Retour au siteCentre légalMentions légalesConfidentialitéCookiesCGUCGVMédiation

Politique de confidentialité

Dernière mise à jour : 17 avril 2026. Cette politique décrit comment Orion collecte, traite et protège vos données personnelles, conformément au Règlement général sur la protection des données (RGPD) et à la loi Informatique et Libertés.

1. Responsable du traitement

OrionSociété par actions simplifiée à associé unique (SASU)

Siège social : 40 Chemin de la Procession, 60300 Aumont-en-Halatte, France

SIREN : 991 076 860

Contact général : contact@myorion.app

Contact données personnelles / DPO : privacy@myorion.app

2. Données collectées

Orion peut traiter les catégories de données suivantes selon les fonctionnalités que vous utilisez :

Données d'identification et de compte

  • Nom, prénom, adresse email, identifiant utilisateur (Auth0) ;
  • Paramètres de compte (plan, profils, devise de référence, préférences) ;
  • Code PIN de profil (stocké sous forme hachée, non récupérable en clair).

Données d'abonnement et de facturation

  • Plan souscrit, historique de facturation, statut de paiement ;
  • Identifiants Stripe (customer ID, subscription ID) ;
  • Preuves de consentement au checkout (version CGV/CGU acceptée, horodatage, IP, user-agent, identifiant session Stripe).

Données financières agrégées

  • Données bancaires synchronisées via Powens : soldes, transactions, libellés marchands (lecture seule, sans stockage de vos identifiants bancaires) ;
  • Données de portefeuilles titres synchronisées via SnapTrade ou Saxo Bank ;
  • Données de portefeuilles de cryptomonnaies (balances, transactions, depuis vos exchanges ou wallets) ;
  • Données immobilières saisies manuellement (adresse, surface, valeur, crédits associés) ;
  • Catégorisations, étiquettes et correctifs manuels apportés par vos soins.

Données techniques et de sécurité

  • Adresses IP, user-agent, type d'appareil, navigateur ;
  • Journaux d'accès et d'activité (logs) ;
  • Sessions authentifiées, jetons de rafraîchissement ;
  • Appareils mémorisés pour la vérification MFA ;
  • Traces techniques d'audit (actions sensibles sur le compte).

Données de consentement cookies

  • Vos choix de consentement (date, action, version de la politique, contexte technique minimal) ;
  • Identifiant visiteur first-party pour restaurer vos préférences sur le même navigateur.

Données liées au parrainage

  • Code de parrainage, statut des filleuls (trial, converti, recompensé), historique des récompenses.

3. Finalités et bases légales

  • Exécution du contrat : fourniture du service, gestion du compte, synchronisation des données, support, facturation, cycle de vie de l'abonnement.
  • Obligations légales : obligations comptables et fiscales, prévention de la fraude, conservation des preuves de consentement contractuel.
  • Intérêt légitime : sécurité du service, prévention des abus, amélioration des algorithmes, détection des anomalies, audit interne, pseudonymisation du classement.
  • Consentement : communications marketing par email, dépôt de cookies non strictement nécessaires.

4. Destinataires et sous-traitants

Selon les fonctionnalités activées, Orion s'appuie sur les sous-traitants et partenaires suivants. Chacun est soumis à des obligations contractuelles de confidentialité et de sécurité :

  • Auth0 (Okta) — authentification, gestion de session, MFA, gestion des devices mémorisés.
  • Stripe — paiement en ligne, gestion de l'abonnement, facturation, webhooks de cycle de vie.
  • Powens — agrégation bancaire en lecture seule, synchronisation des comptes et transactions bancaires.
  • SnapTrade — agrégation et synchronisation des comptes de courtage et portefeuilles titres (actions, ETF).
  • Saxo Bank — connexion directe au compte de courtage Saxo, données de positions et de marché.
  • Exchanges de cryptomonnaies (Binance, Kraken, Coinbase) — si vous connectez votre compte via clés API, vos données de portefeuille sont récupérées via ces services en lecture seule.
  • CoinGecko — données de marché et métadonnées pour les cryptomonnaies (prix, historiques). Aucune donnée personnelle vous concernant n'est transmise.
  • Google Maps (Geocoding API) — géocodage des adresses de vos biens immobiliers (conversion adresse → coordonnées géographiques). Seule l'adresse textuelle est transmise, sans identifiant personnel associé.
  • OpenAI — traitement de certaines transactions par un modèle d'IA pour la catégorisation et la génération d'insights budgétaires. Les données transmises sont anonymisées (libellés de transactions, montants agrégés) et ne contiennent pas d'informations directement identifiantes.
  • Anthropic (Claude) — enrichissement et catégorisation des marchands à partir des libellés de vos transactions bancaires. Les libellés transmis peuvent contenir des informations figurant sur vos relevés (noms de commerçants notamment) ; aucun identifiant de compte ni coordonnée bancaire n'est transmis.
  • Prestataire email (SMTP) — envoi des emails transactionnels et, le cas échéant, des campagnes commerciales.
  • OVHcloud — hébergement de l'infrastructure applicative.

