SPLITO

Dernière mise à jour : juin 2026

Splito sert à suivre et répartir les dépenses de groupe. Vous l’utilisez en application native (Google Play, App Store), en application web, ou les deux — via notre API. Ce texte décrit quelles données personnelles sont concernées, pourquoi nous les traitons et quels sont vos droits. Il couvre aussi le site splito.de, les liens d’invitation (p. ex. /event/…) et les serveurs de l’API.

Responsable du traitement

Splito.de
c/o Sven Antwertinger

E-mail :

Traitement dans l’app, l’app web et l’API

Lorsque vous créez ou rejoignez un groupe, ou ajoutez des dépenses, nous traitons les données que vous et les autres participants saisissez ou téléversez dans Splito. La plupart restent d’abord sur votre appareil (hors ligne) ; lors de la synchronisation ou des fonctions serveur, les données sont envoyées à notre API et stockées.

  • Identifiant d’appareil : les clients API envoient un ID appareil dans l’en-tête (Device-ID). Nous l’utilisons pour délivrer des jetons API et associer les requêtes à un appareil — sans compte classique par e-mail.
  • Jetons d’accès : après demande, nous stockons un jeton API personnel (Laravel Sanctum). Vous pouvez le remplacer en en demandant un nouveau.
  • Groupes et participants : nom du groupe, description et image optionnelles, noms affichés des participants, liens entre personnes, dépenses et paiements.
  • Dépenses et répartitions : montants, descriptions, dates, devise, payeur et bénéficiaires, modèles de dépenses récurrentes, soldes calculés.
  • Paiements : règlements enregistrés entre participants d’un groupe.
  • Devises : taux de change définis pour un groupe.
  • Reçus : photos de reçus téléversées, stockées sur notre serveur et liées à une dépense.
  • Analyse de reçus (OCR/IA) : si vous l’utilisez, l’image est transmise à un service d’IA configuré (en pratique souvent Google Gemini via Laravel AI). Montant, commerçant, date, etc. peuvent être extraits. Une copie temporaire est supprimée après traitement ; le résultat est enregistré sur le reçu ou la dépense.
  • Synchronisation : les clients peuvent envoyer des modifications groupées via le point de terminaison sync (hors ligne).
  • Notifications push : en option, enregistrement d’un jeton Firebase (FCM) par groupe, avec langue préférée sur l’entrée invité. L’app web peut utiliser le web push. Pas de push marketing pour splito.de.
  • Journaux : journaux techniques d’exploitation et d’erreurs sur le serveur.

Durée de conservation

Les données de groupe, dépenses et reçus restent jusqu’à suppression par vous ou d’autres personnes autorisées, ou suppression du groupe. Jetons API et FCM peuvent être retirés depuis l’app. Les journaux d’accès site/API sont en général conservés environ 30 jours, sauf besoin d’investigation plus long. Les obligations légales de conservation restent applicables le cas échéant.

Site marketing (splito.de)

  • Lors de la visite : données techniques nécessaires (IP, heure, URL, user-agent, référent) dans les journaux serveur — exploitation, stabilité, abus (HTTPS/TLS).
  • Thème clair/sombre : choix stocké localement (localStorage, clé splito-theme), pas sur le serveur.
  • E-mail de contact : adresse obscurcie dans le code source, assemblée au clic dans le navigateur.
  • Pas de suivi analytique ni de cookies marketing tiers sur ces pages d’information. Cookies de session Laravel possibles pour la sécurité (CSRF).
  • Polices marketing servies depuis notre propre serveur (Bauhaus Std), pas Google Fonts.
  • Badges store et liens externes (Google Play, App Store, app web) vers des tiers.

Destinataires et prestataires

Hébergement et infrastructure en notre nom (sous-traitance Art. 28 RGPD si requis). Push via Google Firebase (FCM). Analyse de reçus via le fournisseur d’IA configuré (p. ex. Google). Transferts hors UE/EEE : garanties appropriées (p. ex. DPF UE–États-Unis et/ou clauses contractuelles types).

Bases juridiques

  • Contrat ou mesures précontractuelles et exécution des fonctions (Art. 6(1)(b) RGPD) lorsque vous utilisez activement les services.
  • Intérêt légitime (Art. 6(1)(f) RGPD), p. ex. sécurité, prévention des abus API, journaux, fonctions techniques du site.
  • Consentement (Art. 6(1)(a) RGPD) lorsque nous le demandons — p. ex. pour le push si l’appareil l’exige.

Vos droits

Vous disposez notamment des droits d’accès, de rectification, d’effacement, de limitation, de portabilité et d’opposition. Retrait du consentement possible à tout moment. Réclamation possible auprès d’une autorité de contrôle.

Modifications

En cas d’évolution des fonctions ou prestataires, nous mettons ce texte à jour. La date ci-dessus indique la version en vigueur.