Politique de Confidentialité
1. Introduction
La présente Politique de Confidentialité décrit la manière dont Zenoia Sàrl (ci-après « Zenoia ») collecte, traite et protège les données personnelles des utilisateurs de la plateforme ZenoiaIQ (ci-après « la Plateforme »).
Zenoia prend la protection des données très au sérieux et s'engage à respecter la Loi fédérale sur la protection des données (nDSG) ainsi que le Règlement général sur la protection des données de l'Union européenne (RGPD), dans la mesure où il est applicable.
2. Responsable du traitement
Zenoia Sàrl Boulevard Carl-Vogt 36 CH-1205 Genève Suisse
Email : privacy@zenoiaiq.ch Site : www.zenoiaiq.ch
3. Données collectées
3.1 Données fournies par l'Utilisateur
| Catégorie | Données | Finalité | Base légale |
|---|---|---|---|
| Compte | Nom, prénom, email, mot de passe (haché) | Création et gestion du compte | Exécution du contrat (art. 6 al. 1 let. b RGPD) |
| Entreprise | Nom de la société, secteur d'activité, adresse | Multi-tenant, personnalisation | Exécution du contrat |
| Facturation | Adresse de facturation, plan souscrit | Gestion de l'abonnement | Exécution du contrat |
| Modules métier | Dépenses, contacts, stocks, recettes, documents, devis, horaires, employés, salaires | Fourniture du service | Exécution du contrat |
3.2 Données collectées automatiquement
| Catégorie | Données | Finalité | Base légale |
|---|---|---|---|
| Journaux techniques | Adresse IP, user-agent, horodatage des requêtes | Sécurité, diagnostic, prévention des abus | Intérêt légitime (art. 6 al. 1 let. f RGPD) |
| Données de session | Jeton d'authentification (JWT), statut 2FA | Authentification sécurisée | Exécution du contrat |
3.3 Données NON collectées
Zenoia ne collecte PAS :
- De données via des cookies de suivi ou publicitaires
- De données de géolocalisation précise
- De données issues de réseaux sociaux
- De données biométriques
- De profils comportementaux à des fins publicitaires
Analyse du site web (www.zenoiaiq.ch uniquement) : le site marketing peut utiliser Plausible Analytics, un outil d'analyse respectueux de la vie privée, sans cookies et conforme à la nDSG et au RGPD. Aucune donnée personnelle n'est collectée par Plausible. L'application (iq.zenoiaiq.ch) n'utilise aucun outil d'analyse tiers.
4. Finalités du traitement
| Finalité | Description | Base légale nDSG | Base légale RGPD |
|---|---|---|---|
| Fourniture du service | Exécution de toutes les fonctionnalités de la Plateforme | Art. 6 al. 1 nDSG | Art. 6 al. 1 let. b |
| Gestion du compte | Création, authentification, gestion des accès | Art. 6 al. 1 nDSG | Art. 6 al. 1 let. b |
| Facturation | Gestion des abonnements, paiements, factures | Art. 6 al. 1 nDSG | Art. 6 al. 1 let. b |
| Sécurité | Protection contre les accès non autorisés, audit trail | Art. 8 nDSG | Art. 6 al. 1 let. f |
| Communication | Emails transactionnels (2FA, notifications système) | Art. 6 al. 1 nDSG | Art. 6 al. 1 let. b |
| Amélioration du service | Analyse agrégée et anonymisée de l'utilisation | Art. 6 al. 3 nDSG | Art. 6 al. 1 let. f |
| Obligations légales | Conservation comptable (10 ans, CO art. 958f) | Art. 6 al. 6 nDSG | Art. 6 al. 1 let. c |
5. Sous-traitants et transferts de données
5.1 Sous-traitants techniques
| Prestataire | Pays | Données traitées | Finalité | Garanties |
|---|---|---|---|---|
| Supabase, Inc. | USA (siège), Suisse (données) | Base de données, fichiers, authentification | Hébergement, stockage | SOC 2 Type II, données sur AWS eu-central-2 (Zurich, Suisse) |
| Vercel, Inc. | USA (siège), UE (fonctions) | Requêtes API, code serveur | Hébergement applicatif | SOC 2 Type II, fonctions en région fra1 (Frankfurt, Allemagne) |
| Stripe, Inc. | USA (siège), UE (traitement) | Données de paiement | Paiement par carte | PCI DSS Level 1 |
| Resend, Inc. | USA | Adresse email, codes 2FA | Envoi d'emails transactionnels | TLS, rétention minimale |
| Anthropic, Inc. | USA | Données soumises à l'IA (images de reçus, texte de devis) | OCR, analyse IA | Politique API : pas d'entraînement sur les données clients |
5.2 Localisation des données
Données principales (base de données, fichiers) : Les données sont hébergées sur les serveurs de Supabase (infrastructure AWS) dans la région eu-central-2 (Zurich, Suisse).
Fonctions API : Les fonctions serveur (Vercel) sont exécutées dans la région fra1 (Frankfurt, Allemagne), au sein de l'Union européenne. Aucune donnée persistante n'est stockée par les fonctions serveur (architecture stateless).
Données de paiement : Les données bancaires sont traitées exclusivement par Stripe (certifié PCI DSS Level 1). Zenoia n'a jamais accès aux numéros de carte bancaire.
