arbolia recourt aux sous-traitants suivants, tous situés en Union européenne et conformes au RGPD :

Hébergement : Scaleway, S.A.S. (RCS Paris B 433 115 904), datacenters Paris-3 et Amsterdam-1, conformité RGPD HDS.
Envoi d’emails transactionnels : prestataire français hébergé en France, conforme RGPD (Brevo ou Scaleway TEM — à confirmer avant l’ouverture publique).

Aucun sous-traitant établi aux États-Unis n’est utilisé : par principe de souveraineté, aucun transfert de données vers une juridiction extra-européenne n’est effectué pour la gestion des données utilisateurs.

8. Source ACPR

Le chiffre de 5,4 milliards d’euros d’assurance-vie en déshérence en France mentionné sur la page d’accueil provient du rapport annuel 2023 de l’Autorité de Contrôle Prudentiel et de Résolution (ACPR) sur les contrats d’assurance-vie en déshérence. Le service de recherche gratuit officiel à disposition des bénéficiaires est AGIRA (Association pour la Gestion des Informations sur le Risque en Assurance).

9. Contact du Délégué à la Protection des Données (DPO)

Pour toute question relative à vos données personnelles ou à l’exercice de vos droits, vous pouvez écrire à dpo@arbolia.fr.

DPO temporaire : David Caramelo, fondateur d’Arbolia. Un Délégué à la Protection des Données externe sera désigné après la création formelle de la société.

Adresse postale du siège social : à compléter avant l’ouverture publique. Contact : contact@arbolia.fr.