Politique de confidentialité

Le responsable du traitement des données personnelles au sens de la nLPD et du RGPD est :

• EMVEE VENTURES LTD
• 71-75 Shelton Street, Covent Garden
• London WC2H 9JQ, Royaume-Uni

Opérations gérées et pilotées depuis la Suisse. Contact général · hello@helvetdata.ch Protection des données · privacy@helvetdata.ch

Aucun délégué à la protection des données (DPO) n'est désigné formellement à ce stade. EMVEE VENTURES LTD assume cette fonction par délégation. Compte tenu de la nature des traitements (données issues de registres publics, B2B, sans catégories sensibles) et de l'absence d'employés, la désignation d'un DPO n'est pas obligatoire au sens de l'art. 10 nLPD.

HelvetData collecte les catégories de données suivantes :

• Données de compte : adresse email, mot de passe (hashé avec bcrypt, jamais stocké en clair), nom complet (facultatif), langue préférée.
• Données d'utilisation : vues sauvegardées, filtres, liste de surveillances, tokens d'API, historique des recherches.
• Données de facturation : nom, raison sociale, adresse de facturation, numéro de TVA le cas échéant. Les données de carte bancaire ne sont jamais stockées par HelvetData et sont gérées exclusivement par Stripe.
• Données techniques : adresse IP, type de navigateur, système d'exploitation, logs d'accès (rotation 90 jours).
• Données issues de registres publics : noms de requérants de permis de construire (souvent personnes physiques), noms d'architectes (personnes morales ou physiques), noms et adresses de dirigeants d'entreprises issus du registre du commerce officiel, et coordonnées professionnelles (téléphone, email) de décideurs collectées via des annuaires publics.
• Cookies : voir la section dédiée.

Aucune catégorie de données dites « sensibles » au sens de l'art. 5 let. c nLPD (santé, religion, opinions politiques, données génétiques ou biométriques) n'est traitée par HelvetData. Seules les données publiées dans un contexte professionnel et commercial sont collectées.

Une partie significative des Données diffusées par HelvetData provient de registres publics suisses officiels. HelvetData en confirme la nature publique, l'origine légale et le fondement juridique du traitement.

Sources publiques officielles utilisées :

• Publications cantonales de permis de construire (Feuilles officielles cantonales, art. 33 ss des lois cantonales sur les constructions) ;
• Registre du commerce suisse (art. 928 CC et OFI/ORC) ;
• Annuaires publics de coordonnées en application de l'art. 8 du règlement UE 2018/1807 et de la loi suisse sur les télécommunications ;
• Publications officielles suisses du commerce, marchés publics, registre des marques, registre des poursuites/faillites cantonales.

Base légale principale : art. 31 al. 2 let. e nLPD (« traitement nécessaire à la sauvegarde des intérêts légitimes prépondérants du responsable du traitement ou d'un tiers ») combiné, pour les personnes concernées résidentes UE, avec l'art. 6 par. 1 let. f RGPD (« intérêt légitime du responsable du traitement ou d'un tiers »).

Mise en balance des intérêts (test de proportionnalité) :

• HelvetData fournit un service de veille commerciale B2B qui agrège exclusivement des données légalement publiées par des autorités suisses ;
• Les destinataires sont des professionnels (artisans, agences, avocats, fiduciaires, M&A, family offices) dont l'intérêt légitime à identifier des opportunités commerciales et juridiques est manifeste ;
• L'attente raisonnable de la personne concernée, dès lors qu'elle a fait l'objet d'une publication dans une Feuille officielle cantonale ou au Registre du commerce, est que cette information puisse être consultée et utilisée par des acteurs professionnels ;
• HelvetData applique une minimisation systématique (nom, canton, référence publique uniquement), un marquage interne `is_personal_data=true`, un registre d'opt-out à 24h, et fournit un accès simple aux droits de la personne concernée à privacy@helvetdata.ch.

Droits de la personne concernée : conformément aux art. 25 (droit d'accès), 28 (droit à la portabilité), 30 (droit d'opposition), 32 (droit de rectification et de suppression) nLPD, toute personne concernée peut exercer ses droits en écrivant à privacy@helvetdata.ch. Une réponse est apportée dans un délai maximum de trente (30) jours.

Absence de décision individuelle automatisée : au sens de l'art. 21 nLPD, HelvetData ne prend aucune décision individuelle automatisée produisant des effets juridiques ou affectant significativement une personne. Les scores algorithmiques (momentum, distress, expansion) sont à valeur informative pour le Client, qui reste libre de sa décision commerciale. Un humain est toujours dans la boucle.

Conservation : les publications de permis de construire sont conservées trois (3) ans à compter de leur publication ; les coordonnées professionnelles enrichies par sources publiques sont conservées douze (12) mois à compter du dernier enrichissement, sauf renouvellement. La suppression peut être demandée à tout moment via privacy@helvetdata.ch et est effective sous 24 heures.

Vos données personnelles sont traitées exclusivement pour les finalités suivantes :

• Fourniture et exécution du Service (création de compte, authentification, mise à disposition des modules) ;
• Facturation et recouvrement ;
• Support client et communication contractuelle ;
• Amélioration du Service via analytics anonymisé (PostHog, Google Analytics 4) ;
• Sécurité, prévention de la fraude et détection des abus ;
• Respect des obligations légales suisses et européennes (audit, comptabilité, réquisitions judiciaires).

Les traitements sont fondés sur les bases légales suivantes :

• Exécution du contrat (art. 31 al. 1 nLPD et art. 6.1.b RGPD) pour la fourniture du Service ;
• Obligation légale (art. 31 al. 1 nLPD et art. 6.1.c RGPD) pour la facturation, la comptabilité et la lutte contre la fraude ;
• Intérêt légitime (art. 31 al. 2 nLPD et art. 6.1.f RGPD) pour la sécurité, la prévention des abus et l'amélioration du Service ;
• Consentement (art. 6 al. 1 nLPD et art. 6.1.a RGPD) pour les cookies analytiques non essentiels.

