Politique de confidentialité — N72N
Dernière mise à jour : 1er juin 2026 Version : 1.1 — soft launch (upload direct Storage)
N72N est un outil indépendant d'audit des frais d'assurance vie françaises. La présente politique explique quelles données nous traitons, dans quel but, pendant combien de temps, et comment vous pouvez exercer vos droits.
Elle est rédigée pour être lisible en moins de 5 minutes. Tout terme technique est explicité.
1. Identité du responsable de traitement
Le responsable du traitement est Nicolas d'Audiffret, agissant pour le compte de la société N72N, SAS en cours de constitution. À compter de l'immatriculation de N72N, la société deviendra responsable du traitement et la politique sera mise à jour avec ses informations légales.
Adresse postale : 101 rue de Sèvres, 75006 Paris, France Email contact RGPD : privacy@n72n.com
2. Quelles données traitons-nous, et pourquoi ?
| Donnée | Finalité | Base légale (RGPD) |
|---|---|---|
| Adresse email | Identification du compte, communication de service | Exécution du contrat — Art. 6(1)(b) |
| Mot de passe (hashé, jamais en clair) | Authentification | Exécution du contrat — Art. 6(1)(b) |
| Relevé annuel d'assurance vie (PDF) | Analyse des frais (envoyé à Claude par Anthropic). Stocké de façon transitoire dans un espace privé chiffré en UE, le temps de l'analyse, puis supprimé (voir §4) | Exécution du contrat — Art. 6(1)(b) |
| Résultat de l'analyse (JSON structuré) | Affichage du rapport, conservation dans votre tableau de bord | Exécution du contrat — Art. 6(1)(b) |
| Nom et code ISIN des fonds détenus dans votre contrat | Recherche externe du Taux de Frais Courants (« TER ») via Perplexity. Le nom et l'ISIN sont des informations publiques sur le fonds — aucune donnée personnelle vous concernant n'est transmise à Perplexity | Intérêt légitime — Art. 6(1)(f) (qualité de l'audit) |
| Adresse IP | Limitation du débit (anti-abus) sur l'API d'analyse uniquement. Conservée 60 secondes en mémoire vive, jamais persistée. | Intérêt légitime — Art. 6(1)(f) (sécurité) |
| Cookies de session (authentification, préférences linguistiques) | Maintien de votre session, navigation | Strictement nécessaires au service — exemption CNIL |
| Événements produit (création de compte, analyse réalisée, etc.) | Statistiques d'usage du produit, débogage | Intérêt légitime — Art. 6(1)(f) (amélioration du service) |
| Logs d'observabilité (durées, coûts d'appels API, codes d'erreur) | Supervision technique, optimisation. Ne contiennent ni votre identité, ni le contenu de votre relevé, ni la valeur de votre contrat. | Intérêt légitime — Art. 6(1)(f) |
Nous ne demandons pas à l'utilisateur de transmettre de données sensibles au sens de l'article 9 du RGPD. Toutefois, les documents que l'utilisateur choisit de transmettre peuvent contenir de telles informations. Ces informations éventuelles sont traitées uniquement de manière incidente, pour les besoins de l'analyse demandée, et sont soumises aux mêmes mesures de sécurité, de minimisation et de suppression automatique que le reste du document.
Les documents transmis peuvent contenir des données personnelles, notamment financières, patrimoniales, économiques ou toute autre information figurant dans le document transmis par l'utilisateur.
Aucune donnée n'est utilisée à des fins publicitaires ou de profilage commercial. N72N ne vend aucune donnée.
3. Sous-traitants
N72N fait appel aux sous-traitants suivants, encadrés par un Data Processing Agreement (DPA) et — pour les transferts hors Union européenne — par les Clauses Contractuelles Types (« SCC ») de la Commission européenne (décision 2021/914).
