Politique de confidentialité
Dernière mise à jour : 19 mai 2026
1. Introduction
Spliz, SASU (« nous », « notre ») s’engage à protéger votre vie privée. Cette politique explique quelles données nous collectons, comment nous les utilisons et vos droits concernant vos informations personnelles. Pour nos informations légales complètes, consultez nos Mentions légales.
2. Données collectées
Nous collectons le minimum de données nécessaire au fonctionnement du service : votre adresse de wallet (publique, on-chain), nom d’affichage et avatar (si fournis), adresse e-mail (si vous vous connectez via Google ou Apple avec Privy), identifiants d’appareil pour les notifications push, et les données de dépenses saisies dans l’app (descriptions, montants, membres). Nous ne collectons ni ne stockons vos clés privées.
3. Utilisation des données
Vos données sont utilisées uniquement pour faire fonctionner Spliz. Nous traitons vos données sur les bases légales suivantes : (a) exécution du contrat (RGPD art. 6(1)(b)) pour le suivi des dépenses, le calcul des soldes et la coordination des règlements ; (b) intérêt légitime (art. 6(1)(f)) pour l’amélioration du service, la sécurité et la prévention de la fraude ; (c) obligation légale (art. 6(1)(c)) pour la conservation des enregistrements de règlement. Nous ne vendons, ne louons et ne partageons pas vos données personnelles avec des tiers à des fins marketing.
4. Sous-traitants et services tiers
Spliz s’appuie sur les sous-traitants suivants. Chacun opère selon sa propre politique de confidentialité et ne reçoit que le minimum de données nécessaire à sa mission. Privy (authentification et wallets intégrés, États-Unis, CCT) : adresse de wallet, e-mail si vous vous connectez via Google ou Apple. Coinbase (on-ramp USDC, États-Unis, CCT) : adresse de wallet, IP pour KYC et géo-restriction. Bridge (on-ramp SEPA, États-Unis, CCT, prévu V2) : adresse de wallet, IBAN, documents KYC. WalletConnect (protocole de wallets externes, infrastructure distribuée) : adresse de wallet, payloads RPC. Expo (notifications push, États-Unis, CCT) : token push, métadonnées de notification. Sentry (supervision d’erreurs, États-Unis, CCT) : identifiant utilisateur haché, traces d’erreur, breadcrumbs (sans contenu de message ni montants détaillés au-delà de métadonnées tronquées). PostHog (statistiques d’utilisation produit, hébergé en Allemagne, Francfort, par PostHog Cloud EU, sans transfert hors UE) : identifiant anonyme généré par l’application, méthode de connexion, interactions agrégées (création de Spliz, signature, règlement), montants USDC en unités atomiques anonymes, type d’écran consulté, erreurs UX. Aucun identifiant utilisateur, adresse de wallet, pseudo, e-mail ou IP en clair n’est transmis, les statistiques sont strictement anonymes. Activé par défaut ; vous pouvez vous y opposer à tout moment dans Réglages → Confidentialité (base légale : intérêt légitime, art. 6(1)(f) RGPD, mesure d’audience first-party anonyme, sans traçage publicitaire ni recoupement inter-apps). Aucun enregistrement de session. Conservation : selon les paramètres de notre plan PostHog (par défaut, 7 ans pour les events). Toute demande de suppression au titre du droit à l’effacement (art. 17 RGPD) est traitée immédiatement, voir section 9. Chainalysis Oracle (criblage AML on-chain, lecture seule) : adresse de wallet vérifiée contre la liste OFAC, voir section 9. Cloudflare R2 (stockage des avatars et journal de conformité immuable, États-Unis, CCT) : octets de l’image avatar et adresses de wallet hachées pour audit. Railway (hébergement de l’API, États-Unis, CCT) : ensemble des données backend. Vercel (hébergement du site, États-Unis, CCT) : aucune donnée utilisateur, uniquement la landing page publique. Tally (formulaire de waitlist pré-launch, Tally BV, Gand, Belgique, données stockées dans l’Union européenne, traitement intra-UE) : adresse e-mail uniquement, conservée le temps du pré-launch puis supprimée à l’ouverture publique de l’app. Réseau Base (règlement, blockchain publique) : données de transactions on-chain. Nous ne vendons, ne louons et ne partageons pas vos données avec des tiers à des fins publicitaires.
5. Transferts internationaux
Certains de nos prestataires sont situés en dehors de l’Espace économique européen, principalement aux États-Unis (Privy, Coinbase, Expo, Vercel, Railway). Ces transferts sont encadrés par les Clauses Contractuelles Types (CCT) approuvées par la Commission européenne ou le cadre EU-US Data Privacy Framework le cas échéant. Les données de transactions on-chain sont stockées sur un réseau décentralisé accessible mondialement.
