Retour

Accord de traitement des données (DPA)

Dernière mise à jour : 25 février 2026 — Conforme nLPD (RS 235.1) et RGPD (UE 2016/679)

Parties

Le présent Accord de traitement des données (« DPA ») est conclu entre :

  • Responsable du traitement: le client (organisation abonnee au service Helvee, ci-après « le Client ») ;
  • Sous-traitant: Helvee Sàrl, Suisse (ci-après « Helvee »).

Le DPA fait partie intégrante des Conditions d'utilisation de Helvee et entre en vigueur dès l'activation du compte.

1. Objet et durée du traitement

Helvee traite des données à caractère personnel pour le compte du Client dans le cadre de la fourniture de la plateforme CRM Helvee : gestion des contacts, des opportunités commerciales, de la facturation, des projets, de la gestion du temps, des emails et du copilot IA.

Le traitement dure pendant toute la période contractuelle. A l'expiration ou à la résiliation du contrat, les dispositions de la section 8 (Restitution et suppression) s'appliquent.

2. Catégories de données traitées

Helvee traite les catégories de données suivantes pour le compte du Client :

  • Données d'identification: nom, prénom, adresse email, numéro de téléphone, poste occupé (contacts CRM et utilisateurs du service) ;
  • Données professionnelles: raison sociale, adresse, secteur d'activité, notes et historique commercial (contacts et sociétés) ;
  • Données financières : factures, devis, avoirs, montants, conditions de paiement, taux de TVA (gestion comptable) ;
  • Communications: emails synchronisés via IMAP/OAuth (Google, Microsoft), métadonnées et corps des messages ;
  • Données de projet et de temps: tâches, jalons, feuilles de temps, rapports ;
  • Données techniques et de sécurité : adresses IP, logs de connexion, logs d'audit immutables, tokens de session (chiffrés AES-256-GCM) ;
  • Données IA: requêtes et réponses du copilot Helvee (traitées exclusivement par Infomaniak AI, Genève, Suisse).

Aucune donnée sensible au sens de l'art. 5 al. 1 let. c nLPD (données sur la santé, les convictions religieuses, etc.) n'est collectée par le service. Le Client reste responsable de ne pas saisir de telles données en dehors d'un accord spécifique.

3. Mesures techniques et organisationnelles (MTO)

Helvee met en oeuvre les mesures suivantes conformément à l'art. 8 nLPD et à l'art. 32 RGPD pour garantir un niveau de sécurité adapté au risque :

  • Chiffrement en transit : TLS 1.3 sur toutes les connexions client-serveur et inter-services ;
  • Chiffrement au repos: AES-256-GCM pour les tokens OAuth, secrets 2FA/TOTP et toute donnée sensible persistée ;
  • Hachage des mots de passe: algorithme scrypt avec sel aléatoire par utilisateur ;
  • Isolation multi-tenant: Row Level Security (RLS) PostgreSQL avec contexte de tenant positionné via SET LOCAL— aucune donnée d'un tenant ne peut être lue par un autre ;
  • Authentification à deux facteurs: TOTP (RFC 6238) disponible pour tous les utilisateurs, lockout automatique après 10 échecs (30 min) ;
  • Gestion des sessions: JWT httpOnly signe (jose), révocation par token_version, invalidation globale de toutes les sessions ;
  • Logs d'audit immutables: toutes les opérations sensibles (connexions, modifications financières, exports) sont journal-isees en INSERT uniquement, sans possibilité de modification ni de suppression ;
  • Rate limiting: limitation du nombre de requêtes sur toutes les routes API (Redis), avec double protection IP + email sur la route de connexion ;
  • Validation des entrées: schema Zod sur chaque requête entrante et chaque sortie IA ;
  • Content Security Policy: en-têtes HTTP stricts (CSP, HSTS, X-Frame-Options) configurés via Nginx et Next.js ;
  • Sauvegardes chiffrées: sauvegardes PostgreSQL quotidiennes, conservées exclusivement en Suisse via Infomaniak ;
  • Gestion des accès: contrôle d'accès basé sur les rôles (RBAC), principe du moindre privilège appliqué aux comptes de service.

4. Sous-traitants ultimes (art. 10 nLPD)

Helvee fait appel à un unique sous-traitant ultime pour l'hébergement et les services IA :

Sous-traitantPaysFinalité
Infomaniak Network SAGenève, SuisseHébergement Jelastic (PaaS), base de données, Redis, stockage, IA (Infomaniak AI)

Aucun autre sous-traitant n'a accès aux données du Client. Toute modification de cette liste fait l'objet d'une notification préalable au Client (30 jours avant la mise en production), qui dispose d'un droit d'opposition.

Infomaniak est certifié ISO 27001 et héberge exclusivement ses infrastructures en Suisse. Le contrat DPA entre Helvee et Infomaniak est disponible sur demande.

5. Transferts internationaux

Aucun transfert de données hors de Suisse n'est effectué. La totalité des données traitées dans le cadre du service Helvee est stockée et traitée exclusivement sur les infrastructures Infomaniak situées à Genève, Suisse.

