Politique de confidentialité

Responsable de traitement principal

Numezis SA
Chemin de Mornex 5
Lausanne
Suisse
CHE-123.456.789

Délégué à la protection des données (DPO)
Un DPO externe est désigné.
Coordonnées : dpo@numezis.com

Point de contact unique pour la confidentialité
privacy@numezis.com
(ou contact@numezis.com avec objet « Demande RGPD / LPD »)

La présente Politique de confidentialité s'applique lorsque Numezis agit en qualité de responsable du traitement pour les données personnelles traitées dans le cadre de notre site public, de nos programmes d'événements et marketing, des démonstrations, de la prospection, de la création de compte, de l'administration de la facturation, des échanges procurement et due diligence, des communications de support, des opérations de sécurité, de la gestion des fournisseurs et plus largement de l'administration de l'entreprise.

Elle ne régit pas principalement les données client que Numezis traite dans le Service souscrit pour le compte d'un client agissant comme responsable du traitement. Ces activités de sous-traitance sont régies par le contrat client applicable et par le DPA Numezis, même si certaines explications de la présente Politique permettent de distinguer les rôles respectifs.

Numezis agit comme responsable du traitement lorsqu'elle détermine les finalités et moyens du traitement pour ses propres besoins commerciaux, par exemple pour gérer les relations commerciales, la facturation, l'administration des comptes, la conformité, la sécurité du site ou les communications produit.

Numezis agit comme sous-traitant ou prestataire assimilé lorsqu'elle traite, sur instructions documentées du client concerné, des données personnelles soumises par ce client dans le Service. Dans ce contexte, le client reste responsable de ses propres notices, bases légales, choix de conservation et évaluations réglementaires, et Numezis traite ces données dans le cadre du DPA et du contrat applicable.

Selon la relation entretenue avec Numezis, nous pouvons collecter des catégories de données personnelles telles que :

• Données d'identité et de contact professionnel, telles que nom, employeur, fonction, email professionnel, numéro de téléphone, adresse postale et informations de profil professionnel.
• Données de compte et d'administration, telles que identifiants de connexion, informations de propriété du compte, détails d'abonnement, droits de support, contacts de facturation et préférences de compte.
• Données commerciales et de facturation, telles que devis, commandes, factures, statut de paiement, informations fiscales, dossiers procurement et historique de relation client.
• Données techniques et d'usage, telles que adresse IP, métadonnées de navigateur, informations appareil, logs, cookies ou technologies similaires et télémétrie de sécurité associée aux visites du site ou à l'usage de services opérés en qualité de responsable.
• Données de communication et de support, telles que emails, notes de réunion, comptes rendus d'appel, tickets de support, informations de suivi sécurité et autres interactions avec nos équipes.
• Données de conformité et de due diligence, telles que les informations raisonnablement nécessaires aux vérifications sanctions, fraude, anti-blanchiment, procurement ou autres risques réglementaires lorsque cela est pertinent.

Numezis traite des données personnelles pour fournir les fonctionnalités du site, répondre aux demandes, gérer les abonnements et contrats, administrer la facturation, sécuriser les systèmes, prévenir la fraude, opérer le support, améliorer le Service, piloter les relations commerciales et respecter ses obligations légales ou réglementaires.

Selon le contexte, nos bases légales peuvent inclure : (i) l'exécution d'un contrat ou de mesures précontractuelles demandées par la personne concernée ; (ii) nos intérêts légitimes à exploiter, sécuriser, améliorer et promouvoir notre activité de manière proportionnée ; (iii) le respect d'obligations légales ; et (iv) le consentement lorsque celui-ci est requis ou spécifiquement demandé, notamment pour certaines activités marketing ou relatives aux cookies.

Lorsque nous nous fondons sur l'intérêt légitime, nous cherchons à équilibrer cet intérêt avec les droits et attentes des personnes concernées et à appliquer des garanties adaptées au contexte.

Nous conservons les données personnelles pendant des durées proportionnées aux finalités poursuivies et aux obligations légales :

• Données de compte actif : durée de la relation contractuelle + 90 jours après résiliation (période de restauration).
• Logs d’authentification & IP : 12 mois glissants.
• Factures & données comptables émises : 10 ans (délai fiscal suisse).
• Données métier importées : selon instructions du Client (DPA) + 30 jours post-résiliation.
• Données de support : 3 ans après clôture du dernier ticket.
• Données marketing (prospects) : 3 ans après le dernier contact significatif ou retrait du consentement.