6. Données on-chain
Les transactions de règlement sont enregistrées sur la blockchain Base et sont publiquement visibles. Cela inclut les adresses de wallet, les montants en USDC et les horodatages. Les données on-chain ne peuvent pas être supprimées car elles font partie du registre public de la blockchain.
7. Stockage et sécurité
Les données off-chain (informations de compte, détails des dépenses) sont stockées sur des serveurs sécurisés. Nous utilisons le chiffrement en transit (TLS) et au repos. L’accès aux données de production est restreint au personnel autorisé.
8. Conservation et suppression
Vous pouvez supprimer votre compte à tout moment depuis les paramètres de l’app ou via notre page publique de suppression (https://spliz.app/account-deletion). Nous conservons chaque catégorie de données seulement le temps nécessaire, dans les limites suivantes : tokens d’authentification : 24 heures ; sessions actives : 90 jours après révocation ; compte en suppression progressive : 30 jours de grâce avant effacement irréversible ; notifications in-app : 90 jours après lecture ; enregistrements de déduplication des notifications de règlement : 30 jours ; avatars et tokens push : supprimés au moment de la suppression du compte ; enregistrements de règlement en base : 5 ans (obligation de conservation du Code de commerce français) ; journaux de conformité couvrant les événements sanctions ou AML : 7 ans (imposé par les règlements UE DAC8 / AMLD6), puis suppression ; transactions de règlement on-chain : permanentes et hors de notre contrôle. Les données de dépenses dans un Spliz actif demeurent jusqu’à l’archivage du groupe ou la suppression du compte par chaque membre.
9. Vos droits (RGPD) et décisions automatisées
Si vous résidez dans l’Espace économique européen, vous disposez du droit : d’accéder à vos données personnelles, de rectifier les données inexactes, de demander la suppression de vos données, de limiter ou vous opposer au traitement, à la portabilité des données, et de retirer votre consentement à tout moment. Pour exercer ces droits, contactez-nous à privacy@spliz.app. Vous disposez également du droit d’introduire une réclamation auprès de votre autorité de contrôle (en France : CNIL, www.cnil.fr). Décisions automatisées (art. 22 RGPD) : Spliz applique des contrôles automatisés imposés par la réglementation européenne anti-blanchiment (DAC8 / AMLD6). Les adresses de wallet sont criblées contre l’oracle on-chain Chainalysis et contre des plafonds de transfert par utilisateur ; un règlement ou un transfert impliquant une adresse sanctionnée ou dépassant le plafond configuré est automatiquement bloqué. La base légale est l’obligation légale qui pèse sur nous (art. 6(1)(c) RGPD). Vous disposez du droit, au titre de l’art. 22 RGPD, d’obtenir un examen humain, d’exprimer votre point de vue et de contester une telle décision, écrivez à privacy@spliz.app et nous procéderons à un examen manuel sous 30 jours. La fourniture de votre adresse de wallet est nécessaire pour utiliser les fonctions de règlement ; le nom d’affichage et l’avatar sont facultatifs.
10. Cookies, traçage et statistiques d’utilisation
L’application mobile Spliz n’utilise pas de cookies. Notre site web (spliz.app) utilise uniquement des cookies essentiels au fonctionnement. Nous n’utilisons aucun traceur publicitaire. Statistiques d’utilisation produit : nous utilisons PostHog (hébergé en Europe, Francfort) pour collecter des statistiques strictement anonymes destinées à améliorer l’expérience produit. Ces statistiques sont activées par défaut et ne contiennent aucune donnée personnelle (ni identifiant utilisateur, ni adresse de wallet, ni pseudo, ni e-mail) ; vous pouvez vous y opposer à tout moment dans Réglages → Confidentialité (base légale : intérêt légitime, art. 6(1)(f) RGPD, mesure d’audience anonyme, sans traçage publicitaire). Aucun enregistrement de session.
11. Modifications
Nous pouvons mettre à jour cette politique de confidentialité. Nous vous informerons des changements significatifs via l’app ou par e-mail. L’utilisation continue de Spliz après modification vaut acceptation de la politique mise à jour.
12. Protection des mineurs
Spliz n’est pas destiné aux utilisateurs de moins de 18 ans. Nous ne collectons pas sciemment de données personnelles de mineurs. Si vous pensez qu’un mineur nous a fourni des informations personnelles, contactez-nous à privacy@spliz.app afin que nous puissions les supprimer.
13. Contact
Pour toute question ou demande relative à la confidentialité, contactez-nous à privacy@spliz.app.