MyVault
← Back to Blog

Est-il sûr de télécharger les relevés bancaires vers les applications IA ? Une réponse honnête

Ce qui se passe réellement à vos données lorsque vous téléchargez un relevé bancaire vers une application de finances personnelles IA, ce qu'il faut rechercher dans une politique de confidentialité et comment évaluer le risque réel par rapport aux alternatives.

9 min readTimur Shagiakhmetovprivacy · security · ai

Chaque application de finances personnelles IA fait finalement face à la même question d'un utilisateur attentif : est-ce sûr ? C'est la plus grande objection de la catégorie, et c'est légitime — les relevés bancaires contiennent suffisamment d'informations pour usurper l'identité, profiler ou faire de l'ingénierie sociale de la personne à qui ils appartiennent. La réponse honnête est « cela dépend, et voici exactement ce qu'il faut rechercher ».

Nous créons MyVault, une application IA qui traite les relevés bancaires téléchargés. C'est la réponse que nous donnons aux amis et à la famille qui demandent, écrite aussi directement que nous le pouvons.

Qu'est-ce qui se trouve réellement dans un relevé bancaire

Un relevé typique contient :

  • Votre nom et adresse postale.
  • Un numéro de compte, souvent partiellement masqué (quatre derniers chiffres, ou six derniers).
  • Le numéro d'acheminement de la banque, généralement imprimé en intégralité.
  • Un historique de transactions ligne par ligne avec des dates, des descriptifs de commerçants et des montants.
  • Les soldes d'ouverture et de clôture.
  • Possiblement les images de chèques, si vous les numérisez et qu'elles font partie du PDF.

En termes de sensibilité, c'est modérément sensible — plus que votre historique d'achats, moins qu'une numérisation de passeport. Le numéro de compte masqué seul ne peut généralement pas être utilisé pour accéder à votre compte, mais combiné avec des informations personnelles provenant d'autres sources, il peut soutenir des tentatives d'ingénierie sociale. Traitez les relevés avec le même soin que vous traitez une déclaration de revenus.

Ce qu'une application IA de finance fait réellement avec le fichier

Sur le plan technique, le traitement d'un relevé bancaire implique quatre étapes :

  1. Téléchargement — le fichier passe de votre navigateur au serveur de l'application, idéalement via HTTPS avec TLS 1.2 ou supérieur. C'est le même chiffrement que votre banque utilise pour le service bancaire en ligne.
  2. Analyse — le serveur extrait le texte du PDF. Cette étape peut utiliser une bibliothèque PDF locale, un service OCR tiers ou un LLM. Le choix importe pour la confidentialité : une bibliothèque locale conserve les données sur le serveur de l'application ; un OCR tiers envoie le fichier à un autre fournisseur.
  3. Catégorisation — les lignes de transactions extraites sont envoyées à un modèle d'IA qui retourne des étiquettes de catégorie. Certaines applications exécutent le modèle sur leur propre infrastructure ; la plupart utilisent OpenAI, Anthropic ou Google. Le flux de données exact importe : certaines applications envoient uniquement le descripteur du commerçant (risque faible) ; d'autres envoient l'intégralité de la transaction, y compris les montants (risque moyen) ; d'autres envoient l'intégralité du fichier de relevé (risque plus élevé).
  4. Stockage — les transactions analysées sont stockées dans la base de données de l'application. Le PDF original est soit supprimé, conservé pendant une période, soit gardé indéfiniment selon la politique de l'application.

Ce qu'il faut rechercher avant de télécharger

1. HTTPS avec un certificat valide

La barre d'adresse du navigateur doit afficher un certificat valide. Si vous voyez un avertissement lors du téléchargement, arrêtez. C'est le minimum requis.

2. Une politique de confidentialité claire et lisible

Recherchez des réponses explicites à ces questions :

  • Où mes données sont-elles stockées, et dans quelle juridiction ?
  • Mon relevé téléchargé est-il conservé, et pendant combien de temps ?
  • Les transactions ou le contenu de documents sont-ils envoyés à des fournisseurs d'IA tiers ?
  • Mes données sont-elles jamais utilisées pour entraîner des modèles d'IA ?
  • Que se passe-t-il avec mes données si je supprime mon compte ?

Une réponse vague à l'une de ces questions est un signal d'alarme. Une politique de confidentialité qui dit « nous pouvons partager les données avec des partenaires à n'importe quel titre » est un non catégorique.

3. Chiffrement au repos

La base de données de l'application doit chiffrer vos données au repos. La plupart des bases de données gérées (AWS RDS, Google Cloud SQL, équivalent) le font par défaut ; la question est de savoir si la couche application l'utilise.

