Politique de confidentialité
Penno est conçu pour avoir besoin du moins de données possible — idéalement aucune. Cette page explique ce que ça veut dire concrètement.
En bref
- On ne collecte pas tes données financières. Transactions, dettes, budgets et catégories restent sur ton appareil — on ne voit jamais et on ne reçoit jamais tes transactions individuelles.
- On ne collecte pas tes données personnelles. Pas de nom, pas d’e-mail, pas de téléphone, pas d’adresse, pas de pièce d’identité, pas de localisation précise, pas d’identifiant publicitaire.
- Penno ne demande aucun compte, aucune inscription, aucune connexion. Aucun identifiant utilisateur n’est créé.
- Penno ne se connecte ni à ta banque ni à aucun établissement financier.
- Une seule exception, optionnelle : Analyses IA (une fonction Pro, désactivée par défaut) envoie les totaux par catégorie agrégés du mois — jamais les transactions individuelles — à notre fournisseur d’IA, et uniquement quand tu l’actives. Détail plus bas.
- On collecte des statistiques produit anonymes (vues d’écran, taps, parcours) via PostHog pour comprendre comment l’app et le site sont utilisés. Aucune identité associée. Détail complet plus bas.
- Tu supprimes l’app, les données locales partent avec ; si tu as enregistré une sauvegarde iCloud, elle reste dans ton propre iCloud jusqu’à ce que tu la supprimes là. Les événements analytiques anonymes déjà envoyés ne peuvent pas être reliés à toi.
Ce qu’on collecte
Aucune de tes données financières. Aucune de tes données personnelles.
En dehors de la fonction optionnelle Analyses IA décrite plus bas, l’app ne
fait aucun appel réseau à propos de tes transactions, dettes, entrées
récurrentes, budgets ou catégories — ce contenu reste sur ton appareil dans
budget-planner.db. Tes transactions individuelles ne sont jamais
transmises, à nous ou à quiconque. On ne demande pas non plus, on ne génère pas et on ne
stocke pas ton nom, ton e-mail, ton numéro de téléphone, ton adresse, ta
date de naissance, une pièce d’identité, une adresse IP, une localisation
précise, ou tout autre identifiant qui permettrait de te reconnaître comme
une personne précise.
Statistiques produit anonymes. Penno utilise PostHog pour collecter des données d’usage agrégées et anonymes — à la fois sur le site (getpenno.com) et dans l’app. Ça nous permet de voir quels écrans sont utilisés, quelles fonctionnalités comptent, et où l’expérience casse. Concrètement :
- Événements : vues d’écran, taps, parcours de navigation, version de l’app, version d’OS, langue, type d’appareil.
- Aucune identité : on n’appelle pas l’API
identifyde PostHog. Aucun profil de personne n’est créé (personProfiles: 'identified_only'). PostHog génère automatiquement un identifiant d’appareil anonyme et aléatoire stocké localement — on ne peut pas le relier à toi, et tu peux le réinitialiser en supprimant l’app. - Aucune donnée perso : pas d’e-mail, pas de nom, pas de numéro de téléphone, pas de localisation précise, pas d’adresse IP conservée de notre côté. PostHog jette l’IP après résolution géographique au niveau du pays.
On n’utilise pas Plaid, Firebase, Mixpanel, Amplitude, Segment, AdMob, Meta Audience Network, ni aucun SDK publicitaire ou de courtage de données. PostHog est le seul collecteur tiers dans le binaire, et son périmètre est celui décrit ci-dessus.
Tu peux vérifier toi-même ce qui sort de l’appareil. Le rapport de
confidentialité d’Apple sur ton appareil montrera des connexions sortantes
vers r.getpenno.com (notre proxy inverse PostHog), vers
ai.getpenno.com uniquement si tu utilises Analyses IA, et vers les
services Apple — rien d’autre.
Analyses IA (optionnel)
Analyses IA est une fonction optionnelle incluse avec le déblocage unique Penno Pro. Elle reste désactivée tant que tu ne l’ouvres pas, et la première fois que tu la lances, Penno te demande ton consentement explicite. Si tu ne l’actives jamais, rien dans cette section ne s’applique et aucune donnée financière ne quitte ton appareil.
