0%
Mentions légales

Politique de confidentialité

Date d'entrée en vigueur : 16 mai 2026 | Dernière mise à jour : 16 mai 2026

LumiFin SAS — 50 rue Anatole France, 92290 Châtenay-Malabry, France

https://lumifin.io

1. Responsable du traitement

LumiFin SAS (« LumiFin », « nous ») est le responsable du traitement des données décrites dans la présente politique de confidentialité. Adresse : 50 rue Anatole France, 92290 Châtenay-Malabry, France. E-mail : privacy@lumifin.io.

Notre partenaire de paiement, Trans-Fi Inc. (« Transfi »), agit en tant que responsable de traitement indépendant pour les données personnelles qu'il traite afin de fournir les services de paiement (garde, change, règlement, conformité). La politique de confidentialité de Transfi est disponible à l'adresse https://www.transfi.com/privacy-policy.

2. Données que nous collectons

2.1 Données que vous nous fournissez

  • Création de compte : nom complet, adresse e-mail, numéro de téléphone, date de naissance, nationalité, adresse de résidence.
  • Vérification d'identité (KYC) : pièce d'identité officielle (passeport, carte nationale d'identité ou permis de conduire), selfie ou contrôle de vivacité.
  • Informations financières : IBAN de votre compte bancaire SEPA.

2.2 Données générées lors de l'utilisation

  • Données de transaction : montants, dates, devises, identifiants de commerçants, taux de change, historique du solde du portefeuille.
  • Données techniques : modèle d'appareil, version du système d'exploitation, version de l'application, adresse IP, identifiants d'appareil, jetons de notifications push.
  • Données d'utilisation : écrans consultés, fonctionnalités utilisées, durée des sessions (collectées via Firebase Analytics).

2.3 Données provenant de tiers

Résultats de vérification d'identité de notre prestataire KYC ; données de confirmation de paiement provenant de Transfi ; informations relatives au compte issues de l'Open Banking via notre prestataire d'initiation de paiement (limitées à la vérification de l'IBAN).

3. Finalités et bases légales

Nous traitons vos données personnelles aux finalités et sur les bases légales suivantes au titre de l'article 6 du RGPD :

  • Exécution du contrat (art. 6, §1, b) : création et gestion de votre compte ; traitement des transactions ; affichage du solde et de l'historique ; communications relatives à votre compte et à vos transactions ; service client.
  • Obligations légales (art. 6, §1, c) : vérification d'identité et conformité KYC/LCB-FT (Code monétaire et financier, art. L561-12) ; réponse aux demandes légitimes des autorités ; conservation des registres requis par la loi.
  • Intérêts légitimes (art. 6, §1, f) : prévention de la fraude et sécurisation de l'application ; amélioration de nos services et de l'expérience utilisateur ; analyses et rapports de plantage (via Firebase Analytics et Firebase Crashlytics) ; mise en œuvre de nos conditions générales d'utilisation.
  • Consentement (art. 6, §1, a) : communications marketing (consentement révocable à tout moment) ; communications de co-marketing optionnelles de la part de LumiFin et Transfi (opt-in uniquement).

4. Partage des données

Nous ne partageons vos données personnelles que lorsque cela est nécessaire, et avec des garanties appropriées :

  • Partenaire de paiement (Transfi) : nous transmettons vos données d'identité, financières et de transaction à Transfi pour qu'il fournisse les services de paiement. Transfi traite ces données en tant que responsable de traitement indépendant, selon sa propre politique de confidentialité et ses propres bases légales.
  • Prestataires de services : nous faisons appel à des sous-traitants tiers pour la vérification d'identité, l'analyse (Firebase), les rapports de plantage (Firebase Crashlytics), l'hébergement cloud, l'initiation de paiement Open Banking et les outils de support client. Ces sous-traitants agissent sur nos instructions dans le cadre d'accords de traitement de données (DPA) conformes au RGPD.
  • Obligations légales : nous pouvons divulguer des données aux autorités lorsque la loi, la réglementation ou une décision de justice l'exige.

Nous ne vendons pas vos données personnelles. Nous n'utilisons pas vos données pour des décisions automatisées ou du profilage produisant des effets juridiques.

5. Transferts internationaux

Certains de nos prestataires ainsi que Transfi opèrent en dehors de l'UE/EEE. Lorsque des données personnelles sont transférées à l'international, nous assurons un niveau de protection adéquat au moyen : de décisions d'adéquation de l'UE (le cas échéant) ; de clauses contractuelles types (CCT) approuvées par la Commission européenne ; du cadre UE-États-Unis pour la protection des données (Data Privacy Framework, pour les sous-traitants américains certifiés DPF).

