Sécurité et confidentialité des données

Introduction

Chez dividendes.ch, nous prenons la protection de vos données au sérieux. Cette page détaille les mesures techniques et organisationnelles mises en place pour sécuriser vos informations personnelles et vos données financières dans CaRBuRe (transactions, comptes, budgets, projections).

Notre engagement : être transparent sur ce que nous faisons pour protéger vos données, et vous permettre de faire un choix éclairé.

1. Infrastructure et hébergement

Hébergeur

  • Prestataire : OVH SAS
  • Localisation : Datacenters en France (Roubaix)
  • Conformité : Hébergement en Union Européenne, conforme RGPD et LPD suisse

Architecture technique

  • Serveur : Environnement de production unique
  • Technologies : PHP / MySQL
  • Bases de données : Deux bases MySQL distinctes :
    • Base WordPress (blog, utilisateurs, paramètres)
    • Base CaRBuRe (transactions financières, budgets, projections)

Cette séparation limite l'exposition des données sensibles de CaRBuRe en cas de problème sur le blog.

2. Sécurité des communications

Chiffrement HTTPS/TLS

  • Protection : Toutes les communications entre votre navigateur et nos serveurs sont chiffrées via HTTPS/TLS
  • Certificat : Let's Encrypt
  • Impact : Vos données ne peuvent pas être interceptées lors de leur transmission sur internet

Firewall

  • Protection : Firewall OVH actif sur le serveur
  • Fonction : Bloque les tentatives d'accès non autorisées et les attaques réseau courantes

3. Protection des données

Mots de passe

  • Stockage : Les mots de passe ne sont jamais stockés en clair dans la base de données
  • Hachage : Utilisation du système WordPress (phpass) qui transforme les mots de passe en chaînes illisibles
  • Garantie : Même l'administrateur ne peut pas voir votre mot de passe

Données CaRBuRe

Les données de votre gestion financière (budgets, projections, portefeuilles, transactions) sont stockées dans une base de données dédiée, accessible uniquement :

  • Via l'application CaRBuRe pour les utilisateurs authentifiés
  • Par l'administrateur du site (accès restreint et sécurisé)

Important à savoir :

  • Les données ne sont pas chiffrées individuellement dans la base de données (chiffrement au repos non activé)
  • Elles sont protégées par les mesures d'accès (authentification, firewall, HTTPS)
  • Pour plus de confidentialité, vous pouvez anonymiser certaines données :
    • Avec saisie manuelle : Anonymisez directement les émetteurs et bénéficiaires avant d'enregistrer vos transactions
    • Avec import CSV : Vous devrez modifier les émetteurs et bénéficiaires après l'import dans CaRBuRe
    • Les montants des transactions doivent rester exacts pour le bon fonctionnement de l'outil

Paiements

  • Sécurité bancaire : Les paiements pour les contributions sont gérés par Stripe
  • Aucune donnée bancaire : Vos coordonnées bancaires ne transitent JAMAIS par nos serveurs
  • Norme PCI-DSS : Stripe est certifié pour le traitement sécurisé des paiements

4. Sauvegardes

Système de sauvegarde

  • Fréquence : Sauvegardes automatiques quotidiennes gérées par OVH
  • Rétention : Conservation pendant 30 jours
  • Stockage : Sauvegardes conservées dans les datacenters sécurisés OVH
  • Usage : Permettent la restauration des données en cas d'incident technique

Note : Les backups OVH ne sont pas chiffrés mais sont stockés dans un environnement sécurisé non accessible publiquement.

5. Accès et authentification

Accès administrateur

  • Restriction : Un seul administrateur (le propriétaire du site)
  • Sécurisation : Utilisation d'un gestionnaire de mots de passe pour tous les accès critiques
  • Authentification à deux facteurs : Activée pour le compte administrateur

Accès utilisateurs

  • Authentification : Login sécurisé via WordPress
  • Sessions : Expiration automatique après inactivité
  • Recommandation : Utilisez un mot de passe fort et unique (12+ caractères, combinaison majuscules/minuscules/chiffres/symboles)

6. Logs et monitoring

Journaux de sécurité

  • Logs OVH : Conservation des logs d'accès (web, FTP, SSH, erreurs)
  • Usage : Détection et analyse en cas d'activité suspecte
  • Délai : Disponibilité des logs en temps quasi-réel (~5 minutes de décalage)

Surveillance

  • Monitoring : Surveillance infrastructure via les outils OVH
  • Pas de tracking tiers : Aucun outil d'analyse externe des comportements utilisateurs

7. Sous-traitants et transferts de données

Prestataires

Nous travaillons avec les sous-traitants suivants :

OVH SAS (France)

  • Service : Hébergement et infrastructure
  • Données traitées : Toutes les données du site
  • Localisation : France (UE)

Stripe (Irlande/USA)

  • Service : Traitement des paiements
  • Données traitées : Uniquement les données de paiement (non stockées par nous)
  • Conformité : Certifié PCI-DSS

Automattic/WordPress.com (USA)

  • Service : Jetpack (statistiques et fonctionnalités WordPress)
  • Données traitées : Données techniques limitées (statistiques de visite anonymisées)
  • Conformité : RGPD

Transferts hors UE

Seul Jetpack (Automattic) peut impliquer des transferts vers les USA, dans le cadre des fonctionnalités WordPress standard. Ces transferts sont couverts par les clauses contractuelles types de l'UE.