4. Authentification à deux facteurs

Tout compte qui contient votre historique de transactions doit prendre en charge l'A2F, idéalement avec une application d'authentification plutôt que par SMS. Utilisez-la.

5. Suppression de compte qui supprime réellement

Une option de suppression qui masque vos données sans les supprimer n'est pas une suppression. La politique de confidentialité doit dire explicitement que la suppression du compte supprime les fichiers téléchargés et les lignes de base de données, pas seulement l'enregistrement du compte.

Comment les applications d'IA se comparent aux alternatives

Il est tentant d'évaluer « est-ce sûr ? » en termes absolus, mais la bonne comparaison est avec les alternatives — car ne rien faire est aussi un choix avec des risques.

Agrégateurs basés sur Plaid

Des applications comme Mint (historiquement), Monarch, Copilot et YNAB utilisent Plaid ou un agrégateur similaire pour lire vos données bancaires. Pour ce faire, vous donnez à Plaid vos identifiants bancaires. Plaid stocke ces identifiants et les utilise pour lire vos comptes de manière récurrente. Les agrégateurs ont de bons antécédents en matière de sécurité, mais le modèle de menace est différent des applications basées sur le téléchargement : une violation de Plaid expose vos identifiants bancaires ; une violation d'application de téléchargement de relevé expose les données de relevé sans les identifiants.

Feuilles de calcul et e-mail

De nombreuses personnes stockent les PDF de relevés dans leur e-mail indéfiniment ou collent les données de transactions dans Google Sheets et les oublient. Ce ne sont pas des solutions plus sûres qu'une application d'IA bien gérée — possiblement moins sûres, étant donné que les violations d'e-mail et de stockage cloud grand public sont courantes.

Ne rien faire

L'alternative la plus courante à l'utilisation d'une application de finances est l'absence de système, ce qui a un coût : des fraudes non détectées, des abonnements oubliés et des dépenses non surveillées. Sur quelques années, le coût financier du non-suivi des dépenses dépasse souvent le pire coût de confidentialité de l'utilisation d'un tracker réputé.

Ce que MyVault fait spécifiquement

Nous allons écrire ce que nous faisons, afin que vous puissiez le comparer à d'autres applications que vous évaluez :

  • Nous ne vous demandons jamais vos identifiants bancaires. Il n'y a pas de Plaid dans notre flux. Le fichier que vous téléchargez est le même fichier que vous téléchargeriez pour la préparation fiscale.
  • Les relevés téléchargés sont traités une fois pour extraire les transactions. Nous conservons les transactions analysées ; nous supprimons le fichier original après le traitement, sauf si vous choisissez de le conserver (certains utilisateurs souhaitent que les relevés soient stockés comme des archives consultables).
  • Les descripteurs et montants des transactions sont envoyés à un modèle de langage volumineux pour la catégorisation. Nous n'envoyons jamais votre nom, adresse ou numéro de compte au modèle. Le fournisseur du modèle ne conserve pas les entrées pour l'entraînement.
  • La suppression de compte supprime vos fichiers téléchargés, transactions analysées et enregistrement de compte de nos systèmes (sous réserve de brèves fenêtres de rétention légale).
  • Nous prenons en charge l'A2F. Nous vous recommandons vivement de l'activer.

Conseils pratiques

Si vous hésitez toujours :

  • Commencez par télécharger un seul relevé récent, pas tout votre historique. Voyez comment cela fonctionne avant de vous engager.
  • Utilisez un mot de passe unique et fort et activez l'A2F dès que vous créez le compte.
  • Lisez réellement la politique de confidentialité. Elles sont généralement courtes.
  • Si quelque chose vous semble mal — politique vague, pas de suppression de compte, pas d'A2F, hébergement louche — choisissez une autre application.

Réfléchi avec soin, le téléchargement de relevés bancaires vers une application réputée de finance IA est un risque gérable qui offre une clarté réelle sur vos dépenses. La mauvaise question est « est-ce 100 % sûr ? » (rien ne l'est). La bonne question est « le risque est-il inférieur à la valeur et inférieur aux alternatives ? »

Lisez la politique de confidentialité de MyVault avant de télécharger quoi que ce soit. Si quelque chose n'est pas clair, demandez-nous directement — nous répondons. MyVault’s privacy policy. Lisez la politique de confidentialité de MyVault avant de télécharger quoi que ce soit. Si quelque chose n'est pas clair, demandez-nous directement — nous répondons. ask us directly — we answer.