Politique de confidentialité

Responsable de traitement principal

Numezis SA
Chemin de Mornex 5
Lausanne
Suisse
CHE-123.456.789

Délégué à la protection des données (DPO)
Un DPO externe est désigné.
Coordonnées : dpo@numezis.com

Point de contact unique pour la confidentialité
privacy@numezis.com
(ou contact@numezis.com avec objet « Demande RGPD / LPD »)

La présente Politique s’applique aux catégories suivantes de personnes concernées :

• Utilisateurs finaux (administrateurs, collaborateurs, comptables, etc.) accédant au Service via un compte organisation ;
• Représentants légaux et contacts commerciaux des organisations clientes ;
• Prospects et personnes ayant interagi avec nos équipes commerciales ou marketing ;
• Visiteurs du site web numezis.com et de ses sous-domaines ;
• Personnes dont les données sont traitées dans le cadre des flux métiers importés par nos Clients (données « importées » ou « uploadées »).

Selon le contexte, Numezis peut agir en qualité de responsable de traitement ou de sous-traitant :

• Données nécessaires à la fourniture du Service (compte, facturation, logs d’authentification, configuration) : Numezis agit en tant que responsable de traitement sur la base de l’exécution du contrat et de l’intérêt légitime (CGU / contrat client).
• Données métier importées / générées par le Client dans les modules (factures, écritures comptables, employés, etc.) : Numezis agit en tant que sous-traitant selon les instructions documentées du Client (DPA / Data Processing Addendum).
• Données collectées à des fins de marketing direct (newsletters, webinars, etc.) : Numezis agit en tant que responsable de traitement sur la base du consentement ou de l’intérêt légitime (opt-in/opt-out).

Lorsque nous agissons en qualité de sous-traitant, le Client reste responsable du traitement et nous agissons strictement selon ses instructions écrites (décrites dans le DPA).

Nous pouvons traiter les catégories de données personnelles suivantes, selon les fonctionnalités utilisées :

• Données d’identification & compte : nom, prénom, adresse e-mail professionnelle, fonction, identifiant unique.
• Données d’authentification & sécurité : hash du mot de passe, jetons JWT/refresh, adresse IP, empreinte navigateur, logs MFA.
• Données de facturation & contrat : raison sociale, n° TVA, adresse de facturation, coordonnées de paiement (via Stripe).
• Données d’usage & télémétrie : actions réalisées (clics, pages vues), temps passé, erreurs applicatives, quotas.
• Données métier importées : factures PDF/XML, écritures comptables, fiches salariés, relevés bancaires, etc.
• Données de support & communication : contenu des tickets, échanges e-mail/chat, enregistrements d’appels (si autorisé).
• Données marketing & événementiel : préférences de communication, historique d’ouverture, participation à des webinars.

Nous traitons les données personnelles pour les finalités suivantes, sur la base des fondements juridiques prévus par le RGPD et la LPD suisse (selon le cas) :

• Création, gestion et authentification des comptes : exécution du contrat.
• Fourniture effective du Service (calculs, génération de documents, IA) : exécution du contrat.
• Facturation, gestion des paiements et recouvrement : exécution du contrat + obligation légale.
• Détection et prévention des fraudes, abus, incidents de sécurité : intérêt légitime (protection de la plateforme et des autres clients).
• Journalisation à des fins d’audit et de traçabilité comptable/fiscale : obligation légale + intérêt légitime (conformité Swiss GAAP, ESTV, audits externes).
• Support technique et résolution d’incidents : exécution du contrat + intérêt légitime (maintien de la qualité de service).
• Amélioration continue du produit (analyse agrégée et anonymisée) : intérêt légitime (développement de fonctionnalités utiles).
• Communications transactionnelles (factures, alertes sécurité) : exécution du contrat.
• Communications marketing non essentielles : consentement ou intérêt légitime (avec opt-out lorsque applicable).
• Respect des obligations légales (conservation, réponse aux autorités) : obligation légale.

Nous conservons les données personnelles pendant des durées proportionnées aux finalités poursuivies et aux obligations légales :

• Données de compte actif : durée de la relation contractuelle + 90 jours après résiliation (période de restauration).
• Logs d’authentification & IP : 12 mois glissants.
• Factures & données comptables émises : 10 ans (délai fiscal suisse).
• Données métier importées : selon instructions du Client (DPA) + 30 jours post-résiliation.
• Données de support : 3 ans après clôture du dernier ticket.
• Données marketing (prospects) : 3 ans après le dernier contact significatif ou retrait du consentement.

Nous ne vendons jamais vos données personnelles.

Catégories de destinataires :

• Sous-traitants techniques (hébergement cloud, monitoring, messagerie transactionnelle, support niveau 3) ;
• Stripe (paiement & facturation) ;
• Google Cloud Platform (hébergement cloud et services de sécurité) ;
• MongoDB Atlas (hébergement de base de données managée) ;
• Microsoft Azure (Azure OpenAI) (modèles d’IA, selon configuration) ;
• Amazon Web Services (AWS) (ingestion d’emails entrants et stockage des emails bruts) ;
• Infomaniak (gestion DNS pour numezis.com et services email associés) ;
• Cabinets d’avocats / experts-comptables (en cas de litige ou audit) ;
• Autorités compétentes (sur réquisition judiciaire ou obligation légale).

Tous les sous-traitants signent un contrat conforme à l’art. 28 RGPD / art. 9 LPD. La liste des sous-traitants principaux est également décrite dans notre DPA.

La majorité des données est hébergée en Suisse (data centers certifiés ISO 27001, FINMA, Swiss Hosting).

Lorsque des transferts hors Suisse/EEE sont nécessaires, nous utilisons notamment :

• Clauses Contractuelles Types 2021 (SCC) + évaluation TIA (Transfer Impact Assessment) ;
• Codes de conduite sectoriels approuvés ;
• Certifications contraignantes d’entreprise (BCR) lorsque disponibles.

Nous appliquons une approche de défense en profondeur :

• Chiffrement au repos et en transit (TLS) ;
• Gestion stricte des accès (moindre privilège, MFA) ;
• Séparation logique des environnements (prod / staging / dev) ;
• Protections réseau (WAF / mitigation DDoS / rate limiting) via des services de sécurité cloud (ex. Google Cloud Armor) ;
• Gestion centralisée des secrets (Google Secret Manager) ;
• Journalisation et monitoring pour la sécurité et la fiabilité ;
• Gestion régulière des vulnérabilités et revues de sécurité ;
• Sauvegardes chiffrées avec rétention définie.

Selon le droit applicable, vous pouvez exercer les droits suivants :

• Droit d’accès ;
• Droit de rectification ;
• Droit à l’effacement (« droit à l’oubli ») ;
• Droit à la limitation ;
• Droit d’opposition ;
• Droit à la portabilité ;
• Droit de retirer son consentement (lorsqu’il constitue la base légale) ;
• Droit de définir des directives post-mortem (LPD suisse).

Modalités : privacy@numezis.com
Délai de réponse : 1 mois (prolongeable de 2 mois en cas de complexité).
Une pièce d’identité raisonnable peut être demandée.

Nous pouvons modifier la présente Politique. Les modifications substantielles seront notifiées par e-mail ou via une bannière in-app au moins 30 jours avant leur entrée en vigueur.

Droit suisse + Règlement (UE) 2016/679 lorsque applicable.

Juridiction compétente : tribunaux de l’arrondissement de Lausanne (Lausanne).