Conforme à la LPRPDE

Politique de confidentialité

Voici la version longue et juridique. Lisez d'abord le résumé en français clair ci-dessous — il couvre ce que la plupart des gens veulent vraiment savoir.

Résumé en français clair

Le texte juridique ci-dessous est détaillé parce que la loi canadienne sur la vie privée (LPRPDE + Loi 25 du Québec) l'exige. Mais voici l'essentiel :

  • Nous collectons ce dont nous avons besoin pour vous montrer vos finances — et rien d'autre.
  • Nous nous connectons à vos comptes via Plaid et SnapTrade. Lecture seule. Aucun mouvement d'argent.
  • Nous ne vendons pas vos données. Jamais.
  • Vos données sont stockées au Canada (Google Cloud Montréal) et respectent la LPRPDE et la Loi 25 du Québec.
  • Vous pouvez exporter ou supprimer vos données à tout moment depuis les Paramètres. La suppression est permanente sous 30 jours.
  • Notre responsable de la vie privée est Laurent Risser — laurent.risser@mozaicfinance.com. Vraie personne, réponses personnelles.
🔒 Pour les détails de sécurité (chiffrement, hébergement, audit), consultez notre page Sécurité →

1. Identité et coordonnées

Mozaic Finance s'engage à protéger votre vie privée. Cette politique de confidentialité explique comment nous collectons, utilisons, divulguons et protégeons vos informations.

Organisation : Mozaic Finance

Responsable de la protection des renseignements personnels (conformément à la Loi 25 du Québec et à la LPRPDE) :
Laurent Risser
Courriel : laurent.risser@mozaicfinance.com

Le responsable de la protection des renseignements personnels est chargé d'assurer la conformité avec la législation sur la vie privée, de traiter les demandes relatives à la vie privée et de superviser la protection de vos renseignements personnels. Pour toute question ou préoccupation relative à la vie privée, veuillez contacter directement notre responsable.

2. Informations que nous collectons

Nous collectons les types d'informations personnelles suivants :

Informations de compte :

  • Adresse courriel (via votre connexion Google avec Google Cloud Identity Platform)
  • Nom et photo de profil
  • Préférences et paramètres utilisateur

Données financières :

  • Soldes de comptes et avoirs (des institutions connectées)
  • Historique des transactions
  • Positions d'investissement et données de portefeuille

Données techniques :

  • Type et version du navigateur
  • Informations sur l'appareil
  • Habitudes d'utilisation et analyses

Nous collectons les informations directement auprès de vous lorsque vous créez un compte et connectez vos institutions financières via nos partenaires tiers (Plaid et SnapTrade). Nous ne recevons ni ne stockons jamais votre mot de passe bancaire ou de courtage — vos identifiants vont directement de vous à votre institution financière via ces partenaires.

3. Comment nous utilisons vos informations

Nous utilisons vos informations personnelles pour :

  • Fournir et maintenir notre service de tableau de bord financier
  • Agréger et afficher vos données financières
  • Générer des analyses sur vos finances
  • Améliorer nos services et l'expérience utilisateur
  • Envoyer des communications liées au service
  • Respecter les obligations légales

Nous ne vendons pas vos informations personnelles à des tiers.

4. Partage et divulgation des informations

Nous partageons vos informations avec les tiers suivants :

Fournisseurs de données financières :

  • Plaid Technologies Inc. (États-Unis) - Connexion de vos comptes bancaires (lecture seule)
  • SnapTrade Inc. (Canada) - Connexion de vos comptes de courtage (lecture seule)

Fournisseurs de services :

  • Stripe, Inc. (États-Unis) - Facturation des abonnements et traitement des paiements (courriel, nom et métadonnées de facturation uniquement)
  • Resend (États-Unis) - Livraison des courriels transactionnels et de notification
  • Google Cloud et Google Identity Platform (États-Unis et autres régions) - Authentification, hébergement de l'application et infrastructure

Ces fournisseurs agissent à titre de sous-traitants : ils sont liés par leurs propres engagements de confidentialité et certifications de sécurité, et ne reçoivent que les renseignements personnels nécessaires à leur fonction précise.

Transferts transfrontaliers :
Vos données principales — y compris vos renseignements financiers — sont stockées au Canada (Google Cloud, région de Montréal / northamerica-northeast1). Certains des fournisseurs de services ci-dessus traitent un nombre limité de renseignements personnels aux États-Unis : Plaid (données de connexion bancaire), Stripe (courriel et métadonnées de facturation), Resend (livraison de courriels) et Google (authentification et infrastructure). Nous avons évalué ces transferts transfrontaliers en vertu de la Loi 25 du Québec (art. 17) et de la LPRPDE : nous limitons les renseignements personnels communiqués à chaque fournisseur, les protégeons par chiffrement en transit (HTTPS/TLS) et nous appuyons sur les conditions de protection des données et les certifications de sécurité de chaque fournisseur. Communiquez avec notre responsable de la protection des renseignements personnels pour en savoir plus sur ces transferts.

Nous pouvons également divulguer des informations lorsque la loi l'exige ou pour protéger nos droits et notre sécurité.

5. Consentement

En utilisant Mozaic Finance, vous consentez à la collecte, à l'utilisation et à la divulgation de vos informations personnelles comme décrit dans cette politique de confidentialité.

