Politique de confidentialité
Penno est conçu pour avoir besoin du moins de données possible — idéalement aucune. Cette page explique ce que ça veut dire concrètement.
En bref
- On ne collecte pas tes données financières. Transactions, dettes, budgets et catégories restent sur ton appareil — on ne les voit jamais et on ne les reçoit jamais.
- On ne collecte pas tes données personnelles. Pas de nom, pas d’e-mail, pas de téléphone, pas d’adresse, pas de pièce d’identité, pas de localisation précise, pas d’identifiant publicitaire.
- Penno ne demande aucun compte, aucune inscription, aucune connexion. Aucun identifiant utilisateur n’est créé.
- Penno ne se connecte ni à ta banque ni à aucun établissement financier.
- On collecte des statistiques produit anonymes (vues d’écran, taps, parcours) via PostHog pour comprendre comment l’app et le site sont utilisés. Aucune identité associée. Détail complet plus bas.
- Tu supprimes l’app, les données locales partent avec. Les événements analytiques anonymes déjà envoyés ne peuvent pas être reliés à toi.
Ce qu’on collecte
Aucune de tes données financières. Aucune de tes données personnelles.
L’app ne fait aucun appel réseau à propos de tes transactions, dettes,
entrées récurrentes, budgets ou catégories — ce contenu reste sur ton
appareil dans budget-planner.db et ne nous est jamais transmis,
à nous ou à quiconque. On ne demande pas non plus, on ne génère pas et on ne
stocke pas ton nom, ton e-mail, ton numéro de téléphone, ton adresse, ta
date de naissance, une pièce d’identité, une adresse IP, une localisation
précise, ou tout autre identifiant qui permettrait de te reconnaître comme
une personne précise.
Statistiques produit anonymes. Penno utilise PostHog pour collecter des données d’usage agrégées et anonymes — à la fois sur le site (getpenno.com) et dans l’app. Ça nous permet de voir quels écrans sont utilisés, quelles fonctionnalités comptent, et où l’expérience casse. Concrètement :
- Événements : vues d’écran, taps, parcours de navigation, version de l’app, version d’OS, langue, type d’appareil.
- Aucune identité : on n’appelle pas l’API
identifyde PostHog. Aucun profil de personne n’est créé (personProfiles: 'identified_only'). PostHog génère automatiquement un identifiant d’appareil anonyme et aléatoire stocké localement — on ne peut pas le relier à toi, et tu peux le réinitialiser en supprimant l’app. - Aucune donnée perso : pas d’e-mail, pas de nom, pas de numéro de téléphone, pas de localisation précise, pas d’adresse IP conservée de notre côté. PostHog jette l’IP après résolution géographique au niveau du pays.
On n’utilise pas Plaid, Firebase, Mixpanel, Amplitude, Segment, AdMob, Meta Audience Network, ni aucun SDK publicitaire ou de courtage de données. PostHog est le seul collecteur tiers dans le binaire, et son périmètre est celui décrit ci-dessus.
Tu peux vérifier toi-même ce qui sort de l’appareil. Le rapport de
confidentialité d’Apple sur ton appareil montrera des connexions sortantes
vers r.getpenno.com (notre proxy inverse PostHog) et vers les
services Apple — rien d’autre.
Ce qu’on stocke
Tes données de budget — catégories, transactions, entrées récurrentes,
dettes, paiements de dette et réglages — sont stockées localement sur ton
appareil dans un fichier de base SQLite nommé
budget-planner.db. Ce fichier vit dans le conteneur de l’app
Penno sur l’appareil.
Apple iOS inclut automatiquement ce conteneur dans ta sauvegarde iCloud si tu as activé la sauvegarde iCloud sur l’appareil. C’est un comportement d’iOS, pas quelque chose que Penno contrôle. Tu peux exclure Penno de la sauvegarde iCloud dans les réglages iCloud de l’appareil si tu préfères.
Notifications
Penno planifie des notifications locales sur ton appareil — par exemple un rappel la veille d’un prélèvement récurrent, ou une relance pour une dette oubliée. Ces notifications sont planifiées par le système de notifications d’iOS lui-même ; elles ne nécessitent aucun push depuis un serveur.