| Sous-traitant | Pays | Finalité | Mécanisme de transfert | Conservation chez le sous-traitant | Entraînement d'IA |
|---|---|---|---|---|---|
| Anthropic (Claude API) | États-Unis | Analyse du PDF par le modèle Claude | SCC 2021/914, Modules 2 et 3 | Les PDFs envoyés à Anthropic sont supprimés sous 30 jours par Anthropic après leur traitement. Côté N72N, le PDF n'est stocké que de façon transitoire dans un bucket privé chiffré (voir ligne Supabase et §4), puis supprimé. Selon les pratiques opérationnelles documentées d'Anthropic, certains contenus peuvent être conservés temporairement pour le contrôle de sécurité automatisé. | Contractuellement interdit sur les données issues de l'API : « Anthropic may not train models on Customer Content from Services » (Commercial Terms) |
| Perplexity AI, Inc. | États-Unis | Recherche du TER d'un fonds par son nom et son ISIN | SCC 2021/914, Modules 2 et 3 + UK International Data Transfer Addendum | 30 jours après fin du service (DPA Perplexity, 8 juillet 2025) | Contractuellement interdit : « les Données Personnelles ne seront pas utilisées pour l'entraînement des modèles de langage de grande taille » |
| Supabase, Inc. | UE (région eu-west-3 / Paris) | Base de données, authentification, stockage de l'analyse, et hébergement transitoire du PDF (bucket privé, le temps de l'analyse) | Pas de transfert hors UE pour les données applicatives (région européenne) | Selon le DPA Supabase, voir supabase.com/legal/dpa. Le PDF est supprimé dès la fin de l'analyse (24 h maximum en cas d'échec — voir §4) | Sans objet (infrastructure) |
| Vercel, Inc. | États-Unis (entité contractante) ; instances serveur configurées en région Paris (cdg1) | Hébergement de l'application web | SCC 2021/914, Modules 1 / 2 / 3 | Suppression à la demande via les fonctions self-service. Voir le DPA Vercel. | Sans objet (hébergement) |
| Cloudflare, Inc. | États-Unis | (a) DNS authoritative pour n72n.com, (b) Email Routing (forward privacy@n72n.com vers l'adresse personnelle du responsable de traitement), (c) Proxy CDN devant le site web (terminaison SSL/TLS et atténuation des attaques applicatives — inclut le traitement temporaire de l'IP du visiteur à des fins de sécurité). | SCC 2021/914 Modules 2/3 + UK Addendum + Swiss FADP + Data Privacy Framework (triple mécanisme) | Selon DPA Cloudflare v6.4 (3 avril 2026) — cloudflare.com/cloudflare-customer-dpa/ : durée du Main Agreement, suppression sur demande | Sans objet (services réseau ; certifié ISO 27001 + ISO 27701 + SOC 2 Type II) |
Sous-sous-traitants
Pour exécuter ses requêtes, Perplexity fait elle-même appel à des modèles de langage tiers (« Prestataires Tiers »), ainsi qu'à Amazon Web Services (AWS) pour son infrastructure cloud. La liste à jour est publiée en annexe 2 du DPA Perplexity disponible à perplexity.ai/hub/legal/dpa.
Précision importante : le seul payload envoyé à Perplexity (et donc transitant par ces sous-sous-traitants) contient le nom du fonds et son code ISIN. Aucune donnée personnelle vous concernant — votre identité, votre numéro de contrat, la valeur de votre contrat, vos performances — ne transite par Perplexity ni par ses sous-sous-traitants.
Anthropic s'appuie sur ses propres sous-traitants techniques, listés sur anthropic.com/subprocessors. Vercel s'appuie sur AWS, Microsoft Azure, Google Cloud, Datadog, Honeycomb et autres, listés sur security.vercel.com. Supabase s'appuie sur AWS pour l'hébergement de la base de données, parmi d'autres sous-traitants listés sur leur Trust Center. Cloudflare maintient sa liste à jour de sous-traitants sur cloudflare.com/gdpr/subprocessors/.
4. Durées de conservation
| Donnée | Durée |
|---|---|
| Email + mot de passe (Supabase Auth) | Pendant toute la durée de votre compte. Suppression sous 30 jours en cas de demande d'effacement (voir §6). |
| PDF du relevé | Stockage transitoire uniquement. Votre navigateur téléverse le PDF dans un bucket privé chiffré en UE (Supabase, région Paris). Le serveur le télécharge pour l'analyse, puis le supprime immédiatement dès la fin de celle-ci. En cas d'échec ou d'interruption, un balayage automatique supprime tout fichier résiduel sous 24 heures maximum. Le PDF n'est jamais conservé au-delà. Anthropic, de son côté, le supprime sous 30 jours côté infrastructure. |
Résultat de l'analyse (result_json) | Pendant toute la durée de votre compte. Suppression sous 30 jours en cas de demande d'effacement. |
Cache externe du TER d'un fonds (fund_ter_cache) | Conservé sans limite de durée. Ne contient aucune donnée personnelle — seulement un identifiant de fonds (ISIN ou nom normalisé), la valeur de TER trouvée, et l'URL de la source. Ce cache est partagé entre tous les utilisateurs et ne contient aucun lien vers un utilisateur identifiable. |
| Adresse IP (limitation de débit) | 60 secondes en mémoire vive, jamais persistée |
Événements produit (events) | Pendant toute la durée de votre compte. Suppression sous 30 jours en cas de demande d'effacement (cascade via l'identifiant de compte). |
| Logs d'observabilité (Vercel, Supabase) | Selon les politiques de rétention par défaut de Vercel et Supabase (au plus 30 jours pour Vercel ; selon DPA pour Supabase) |
5. Mesures de sécurité
- Chiffrement en transit : toutes les communications client ↔ serveur ↔ sous-traitants utilisent TLS (HTTPS).
