Juridique
Politique de confidentialité
Dernière mise à jour : 24 février 2026
1. Responsable du traitement
Le responsable du traitement des données est :
Conformément à l'art. 10 nLPD, la désignation d'un conseiller à la protection des données n'est pas obligatoire pour Notivia (entreprise individuelle, pas de traitement systématique à grande échelle de données sensibles).
2. Données collectées
Notivia collecte uniquement les données nécessaires au fonctionnement de la Plateforme, conformément au principe de minimisation des données (art. 6 al. 2 nLPD).
2.1 Données d'inscription
- Adresse email
- Nom et prénom
- Mot de passe (stocké sous forme de hash cryptographique par Supabase Auth — jamais en clair)
2.2 Données de profil
- Type de profil (installateur, bureau d'études, autre)
- Préférence newsletter (opt-in)
2.3 Données métier (CRM)
- Noms et coordonnées des clients de l'utilisateur
- Adresses de bâtiments, données de projets (type de système, puissances, surfaces, etc.)
- Notes de projet et résultats de calcul
- Snapshots de progression des projets
Note : lorsque l'utilisateur saisit les données de ses propres clients, il agit en tant que responsable du traitement pour ces données. Notivia intervient en tant que sous-traitant (voir DPA).
2.4 Données techniques
- Adresse IP (dans les journaux Vercel, conservés 30 jours maximum)
- Cookies techniques (voir section 10)
2.5 Données analytiques
- Événements de navigation anonymisés via PostHog (hébergé en UE, Francfort)
- Collectés uniquement après consentement explicite de l'utilisateur via le bandeau de cookies
3. Base légale
Conformément à l'art. 31 nLPD, le traitement des données repose sur les bases légales suivantes :
| Finalité | Base légale |
|---|---|
| Création de compte, authentification | Consentement (inscription volontaire) |
| Fonctionnement de la Plateforme (CRM, outils, PDF) | Exécution du contrat (CGU) |
| Envoi de la newsletter | Consentement (opt-in explicite) |
| Cookies analytiques (PostHog) | Consentement (bandeau cookies) |
| Sécurité, prévention des abus | Intérêt prépondérant (art. 31 al. 1 nLPD) |
| Amélioration du service | Intérêt prépondérant (art. 31 al. 1 nLPD) |
4. Sous-traitants
Notivia fait appel aux sous-traitants suivants pour le fonctionnement de la Plateforme (art. 9 nLPD) :
| Sous-traitant | Service | Localisation | Base légale transfert |
|---|---|---|---|
| Supabase Inc. | Base de données, authentification | Francfort, Allemagne (UE) | Pays adéquat (liste Conseil fédéral) |
| Vercel Inc. | Hébergement, CDN | Global (Edge), siège US | Data Privacy Framework (DPF) |
| Stripe Inc. | Paiement (CB, TWINT) | UE / US | DPF + SCC |
| PostHog Inc. | Analytics produit | Francfort, Allemagne (UE) | Pays adéquat (liste Conseil fédéral) |
| Resend Inc. | Emails transactionnels | US | DPF + SCC |
SCC = Standard Contractual Clauses (clauses contractuelles types de la Commission européenne). DPF = EU-U.S. Data Privacy Framework.
5. Transferts hors Suisse
Conformément aux art. 16-17 nLPD, les transferts de données hors de Suisse sont encadrés comme suit :
- Allemagne (UE) : pays reconnu comme offrant un niveau de protection adéquat par le Conseil fédéral suisse (annexe 1 OPDo). Aucune garantie supplémentaire requise.
- États-Unis : transferts encadrés par le Swiss-U.S. Data Privacy Framework (DPF) pour les entreprises certifiées (Vercel, Stripe, Resend) et/ou par des clauses contractuelles types (SCC).
La conformité des sous-traitants au DPF est vérifiée annuellement par l'éditeur.
6. Durée de conservation
| Catégorie de données | Durée de conservation |
|---|---|
| Données de compte (email, nom, profil) | Durée du compte + 30 jours après suppression |
| Données métier Pro après downgrade | 90 jours en lecture seule, puis archivage |
| Projets archivés (soft delete) | 30 jours avant suppression automatique |
| Logs techniques (IP, requêtes) | 30 jours maximum |
| Données de paiement | Chez Stripe, selon leurs conditions générales |
| Données analytiques (PostHog) | Anonymisées, conservées selon les CGU PostHog |
7. Droits des personnes concernées
Conformément à la nLPD, toute personne concernée dispose des droits suivants :
| Droit | Article nLPD | Description |
|---|---|---|
| Accès | Art. 25 | Obtenir confirmation du traitement et copie des données |
| Rectification | Art. 6 | Corriger des données inexactes ou incomplètes |
| Effacement | Art. 6 al. 5 | Demander la suppression de ses données |
| Portabilité | Art. 28 | Recevoir ses données dans un format structuré et courant |
| Opposition | Art. 30 al. 2 let. b | S'opposer à un traitement fondé sur un intérêt prépondérant |
Pour exercer vos droits, envoyez un email à [email] en précisant votre identité et le droit que vous souhaitez exercer. Nous répondons dans un délai de 30 jours.
En cas de doute sur votre identité, nous pouvons demander une pièce d'identité avant de donner suite à votre demande.
8. Autorité de surveillance
Si vous estimez que le traitement de vos données personnelles viole la nLPD, vous avez le droit de déposer une réclamation auprès du :
Préposé fédéral à la protection des données et à la transparence (PFPDT)
Feldeggweg 1
3003 Berne, Suisse
Tél. : +41 58 462 43 95
Site web : www.edoeb.admin.ch
9. Calculs côté client
🔒 Privacy by Design : Tous les calculs des outils Notivia sont exécutés localement dans le navigateur de l'utilisateur. Les exports PDF sont également générés côté client grâce à la bibliothèque @react-pdf/renderer. Aucun fichier PDF ne transite par nos serveurs.
Les seules données transmises à nos serveurs sont celles nécessaires à la sauvegarde dans le CRM (lorsque l'utilisateur clique explicitement sur « Sauvegarder »).