Vous pouvez demander une copie des garanties applicables à ces transferts en écrivant à privacy@lumifin.io.

6. Durées de conservation

Nous ne conservons vos données que pendant la durée nécessaire aux finalités décrites :

  • Données de compte : conservées tant que votre compte est actif, puis 30 jours supplémentaires après sa clôture pour la gestion des litiges.
  • Documents d'identité (KYC) : 5 ans à compter de la fin de la relation, conformément à la législation française LCB-FT (art. L561-12 du Code monétaire et financier).
  • Registres de transactions : 5 à 10 ans selon les obligations légales applicables (fiscalité, LCB-FT, comptabilité).
  • Journaux de sécurité : jusqu'à 24 mois à des fins de prévention de la fraude et d'investigation d'incidents.
  • Données analytiques : 14 mois (durée de conservation par défaut de Firebase Analytics).
  • Liste d'opposition marketing : conservée sans durée limite afin de respecter votre opposition.

À l'issue de la durée de conservation applicable, les données sont supprimées de manière sécurisée ou anonymisées.

7. Vos droits

Au titre du RGPD, vous disposez des droits suivants sur vos données personnelles :

Droit d'accès (art. 15) : obtenir une copie de vos données. Droit de rectification (art. 16) : corriger des données inexactes. Droit à l'effacement (art. 17) : demander la suppression (sous réserve des obligations légales de conservation). Droit à la limitation (art. 18) : limiter le traitement dans certaines circonstances. Droit à la portabilité (art. 20) : recevoir vos données dans un format lisible par machine. Droit d'opposition (art. 21) : vous opposer aux traitements fondés sur l'intérêt légitime. Droit de retrait du consentement (art. 7, §3) : retirer votre consentement à tout moment, sans effet sur les traitements antérieurs.

Pour exercer vos droits, écrivez à privacy@lumifin.io en indiquant vos nom et prénom ainsi que le droit que vous souhaitez exercer. Nous vous répondrons dans un délai de 30 jours (prorogeable de 60 jours pour les demandes complexes, avec notification). Une vérification d'identité pourra vous être demandée avant le traitement de votre demande.

Pour les données détenues par Transfi en tant que responsable de traitement indépendant, veuillez également contacter Transfi directement à privacy@transfi.com.

Si vous estimez que notre réponse n'est pas satisfaisante, vous pouvez introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés) à l'adresse https://www.cnil.fr ou de l'autorité de contrôle de votre pays.

8. Sécurité

Nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données, notamment : chiffrement en transit (TLS 1.2+) et au repos ; contrôles d'accès et principe du moindre privilège ; authentification sécurisée (mPIN, biométrie) ; évaluations de sécurité régulières ; procédures de réponse aux incidents.

Aucun système n'est parfaitement sûr. En cas de violation de données présentant un risque élevé pour vos droits, nous vous en informerons, ainsi que l'autorité de contrôle compétente, conformément aux articles 33 et 34 du RGPD.

9. Mineurs

L'application n'est pas destinée aux personnes de moins de 18 ans. Nous ne collectons pas sciemment de données concernant des mineurs. Si nous découvrons qu'un mineur a créé un compte, nous le clôturerons et supprimerons les données dans les meilleurs délais.

10. Cookies et traceurs

L'application Lumi n'utilise pas de cookies (il s'agit d'une application mobile). Nous utilisons les SDK Firebase Analytics et Firebase Crashlytics pour l'analyse d'usage et le suivi des plantages. Vous pouvez désactiver la collecte analytique dans les paramètres de l'application. Notre site web (lumifin.io) n'utilise que des cookies strictement nécessaires ne requérant pas de consentement.

11. Modifications de la présente politique

Nous pouvons mettre à jour la présente politique de confidentialité de temps à autre. Toute modification substantielle vous sera notifiée via l'application ou par e-mail au moins 30 jours avant sa prise d'effet. La date « Dernière mise à jour » en tête de document indique la version en vigueur. L'utilisation continue de l'application après la date d'entrée en vigueur vaut acceptation de la politique mise à jour.

12. Contact

Pour toute question relative à la confidentialité ou à l'exercice de vos droits :

LumiFin SAS — 50 rue Anatole France, 92290 Châtenay-Malabry, France

E-mail : privacy@lumifin.io | Site web : https://lumifin.io

— Fin de la politique de confidentialité —