Conformité légale

Résumé exécutif

Les données personnelles collectées via souverain-ia.ch sont traitées par : Youness Zangui — SOUVERAIN IA Route du Pavement 5 · 1018 Lausanne · Suisse contact@souverain-ia.ch · +41 77 498 53 79 En tant que responsable du traitement au sens de la Loi fédérale sur la protection des données (nLPD, RS 235.1, en vigueur depuis le 1er septembre 2023), Youness Zangui s'engage à respecter l'ensemble des obligations qui en découlent.

Le traitement de vos données repose sur les bases légales suivantes : • Exécution du contrat de services (art. 31 al. 2 let. a nLPD) • Intérêt légitime à la sécurité et à l'amélioration des services (art. 31 al. 2 let. b nLPD) • Consentement explicite lorsque requis (formulaires, cookies non essentiels) • Obligation légale (conservation comptable, conformité fiscale CO)

Données de contact (nom, email, téléphone, cabinet) → Finalité : traitement des demandes d'audit, envoi de devis, relation commerciale → Conservation : 5 ans après la dernière interaction Données de facturation (nom, adresse, coordonnées) → Finalité : émission de factures conformes CO et nLPD → Conservation : 10 ans (obligation légale, art. 958f CO) Données de la plateforme (logs d'exécution, métriques d'usage) → Finalité : monitoring, sécurité, amélioration des automatisations → Conservation : 90 jours (logs techniques), 3 ans (données agrégées) Données des workflows (documents traités, extraits, synthèses) → Finalité : exécution du service souscrit → Conservation : durée du contrat + 90 jours après résiliation

Toutes les données sont hébergées exclusivement en Suisse sur des serveurs dédiés Infomaniak (Genève), certifiés ISO 27001. Aucun transfert de données vers des serveurs situés hors du territoire suisse n'est effectué sans garanties contractuelles équivalentes. Sous-traitants actuels : • Infomaniak Network SA (hébergement VPS) — Genève, Suisse • Neon / Hypothekarbank Lenzburg (paiements QR-bill) — Lenzburg, Suisse

Les mesures techniques et organisationnelles suivantes sont mises en œuvre : • Chiffrement AES-256 des données au repos et TLS 1.3 en transit • Authentification forte (MFA) pour l'accès à l'infrastructure • Contrôle d'accès basé sur les rôles (RBAC) — principe du moindre privilège • Journaux d'accès horodatés et signés cryptographiquement • Sauvegardes chiffrées quotidiennes, rétention 30 jours • Architecture isolée — aucune donnée client partagée entre mandats

Conformément à la nLPD, vous disposez des droits suivants : • Droit d'accès : obtenir confirmation du traitement et copie de vos données • Droit de rectification : corriger des données inexactes ou incomplètes • Droit à l'effacement : suppression dans les limites légales (art. 26 nLPD) • Droit à la portabilité : recevoir vos données dans un format structuré et lisible • Droit d'opposition : vous opposer au traitement pour motif légitime • Droit de limitation : restreindre temporairement le traitement Pour exercer ces droits : contact@souverain-ia.ch — délai de réponse : 30 jours. Vous pouvez également déposer une plainte auprès du Préposé fédéral à la protection des données et à la transparence (PFPDT) — www.edoeb.admin.ch

Un registre complet des activités de traitement (RAT) est tenu conformément à l'art. 12 nLPD. Ce registre est disponible sur demande légitime à contact@souverain-ia.ch pour les clients, partenaires et autorités compétentes.

En cas de violation de données susceptible de présenter un risque élevé pour les droits et libertés des personnes concernées, le PFPDT sera notifié dans les 72 heures (art. 24 nLPD). Les personnes concernées seront informées sans délai injustifié si la violation est de nature à entraîner un préjudice.

Cette politique peut être actualisée pour refléter des évolutions légales ou opérationnelles. La version en vigueur est toujours disponible à l'adresse souverain-ia.ch/nlpd. Date de dernière mise à jour : mai 2026.

Questions sur vos données ?