Datenlöschdienst

Sécurité

La protection de vos données est notre plus haute priorité. En tant qu'entreprise suisse qui traite des données personnelles pour le compte de ses clients, nous misons sur des mesures techniques et organisationnelles multicouches conformes à l'état de la technique.

1. Chiffrement des données

  • En transit : Toutes les connexions entre votre navigateur et nos serveurs sont chiffrées exclusivement via TLS 1.3. Les versions de protocole plus anciennes ne sont pas prises en charge. HSTS est activé.
  • Au repos : Toutes les données de notre base de données sont chiffrées avec AES-256. Les sauvegardes sont également stockées de manière chiffrée.
  • Mots de passe : Les mots de passe des utilisateurs sont stockés exclusivement sous forme de hachages bcrypt. Les mots de passe en clair ne sont jamais persistés.

2. Contrôle d'accès

  • Row Level Security (RLS) : Au niveau de la base de données, la sécurité au niveau des lignes garantit que chaque utilisateur authentifié ne peut accéder qu'à ses propres données. Ces politiques sont appliquées côté serveur et ne peuvent pas être contournées côté client.
  • Contrôle d'accès basé sur les rôles (RBAC) : Les accès internes aux systèmes et aux données suivent le principe du moindre privilège. Chaque collaborateur ne reçoit que les autorisations strictement nécessaires à sa fonction.
  • Authentification multi-facteurs (MFA) : La MFA est obligatoire pour tous les accès administratifs à l'infrastructure, à la base de données et aux services tiers.

3. Stockage et suppression des données

Nous traitons les données personnelles selon le principe de minimisation des données et les supprimons dès que la finalité est atteinte :

  • Documents d'identité (copies de pièces d'identité) sont automatiquement supprimés dans les 90 jours suivant le téléchargement ou après la réalisation de l'objectif de vérification.
  • Analyses gratuites sans liaison à un compte sont automatiquement supprimées après 30 jours.
  • Résultats de scan sont conservés jusqu'à la suppression du compte ou jusqu'à 12 mois après le dernier scan, selon la première éventualité.
  • Données de journalisation serveur sont supprimées après 14 jours.

Les délais de conservation complets se trouvent dans notre Politique de confidentialité (Section 6).

4. Infrastructure

  • Hébergement de la base de données : Supabase situé à Francfort (UE/EEE). Aucun stockage de données personnelles en dehors de l'EEE sans garanties appropriées.
  • Hébergement de l'application : Vercel avec réseau edge. Pour tout traitement aux USA, les clauses contractuelles types de l'UE (CCT) s'appliquent.
  • Mises à jour régulières : Les dépendances et environnements d'exécution sont continuellement mis à jour pour combler rapidement les failles de sécurité connues.

5. Sous-traitants

Nous travaillons exclusivement avec des sous-traitants soigneusement vérifiés, chacun couvert par un contrat de traitement des données (DPA). La liste actuelle de tous les sous-traitants est disponible à tout moment :

Répertoire des sous-traitants →

6. Divulgation responsable

Nous prenons les signalements de sécurité au sérieux. Si vous découvrez une faille de sécurité dans nos systèmes, nous vous prions de la signaler de manière responsable :

Veuillez nous accorder un délai raisonnable pour corriger le problème avant de rendre les détails publics. Nous nous engageons à examiner et résoudre rapidement les vulnérabilités signalées.

7. Conformité

Nos mesures de sécurité sont alignées sur les exigences des réglementations suivantes :

  • nLPD / LPD Loi fédérale suisse sur la protection des données (en vigueur depuis le 1er septembre 2023), en particulier l'art. 8 (Sécurité des données)
  • RGPD Règlement général sur la protection des données de l'UE, en particulier l'art. 32 (Sécurité du traitement)

De plus amples informations sur nos mesures de protection des données se trouvent dans notre Politique de confidentialité.

État : avril 2026