Retour

Politique de confidentialité

Dernière mise à jour : 22 février 2026

1. Responsable du traitement

Helvee Sàrl, Suisse. Toutes les données sont hébergées exclusivement en Suisse (Infomaniak, Genève). Aucun transfert de données hors de Suisse n'est effectué.

Contact DPO : privacy@helvee.com

2. Données collectées et finalités

  • Données d'identification: nom, prénom, email, téléphone — gestion des comptes utilisateurs et contacts CRM
  • Données professionnelles : entreprise, poste, adresse — gestion de la relation client
  • Données financières: factures, devis, paiements — facturation et comptabilité
  • Données techniques: adresse IP, logs de connexion — sécurité et audit
  • Communications: emails synchronisés via IMAP/OAuth — gestion email intégrée

3. Bases légales du traitement

  • Exécution du contrat (nLPD art. 31 al. 2 let. a) : fourniture du service CRM
  • Obligation légale(CO art. 958f) : conservation des pièces comptables 10 ans
  • Consentement(nLPD art. 6 al. 6) : communications marketing (révocable à tout moment)
  • Intérêt légitime: sécurité du système, prévention des fraudes

4. Durées de conservation

  • Données CRM (contacts, deals, tâches) : durée de la relation contractuelle + 1 an
  • Documents comptables (factures, devis, paiements) : 10 ans (CO art. 958f)
  • Logs d'audit et consentements : 10 ans (immutables, non-modifiables)
  • Logs de connexion et tokens : 24h (sessions) / 1h (tokens de réinitialisation)
  • Emails synchronisés : durée de la relation contractuelle

5. Cookies et technologies similaires

Nous utilisons un seul cookie technique strictement nécessaire (auth-token, httpOnly, secure, 24h) pour maintenir votre session. Aucun cookie de tracking, analytics ou publicitaire n'est utilisé. Aucun consentement n'est requis pour ce cookie technique (nLPD art. 45c LTC).

6. Intelligence artificielle

Le copilot IA utilise exclusivement des modèles hébergés en Suisse (Infomaniak AI, Genève). Aucune donnée n'est transmise à des fournisseurs tiers (OpenAI, Google, etc.). Les données CRM utilisées par l'IA restent dans le périmètre du tenant et ne sont pas utilisées pour l'entraînement de modèles.

7. Sous-traitants et transferts

  • Infomaniak (Genève, CH): hébergement, IA, email SMTP

Aucun transfert de données hors de Suisse. Tous les sous-traitants sont soumis à des contrats conformes à la nLPD.

8. Sécurité

  • Chiffrement en transit : TLS 1.3
  • Chiffrement au repos : AES-256-GCM (tokens OAuth, secrets 2FA)
  • Hachage des mots de passe : scrypt
  • Authentification à deux facteurs (2FA/TOTP) disponible
  • Isolation multi-tenant par Row Level Security (PostgreSQL)
  • Logs d'audit immutables
  • Rate limiting sur toutes les API

9. Droits des personnes concernées (nLPD Art. 25-29)

Conformément à la nLPD, vous disposez des droits suivants :

  • Droit d'accès(art. 25) : obtenir une copie de vos données
  • Droit de rectification(art. 32 al. 1) : corriger vos données inexactes
  • Droit à l'effacement(art. 32 al. 2 let. c) : demander la suppression de vos données (sauf obligations légales de conservation)
  • Droit à la portabilité(art. 28) : recevoir vos données dans un format machine-readable (JSON)
  • Droit d'opposition(art. 32 al. 2 let. b) : vous opposer au traitement de vos données

Délai de traitement : 30 jours. Soumettez votre demande via l'interface DSR du CRM ou par email à privacy@helvee.com.

10. Notification de violation (nLPD Art. 24)

En cas de violation de la sécurité des données, nous notifions le Préposé fédéral à la protection des données (PFPDT) dans les meilleurs délais. Si la violation présente un risque élevé pour les personnes concernées, celles-ci sont informées individuellement par email.

11. Autorité de surveillance

Préposé fédéral à la protection des données et à la transparence (PFPDT), Feldeggweg 1, 3003 Berne, Suisse.

12. Contact

Pour toute question relative à la protection des données : privacy@helvee.com