← Retour

Politique de confidentialité

Dernière mise à jour : 24 mai 2026

Résumé. Tier 0 : votre relevé ne quitte jamais votre ordinateur. Tier 1 (IA) : votre PDF est envoyé temporairement à nos serveurs et à Anthropic Claude pour extraction, puis supprimé immédiatement après réponse, jamais stocké, jamais utilisé pour entraîner de modèle.

1. Responsable du traitement

Walid El Omari, Auto-Entrepreneur immatriculé au Maroc. Contact : contact@walidelomari.com. Conformité visée : Loi 09-08 (Maroc, protection des personnes physiques à l'égard du traitement des données à caractère personnel) et RGPD (UE, Règlement 2016/679) pour les utilisateurs européens.

2. Tier 0 : traitement 100% local

Sur les pages des banques supportées (Attijariwafa, CIH, etc.), votre relevé bancaire PDF est lu et analysé entièrement dans votre navigateur à l'aide de la bibliothèque pdf.js. Aucune donnée du relevé, aucune métadonnée, aucun extrait du contenu n'est transmis à nos serveurs ni à un tiers.

Compteur d'usage (anti-abus). Avant chaque conversion, une seule requête HTTP est envoyée à notre serveur pour incrémenter un compteur (5 conversions/jour pour les invités, 15/jour pour les utilisateurs connectés). Cette requête contient uniquement votre adresse IP (mode invité) ou votre identifiant de compte. Le contenu du PDF n'est jamais envoyé.

Vous pouvez vérifier cette affirmation en ouvrant l'onglet « Réseau » des outils développeur de votre navigateur, la seule requête observable est le POST vers /api/tier0 qui ne contient aucun corps.

3. Tier 1 : traitement IA (serveur)

Sur la page /conversion-ia, le PDF est transmis à notre serveur (Vercel, région Frankfurt fra1) puis à l'API Anthropic Claude (Haiku 4.5) pour extraction structurée.

Rétention :

  • Le PDF est traité en mémoire vive uniquement, jamais écrit sur disque.
  • Il est supprimé de la mémoire immédiatement après l'envoi de la réponse JSON, soit en pratique sous 30 secondes.
  • Aucune copie n'est conservée par nos serveurs.
  • Anthropic ne stocke pas les requêtes API pour entraîner ses modèles (politique no-training-on-API par défaut).
  • Anthropic peut conserver les requêtes jusqu'à 30 jours pour détection d'abus, voir leur politique.

Si vous traitez des relevés contenant des données personnelles de tiers (clients d'un cabinet comptable, par exemple), vous êtes responsable du traitement principal et nous agissons en sous-traitant au sens du RGPD. Un accord de sous-traitance (DPA) peut être signé sur demande.

4. Données du compte

Pour utiliser le Tier 1, un compte est créé via Clerk. Données collectées :

  • Adresse email (identifiant)
  • Nom (optionnel)
  • Photo de profil (si connexion via Google/Microsoft/Apple)
  • Date d'inscription, dernière connexion, adresse IP de connexion

Ces données sont stockées par Clerk Inc. (États-Unis), avec clauses contractuelles types (SCC) pour transfert hors UE. Voir la politique Clerk.

5. Données de facturation

Les paiements sont traités par Paddle.com Market Limited (Royaume-Uni), vendeur officiel. Paddle collecte vos données de facturation (nom, adresse, numéro de carte tokenisé, pays pour TVA). Nous recevons uniquement un identifiant client + statut d'abonnement, jamais le numéro de carte. Voir la politique Paddle.

6. Compteurs d'usage

Pour faire respecter les quotas (3 conversions IA gratuites/mois, 20/mois pour Tier 1), nous stockons dans une base Redis (Upstash, région UE) :

  • Votre identifiant utilisateur Clerk
  • Compteur de conversions du mois en cours (fenêtre glissante 30 jours)
  • Horodatage de la dernière conversion

Aucun contenu de relevé n'est stocké dans Redis. Les compteurs expirent automatiquement après 30 jours d'inactivité.

7. Cookies et traceurs

Cookies strictement nécessaires :

  • Cookies de session Clerk (authentification)
  • Cookies Paddle (paiement, uniquement sur la page de checkout)

Aucun cookie d'analytics, de publicité, ou de réseau social n'est posé sur les pages de conversion. Cela est volontaire pour garantir la confidentialité des relevés affichés à l'écran.

8. Vos droits

Conformément à la Loi 09-08 et au RGPD, vous disposez d'un droit d'accès, de rectification, d'effacement, de portabilité, de limitation et d'opposition. Pour exercer ces droits, écrivez à contact@walidelomari.com depuis l'adresse email associée à votre compte. Réponse sous 30 jours.

Vous pouvez également supprimer votre compte à tout moment depuis votre espace client (suppression immédiate de toutes les données de compte et compteurs Redis).

Recours : Commission Nationale de contrôle de la protection des Données à caractère Personnel (CNDP, Maroc) ou autorité de protection des données de votre pays de résidence dans l'UE.

9. Sécurité

HTTPS forcé (HSTS), en-têtes de sécurité stricts (CSP, X-Frame-Options, Referrer-Policy), authentification par Clerk (provider certifié SOC 2). Aucun secret n'est exposé côté client. Les clés API sont stockées en variables d'environnement chiffrées chez Vercel.

10. Sous-traitants

Pour fournir le Service, nous recourons à :

  • Vercel Inc. (États-Unis) : hébergement, edge network. Région d'exécution : Frankfurt (fra1).
  • Anthropic PBC (États-Unis) : API Claude pour extraction IA (Tier 1 uniquement).
  • Clerk Inc. (États-Unis) : authentification.
  • Upstash Inc. (États-Unis, données UE) : compteurs de quota Redis.
  • Paddle.com Market Limited (Royaume-Uni) : facturation, vendeur officiel.

11. Modifications

Toute modification substantielle de cette politique sera notifiée par email aux utilisateurs inscrits, avec un préavis de 30 jours.