Vous pouvez retirer votre consentement à tout moment en :

  • Déconnectant vos comptes financiers
  • Supprimant votre compte via les paramètres Confidentialité et données
  • Nous contactant à laurent.risser@mozaicfinance.com

Le retrait du consentement peut affecter votre capacité à utiliser certaines fonctionnalités de notre service.

6. Accès et correction

Vous avez le droit de :

Accéder à vos informations :

  • Voir toutes les données que nous avons collectées à votre sujet
  • Exporter vos données dans un format portable

Corriger vos informations :

  • Mettre à jour les paramètres de votre compte
  • Demander des corrections aux données inexactes

Pour exercer ces droits, visitez la section Confidentialité et données dans les paramètres de votre compte ou contactez-nous à laurent.risser@mozaicfinance.com.

Nous répondons aux demandes d'accès, de correction et de suppression dans un délai de 30 jours, conformément à la Loi 25 du Québec.

7. Conservation des données

Nous conservons vos informations personnelles tant que votre compte est actif ou selon les besoins pour vous fournir des services.

Après la suppression du compte :

  • Vos données seront définitivement supprimées dans les 30 jours
  • Vous disposez d'un délai de grâce pour annuler la suppression
  • Les registres de transactions peuvent être conservés jusqu'à 7 ans afin de respecter les obligations canadiennes de tenue de livres financiers (Loi de l'impôt sur le revenu et législation provinciale applicable)

Les données de transactions financières sont actualisées régulièrement et les données plus anciennes peuvent être archivées ou supprimées selon nos politiques de conservation.

8. Mesures de sécurité

Nous utilisons les mesures de sécurité suivantes pour protéger vos informations. Nous avons gardé le langage exact plutôt qu'aspirationnel — si une affirmation n'est pas vraie, elle n'est pas ici.

Chiffrement en transit :

  • Tout le trafic vers Mozaic utilise HTTPS (TLS 1.2 ou supérieur ; TLS 1.3 supporté), terminé par Google Cloud Run
  • HSTS est imposé avec un max-age d'un an, donc les navigateurs refusent toute dégradation vers des connexions non sécurisées

Chiffrement au repos :

  • Les champs sensibles dans notre base de données (comme les jetons d'accès qui font le lien avec votre banque ou courtier, ainsi que les noms de commerçants, les descriptions et les lieux des transactions) sont chiffrés au niveau applicatif via Fernet (AES-128-CBC avec authentification HMAC-SHA256)
  • Le stockage de la base de données sous-jacent est également chiffré par Google Cloud SQL

Authentification :

  • La connexion est gérée par Google Cloud Identity Platform (Firebase Authentication). Aujourd'hui, seule la connexion Google est prise en charge ; la connexion par courriel/mot de passe et la connexion Apple figurent à notre feuille de route pour les utilisateurs qui n'ont pas ou ne souhaitent pas utiliser un compte Google.
  • Votre navigateur reçoit un jeton ID Firebase de courte durée que le backend re-vérifie à chaque requête contre les clés publiques de Google. La durée de vie, le rafraîchissement et la révocation des jetons sont gérés par Identity Platform.
  • Authentification à deux facteurs (2FA) optionnelle via une application TOTP

Infrastructure :

  • Nous fonctionnons sur Google Cloud Run + Cloud SQL dans la région northamerica-northeast1 (Montréal)
  • Google Cloud est certifié SOC 2 Type II et ISO 27001 — cela décrit notre infrastructure d'hébergement ; Mozaic n'est pas certifié SOC 2 séparément, et nous n'avons pas encore commandé de test d'intrusion externe formel. Nous mettrons à jour cette page lorsque ce sera fait.

Surveillance continue :

  • Chaque modification de code est automatiquement analysée pour les vulnérabilités (analyse statique Bandit) et les dépendances connues comme malveillantes (pip-audit) avant de pouvoir être fusionnée
  • Journalisation côté serveur des événements de sécurité d'intégration et Google Cloud Monitoring pour la détection d'anomalies
  • Une limitation de débit par endpoint est appliquée pour prévenir les abus

Ce que nous ne stockons jamais :

  • Nous ne recevons ni ne stockons jamais votre mot de passe bancaire ou de courtage. Lorsque vous connectez un compte, vous vous connectez directement à cette institution via Plaid ou SnapTrade. Nous recevons uniquement un jeton d'accès opaque, que nous chiffrons avant de le stocker.
  • Nos connexions sont en lecture seule — nous n'avons aucune permission pour déplacer de l'argent ou passer des ordres, même si notre système était compromis.

9. Modifications de cette politique

Nous pouvons mettre à jour cette politique de confidentialité de temps à autre. Un « changement important » désigne tout changement affectant la collecte, l'utilisation, le partage ou la conservation de vos données personnelles.

Nous vous informerons de tout changement important en :

  • Publiant la nouvelle politique de confidentialité sur cette page
  • Mettant à jour la date de « Dernière mise à jour »
  • Envoyant une notification par courriel pour les changements importants

Nous vous encourageons à consulter périodiquement cette politique de confidentialité pour tout changement.

10. Traitement des données de préférence linguistique

Lorsque vous sélectionnez une préférence linguistique, nous la stockons localement dans votre navigateur. Votre préférence linguistique n'est pas transmise à nos serveurs ni partagée avec des tiers.

Dernière mise à jour : mai 2026

Gérer vos données

Accédez, exportez ou supprimez vos données personnelles à tout moment. laurent.risser@mozaicfinance.com