Quand tu appuies sur « Analyser ce mois-ci » et que tu acceptes l’invite, Penno envoie un résumé du mois sélectionné à notre fournisseur d’IA pour générer les analyses rédigées :
- Ce qui est envoyé : les totaux de dépenses et de budget par catégorie pour le mois, tes totaux du mois (dépensé, budgété, revenus), le total dépensé du mois précédent, ainsi que les noms et montants de tes éléments récurrents actifs.
- Ce qui n’est jamais envoyé : tes transactions individuelles, leurs notes, leurs dates ou tout détail ligne par ligne — uniquement les chiffres agrégés ci-dessus.
- Comment ça circule : la requête passe par notre propre proxy sur
ai.getpenno.com, qui la transmet à l’API Gemini de Google pour générer cette seule réponse. Elle n’est pas stockée par nous, et ta requête est envoyée sans aucun nom, e-mail ou identifiant de compte. - Aucun contenu dans les statistiques : on enregistre seulement des métadonnées opérationnelles anonymes sur chaque requête (modèle d’IA, nombre de jetons, coût, latence, succès ou échec) dans PostHog — jamais les chiffres envoyés ni l’analyse renvoyée.
Les analyses générées par l’IA sont fournies à titre informatif uniquement et ne constituent pas un conseil financier.
Ce qu’on stocke
Tes données de budget — catégories, transactions, entrées récurrentes,
dettes, paiements de dette et réglages — sont stockées localement sur ton
appareil dans un fichier de base SQLite nommé
budget-planner.db. Ce fichier vit dans le conteneur de l’app
Penno sur l’appareil.
Apple iOS inclut automatiquement ce conteneur dans ta sauvegarde iCloud si tu as activé la sauvegarde iCloud sur l’appareil. C’est un comportement d’iOS, pas quelque chose que Penno contrôle. Tu peux exclure Penno de la sauvegarde iCloud dans les réglages iCloud de l’appareil si tu préfères.
Séparément, Penno propose une sauvegarde iCloud optionnelle que tu contrôles. Quand tu l’actives dans Réglages → iCloud et que tu appuies sur Sauvegarder, Penno enregistre un seul fichier de sauvegarde dans ton propre compte iCloud ; appuyer sur Restaurer le ramène. Ce sont deux actions manuelles que tu déclenches toi-même — il n’y a aucun envoi automatique ni en arrière-plan. Le fichier de sauvegarde vit uniquement dans ton propre iCloud ; Penno ne le reçoit jamais et ne peut pas le lire, et tu peux le supprimer de ton iCloud à tout moment.
Notifications
Penno planifie des notifications locales sur ton appareil — par exemple un rappel la veille d’un prélèvement récurrent, ou une relance pour une dette oubliée. Ces notifications sont planifiées par le système de notifications d’iOS lui-même ; elles ne nécessitent aucun push depuis un serveur.
Si tu autorises les notifications pendant l’onboarding, les seules données en jeu sont le planning local sur ton appareil. Rien n’est transmis à Penno ni à un tiers.
Export et partage
Quand tu choisis d’exporter tes données en CSV ou XLSX via la fonction Exporter dans l’app, le fichier est créé sur ton appareil puis remis à la feuille de partage iOS. À partir de là, c’est toi qui choisis où il va — Fichiers, iCloud Drive, e-mail, AirDrop, ou n’importe quelle autre cible de partage disponible sur l’appareil.
Penno lui-même n’envoie le fichier nulle part. Les données ne quittent l’app que quand tu le décides explicitement via la feuille de partage.
Tiers
On ne vend pas, on ne loue pas et on ne partage pas tes données financières avec qui que ce soit. On ne les a pas ; il n’y a rien à partager.
Les tiers impliqués dans le fonctionnement de Penno sont :
- Apple Inc. — héberge l’app sur l’App Store et opère la plateforme iOS. Régi par la politique de confidentialité d’Apple.