- Chiffrement au repos : la base de données Supabase chiffre automatiquement les données stockées (AES-256).
- Cloisonnement utilisateur (Row Level Security) : chaque utilisateur ne peut techniquement accéder qu'à ses propres analyses. Cette règle est appliquée au niveau de la base de données — il n'est pas possible de la contourner depuis l'application.
- Authentification : la gestion des mots de passe est déléguée à Supabase Auth, qui utilise des hachages cryptographiques. Les mots de passe ne sont jamais stockés ni lus en clair.
- Limitation de débit : l'API d'analyse est protégée à 10 requêtes par minute par adresse IP.
- PDF en stockage transitoire chiffré : votre relevé est téléversé dans un bucket privé chiffré (AES-256, UE), analysé, puis supprimé dès la fin de l'analyse. Un balayage automatique garantit la suppression de tout fichier résiduel sous 24 h maximum. Le bucket est privé : aucun accès public, et aucun utilisateur ne peut accéder au fichier d'un autre.
- Aucun entraînement d'IA sur vos données : contractuellement interdit pour Anthropic et Perplexity.
- Cookies fonctionnels uniquement : pas d'analytics tiers, pas de tracking publicitaire.
6. Vos droits (RGPD)
Vous disposez à tout moment des droits suivants sur vos données personnelles :
- Droit d'accès : obtenir une copie de toutes vos données.
- Droit de rectification : corriger toute donnée inexacte.
- Droit à l'effacement (« droit à l'oubli ») : demander la suppression de toutes vos données.
- Droit d'opposition : vous opposer à un traitement reposant sur l'intérêt légitime (ex. statistiques produit).
- Droit à la portabilité : recevoir vos données dans un format structuré et réutilisable (JSON).
- Droit à la limitation : suspendre temporairement le traitement de vos données.
- Droit de définir des directives post-mortem : conformément à l'article 85 de la loi Informatique et Libertés, vous pouvez définir des directives concernant le sort de vos données après votre décès (conservation, effacement, communication à un tiers désigné).
- Droit de réclamation auprès de la CNIL : vous pouvez à tout moment introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (cnil.fr).
Comment exercer ces droits ? Envoyez un email à privacy@n72n.com en précisant la nature de votre demande. Nous y répondons sous 30 jours maximum, conformément à l'article 12 du RGPD.
7. Cookies
N72N n'utilise que des cookies strictement nécessaires au fonctionnement du service. La liste exhaustive (nom technique, émetteur, finalité, durée de conservation) est disponible sur la page Cookies.
Ces cookies sont exemptés du consentement par la CNIL (article 82 de la loi Informatique et Libertés). N72N n'utilise aucun cookie publicitaire, aucun cookie de mesure d'audience tierce, et ne place pas de balises de tracking sur le site.
8. Transferts internationaux de données
Les données techniques applicatives (votre compte, vos analyses) sont hébergées en Union européenne (Supabase, région Paris). Toutefois, certains sous-traitants (Anthropic, Perplexity, Vercel, Cloudflare) sont établis aux États-Unis. Pour ces transferts, N72N s'appuie sur :
- les Clauses Contractuelles Types (« SCC ») de la Commission européenne (décision 2021/914), Modules 2 et 3 selon le rôle du sous-traitant ;
- des engagements contractuels de chiffrement en transit et au repos, de non-entraînement de modèles d'IA sur vos données, et de suppression sous 30 jours.
Vous pouvez obtenir copie des SCC applicables sur simple demande à l'adresse RGPD ci-dessus.
9. Violation de données (« data breach »)
En cas de violation de données susceptible d'engendrer un risque pour vos droits et libertés, N72N notifiera la CNIL dans les 72 heures suivant la prise de connaissance de la violation, et vous informera personnellement dans les meilleurs délais, conformément aux articles 33 et 34 du RGPD.
10. Modification de la politique
La présente politique peut évoluer. Toute modification substantielle vous sera notifiée par email au moins 15 jours avant entrée en vigueur. La version en cours est toujours accessible depuis le pied de page du site.
Les versions précédentes sont archivées et accessibles sur demande.
11. Contact
Pour toute question, exercice de droits, ou réclamation :
- Email :
privacy@n72n.com - Délai de réponse maximum : 30 jours