Vos données peuvent être transmises aux sous-traitants suivants, tous liés par un contrat de sous-traitance (DPA) conforme :

• Hetzner Online GmbH (Allemagne) : hébergement, datacenters Falkenstein (DE) et Helsinki (FI), tous deux dans l'Union européenne.
• Stripe Payments Europe Ltd (Irlande) : traitement des paiements. Stripe transmet certaines données aux États-Unis sous le cadre des clauses contractuelles types et de la décision d'adéquation EU-US Data Privacy Framework.
• Resend Inc. (États-Unis) : envoi d'emails transactionnels, DPA signé, clauses contractuelles types.
• Sentry GmbH (Allemagne) : suivi d'erreurs technique, données anonymisées.
• PostHog Inc. (États-Unis) : analytics produit, anonymisation IP activée, DPA signé.

Aucune donnée n'est vendue ni partagée à des fins commerciales avec des tiers.

Certains sous-traitants (Stripe, Resend, PostHog) sont situés aux États-Unis. Ces transferts sont encadrés par les clauses contractuelles types adoptées par la Commission européenne et le Préposé fédéral à la protection des données et à la transparence (PFPDT), ainsi que par la décision d'adéquation EU-US Data Privacy Framework du 10 juillet 2023.

Les données d'hébergement principal restent en Union européenne (Hetzner).

Les durées de conservation suivantes s'appliquent :

• Données de compte actif : pendant toute la durée de l'abonnement.
• Données de compte après résiliation : suppression sous trente (30) jours, sauf obligation légale de conservation.
• Données comptables et de facturation : dix (10) ans (art. 958f CO).
• Logs d'accès techniques : rotation quatre-vingt-dix (90) jours.
• Données scrapées de sources publiques : conservées tant que la source officielle les publie.

Conformément à la nLPD (art. 25 et suivants) et au RGPD (art. 15 à 22), vous disposez des droits suivants :

• Droit d'accès : obtenir la confirmation que des données vous concernant sont traitées et en recevoir une copie ;
• Droit de rectification : demander la correction de données inexactes ;
• Droit à l'effacement (droit à l'oubli) : demander la suppression de vos données ;
• Droit à la limitation du traitement ;
• Droit à la portabilité : recevoir vos données dans un format structuré et lisible par machine ;
• Droit d'opposition au traitement, notamment au profilage et au marketing direct ;
• Droit de retirer votre consentement à tout moment (cookies analytiques) ;
• Droit de déposer une réclamation auprès du PFPDT (Suisse) ou de l'autorité de contrôle compétente dans votre pays UE.

Pour exercer ces droits, contactez-nous à privacy@helvetdata.ch. Nous répondrons dans un délai maximum de trente (30) jours.

HelvetData agrège des données provenant de sources officielles publiques (registre du commerce, publications officielles cantonales, registre des marques, etc.). Certaines de ces données peuvent concerner des personnes physiques, notamment dans le cadre de permis de construire particuliers, mentions au registre du commerce ou dépôts de marques individuels.

Pour ces données, HelvetData applique les principes suivants :

• Marquage explicite via le drapeau interne is_personal_data=true ;
• Minimisation : seules les informations strictement nécessaires sont conservées (nom, canton, référence publique) ;
• Registre d'opt-out : toute personne physique peut demander la suppression de ses données via privacy@helvetdata.ch. La suppression est effective sous vingt-quatre (24) heures et inscrite dans un registre permanent qui empêche toute réindexation ultérieure ;
• Journal d'audit de chaque enrichissement enrichissement public (Local.ch, Hunter.io, ProxyCurl).

HelvetData met en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données :

• Chiffrement en transit (TLS 1.3) et au repos (AES-256) ;
• Authentification par JWT à durée courte (15 minutes) avec rotation de refresh tokens hashés en SHA-256 ;
• Infrastructure hébergée par Hetzner, certifiée ISO 27001 et ISO 9001 ;
• Audit de sécurité annuel par un prestataire externe indépendant ;
• Sauvegardes chiffrées quotidiennes avec rétention de trente (30) jours ;
• Accès aux données de production limité aux personnes strictement nécessaires, avec journalisation des accès.

HelvetData utilise deux catégories de cookies :

• Cookies essentiels (obligatoires) : session JWT (durée de quinze minutes), token de rafraîchissement (durée de trente jours), préférences de langue. Ces cookies sont indispensables au fonctionnement du Service et ne nécessitent pas de consentement.
• Cookies analytiques (opt-in) : PostHog et Google Analytics 4, configurés avec anonymisation IP. Ces cookies ne sont déposés qu'après consentement explicite via le bandeau cookies.

Vous pouvez à tout moment modifier vos préférences en effaçant les cookies du domaine helvetdata.ch dans votre navigateur.

HelvetData se réserve le droit de modifier la présente politique de confidentialité pour refléter les évolutions légales, réglementaires ou techniques. Toute modification substantielle sera notifiée aux utilisateurs par email au moins trente (30) jours avant son entrée en vigueur.

Pour toute question, demande d'accès, rectification, suppression ou réclamation concernant vos données personnelles :

• Email : privacy@helvetdata.ch
• Courrier : EMVEE VENTURES LTD · HelvetData, 71-75 Shelton Street, Covent Garden, London WC2H 9JQ, Royaume-Uni

Vous pouvez également déposer une réclamation directement auprès du Préposé fédéral à la protection des données et à la transparence (PFPDT), Feldeggweg 1, CH-3003 Berne, www.edoeb.admin.ch.