Données IA : Les données soumises aux fonctionnalités IA sont transmises aux serveurs d'Anthropic aux USA pour un traitement ponctuel. Ces données ne sont pas conservées par Anthropic après le traitement et ne sont pas utilisées pour l'entraînement de modèles.
5.3 Transferts hors de Suisse et de l'UE
Certains sous-traitants ont leur siège aux États-Unis. Ces transferts sont encadrés par :
- Les clauses contractuelles types (CCT) de la Commission européenne, reconnues par le Préposé fédéral à la protection des données (PFPDT) ;
- Le Data Privacy Framework (DPF) EU-US pour les prestataires certifiés ;
- Des mesures techniques complémentaires (chiffrement, pseudonymisation) conformément aux recommandations du PFPDT.
L'Utilisateur consent explicitement à ces transferts en acceptant les CGU et la présente Politique. Il peut retirer ce consentement à tout moment en cessant d'utiliser les fonctionnalités IA ou en résiliant son compte.
6. Durées de conservation
| Type de données | Durée | Base légale |
|---|---|---|
| Données de compte | Durée de l'abonnement + 90 jours | Contrat |
| Données métier (dépenses, stocks, etc.) | Durée de l'abonnement + 90 jours | Contrat |
| Documents comptables | 10 ans après la fin de l'exercice | CO art. 958f |
| Audit trail (journaux d'activité) | 3 ans | Intérêt légitime (sécurité) |
| Données de facturation | 10 ans | CO art. 958f, LTVA art. 70 |
| Données supprimées (corbeille) | 30 jours puis suppression définitive | nDSG art. 6 (proportionnalité) |
| Adresse IP dans les logs serveur | 90 jours | Intérêt légitime (sécurité) |
7. Droits des personnes concernées
Conformément à la nDSG (art. 25-29) et au RGPD (art. 12-22), vous disposez des droits suivants :
7.1 Droit d'accès (art. 25 nDSG / art. 15 RGPD)
Vous avez le droit d'obtenir une copie de l'ensemble des données personnelles que nous détenons à votre sujet. La demande est gratuite et traitée dans un délai de trente (30) jours.
7.2 Droit de rectification (art. 6 al. 5 nDSG / art. 16 RGPD)
Vous pouvez demander la correction de données inexactes ou incomplètes, directement via votre compte ou par email.
7.3 Droit à l'effacement (art. 6 al. 4 nDSG / art. 17 RGPD)
Vous pouvez demander la suppression de vos données personnelles, sous réserve des obligations légales de conservation (art. 6). Les données supprimées transitent par la corbeille (30 jours) puis sont définitivement effacées.
7.4 Droit à la portabilité (art. 28 nDSG / art. 20 RGPD)
Vous pouvez exporter vos données dans un format structuré (CSV, PDF) via les fonctionnalités d'export de chaque module.
7.5 Droit d'opposition et de limitation (art. 26 nDSG / art. 18, 21 RGPD)
Vous pouvez vous opposer au traitement de vos données à des fins d'amélioration du service en nous contactant à privacy@zenoiaiq.ch.
7.6 Exercice des droits
Pour exercer vos droits, contactez-nous à privacy@zenoiaiq.ch en joignant une copie de votre pièce d'identité. Nous répondrons dans un délai de trente (30) jours. En cas de demande complexe, ce délai peut être prolongé de soixante (60) jours (avec notification).
7.7 Droit de recours
Si vous estimez que le traitement de vos données viole la législation applicable, vous pouvez déposer une réclamation auprès du :
Préposé fédéral à la protection des données et à la transparence (PFPDT) Feldeggweg 1 CH-3003 Berne www.edoeb.admin.ch
8. Sécurité des données
8.1 Mesures techniques
- Chiffrement TLS 1.2+ sur toutes les communications
- Chiffrement AES-256 au repos (base de données et fichiers)
- Hachage des mots de passe (bcrypt via Supabase Auth)
- Authentification à deux facteurs (2FA) obligatoire
- Row Level Security (RLS) : isolation stricte des données par entreprise
- Protection XSS (échappement HTML systématique)
- Rate limiting sur les API (limitation de débit)
- Content Security Policy (CSP) stricte
8.2 Mesures organisationnelles
- Principe du moindre privilège pour les accès internes
- Journalisation complète des accès et modifications
- Processus de gestion des incidents de sécurité
- Révision régulière du code pour les vulnérabilités
- Pas d'accès aux données de production sans nécessité opérationnelle
9. Violation de données
En cas de violation de la sécurité des données (art. 24 nDSG) :
1. Zenoia notifie le PFPDT dans les meilleurs délais si la violation est susceptible d'entraîner un risque élevé pour les personnes concernées 2. Zenoia informe les Utilisateurs concernés si nécessaire pour leur protection 3. Zenoia documente l'incident, ses conséquences et les mesures correctives 4. Zenoia met en œuvre les mesures correctives nécessaires
10. Modifications
Zenoia peut modifier la présente Politique de Confidentialité. Les modifications substantielles seront notifiées par email au moins trente (30) jours avant leur entrée en vigueur. La version en vigueur est toujours disponible sur www.zenoiaiq.ch/privacy.
11. Contact
Pour toute question relative à la protection de vos données :
Zenoia Sàrl — Protection des données Email : privacy@zenoiaiq.ch Adresse : Boulevard Carl-Vogt 36, CH-1205 Genève
Dernière mise à jour : 23 mars 2026