Politique de confidentialité

Le responsable du traitement des données personnelles au sens de la nLPD et du RGPD est :

• EmVee Ventures [À CONFIRMER · Marc]
• Adresse complète : [À CONFIRMER · Marc]
• IDE : CHE-XXX.XXX.XXX [À CONFIRMER · Marc]
• Représentant : Marc Vuissoz, fondateur
• Email de contact pour toute question liée à la protection des données : privacy@helvetdata.ch

Aucun délégué à la protection des données (DPO) n'est désigné formellement à ce stade. Marc Vuissoz assume cette fonction par délégation.

HelvetData collecte les catégories de données suivantes :

• Données de compte : adresse email, mot de passe (hashé avec bcrypt, jamais stocké en clair), nom complet (facultatif), langue préférée.
• Données d'utilisation : vues sauvegardées, filtres, liste de surveillances, tokens d'API, historique des recherches.
• Données de facturation : nom, raison sociale, adresse de facturation, numéro de TVA le cas échéant. Les données de carte bancaire ne sont jamais stockées par HelvetData et sont gérées exclusivement par Stripe.
• Données techniques : adresse IP, type de navigateur, système d'exploitation, logs d'accès (rotation 90 jours).
• Cookies : voir la section dédiée.

Vos données personnelles sont traitées exclusivement pour les finalités suivantes :

• Fourniture et exécution du Service (création de compte, authentification, mise à disposition des modules) ;
• Facturation et recouvrement ;
• Support client et communication contractuelle ;
• Amélioration du Service via analytics anonymisé (PostHog, Google Analytics 4) ;
• Sécurité, prévention de la fraude et détection des abus ;
• Respect des obligations légales suisses et européennes (audit, comptabilité, réquisitions judiciaires).

Les traitements sont fondés sur les bases légales suivantes :

• Exécution du contrat (art. 31 al. 1 nLPD et art. 6.1.b RGPD) pour la fourniture du Service ;
• Obligation légale (art. 31 al. 1 nLPD et art. 6.1.c RGPD) pour la facturation, la comptabilité et la lutte contre la fraude ;
• Intérêt légitime (art. 31 al. 2 nLPD et art. 6.1.f RGPD) pour la sécurité, la prévention des abus et l'amélioration du Service ;
• Consentement (art. 6 al. 1 nLPD et art. 6.1.a RGPD) pour les cookies analytiques non essentiels.

Vos données peuvent être transmises aux sous-traitants suivants, tous liés par un contrat de sous-traitance (DPA) conforme :

• Hetzner Online GmbH (Allemagne) : hébergement, datacenters Falkenstein (DE) et Helsinki (FI), tous deux dans l'Union européenne.
• Stripe Payments Europe Ltd (Irlande) : traitement des paiements. Stripe transmet certaines données aux États-Unis sous le cadre des clauses contractuelles types et de la décision d'adéquation EU-US Data Privacy Framework.
• Resend Inc. (États-Unis) : envoi d'emails transactionnels, DPA signé, clauses contractuelles types.
• Sentry GmbH (Allemagne) : suivi d'erreurs technique, données anonymisées.
• PostHog Inc. (États-Unis) : analytics produit, anonymisation IP activée, DPA signé.

Aucune donnée n'est vendue ni partagée à des fins commerciales avec des tiers.

Certains sous-traitants (Stripe, Resend, PostHog) sont situés aux États-Unis. Ces transferts sont encadrés par les clauses contractuelles types adoptées par la Commission européenne et le Préposé fédéral à la protection des données et à la transparence (PFPDT), ainsi que par la décision d'adéquation EU-US Data Privacy Framework du 10 juillet 2023.

Les données d'hébergement principal restent en Union européenne (Hetzner).

