← Retour à l'accueil

Politique de confidentialité

Conforme à la nLPD 2023 (loi fédérale suisse sur la protection des données, en vigueur depuis le 1er septembre 2023)

1. Responsable du traitement

Le responsable du traitement des données personnelles collectées via la plateforme SHElytics est :

SHElytics Sàrl

Genève, Suisse

Contact : privacy@shelytics.com

2. Données personnelles collectées

SHElytics collecte les catégories de données suivantes :

2.1 Données d'identification

  • Nom complet, adresse email
  • Nom de l'organisation, rôle professionnel

2.2 Données d'utilisation de la plateforme

  • Permis de travail (métadonnées, dates, statuts)
  • Audits de sécurité et scores
  • Signatures numériques (images stockées dans Supabase Storage)
  • Communications et activités chantier
  • Logs d'accès et d'actions (audit trail)

2.3 Données de facturation

  • Adresse email de facturation
  • Plan d'abonnement, historique de paiement
  • Les données de carte bancaire sont traitées exclusivement par Stripe, Inc. — SHElytics ne stocke jamais les numéros de carte

2.4 Données de navigation (site public)

  • Pages visitées, durée, interactions (via Google Analytics 4, avec consentement)
  • Adresse IP (anonymisée), type de navigateur

3. Finalités et bases légales du traitement

FinalitéBase légale (nLPD art. 31)
Exécution du contrat SaaS (gestion des permis, audits, signatures)Exécution d'un contrat (art. 31 al. 2 let. a)
Facturation et gestion de l'abonnementExécution d'un contrat
Conformité légale OPA/LAA (traçabilité sécurité chantier)Obligation légale (LAA art. 82, OPA)
Sécurité de la plateforme et prévention des fraudesIntérêt légitime (art. 31 al. 2 let. b)
Amélioration du produit, support clientIntérêt légitime
Analytics de navigation (Google Analytics 4)Consentement (art. 31 al. 2 let. a)
Emails transactionnels et notificationsExécution d'un contrat

4. Sous-traitants (processeurs de données)

SHElytics fait appel aux sous-traitants suivants, liés par des accords de traitement conformes :

Sous-traitantLocalisationRôleGaranties
Supabase, Inc.États-Unis / EU (AWS eu-central-1)Base de données, authentification, stockageDPA + SCCs UE-Suisse
Vercel, Inc.États-Unis / EU (edge)Hébergement applicationDPA + SCCs UE-Suisse
Stripe, Inc.États-Unis / EUPaiement, facturationDPA + SCCs + PCI-DSS
Resend, Inc.États-UnisEmails transactionnelsDPA + SCCs UE-Suisse
Sentry, Inc.États-UnisMonitoring erreursDPA + SCCs
Google LLCÉtats-Unis / EUAnalytics (avec consentement)DPA + SCCs + anonymisation IP

Les transferts vers des pays hors Suisse sont encadrés par des clauses contractuelles types (SCCs) conformément à la décision d'adéquation CE et à la liste des pays reconnus par le PFPDT.

5. Durée de conservation

Catégorie de donnéesDurée
Données de compte (email, profil)Durée de l'abonnement + 30 jours après résiliation
Données métier (permis, audits, signatures)Configurable par organisation (défaut : 365 jours) — archivage soft après expiration
Données de facturation10 ans (obligation légale comptable suisse, CO art. 958f)
Logs de sécurité (audit trail)12 mois
Données analytics (GA4)14 mois maximum (configuration GA4)

6. Vos droits (nLPD art. 25–27, RGPD art. 15–22)

Vous disposez des droits suivants concernant vos données personnelles :

  • Droit d'accès — Obtenir une copie des données vous concernant
  • Droit de rectification — Corriger des données inexactes
  • Droit à l'effacement — Demander la suppression (sous réserve des obligations légales)
  • Droit à la portabilité — Recevoir vos données dans un format structuré (CSV disponible depuis le dashboard)
  • Droit d'opposition — S'opposer au traitement basé sur l'intérêt légitime
  • Droit de limitation — Restreindre le traitement dans certaines circonstances
  • Droit de retrait du consentement — Pour les traitements basés sur votre consentement (cookies analytics)

Pour exercer ces droits : formulaire en ligne (clients connectés) ou par email à privacy@shelytics.com. Nous répondrons dans un délai de 30 jours (nLPD art. 25).

Vous pouvez également déposer une plainte auprès du PFPDT (Préposé fédéral à la protection des données et à la transparence) : edoeb.admin.ch

7. Sécurité des données

  • Chiffrement en transit : TLS 1.2+ sur toutes les connexions
  • Chiffrement au repos : géré par Supabase (AES-256)
  • Isolation multi-tenant : Row Level Security (RLS) sur 35 tables PostgreSQL
  • Signatures stockées dans Supabase Storage privé (jamais en base64 en DB)
  • Clés secrètes stockées exclusivement en variables d'environnement serveur
  • Roadmap ISO 27001 : certification visée Q4 2026

8. Cookies et traceurs

CookieTypeFinalitéDurée
sb-access-tokenStrictement nécessaireAuthentification SupabaseSession
sb-refresh-tokenStrictement nécessaireRenouvellement session7 jours
NEXT_LOCALEFonctionnelMémorisation de la langue1 an
ga-consentPréférenceMémorisation consentement analytics1 an
_ga, _ga_*Analytics (consentement requis)Google Analytics 414 mois

Vous pouvez retirer votre consentement aux cookies analytics à tout moment via la bannière de consentement en bas de page ou en contactant privacy@shelytics.com.

9. Accord de traitement des données (DPA)

Pour les clients Enterprise, SHElytics propose un Data Processing Agreement (DPA) conforme à la nLPD 2023 et au RGPD, documentant nos obligations en tant que sous-traitant de vos données.

Consulter notre DPA →

10. Modifications de cette politique

Nous pouvons mettre à jour cette politique périodiquement. En cas de modification substantielle, nous informerons les utilisateurs enregistrés par email au moins 30 jours avant l'entrée en vigueur.

11. Contact — Délégué à la protection des données

Email : privacy@shelytics.com

Délai de réponse : 30 jours calendaires

Autorité de surveillance : PFPDT — Préposé fédéral à la protection des données et à la transparence

Dernière mise à jour : 27 avril 2026Conforme nLPD 2023 (Suisse)
Politique de confidentialité — SHElytics | SHElytics