Des données peuvent également être traitées par des réseaux blockchain publics lors du scan d'adresses de wallets. Ces réseaux sont décentralisés et publics par nature ; aucune donnée personnelle n'y est publiée par Orion.

4 bis. Accès internes Orion

Pour assurer le bon fonctionnement du service (support utilisateur, résolution d'incidents, détection de fraude, obligations légales et audit de sécurité), un nombre restreint de membres habilités de l'équipe Orion peut consulter vos données au sein de l'interface d'administration. Ces accès sont encadrés de la manière suivante :

  • Principe du moindre privilège : seuls les membres dont le rôle le requiert (administrateur, support) disposent de droits d'accès, et uniquement à l'étendue nécessaire.
  • Authentification renforcée : toute action sensible (modification d'un compte, de son statut ou de son plan) requiert une vérification supplémentaire (MFA step-up).
  • Journalisation intégrale : chaque consultation et chaque modification effectuée depuis l'interface d'administration est enregistrée (horodatage, identité de l'opérateur, adresse IP, endpoint consulté) et conservée selon les durées applicables aux journaux de sécurité.
  • Engagement de confidentialité : les personnes habilitées sont liées par un engagement de confidentialité et ne peuvent accéder à vos données qu'à des fins strictement nécessaires à la fourniture du service.
  • Pas d'usage secondaire : ces accès ne sont pas utilisés pour des finalités commerciales, de profilage ou de décision automatisée à votre égard.

Vous pouvez, à tout moment, demander à privacy@myorion.app la liste des accès administrateurs ayant concerné votre compte sur une période donnée.

5. Durée de conservation

Les données sont conservées pendant la durée nécessaire à la fourniture du service et au respect des obligations légales, selon le cycle de vie suivant :

  • Base active : données utilisées pour le fonctionnement courant du service, pendant toute la durée du compte actif.
  • Archivage intermédiaire : après fermeture du compte, accès restreint pour satisfaire aux obligations légales et contentieux éventuels.
  • Purge ou anonymisation : en cas de suppression confirmée du compte, les données applicatives sont purgées sous 30 jours maximum, hors conservation légale obligatoire.

Durées spécifiques :

  • Données de facturation : jusqu'à 10 ans (obligations comptables légales) ;
  • Preuves de consentement checkout (acceptation CGV/CGU, renoncement au droit de rétractation) : 10 ans ;
  • Preuves de consentement cookies : 6 mois ;
  • Logs de sécurité et d'audit : selon exigences légales applicables.

La suppression du compte n'entraîne pas l'effacement immédiat de toutes les traces : certaines données peuvent être conservées de manière limitée pour respecter une obligation légale ou défendre des droits en justice.

6. Transferts hors Union européenne

Certains sous-traitants (notamment Auth0/Okta, Stripe, OpenAI, Anthropic, SnapTrade, exchanges de cryptomonnaies) peuvent traiter des données hors Union européenne. Dans ce cas, Orion s'assure que des garanties appropriées sont en place conformément au RGPD : clauses contractuelles types (CCT), décisions d'adéquation, ou mécanismes équivalents.

7. Vos droits

Conformément au RGPD et à la loi Informatique et Libertés, vous disposez des droits suivants :

  • Accès : obtenir une copie de vos données ;
  • Rectification : corriger des données inexactes ;
  • Effacement : demander la suppression de vos données (sous réserve des obligations légales) ;
  • Limitation : restreindre un traitement en cours de contestation ;
  • Opposition : vous opposer à un traitement fondé sur l'intérêt légitime ;
  • Portabilité : recevoir vos données dans un format structuré et lisible.

Pour exercer vos droits, écrivez à privacy@myorion.app. Orion répond dans un délai d'un mois, sauf prolongation légalement autorisée.

Vous pouvez à tout moment exporter une copie de vos données depuis les paramètres de votre compte ou en adressant une demande à contact@myorion.app.

Vous pouvez également introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés) si vous estimez que vos droits n'ont pas été respectés.

8. Sécurité

Orion met en œuvre des mesures techniques et organisationnelles adaptées pour protéger vos données contre la perte, l'accès non autorisé, l'altération ou la divulgation :

  • Chiffrement des données en transit (HTTPS/TLS) ;
  • Authentification renforcée (Auth0, MFA disponible) ;
  • Journalisation des accès et actions sensibles ;
  • Isolation des données entre profils et entre utilisateurs ;
  • Accès restreint aux données en interne selon le principe du moindre privilège.

En cas de violation de données susceptible d'engendrer un risque élevé pour vos droits et libertés, Orion s'engage à vous en notifier dans les délais prévus par le RGPD.