Juridique
Politique de confidentialité
Dernière mise à jour : 28 mai 2026
1. Responsable du traitement
Le responsable du traitement des données est :
Conformément à l'art. 10 nLPD, la désignation d'un conseiller à la protection des données n'est pas obligatoire pour Notivia (entreprise individuelle, pas de traitement systématique à grande échelle de données sensibles).
La présente Politique est soumise à un régime juridique hybride :
- La nouvelle Loi fédérale suisse sur la protection des données (nLPD, en vigueur depuis le 1er septembre 2023) s'applique en raison de l'offre de services ciblant le marché suisse.
- Le Règlement Général sur la Protection des Données (RGPD, Règlement UE 2016/679) s'applique de plein droit en vertu de l'article 3 §1 RGPD, l'Éditeur étant établi en France, État membre de l'Union européenne.
En matière de protection des données, Notivia se conforme au standard le plus exigeant des deux régimes.
Autorités de contrôle compétentes :
- Le Préposé fédéral à la protection des données et à la transparence (PFPDT) est l'autorité de surveillance pour les traitements déployant leurs effets en Suisse. Contact : https://www.edoeb.admin.ch
- La Commission Nationale de l'Informatique et des Libertés (CNIL) est l'autorité de contrôle compétente pour les obligations de l'Éditeur en tant que responsable de traitement établi en France (art. 77 RGPD). Contact : https://www.cnil.fr
Les personnes concernées peuvent exercer leurs droits auprès de l'une ou l'autre autorité selon les circonstances.
2. Données collectées
Notivia collecte uniquement les données nécessaires au fonctionnement de la Plateforme, conformément au principe de minimisation des données (art. 6 al. 2 nLPD).
2.1 Données d'inscription
- Adresse email
- Nom et prénom
- Mot de passe (stocké sous forme de hash cryptographique par Supabase Auth — jamais en clair)
2.2 Données de profil
- Type de profil (installateur, bureau d'études, autre)
- Préférence newsletter (opt-in)
2.3 Données métier (CRM)
- Noms et coordonnées des clients de l'utilisateur
- Adresses de bâtiments, données de projets (type de système, puissances, surfaces, etc.)
- Notes de projet et résultats de calcul
- Snapshots de progression des projets
Note : lorsque l'utilisateur saisit les données de ses propres clients, il agit en tant que responsable du traitement pour ces données. Notivia intervient en tant que sous-traitant (voir DPA).
2.4 Données techniques
- Adresse IP (dans les journaux Vercel, conservés 30 jours calendaires maximum)
- Cookies techniques (voir section 10)
2.5 Données analytiques
- Événements de navigation anonymisés via PostHog (hébergé en UE, Francfort)
- Collectés uniquement après consentementexplicite de l'utilisateur via le bandeau de cookies
3. Base légale
Conformément à l'art. 31 nLPD, le traitement des données repose sur les bases légales suivantes :
| Finalité | Base légale |
|---|---|
| Création de compte, authentification | Exécution du contrat (art. 6 §1 b RGPD / art. 31 al. 1 nLPD — intérêt prépondérant lié à l'exécution du contrat) |
| Fonctionnement de la Plateforme (CRM, outils, PDF) | Exécution du contrat (CGU) |
| Envoi de la newsletter | Consentement (opt-in explicite) |
| Cookies analytiques (PostHog) | Consentement (bandeau cookies) |
| Sécurité, prévention des abus | Intérêt prépondérant (art. 31 al. 1 nLPD) |
| Amélioration du service | Intérêt prépondérant (art. 31 al. 1 nLPD) |
4. Sous-traitants
Notivia fait appel aux sous-traitants suivants pour le fonctionnement de la Plateforme (art. 9 nLPD) :
| Sous-traitant | Service | Localisation | Base légale transfert |
|---|---|---|---|
| Supabase Inc. | Base de données, authentification | Francfort, Allemagne (UE) | Pays adéquat (liste Conseil fédéral) |
| Vercel Inc. | Hébergement, CDN | Global (Edge), siège US | Data Privacy Framework (DPF) |
| Stripe Inc. | Paiement (CB, TWINT) | UE / US | DPF + SCC |
| PostHog Inc. | Analytics produit | Francfort, Allemagne (UE) | Pays adéquat (liste Conseil fédéral) |
| Resend Inc. | Emails transactionnels | US | DPF + SCC |
SCC = Standard Contractual Clauses (clauses contractuelles types de la Commission européenne). DPF = EU-U.S. Data Privacy Framework.