Les modèles d'intelligence artificielle utilisés par le copilot Helvee sont hébergés par Infomaniak AI (« Heuristic ») en Suisse. Aucune donnée n'est transmise à des fournisseurs IA tiers (OpenAI, Google, Anthropic, Groq, etc.).

6. Obligation de notification des violations (nLPD Art. 24)

En cas de violation de la sécurité des données susceptible d'entraîner un risque pour la personnalité ou les droits fondamentaux des personnes concernées, Helvee s'engage à :

  • Notifier le Client dans les 72 heuressuivant la découverte de la violation, par email à l'administrateur principal du compte ;
  • Fournir une description de la nature de la violation, les catégories et le nombre approximatif de personnes concernées, ainsi que les mesures prises ou envisagées ;
  • Notifier le Préposé fédéral à la protection des données et à la transparence (PFPDT) conformément à l'art. 24 nLPD ;
  • Informer individuellement les personnes concernées si la violation présente un risque élevé pour elles.

Le Client est responsable de notifier ses propres autorités de contrôle si son établissement est soumis au RGPD (art. 33 RGPD), sur la base des informations transmises par Helvee.

7. Droits d'audit du Client

Le Client dispose d'un droit d'audit sur les traitements effectués pour son compte. Ce droit peut s'exercer de la manière suivante :

  • Audit documentaire: Helvee met à disposition sur demande les certifications, résultats de tests de pénétration, politiques de sécurité et rapports d'audit internes (sous accord de confidentialité) ;
  • Audit technique: le Client peut demander un audit technique sur site ou à distance, avec un préavis minimum de 30 jours ouvrables, à ses frais, sans perturber les opérations de Helvee ;
  • Logs d'audit en temps réel: le Client accède à ses propres logs d'audit (actions utilisateurs, modifications sensibles) depuis l'interface d'administration du CRM (à tout moment) ;
  • Questionnaire de sécurité: Helvee répond dans un délai de 15 jours ouvrables à tout questionnaire de sécurité soumis par le Client.

8. Restitution et suppression des données

A l'expiration ou à la résiliation du contrat pour quelque cause que ce soit :

  • Le Client dispose d'une période de 30 jourspour exporter l'ensemble de ses données depuis l'interface CRM (formats JSON et CSV disponibles pour contacts, deals, factures, projets, timesheets) ;
  • Au terme de ce délai, Helvee procède à la suppression définitivede toutes les données du Client dans un délai supplémentaire de 30 jours (soit 60 jours au total après la résiliation), y compris les sauvegardes les concernant ;
  • Les documents comptables(factures, devis) peuvent être conservés pendant la durée légale de 10 ans (CO art. 958f) si une obligation légale s'applique à Helvee en tant qu'éditeur ;
  • Les logs d'audit immutablesrelatifs à la sécurité sont conservés 10 ans, conformément aux exigences de l'art. 4 nLPD (liceité du traitement à des fins de sécurité) ;
  • Helvee fournit sur demande une attestation de suppressiondans un délai de 15 jours ouvrables.

9. Instructions du responsable du traitement

Helvee traite les données du Client exclusivement sur instruction documentee de ce dernier (configuration du compte, paramètres d'export, requêtes via l'API) et conformément au présent DPA. Helvee informe le Client sans délai si, à son avis, une instruction viole la nLPD ou d'autres dispositions applicables en matière de protection des données.

10. Confidentialité du personnel et accès technique

Helvee s'assure que les personnes autorisées à traiter les données du Client sont soumises à une obligation de confidentialité contractuelle ou légale. L'accès aux données des clients est limité au personnel strictement nécessaire pour la fourniture et le support du service (principe du moindre privilège).

Dans le cadre du support technique et de la maintenance, les administrateurs de la plateforme Helvee peuvent accéder aux données du Client, y compris les fiches de connaissances (KB) générées par l'intelligence artificielle, aux seules fins de correction, suppression ou recompilation de contenus défaillants. Chaque accès est enregistré dans un journal d'audit immutable conformément à la section 3 (MTO).

11. Loi applicable et for juridique

Le présent DPA est soumis au droit suisse, notamment à la loi fédérale sur la protection des données (nLPD, RS 235.1) et à ses ordonnances d'exécution.

Tout litige relatif au présent accord sera porté devant les tribunaux compétents du Canton de Vaud, Suisse, sous réserve de tout recours devant le PFPDT.

Pour les Clients dont l'organisation est établie dans l'Espace économique européen (EEE), le présent DPA vaut également Contrat de sous-traitance au sens de l'art. 28 RGPD.

Contact DPO

Pour toute question relative au présent DPA ou à l'exercice de vos droits :

  • Email : privacy@helvee.com
  • Adresse: Helvee Sàrl, Canton de Vaud, Suisse
  • Autorité de surveillance: Préposé fédéral à la protection des données et à la transparence (PFPDT), Feldeggweg 1, 3003 Berne, Suisse