8. Vos droits et contrôle de vos données

Conformément à la LPD suisse et au RGPD, vous disposez des droits suivants :

Export de vos données CaRBuRe

  • Fonction intégrée : Vous pouvez exporter vos données de transactions CaRBuRe depuis votre compte
  • Format : Fichiers CSV exploitables
  • Accès : Disponible à tout moment dans votre espace CaRBuRe

Suppression de vos données

  • Suppression partielle : Vous pouvez supprimer vos données CaRBuRe directement en ligne
  • Suppression complète : Sur demande, nous supprimons votre compte et toutes vos données associées de manière définitive
  • Délai : Sous 30 jours maximum après votre demande

Conservation des données

  • Utilisateurs actifs : Conservation illimitée tant que vous utilisez le service
  • Utilisateurs inactifs : En cas d'absence d'utilisation du service les comptes utilisateurs sont rétrogradés et les données CaRBuRe sont supprimées. Si l'absence se prolonge, les comptes utilisateurs sont également supprimés.

Exercice de vos droits

Pour toute demande concernant vos données personnelles : https://www.dividendes.ch/contact/

9. Bonnes pratiques recommandées

Pour maximiser la sécurité de votre compte :

Utilisez un mot de passe fort et unique

  • Minimum 12 caractères
  • Combinaison de majuscules, minuscules, chiffres et symboles
  • Ne réutilisez jamais le même mot de passe sur plusieurs sites

Utilisez un gestionnaire de mots de passe

  • Permet de générer et stocker des mots de passe complexes
  • Solutions recommandées : Bitwarden, 1Password, KeePass

Déconnectez-vous sur les ordinateurs partagés

  • Ne cochez jamais "rester connecté" sur un ordinateur public

Vérifiez l'URL dans votre navigateur

  • Assurez-vous d'être bien sur dividendes.ch (avec le cadenas HTTPS)
  • Méfiez-vous des emails de phishing se faisant passer pour notre site

Pour plus de confidentialité dans CaRBuRe

  • Privilégiez la saisie manuelle si vous souhaitez anonymiser les émetteurs/bénéficiaires de vos transactions avant leur enregistrement
  • Avec les imports CSV : Modifiez les noms d'émetteurs/bénéficiaires après l'import si vous souhaitez anonymiser ces informations
  • Noms de comptes : Utilisez des libellés génériques si vous le souhaitez (ex: "Compte 1" au lieu du nom de votre banque)
  • Les montants doivent rester exacts pour que CaRBuRe fonctionne correctement

10. En cas d'incident de sécurité

Notre engagement

En cas de violation de données susceptible d'engendrer un risque pour vos droits et libertés :

  • Notification : Vous serez informé dans les meilleurs délais
  • Transparence : Nous communiquerons la nature de l'incident et les mesures prises
  • Autorités : Notification aux autorités compétentes si requis par la loi

Contact d'urgence

Si vous suspectez une compromission de votre compte ou une activité suspecte :

11. Contexte et proportionnalité

CaRBuRe est un outil gratuit de gestion budgétaire et de planification financière (FIRE).

Les mesures de sécurité décrites ici correspondent aux standards d'un site WordPress professionnel bien géré. Elles sont appropriées pour un outil de gestion budgétaire gratuit, mais ne correspondent pas au niveau de sécurité d'une application bancaire.

Notre recommandation : Si vous avez des exigences de sécurité très élevées, vous pouvez :

  • Privilégier la saisie manuelle des transactions pour anonymiser les émetteurs/bénéficiaires avant enregistrement
  • Utiliser des noms génériques pour vos comptes
  • Télécharger régulièrement vos exports de données pour conservation locale

12. Évolution de cette documentation

Cette page est mise à jour régulièrement pour refléter l'évolution de nos pratiques de sécurité et de nos infrastructures.

Si vous avez des suggestions ou des questions concernant la sécurité, n'hésitez pas à nous contacter.

Contact

Pour toute question concernant la sécurité de vos données :

Formulaire de contact : https://www.dividendes.ch/contact/

Cette page complète et précise les mentions légales de dividendes.ch en ce qui concerne les aspects techniques de la sécurité des données.

Commencez à saisir du texte et appuyez sur Entrée pour rechercher