Numezis peut communiquer des données personnelles à ses affiliées, prestataires d'infrastructure, hébergeurs, fournisseurs d'identité et d'authentification, outils email et communication, solutions de support et ticketing, outils analytiques, CRM et systèmes marketing, prestataires de paiement ou de facturation, conseils professionnels, auditeurs, assureurs et autres prestataires qui doivent accéder aux données pour soutenir des opérations commerciales légitimes.

Nous pouvons également divulguer des données personnelles lorsqu'une telle divulgation est nécessaire dans le cadre d'un litige, d'une obligation de conformité, d'une décision de justice, d'une demande réglementaire, de la prévention de la fraude, d'une opération de restructuration ou pour protéger des droits, la sécurité ou des biens. Les destinataires sont soumis, selon le cas, à des obligations contractuelles, légales ou professionnelles de confidentialité et de protection des données.

Numezis est établie en Suisse et peut traiter ou rendre accessibles des données personnelles en Suisse, dans l'Espace économique européen, au Royaume-Uni et dans d'autres juridictions dans lesquelles Numezis, ses affiliées ou ses prestataires opèrent. Lorsqu'un transfert transfrontalier intervient, Numezis met en place un mécanisme de transfert reconnu par le droit applicable, tel qu'une décision d'adéquation, les Clauses contractuelles types de l'UE, l'addendum suisse, l'addendum britannique ou une autre garantie approuvée.

Selon le contexte du transfert, Numezis peut compléter ces mécanismes par des mesures organisationnelles, contractuelles et techniques destinées à réduire le risque lié au transfert, en tenant compte du type de données, du pays de destination, du profil d'accès et du modèle de menace pertinent.

Nous appliquons une approche de défense en profondeur :

• Chiffrement au repos et en transit (TLS) ;
• Gestion stricte des accès (moindre privilège, MFA) ;
• Séparation logique des environnements (prod / staging / dev) ;
• Protections réseau (WAF / mitigation DDoS / rate limiting) via des services de sécurité cloud (par exemple Google Cloud Armor) ;
• Gestion centralisée des secrets (Google Secret Manager) ;
• Journalisation et monitoring pour la sécurité et la fiabilité ;
• Gestion régulière des vulnérabilités et revues de sécurité ;
• Sauvegardes chiffrées avec rétention définie.

Selon le droit applicable, vous pouvez exercer les droits suivants :

• Droit d’accès ;
• Droit de rectification ;
• Droit à l’effacement (« droit à l’oubli ») ;
• Droit à la limitation ;
• Droit d’opposition ;
• Droit à la portabilité ;
• Droit de retirer son consentement (lorsqu’il constitue la base légale) ;
• Droit de définir des directives post-mortem (LPD suisse).

Modalités : privacy@numezis.com
Délai de réponse : 1 mois (prolongeable de 2 mois en cas de complexité).
Une pièce d’identité raisonnable peut être demandée.

Numezis peut mettre à jour la présente Politique de confidentialité afin de refléter l'évolution des exigences légales, de la doctrine réglementaire, de ses pratiques commerciales, des fonctionnalités du service ou des contrôles de sécurité. La date de la dernière révision figure en haut de la page.

Si une modification est substantielle, Numezis pourra fournir une information complémentaire par bannière site, email, notification in-app ou tout autre canal raisonnable. La poursuite des interactions avec Numezis après la date d'effet de la nouvelle version signifie que cette version s'appliquera aux traitements relevant de notre rôle de responsable, sous réserve des droits impératifs reconnus par la loi applicable.

La présente Politique doit être lue conjointement avec le droit applicable en matière de protection des données, notamment, lorsque pertinent, la Loi fédérale suisse sur la protection des données et le RGPD. Rien dans cette Politique n'a pour objet de limiter des droits impératifs reconnus aux personnes concernées.

Les personnes concernées peuvent d'abord contacter Numezis afin que nous tentions de résoudre la difficulté directement. Elles peuvent également introduire une réclamation auprès du Préposé fédéral à la protection des données et à la transparence ou de toute autre autorité de contrôle compétente, comme indiqué ci-dessus, lorsqu'elles estiment que leurs droits ont été violés.