Accord de sous-traitance (DPA)

Le présent DPA fait partie intégrante des Conditions Générales d'Utilisation de Notivia.ch et entre en vigueur dès que le Responsable du traitement crée un compte Pro et saisit des données de clients finaux dans la Plateforme.

Le DPA reste en vigueur aussi longtemps que Notivia traite des données personnelles pour le compte du Responsable du traitement. Il prend fin à la suppression complète du compte ou à l'expiration de la période de conservation après downgrade (90 jours).

Notivia traite les données personnelles des clients finaux du Responsable du traitement aux seules fins suivantes :

• Stockage et affichage des données dans le CRM projet-centric de la Plateforme
• Pré-remplissage des outils de calcul à partir des données du projet
• Génération d'exports PDF (exécutée localement dans le navigateur du Responsable du traitement — aucune donnée transmise à un serveur tiers)
• Sauvegarde et restauration des données (backups automatiques Supabase)

Notivia ne procède à aucune analyse, profilage, revente ou exploitation commerciale des données des clients finaux.

• Données d'identification : nom, prénom des clients finaux
• Coordonnées : adresse, email, numéro de téléphone (si saisis)
• Données de bâtiment : adresse du bâtiment, EGID (identifiant fédéral), année de construction, surface de référence énergétique
• Données de projet : type de système de chauffage, résultats de calcul, notes de projet, snapshots de progression

Aucune donnée sensible au sens de l'art. 5 let. c nLPD (données de santé, opinions politiques, données biométriques, etc.) n'est traitée par la Plateforme.

Les personnes dont les données sont traitées sont :

• Clients finaux du Responsable du traitement (propriétaires de bâtiments, gérants, locataires faisant appel aux services de l'installateur CVC)
• Contacts professionnels saisis dans le CRM (architectes, régies, bureaux d'études)

Conformément à l'art. 9 nLPD, Notivia s'engage à :

5.1 Traitement sur instruction

Traiter les données personnelles uniquement conformément aux instructions documentées du Responsable du traitement, telles que définies dans les CGU et le présent DPA. Notivia n'utilisera pas les données à d'autres fins que celles prévues.

5.2 Confidentialité

Garantir que toute personne autorisée à traiter les données est soumise à une obligation de confidentialité contractuelle ou légale.

5.3 Mesures techniques et organisationnelles

Mettre en œuvre les mesures de sécurité appropriées détaillées à la section 10 du présent accord.

5.4 Sous-traitance ultérieure

Ne pas faire appel à un nouveau sous-traitant sans en informer préalablement le Responsable du traitement (voir section 7).

5.5 Assistance aux droits

Assister le Responsable du traitement dans l'exécution de ses obligations vis-à-vis des droits des personnes concernées (accès, rectification, effacement, portabilité, opposition) dans la mesure du possible et sans frais supplémentaires pour les demandes raisonnables.

5.6 Notification de violation

Informer le Responsable du traitement dans les meilleurs délais (et au plus tard 72 heures) de toute violation de la sécurité des données au sens de l'art. 24 nLPD, en fournissant les informations suivantes : nature de la violation, catégories de données concernées, mesures prises ou proposées.

5.7 Audit

Mettre à la disposition du Responsable du traitement les informations nécessaires pour démontrer le respect des obligations découlant du présent DPA et permettre la réalisation d'audits raisonnables. Les audits sur site, s'ils sont nécessaires, sont à la charge du Responsable du traitement et doivent être convenus avec un préavis de 30 jours.

Le Responsable du traitement (l'installateur ou bureau d'études) s'engage à :

• S'assurer que la collecte et la saisie des données personnelles de ses clients finaux est conforme à la nLPD (information, base légale, minimisation)
• Informer ses clients finaux que leurs données sont traitées via la Plateforme Notivia et leur communiquer les informations requises par l'art. 19 nLPD
• Ne pas saisir de données sensibles (art. 5 let. c nLPD) dans la Plateforme
• Répondre aux demandes d'exercice de droits de ses clients finaux, avec l'assistance de Notivia si nécessaire
• Notifier Notivia sans délai en cas de violation de données le concernant

Le Responsable du traitement autorise Notivia à recourir aux sous-traitants ultérieurs listés ci-dessous. Ces sous-traitants sont les mêmes que ceux figurant dans la politique de confidentialité :

En cas d'ajout ou de remplacement d'un sous-traitant ultérieur, Notivia en informera le Responsable du traitement par email au moins 30 jours avant le changement. Le Responsable du traitement peut s'opposer au changement ; en l'absence d'opposition dans les 30 jours, le changement est réputé accepté.

Les transferts de données hors de Suisse sont encadrés conformément aux art. 16-17 nLPD :

• Allemagne : pays offrant un niveau de protection adéquat (annexe 1 OPDo, liste du Conseil fédéral)
• États-Unis : Swiss-U.S. Data Privacy Framework (DPF) pour les entreprises certifiées, complété par des clauses contractuelles types (SCC) le cas échéant

À la fin du DPA (suppression du compte ou résiliation) :

• Restitution : Le Responsable du traitement peut exporter ses données avant la suppression (export PDF, droit à la portabilité)
• Suppression : Notivia supprimera l'intégralité des données personnelles des clients finaux dans un délai de 30 jours après la demande de suppression du compte, sauf obligation légale de conservation
• Période transitoire : En cas de downgrade Pro → Free, les données sont conservées en lecture seule pendant 90 jours (voir CGU §5), puis archivées

Notivia met en œuvre les mesures de sécurité suivantes pour protéger les données personnelles :

Chiffrement

• Chiffrement en transit : TLS 1.2+ sur toutes les connexions (HTTPS forcé via HSTS)
• Chiffrement au repos : AES-256 via Supabase Pro (disques chiffrés)
• Mots de passe : hashés avec bcrypt (Supabase Auth), jamais stockés en clair

Contrôle d'accès

• Row Level Security (RLS) activé sur toutes les tables Supabase — chaque utilisateur ne peut accéder qu'à ses propres données
• Authentification par email/mot de passe avec PKCE (Proof Key for Code Exchange)
• Sessions : JWT 1 heure, refresh token 7 jours
• Rate limiting sur les endpoints d'authentification

Sécurité de l'infrastructure

• Hébergement Vercel : déploiement serverless, isolation par requête, SSL automatique
• Headers de sécurité : CSP, X-Frame-Options (DENY), HSTS, X-Content-Type-Options
• Pas de `dangerouslySetInnerHTML`, pas de `eval()`, pas de secrets côté client

Sauvegardes et continuité

• Backups automatiques quotidiens (Supabase Pro)
• Point-in-time recovery disponible
• Rollback instantané des déploiements (Vercel)

Surveillance et incidents

• Monitoring : UptimeRobot, Vercel Analytics, logs Supabase
• Procédure de notification PFPDT sous 72h en cas de violation
• Rotation semestrielle des secrets (service_role, clés Stripe)
• Audit npm automatique en CI (npm audit)