-
PostHog Inc. — reçoit les statistiques produit anonymes
décrites plus haut. Les données sont hébergées sur le cloud US de PostHog
et passent par notre proxy inverse sur
r.getpenno.com. Régi par la politique de confidentialité de PostHog et leur accord de traitement des données. - RevenueCat, Inc. — traite l’achat intégré unique. Reçoit le reçu d’achat de l’App Store et un identifiant utilisateur anonyme et aléatoire qu’il génère (ni nom, ni e-mail, ni donnée financière) afin que ton déblocage puisse être validé et restauré. Régi par la politique de confidentialité de RevenueCat.
- Google LLC — fournit le modèle d’IA Gemini derrière la fonction optionnelle Analyses IA. Uniquement quand tu utilises cette fonction, le résumé mensuel agrégé décrit plus haut est envoyé à l’API Gemini de Google via notre proxy pour générer la réponse. Régi par la politique de confidentialité de Google et les conditions de l’API Gemini.
Cookies et traçage
Le site Penno (getpenno.com) pose un petit nombre de cookies de première partie / d’entrées de stockage local utilisés par PostHog pour (a) relier les événements d’une même session de navigation et (b) éviter de recompter les visiteurs au fil du temps. Ils ne servent pas à la pub et ne sont partagés avec aucun réseau publicitaire. Il n’y a aucun cookie publicitaire tiers, pas de Pixel Facebook, pas de tag Google Ads.
L’app mobile n’utilise aucun identifiant publicitaire (pas d’IDFA, pas d’équivalent). PostHog dans l’app utilise un identifiant d’appareil anonyme et aléatoire stocké dans le sandbox de l’app ; il est réinitialisé quand tu supprimes l’app.
Refuser : l’app n’utilise aucun identifiant publicitaire,
donc il n’y a aucune invite App Tracking Transparency et Penno n’apparaît
pas dans Réglages iOS > Confidentialité et sécurité > Suivi. Pour
arrêter les statistiques anonymes de l’app, supprime-la — ça efface
l’identifiant d’appareil anonyme stocké localement. Sur le site, tu peux
utiliser les outils du navigateur (Do Not Track, mode privé, bloqueurs de
contenu) pour bloquer les requêtes vers r.getpenno.com ; le
site reste entièrement fonctionnel sans statistiques.
Enfants
Penno n’est pas destiné aux enfants. On ne collecte sciemment aucune information venant d’enfants. Comme on ne collecte d’information venant de personne, c’est la même règle qui s’applique à chaque utilisateur — il n’y a aucun traitement particulier pour les données d’enfants.
Tes droits
Tes données financières vivent sur ton appareil, entièrement sous ton contrôle. Tu peux :
- Modifier n’importe quelle entrée depuis l’interface de l’app
- Exporter toutes tes données via la fonction Exporter dans l’app
- Supprimer l’app pour effacer toutes les données locales
Pour les statistiques anonymes PostHog décrites plus haut : comme aucune identité n’est associée, on n’a aucun moyen de retrouver « tes » événements côté serveur. Tu peux quand même bloquer les statistiques entièrement :
-
Site : bloque les requêtes vers
r.getpenno.comavec le bloqueur de contenu de ton navigateur, utilise le mode privé/incognito, ou active Do Not Track. - App : l’app n’affiche aucune invite de suivi et n’utilise aucun identifiant publicitaire, donc elle n’apparaît pas dans Réglages iOS > Confidentialité et sécurité > Suivi. Pour arrêter les statistiques depuis l’app, supprime-la — ça efface l’identifiant d’appareil anonyme stocké localement.
Si tu penses que les événements de ton appareil devraient être supprimés côté PostHog, écris-nous à l’adresse ci-dessous avec la fenêtre de temps approximative et on enverra une demande de suppression à PostHog. Comme les événements sont anonymes, on ne pourra peut-être pas isoler les tiens, mais on coopérera de bonne foi.
Changements de cette politique
Si on modifie cette politique de manière significative, on mettra à jour cette page et la date d’effet ci-dessus. Les changements significatifs touchent aux pratiques de gestion des données de l’app ; les changements mineurs sont des clarifications ou des corrections de typos.
Contact
Questions sur la confidentialité : [email protected].