Le responsable du traitement des données est Christophe Corvaisier, entrepreneur individuel, éditeur du service MyCivi.
Contact pour toute question relative aux données personnelles : contact@mycivi.eu (objet « DPO » pour un traitement prioritaire). Les coordonnées complètes figurent dans les mentions légales.
MyCivi distingue 2 niveaux de confidentialité selon la nature de chaque donnée. Comprendre ces 2 niveaux est essentiel pour savoir ce que nous pouvons (et ce que nous ne pouvons pas) faire avec tes données.
Concernés : tes transactions bancaires (fichiers CSV/XLSX lus dans ton navigateur), ta convention de divorce et son PDF, tes frais exceptionnels partagés et leurs justificatifs, tes déclarations fiscales scannées, tes préférences (corrections, alias de compte).
Ces données sont chiffrées en AES-256-GCM directement sur ton appareil, avec une clé dérivée de ton code PIN par PBKDF2 (250 000 itérations). Cette clé ne sort jamais de ton appareil. Quand le coffre est synchronisé vers nos serveurs pour le multi-appareil, il l'est sous forme d'un bloc opaque illisible. Ni MyCivi, ni notre hébergeur, ni un tiers ne peuvent le déchiffrer. C'est le modèle utilisé par Bitwarden et Signal.
Concernés : tes biens immobiliers (adresse, valeur), tes baux et locataires, les métadonnées de tes factures travaux (date, montant, fournisseur), tes contrats d'assurance, tes pensions alimentaires saisies manuellement, ton identité (email, vérification d'identité allégée pour les paiements) et ton abonnement.
Ces données sont stockées en clair dans une base PostgreSQL hébergée en France. Elles le sont pour permettre des fonctions impossibles autrement : partage d'un bien entre indivisaires, copropriété à plusieurs utilisateurs, accès de ton expert-comptable, notifications par email sur des échéances, support technique. Protections : chiffrement au repos assuré par l'hébergeur, journal d'accès administrateur en chaîne SHA-256 immuable, export complet sous 24 h et effacement total sous 30 jours.
| Catégorie | Exemples | Niveau |
|---|---|---|
| Identification | Adresse email, identifiant de connexion | 2 |
| Patrimoine et gestion | Biens, baux, factures, assurances, pensions saisies | 2 |
| Paiement | Abonnement souscrit, identifiant client de notre prestataire de paiement | 2 |
| Coffre chiffré | Transactions bancaires, documents sensibles, préférences | 1 (illisible par nous) |
| Consommation électrique Enedis | PRM, contrat, conso quotidienne (kWh), courbe de charge, voir la section dédiée ci-dessous | 2 |
| Usage technique | Statistiques agrégées et anonymes, journaux de sécurité | 2 |
Nous ne collectons pas tes coordonnées bancaires de paiement : elles sont gérées directement par notre prestataire certifié (Stripe), qui ne nous transmet jamais ton numéro de carte.
Si tu utilises la fonctionnalité « Connecter mon compteur » sur un de tes biens, MyCivi récupère tes données de consommation auprès d'Enedis via le service officiel Data Connect, après ton consentement explicite recueilli directement sur le site d'Enedis. MyCivi ne voit jamais ton mot de passe Enedis.
Article 6.1.a du RGPD : ton consentement libre, spécifique et éclairé, donné sur ton espace personnel Enedis via le protocole OAuth 2.0. Tu peux le retirer à tout moment, voir « Comment révoquer » plus bas.
Trois usages, et seulement ceux-là :
Tes données de consommation ne sont jamais utilisées pour autre chose, ne sont jamais cédées, ne sont jamais revendues, ne sont jamais croisées avec un usage publicitaire.
Le catalogue est défini par l'Annexe 1 du contrat MyCivi/Enedis. Selon les autorisations que tu donnes :
Conformément à l'article 3.1 du contrat MyCivi/Enedis, Enedis est responsable de la collecte et de la mise à disposition des données après ton consentement. MyCivi devient responsable du traitement dès réception de ces données : leur stockage, leur affichage, leur usage analytique relèvent de notre responsabilité au titre du RGPD. Enedis et MyCivi ne sont pas coresponsables : chacun répond du périmètre qui le concerne.
Sur la base PostgreSQL européenne hébergée par Clever Cloud à Paris,
dans un schéma dédié (energie) isolé du reste de tes données.
Les jetons d'accès OAuth reçus d'Enedis sont chiffrés
au repos en AES-256-GCM avec une clé applicative qui n'est pas
enregistrée en base. Aucun transfert hors Union européenne.
Pour ce traitement spécifique : aucun sous-traitant supplémentaire au-delà de ceux listés section 7 (Clever Cloud pour l'hébergement). Aucun prestataire d'analyse, aucun routeur de données externe.
Deux niveaux :
Si tu veux exercer un droit d'accès, de rectification ou de suppression sur des données détenues par Enedis (et non MyCivi), adresse-toi directement à :
Enedis · Direction Clients, Territoires et Europe
Service National Consommateurs
Tour Enedis · 34 place des Corolles · 92079 Paris La Défense Cedex
Pour les données détenues par MyCivi (l'historique en base, les jetons), écris à contact@mycivi.eu ou utilise les outils intégrés à l'application.
En cas d'incident de sécurité affectant tes données de consommation, nous notifions Enedis (article 3.6.3 du contrat) et la CNIL (article 33 du RGPD) dans les délais réglementaires, et nous t'informons individuellement si l'incident te concerne et présente un risque significatif.
| Donnée | Durée |
|---|---|
| Compte et données de niveau 2 | Tant que ton compte est actif, puis effacement sous 30 jours après ta demande de suppression |
| Bloc chiffré du coffre | Tant que ton compte est actif, supprimé avec le compte |
| Données de facturation | Conservées le temps imposé par les obligations comptables et fiscales |
| Journaux de sécurité | 12 mois |
| Compte inactif | Avertissement puis suppression après une longue période d'inactivité |
Tes données ne sont jamais vendues ni transmises à des annonceurs. Elles sont accessibles à l'éditeur du service et à un nombre limité de sous-traitants techniques agissant sur instructions :
Les serveurs et bases de données sont situés dans l'Union européenne. Aucune donnée n'est transférée hors de l'UE par MyCivi.
Conformément au Règlement (UE) 2016/679 et à la loi Informatique et Libertés, tu disposes des droits suivants :
Tu exerces ces droits depuis l'application (Sécurité, puis Exporter ou Effacer mes données) ou en écrivant à contact@mycivi.eu. Nous répondons dans un délai d'un mois.
Si une réponse ne te satisfait pas, tu peux saisir la CNIL, cnil.fr.