5. Transferts hors Suisse
Conformément aux art. 16-17 nLPD, les transferts de données hors de Suisse sont encadrés comme suit :
- Allemagne (UE) : pays reconnu comme offrant un niveau de protection adéquat par le Conseil fédéral suisse (annexe 1 OPDo). Aucune garantie supplémentaire requise.
- États-Unis : transferts encadrés par le Swiss-U.S. Data Privacy Framework (DPF) pour les entreprises certifiées (Vercel, Stripe, Resend) et/ou par des clauses contractuelles types (SCC).
La conformité des sous-traitants au DPF est vérifiée annuellement par l'éditeur.
6. Durée de conservation
| Catégorie de données | Durée de conservation |
|---|---|
| Données de compte (email, nom, profil) | Durée du compte + 30 jours calendaires après suppression |
| Données métier Pro après downgrade | 90 jours en lecture seule, puis archivage |
| Projets archivés (soft delete) | 30 jours calendaires avant suppression automatique |
| Logs techniques (IP, requêtes) | 30 jours calendaires maximum |
| Données de paiement | Chez Stripe, selon leurs conditions générales |
| Données analytiques (PostHog) | Anonymisées, conservées selon les CGU PostHog |
7. Droits des personnes concernées
Conformément à la nLPD, toute personne concernée dispose des droits suivants :
| Droit | Article nLPD | Description |
|---|---|---|
| Accès | Art. 25 | Obtenir confirmation du traitement et copie des données |
| Rectification | Art. 32 al. 1 | Corriger des données inexactes ou incomplètes |
| Effacement | Art. 32 al. 2 | Demander la suppression de ses données |
| Portabilité | Art. 28 | Recevoir ses données dans un format structuré et courant |
| Opposition | Art. 30 al. 2 let. b | S'opposer à un traitement fondé sur un intérêt prépondérant |
Pour exercer vos droits, envoyez un email à contact@notivia.ch en précisant votre identité et le droit que vous souhaitez exercer. Nous répondons dans un délai de 30 jours.
En cas de doute sur votre identité, nous pouvons demander une pièce d'identité avant de donner suite à votre demande.
8. Autorité de surveillance
Si vous estimez que le traitement de vos données personnelles viole la nLPD, vous avez le droit de déposer une réclamation auprès du :
Préposé fédéral à la protection des données et à la transparence (PFPDT)
Feldeggweg 1
3003 Berne, Suisse
Tél. : +41 58 462 43 95
Site web : www.edoeb.admin.ch
9. Calculs côté client
🔒 Privacy by Design :Tous les calculs des outils Notivia sont exécutés localement dans le navigateur de l'utilisateur. Les exports PDF sont également générés côté client grâce à la bibliothèque @react-pdf/renderer. Aucun fichier PDF ne transite par nos serveurs.
Les seules données transmises à nos serveurs sont celles nécessaires à la sauvegarde dans le CRM (lorsque l'utilisateur clique explicitement sur « Sauvegarder »).
11. Intégration MCP et modèles de langage tiers
La plateforme expose un serveur basé sur le Model Context Protocol (MCP) permettant à l'Utilisateur de connecter l'assistant d'intelligence artificielle de son choix.
Nature du flux :Notivia ne transmet aucune donnée à aucun modèle de langage en arrière-plan. C'est l'Utilisateur qui déclenche et contrôle cette connexion depuis son propre environnement.
Responsabilité des données dans ce flux :Lorsque l'Utilisateur connecte un LLM tiers (ex. Claude d'Anthropic, GPT d'OpenAI), il agit en qualité de responsable de traitement distinct pour ce flux. Le fournisseur de ce LLM n'est pas un sous-traitant de Notivia.
Transferts internationaux induits par l'Utilisateur :Si l'Utilisateur choisit un LLM hébergé hors de Suisse ou de l'Union européenne (notamment aux États-Unis), ce choix constitue un transfert de données hors zone adéquate sous la seule responsabilité de l'Utilisateur. Notivia attire l'attention de l'Utilisateur sur la nécessité de vérifier la conformité de son fournisseur LLM.
Transferts opérés par Notivia :L'hébergement principal de la plateforme repose sur des serveurs en Europe (Supabase — Francfort, Vercel — région UE), couverts par la décision d'adéquation UE/Suisse. Les transferts vers les États-Unis (Stripe, services d'envoi d'emails) s'appuient sur le EU-U.S. et Swiss-U.S. Data Privacy Framework (DPF), sous réserve de la certification effective de chaque fournisseur.