Si tu autorises les notifications pendant l’onboarding, les seules données en jeu sont le planning local sur ton appareil. Rien n’est transmis à Penno ni à un tiers.
Export et partage
Quand tu choisis d’exporter tes données en CSV ou XLSX via la fonction Exporter dans l’app, le fichier est créé sur ton appareil puis remis à la feuille de partage iOS. À partir de là, c’est toi qui choisis où il va — Fichiers, iCloud Drive, e-mail, AirDrop, ou n’importe quelle autre cible de partage disponible sur l’appareil.
Penno lui-même n’envoie le fichier nulle part. Les données ne quittent l’app que quand tu le décides explicitement via la feuille de partage.
Tiers
On ne vend pas, on ne loue pas et on ne partage pas tes données financières avec qui que ce soit. On ne les a pas ; il n’y a rien à partager.
Les tiers impliqués dans le fonctionnement de Penno sont :
- Apple Inc. — héberge l’app sur l’App Store et opère la plateforme iOS. Régi par la politique de confidentialité d’Apple.
-
PostHog Inc. — reçoit les statistiques produit anonymes
décrites plus haut. Les données sont hébergées sur le cloud US de PostHog
et passent par notre proxy inverse sur
r.getpenno.com. Régi par la politique de confidentialité de PostHog et leur accord de traitement des données.
Cookies et traçage
Le site Penno (getpenno.com) pose un petit nombre de cookies de première partie / d’entrées de stockage local utilisés par PostHog pour (a) relier les événements d’une même session de navigation et (b) éviter de recompter les visiteurs au fil du temps. Ils ne servent pas à la pub et ne sont partagés avec aucun réseau publicitaire. Il n’y a aucun cookie publicitaire tiers, pas de Pixel Facebook, pas de tag Google Ads.
L’app mobile n’utilise aucun identifiant publicitaire (pas d’IDFA, pas d’équivalent). PostHog dans l’app utilise un identifiant d’appareil anonyme et aléatoire stocké dans le sandbox de l’app ; il est réinitialisé quand tu supprimes l’app.
Refuser : sur iOS, tu peux refuser le consentement App
Tracking Transparency et/ou couper les statistiques pour chaque app dans
les réglages iOS. Sur le site, tu peux utiliser les outils du navigateur
(Do Not Track, mode privé, bloqueurs de contenu) pour bloquer les requêtes
vers r.getpenno.com ; le site reste entièrement fonctionnel
sans statistiques.
Enfants
Penno n’est pas destiné aux enfants. On ne collecte sciemment aucune information venant d’enfants. Comme on ne collecte d’information venant de personne, c’est la même règle qui s’applique à chaque utilisateur — il n’y a aucun traitement particulier pour les données d’enfants.
Tes droits
Tes données financières vivent sur ton appareil, entièrement sous ton contrôle. Tu peux :
- Modifier n’importe quelle entrée depuis l’interface de l’app
- Exporter toutes tes données via la fonction Exporter dans l’app
- Supprimer l’app pour effacer toutes les données locales
Pour les statistiques anonymes PostHog décrites plus haut : comme aucune identité n’est associée, on n’a aucun moyen de retrouver « tes » événements côté serveur. Tu peux quand même bloquer les statistiques entièrement :
-
Site : bloque les requêtes vers
r.getpenno.comavec le bloqueur de contenu de ton navigateur, utilise le mode privé/incognito, ou active Do Not Track. - App : refuse App Tracking Transparency au premier lancement (quand on te le demande) et/ou retire le consentement analytics depuis Réglages iOS > Confidentialité et sécurité > Suivi. Supprimer l’app réinitialise l’identifiant d’appareil anonyme.
Si tu penses que les événements de ton appareil devraient être supprimés côté PostHog, écris-nous à l’adresse ci-dessous avec la fenêtre de temps approximative et on enverra une demande de suppression à PostHog. Comme les événements sont anonymes, on ne pourra peut-être pas isoler les tiens, mais on coopérera de bonne foi.
Changements de cette politique
Si on modifie cette politique de manière significative, on mettra à jour cette page et la date d’effet ci-dessus. Les changements significatifs touchent aux pratiques de gestion des données de l’app ; les changements mineurs sont des clarifications ou des corrections de typos.
Contact
Questions sur la confidentialité : [email protected].