Les durées de conservation suivantes s'appliquent :

• Données de compte actif : pendant toute la durée de l'abonnement.
• Données de compte après résiliation : suppression sous trente (30) jours, sauf obligation légale de conservation.
• Données comptables et de facturation : dix (10) ans (art. 958f CO).
• Logs d'accès techniques : rotation quatre-vingt-dix (90) jours.
• Données scrapées de sources publiques : conservées tant que la source officielle les publie.

Conformément à la nLPD (art. 25 et suivants) et au RGPD (art. 15 à 22), vous disposez des droits suivants :

• Droit d'accès : obtenir la confirmation que des données vous concernant sont traitées et en recevoir une copie ;
• Droit de rectification : demander la correction de données inexactes ;
• Droit à l'effacement (droit à l'oubli) : demander la suppression de vos données ;
• Droit à la limitation du traitement ;
• Droit à la portabilité : recevoir vos données dans un format structuré et lisible par machine ;
• Droit d'opposition au traitement, notamment au profilage et au marketing direct ;
• Droit de retirer votre consentement à tout moment (cookies analytiques) ;
• Droit de déposer une réclamation auprès du PFPDT (Suisse) ou de l'autorité de contrôle compétente dans votre pays UE.

Pour exercer ces droits, contactez-nous à privacy@helvetdata.ch. Nous répondrons dans un délai maximum de trente (30) jours.

HelvetData agrège des données provenant de sources officielles publiques (Zefix, SHAB, feuilles officielles cantonales, Swissreg, etc.). Certaines de ces données peuvent concerner des personnes physiques, notamment dans le cadre de permis de construire particuliers, mentions au registre du commerce ou dépôts de marques individuels.

Pour ces données, HelvetData applique les principes suivants :

• Marquage explicite via le drapeau interne is_personal_data=true ;
• Minimisation : seules les informations strictement nécessaires sont conservées (nom, canton, référence publique) ;
• Registre d'opt-out : toute personne physique peut demander la suppression de ses données via privacy@helvetdata.ch. La suppression est effective sous vingt-quatre (24) heures et inscrite dans un registre permanent qui empêche toute réindexation ultérieure ;
• Journal d'audit de chaque enrichissement enrichissement public (Local.ch, Hunter.io, ProxyCurl).

HelvetData met en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données :

• Chiffrement en transit (TLS 1.3) et au repos (AES-256) ;
• Authentification par JWT à durée courte (15 minutes) avec rotation de refresh tokens hashés en SHA-256 ;
• Infrastructure hébergée par Hetzner, certifiée ISO 27001 et ISO 9001 ;
• Audit de sécurité annuel par un prestataire externe indépendant ;
• Sauvegardes chiffrées quotidiennes avec rétention de trente (30) jours ;
• Accès aux données de production limité aux personnes strictement nécessaires, avec journalisation des accès.

HelvetData utilise deux catégories de cookies :

• Cookies essentiels (obligatoires) : session JWT (durée de quinze minutes), token de rafraîchissement (durée de trente jours), préférences de langue. Ces cookies sont indispensables au fonctionnement du Service et ne nécessitent pas de consentement.
• Cookies analytiques (opt-in) : PostHog et Google Analytics 4, configurés avec anonymisation IP. Ces cookies ne sont déposés qu'après consentement explicite via le bandeau cookies.

Vous pouvez à tout moment modifier vos préférences en effaçant les cookies du domaine helvetdata.ch dans votre navigateur.

HelvetData se réserve le droit de modifier la présente politique de confidentialité pour refléter les évolutions légales, réglementaires ou techniques. Toute modification substantielle sera notifiée aux utilisateurs par email au moins trente (30) jours avant son entrée en vigueur.

Pour toute question, demande d'accès, rectification, suppression ou réclamation concernant vos données personnelles :

• Email : privacy@helvetdata.ch
• Courrier : EmVee Ventures, [À CONFIRMER · Marc adresse postale complète]

Vous pouvez également déposer une réclamation directement auprès du Préposé fédéral à la protection des données et à la transparence (PFPDT), Feldeggweg 1, CH-3003 Berne, www.edoeb.admin.ch.