Le moyen le plus sûr
de ne pas perdre vos fonds,
c'est de ne jamais nous les confier.

Quand vous créez votre compte, on vous redirige vers notre partenaire de paiement pour le contrôle d'identité : pièce d'identité, selfie, contrôle de fraude. Aucun de ces documents ne nous parvient. Notre partenaire applique les contrôles imposés aux banques européennes (4ᵉ Directive Anti-Blanchiment) et nous renvoie un statut binaire.

Si plus tard vous perdez accès à votre dossier, vous pouvez le récupérer directement chez notre partenaire, sans passer par nous. Il est tenu de conserver votre dossier 5 ans après votre dernier paiement, conformément à la réglementation.

En cas de comportement douteux signalé par notre partenaire (tentative de fraude, identité usurpée), votre accès à Tontine est suspendu immédiatement — pas une heure plus tard. On ne sera jamais le maillon faible d'un dispositif anti-fraude qu'on n'opère pas nous-mêmes.

Entre le moment où une cotisation est prélevée et le moment où la cagnotte est versée au bénéficiaire, l'argent passe par un compte ségréguéde notre prestataire de paiement (agréé Établissement de Monnaie Électronique en Europe). Ce compte est légalement distinct des actifs du prestataire : si celui-ci faisait faillite, l'argent resterait protégé.

Pour une cotisation par carte, ce transit dure quelques heures. Pour un prélèvement SEPA, c'est 2 à 5 jours ouvrés (le temps que l'ordre soit confirmé par votre banque). On ne peut pas accélérer ça — c'est la mécanique interbancaire.

Pendant ce délai, l'argent ne nous appartient pas, ne transite pas sur nos comptes, et n'est pas accessible à nos employés. On reçoit uniquement un statut technique : « en cours », « réussi », « échoué ».

L'application web tourne en région européenne. Le backend et la base de données sont confiés à un prestataire managé. La gestion des comptes et des sessions est déléguée à un service d'authentification dédié. TLS 1.3 en transit. Secrets de production stockés dans un coffre-fort, accès restreint à l'équipe technique.

Le code est versionné sur Git. Toute modification de production passe par une revue à deux paires d'yeux et un déploiement automatisé — pas d'accès SSH manuel, pas de « petite correction » en direct sur la base.

Nous publierons un audit indépendant annuel à partir de 2026. Le rapport sera téléchargeable depuis cette page. La liste exacte de nos sous-traitants techniques figure en Mentions légales.

Connexion par e-mail et code de vérification, pas de mot de passe à mémoriser. Vous pouvez activer la double authentification depuis votre profil.

Chaque action sensible côté paiement (modifier un moyen de paiement, autoriser un nouveau prélèvement) déclenche une re-vérification 3-D Secure.

Vous voyez en permanence dans votre profil la liste des appareils connectés, avec la possibilité de tout déconnecter en un clic.

Si un membre conteste auprès de sa banque un prélèvement effectué dans le cadre de sa tontine (un chargeback SEPA, par exemple), on est notifié. On gèle la tontine, on prévient tout le groupe, et on demande au contestant de clarifier sous 7 jours.

Pour les prélèvements SEPA, le contestant a 8 semaines pour annuler sans justification, et jusqu'à 13 mois s'il prouve une absence de mandat. C'est la loi européenne. On ne peut pas la contourner — mais la mécanique de tontine (validation explicite avant chaque cycle) rend ces cas très rares.

Si la dispute est confirmée frauduleuse, l'utilisateur est exclu et la tontine reprend. Si elle est confirmée légitime, la cagnotte est recalculée et redistribuée.