Politique de confidentialité

Dernière mise à jour · 17 juin 2026

Cette politique décrit les traitements de données à caractère personnel mis en œuvre par Sommet dans le cadre de son service de suivi d'investissement, en application du Règlement (UE) 2016/679 (RGPD) et de la loi Informatique et Libertés du 6 janvier 1978 modifiée.

1. Responsable du traitement

Le responsable du traitement est Matthieu Lagast, éditeur du site (voir mentions légales). Pour toute question relative à tes données, écris à matthieu.lagast@gmail.com.

2. Données collectées

Sommet ne collecte que les données strictement nécessaires au fonctionnement du service :

Compte utilisateur

  • Adresse email (identifiant de connexion)
  • Mot de passe (stocké sous forme de hash bcrypt — jamais en clair)
  • Nom ou pseudonyme (optionnel, affiché dans l'interface)

Données financières que tu saisis

  • Transactions (achats, ventes, dividendes, versements)
  • Positions, comptes (PEA, CTO, AV, PER) et courtier associé
  • Jalons d'épargne
  • Liste de suivi (watchlist)

Sommet ne se connecte jamais à ton courtier. Aucun identifiant bancaire ni accès broker n'est demandé ni stocké.

Données techniques

  • Adresse IP, agent utilisateur (logs de connexion, durée 30 jours)
  • Si tu as accepté les cookies de mesure : statistiques d'audience anonymisées via Vercel Analytics (pages vues, durée moyenne, source de trafic)

3. Finalités et bases légales

  • Fournir le service de suivi (création de compte, calcul des valorisations, recommandations) — base légale : exécution du contrat (art. 6.1.b RGPD)
  • Sécurité et prévention de la fraude (logs, rate limiting) — base légale : intérêt légitime (art. 6.1.f)
  • Mesure d'audience (Vercel Analytics) — base légale : consentement (art. 6.1.a)

4. Durée de conservation

  • Données du compte : pendant toute la durée de ton compte, puis 3 ans à compter de la dernière activité (au-delà, suppression définitive)
  • Logs de connexion : 30 jours
  • Tokens d'authentification : jusqu'à expiration ou déconnexion (15 minutes pour l'access token, 30 jours pour le refresh token)
  • Statistiques d'audience : 13 mois maximum (recommandation CNIL)

5. Cookies et traceurs

Sommet utilise les cookies suivants :

Cookies strictement nécessaires (pas de consentement requis)

  • sommet_at — token d'accès chiffré, expire au bout de 15 minutes
  • sommet_rt — token de rafraîchissement chiffré, expire au bout de 30 jours
  • sommet-consent — mémorise ton choix sur les cookies de mesure (stocké dans le localStorage)

Cookies de mesure d'audience (soumis à consentement)

  • _vercel_session, _vercel_* — Vercel Analytics, anonymisés, aucun identifiant utilisateur transmis

Tu peux retirer ton consentement à tout moment en vidant le localStorage de ton navigateur ou en cliquant sur le bouton dédié au bas de la bannière de cookies (si elle est active).

6. Destinataires et transferts

Tes données sont accessibles uniquement à :

  • L'éditeur et toute personne mandatée pour la maintenance technique
  • Les sous-traitants techniques (hébergeur, voir mentions légales)

L'hébergeur de la partie web (Vercel Inc.) et celui de l'API (Railway Corp.) sont des sociétés américaines. Les transferts hors UE sont encadrés par les clauses contractuelles types adoptées par la Commission européenne (décision 2021/914) et, pour les transferts vers les États-Unis, par l'adhésion de ces sociétés au Data Privacy Framework UE–US.

7. Sécurité

  • Mots de passe stockés sous forme de hash bcrypt (cost factor 10)
  • Tokens stockés en cookies HttpOnly, Secure, SameSite=Lax
  • Refresh token rotatif, haché en base (SHA-256)
  • Connexion en HTTPS uniquement
  • Rate limiting sur les endpoints d'authentification

8. Tes droits

Conformément au RGPD, tu disposes des droits suivants :

  • Accès — obtenir une copie des données te concernant
  • Rectification — corriger des données inexactes
  • Effacement — supprimer ton compte et tes données
  • Portabilité — récupérer tes données dans un format structuré (transactions, positions)
  • Opposition et limitation du traitement
  • Retrait du consentement à tout moment pour la mesure d'audience

Pour exercer ces droits, écris à matthieu.lagast@gmail.com. Une réponse sera apportée dans un délai d'un mois maximum.

Si tu estimes que tes droits ne sont pas respectés, tu peux introduire une réclamation auprès de la Commission nationale de l'informatique et des libertés (CNIL).

9. Modifications

Cette politique peut être modifiée pour refléter des évolutions réglementaires ou techniques. La date de dernière mise à jour est indiquée en haut de page. En cas de modification substantielle, tu seras notifié par email.