Aller au contenu principal
ALL SYSTEMS OK · uptime 99.97% · 30dfrankfurt-eu1 · LPD/RGPD
v.2026.04 · NYON · CH

Données personnelles (LPD / RGPD)

Dernière mise à jour : 2026-05-24

Cette page décrit comment Globiweb (Nyon, Suisse) collecte, utilise et protège vos données personnelles. Elle est conforme à la Loi suisse révisée sur la protection des données (nLPD, 1er septembre 2023) et — pour nos visiteurs et clients de l'Union européenne — au RGPD (Règlement UE 2016/679).

Quatre populations sont concernées : visiteurs du site, prospects B2B, clients de l'agence, et utilisateurs du SaaS Tri. Chaque section décrit le traitement applicable.

1. Visiteurs du site

  • Données collectées : adresse IP (hashée immédiatement avec un sel rotatif), user-agent, URL visitée, referer, paramètres UTM, cookies d'attribution (gw_visitor_id, gw_sid, gw_attribution_v1), événements click et conversion.
  • Finalité : mesurer l'audience, déboguer, prévenir les abus, attribuer les conversions marketing.
  • Base légale : intérêt légitime (art. 31 al. 2 lit. d nLPD / art. 6.1.f RGPD).
  • Durée : IP hashée immédiatement (non réversible) ; événements analytics : 12 mois ; cookies d'attribution : 90 jours max ; Google Analytics : 14 mois.

2. Prospects B2B (CRM)

  • Données collectées : nom, prénom, fonction, email pro, téléphone pro, étude/cabinet, adresse pro, site web, notes commerciales, score de qualification, historique d'interactions. Sources publiques uniquement (sites professionnels, registres officiels, LinkedIn).
  • Finalité : prospection B2B (notaires, fiduciaires, cabinets) et suivi commercial.
  • Base légale : intérêt légitime (prospection B2B sur données publiques) — art. 31 al. 2 lit. d nLPD / art. 6.1.f RGPD.
  • Durée : 5 ans après dernière interaction. Tout opt-out par email entraîne la suppression sous 30 jours et l'ajout à une liste de suppression permanente.
  • Stockage : Notion (US, sous Standard Contractual Clauses) + cache serveur Hetzner (DE/UE).

3. Clients de l'agence Globiweb

  • Données collectées : raison sociale, IDE, adresse de facturation, nom du contact, email, téléphone, montants facturés, données projet (specs, accès temporaires), historique réunions / appels.
  • Finalité : exécution du contrat de prestation (sites web, refonte, opérations), facturation, suivi projet, comptabilité.
  • Base légale : exécution du contrat (art. 31 al. 2 lit. a nLPD / art. 6.1.b RGPD) + obligation légale (conservation comptable 10 ans, art. 957 CO).
  • Durée : 10 ans pour la facturation et les contrats (obligation comptable Suisse) ; 3 ans pour les notes projet après fin du contrat ; accès admin temporaires révoqués sous 7 jours après livraison.

4. Utilisateurs Tri (SaaS)

Tri traite des données comptables et documentaires sensibles. Notre responsabilité est renforcée et — pour les clients B2B (fiduciaires, notaires, cabinets) — encadrée par un Data Processing Agreement (DPA) distinct disponible à dpo@globiweb.com.

  • Données collectées : email, nom, mot de passe (bcrypt coût 10), workspace ID, membres invités, scans de documents (factures, lettres, QR-bills), contenu OCR (montants, IBAN, dates), credentials IMAP chiffrés AES-256-GCM, Stripe customer ID, numéro de téléphone si alertes WhatsApp activées.
  • Finalité : fournir le service Tri (OCR, catégorisation IA, alertes échéances, partage workspace, paiement, export comptable).
  • Base légale : exécution du contrat (art. 31 al. 2 lit. a nLPD / art. 6.1.b RGPD) + consentement explicite à l'inscription pour le traitement IA.
  • Durée : tant que le compte est actif. Suppression compte = deleteUserCompletely() purge données sous 30 jours, sauf logs de facturation conservés 10 ans (CO 957).

5. Sous-traitants

Liste consolidée des sous-traitants intervenant sur vos données :

Sous-traitantRôleLocalisationGaranties
Hetzner Online GmbHHébergementFrankfurt, DE (UE)Pays adéquat LPD, DPA
Anthropic (Claude)IA (OCR, génération)US — endpoint EUSCC + DPF, opt-out training
StripePaiement, facturationIE (UE) + USSCC + DPF, PCI-DSS L1
Notion LabsCRM B2BUSSCC, DPA
SentryMonitoring erreursEU regionDPA
PostHog CloudAnalytics produitEUDPA, anonymisé
Hostinger Business EmailEmails transactionnelsUEDPA
CloudflareCDN, anti-botRéseau mondial (edge EU)SCC, DPA
Google Analytics 4Mesure d'audienceUSSCC + DPF, anonymize_ip
Twilio (si activé)WhatsApp / SMSUSSCC, DPA

Transferts hors UE/CH : encadrés par les Standard Contractual Clauses (SCC) UE 2021/914 et — pour les sous-traitants certifiés — par le Data Privacy Framework (DPF). Liste à jour des sous-traitants Tri également publiée sur /tri/securite.

6. Vos droits (LPD + RGPD)

Vous disposez à tout moment des droits suivants :

  • Accès (art. 25 nLPD / art. 15 RGPD) — obtenir une copie de vos données.
  • Rectification — corriger des données inexactes.
  • Effacement — supprimer votre compte et les données associées.
  • Portabilité (RGPD art. 20) — exporter vos données dans un format structuré (JSON, CSV, PDF).
  • Opposition — refuser un traitement fondé sur l'intérêt légitime (prospection notamment).
  • Limitation — suspendre un traitement le temps d'une vérification.

7. Comment exercer vos droits

Écrivez à privacy@globiweb.com en précisant en objet « Demande LPD/RGPD » et en indiquant le droit que vous souhaitez exercer. Nous répondons sous 30 jours conformément à l'art. 25 al. 7 nLPD.

Les utilisateurs Tri disposent en plus d'un export self-service et d'une suppression autonome depuis les paramètres du compte (/tri/app/settings).

8. Sécurité et notification de violation

  • Chiffrement en transit : TLS 1.3, HSTS activé.
  • Chiffrement au repos : disque AES-256 (Hetzner), credentials IMAP AES-256-GCM applicatif.
  • Mots de passe hashés bcrypt (coût 10).
  • Sessions JWT cookies httpOnly + Secure + SameSite=Lax.
  • Isolation par workspace (fix anti-cross-workspace #126).
  • Sauvegardes quotidiennes chiffrées, rétention 30 jours.
  • Notification de violation : sous 72h conformément à l'art. 24 nLPD et aux art. 33-34 RGPD, en cas de risque élevé pour vos droits.

9. Autorité de contrôle

Vous pouvez déposer une plainte auprès du Préposé fédéral à la protection des données et à la transparence (PFPDT) en Suisse (https://www.edoeb.admin.ch), ou auprès de votre autorité nationale dans l'UE (CNIL en France, CNPD au Luxembourg, etc.).

10. Modifications

Cette politique peut être mise à jour. Tout changement matériel est notifié par email aux utilisateurs actifs et signalé par la date de mise à jour en haut de page. La version précédente reste consultable sur demande.

11. Contact

Référent protection des données : dpo@globiweb.com

Demandes utilisateurs : privacy@globiweb.com

Voir aussi le détail des cookies et la page sécurité Tri.