Comment Gestyo accède-t-il à mes comptes bancaires ?

Gestyo utilise Powens, le leader européen de l'agrégation bancaire, agréé par l'ACPR. Vos identifiants bancaires ne sont jamais stockés sur nos serveurs. L'accès est strictement en lecture seule : aucun virement ni opération n'est possible.

Est-ce que Gestyo est gratuit ?

Oui, le plan Découverte est entièrement gratuit et vous permet de connecter 1 compte bancaire et 1 portefeuille crypto. Pour des connexions illimitées et des analyses avancées, le plan Investisseur est disponible à 9,99 €/mois.

Quelles banques sont compatibles ?

Grâce à Powens, Gestyo est compatible avec plus de 300 banques et courtiers en France et en Europe : Boursorama, Crédit Agricole, BNP Paribas, Société Générale, Fortuneo, Degiro, Trade Republic, et bien d'autres.

Mes données sont-elles en sécurité ?

Absolument. Nous utilisons un chiffrement AES-256, vos données sont hébergées en France, et nous sommes conformes au RGPD. Nous n'avons qu'un accès en lecture seule à vos comptes.

Comment fonctionne la synchronisation ?

Vos comptes sont synchronisés automatiquement toutes les 2 heures. Les soldes, transactions et positions d'investissement sont mis à jour sans aucune intervention de votre part. Vous pouvez également lancer une synchronisation manuelle à tout moment.

Politique de confidentialité

Dernière mise à jour : 25 février 2026

1. Introduction

Gestyo (ci-après "nous", "notre" ou "la Plateforme") s'engage à protéger la vie privée de ses utilisateurs. Cette politique de confidentialité explique comment nous collectons, utilisons, stockons et protégeons vos informations personnelles lorsque vous utilisez notre plateforme de gestion de patrimoine.

En utilisant Gestyo, vous acceptez les pratiques décrites dans cette politique de confidentialité.

2. Responsable du traitement

Le responsable du traitement des données est :

Raison sociale : Thomas Calmettes, Micro-entreprise
Adresse : 1 Clos des Tulipiers, 31470 Fontenilles, France
Email de contact : contact@gestyo.fr
Téléphone : 06 35 18 06 75

3. Données collectées

Nous collectons les catégories de données suivantes :

3.1 Données d'identification

Nom et prénom
Adresse email
Mot de passe (hashé via scrypt, jamais stocké en clair)
Photo de profil (si fournie via OAuth Google)

3.2 Données financières

Informations de comptes bancaires (via agrégation Powens — accès lecture seule)
Soldes et transactions bancaires
Positions d'investissement (actions, ETF, fonds, PEA, assurance-vie, CTO)
Adresses de portefeuilles crypto-monnaies (si connectés — données publiques blockchain)

Important : Nous ne stockons jamais vos identifiants bancaires. L'authentification est gérée directement par Powens, établissement de paiement agréé par l'ACPR.

3.3 Données techniques

Adresse IP (pour la sécurité du compte uniquement)
Type de navigateur et appareil
Cookies et identifiants de session

3.4 Données de paiement

Identifiant client Stripe (en cas d'abonnement payant)
Informations de facturation gérées par Stripe (nous ne stockons jamais vos numéros de carte)

4. Finalités du traitement

Vos données sont utilisées pour :

Fourniture du service : Agréger vos comptes, afficher vos soldes, transactions et performances
Authentification : Sécuriser l'accès à votre compte
Communication transactionnelle : Emails de bienvenue, vérification d'email, alerte de synchronisation, récapitulatif mensuel
Sécurité : Détecter et prévenir les fraudes et accès non autorisés
Amélioration du service : Analyse anonyme de l'utilisation (uniquement avec votre consentement)
Facturation : Gestion des abonnements via Stripe

5. Base légale du traitement

Nous traitons vos données sur les bases légales suivantes :

Exécution du contrat (Art. 6.1.b RGPD) : Pour fournir nos services de gestion de patrimoine
Consentement (Art. 6.1.a RGPD) : Pour les cookies analytiques et certaines communications
Intérêt légitime (Art. 6.1.f RGPD) : Pour la sécurité de la plateforme et la prévention de la fraude
Obligation légale (Art. 6.1.c RGPD) : Pour respecter nos obligations réglementaires et fiscales

6. Sous-traitants et partage des données

Vos données peuvent être traitées par les sous-traitants suivants, tous liés par des engagements de confidentialité :

Sous-traitant	Finalité	Localisation
Powens	Agrégation bancaire (DSP2, agréé ACPR)	France (UE)
Hostinger	Hébergement serveurs et base de données	Chypre / Lituanie (UE)
Stripe	Traitement des paiements et abonnements	Irlande (UE)
Resend	Envoi d'emails transactionnels	États-Unis (clauses contractuelles types)
Sentry	Monitoring d'erreurs (aucune donnée personnelle transmise)	États-Unis (clauses contractuelles types)
Google Analytics	Statistiques d'utilisation anonymes (avec consentement)	UE (données traitées en Europe)

Nous ne vendons jamais vos données personnelles à des tiers.

7. Sécurité des données

Nous mettons en œuvre des mesures de sécurité robustes :

Chiffrement des données en transit (HTTPS/TLS 1.3)
Chiffrement des données sensibles au repos (AES-256-GCM avec clé dédiée)
Hashage des mots de passe (scrypt)
Protection contre les attaques par force brute (rate limiting)
En-têtes de sécurité stricts (HSTS, CSP, X-Frame-Options)
Accès bancaire en lecture seule — aucune opération financière possible
Aucun stockage d'identifiants bancaires

8. Conservation des données

Nous conservons vos données selon les durées suivantes :

Données de compte et financières : Supprimées immédiatement et définitivement lors de la suppression de votre compte
Logs de connexion : 1 an
Données de facturation : 10 ans (obligation légale, Art. L123-22 du Code de commerce — conservées par Stripe)

La suppression de votre compte est immédiate et irréversible. Toutes vos données personnelles et financières sont définitivement effacées de nos systèmes, à l'exception des données de facturation que nous sommes légalement tenus de conserver.

9. Vos droits

Conformément au RGPD (Chapitre III), vous disposez des droits suivants :

Droit d'accès (Art. 15) : Obtenir une copie de vos données personnelles
Droit de rectification (Art. 16) : Corriger vos données inexactes
Droit à l'effacement (Art. 17) : Supprimer vos données ("droit à l'oubli")
Droit à la portabilité (Art. 20) : Recevoir vos données dans un format structuré et lisible
Droit d'opposition (Art. 21) : Vous opposer à certains traitements
Droit à la limitation (Art. 18) : Limiter le traitement de vos données
Droit de retirer votre consentement : À tout moment, sans affecter la licéité du traitement antérieur

Pour exercer ces droits, contactez-nous à contact@gestyo.fr. Nous répondrons dans un délai de 30 jours maximum.

10. Cookies

Nous utilisons des cookies pour le fonctionnement de la plateforme. Les cookies analytiques ne sont déposés qu'avec votre consentement explicite. Pour plus d'informations, consultez notre Politique des cookies.

11. Transferts internationaux

Vos données sont principalement hébergées dans l'Union Européenne. Certains sous-traitants (Resend, Sentry) sont basés aux États-Unis. Ces transferts sont encadrés par des clauses contractuelles types approuvées par la Commission Européenne, conformément à l'article 46.2.c du RGPD.

12. Mineurs

Gestyo est destiné aux personnes majeures (18 ans et plus) ou aux mineurs émancipés. Nous ne collectons pas sciemment de données personnelles de mineurs.

13. Modifications

Nous pouvons mettre à jour cette politique de confidentialité. Les modifications significatives vous seront notifiées par email. La date de dernière mise à jour est indiquée en haut de cette page.

14. Contact et réclamation

Pour toute question concernant cette politique ou vos données personnelles :

Email : contact@gestyo.fr

Vous avez également le droit d'introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés) : www.cnil.fr