Politique de confidentialité
Dernière mise à jour : 10 mars 2026
La présente politique de confidentialité décrit la manière dont HeronFlow (ci-après la « Plateforme ») collecte, utilise et protège les données personnelles de ses utilisateurs, conformément à la Loi fédérale sur la protection des données (nLPD, en vigueur depuis le 1er septembre 2023) et, le cas échéant, au Règlement général sur la protection des données (RGPD) de l’Union européenne.
1. Responsable du traitement
Le responsable du traitement des données est :
- HeronFlow — Entreprise individuelle
- Genève, Suisse
- E-mail : privacy@mandatos.ch
2. Données collectées
a) Données d’inscription
Adresse e-mail, mot de passe (stocké sous forme hachée, jamais en clair).
b) Données de profil
Nom, prénom, nom de l’entreprise, titre professionnel, numéro de téléphone, adresse postale, IBAN, numéro de TVA, logo de l’entreprise.
c) Données métier
Contacts (clients), mandats, offres commerciales, factures, pièces jointes.
d) Données techniques
Adresse IP, user-agent du navigateur, logs d’accès (horodatage des connexions).
e) Cookies
La Plateforme utilise uniquement des cookies fonctionnels nécessaires à l’authentification (session Supabase). Aucun cookie publicitaire ou de tracking tiers n’est utilisé.
3. Bases légales du traitement
Conformément à l’art. 31 nLPD, les traitements de données reposent sur les bases légales suivantes :
- Exécution du contrat (art. 31 al. 2 let. a nLPD) : fourniture des services de la Plateforme.
- Intérêts légitimes (art. 31 al. 1 nLPD) : amélioration du service, sécurité, prévention des abus.
- Consentement : pour tout traitement supplémentaire (communications marketing, le cas échéant).
4. Finalités du traitement
- Fourniture du service (gestion de mandats, contacts, facturation).
- Génération d’offres commerciales par intelligence artificielle.
- Sécurité et prévention des abus.
- Amélioration continue de la Plateforme.
5. Sous-traitants et transferts de données
Vos données peuvent être traitées par les sous-traitants suivants :
| Sous-traitant | Pays | Finalité | Garanties |
|---|---|---|---|
| Infomaniak Network SA | Suisse | Hébergement web | Données en Suisse |
| Supabase Inc. | USA | Base de données & authentification | Clauses contractuelles types (SCCs) |
| Anthropic | USA | Génération IA (offres) | API, données non stockées |
Transferts hors de Suisse (art. 16-17 nLPD) : les données transférées vers les États-Unis sont protégées par des clauses contractuelles types (SCCs) conformément aux exigences du Préposé fédéral à la protection des données (PFPDT).
6. Durée de conservation
- Données de compte : conservées tant que le compte est actif, puis supprimées dans les 30 jours suivant la clôture.
- Factures : conservées 10 ans conformément à l’obligation légale suisse (CO art. 958f).
- Logs techniques : conservés 90 jours.
- Sauvegardes : supprimées dans les 60 jours suivant la clôture du compte.
7. Droits des personnes concernées
Conformément aux art. 25 à 29 nLPD, vous disposez des droits suivants :
- Droit d’accès (art. 25) : obtenir une copie de vos données personnelles.
- Droit de rectification : corriger les données inexactes ou incomplètes.
- Droit à l’effacement : demander la suppression de vos données (clôture de compte).
- Droit à la portabilité (art. 28) : recevoir vos données dans un format structuré et couramment utilisé.
- Droit d’opposition : vous opposer à certains traitements fondés sur nos intérêts légitimes.
Pour exercer vos droits, contactez-nous à privacy@mandatos.ch. Nous répondrons dans un délai de 30 jours.
8. Sécurité des données
Conformément à l’art. 8 nLPD, nous mettons en œuvre les mesures techniques et organisationnelles suivantes :
- Chiffrement TLS (HTTPS) pour toutes les communications.
- Row-Level Security (RLS) dans la base de données : chaque utilisateur n’accède qu’à ses propres données.
- Mots de passe hachés (bcrypt) via Supabase Auth.
- Aucun secret stocké côté client.
- Journalisation des accès et surveillance des anomalies.
9. Cookies
La Plateforme utilise exclusivement des cookies strictement nécessaires au fonctionnement du service (cookies de session d’authentification).
Nous n’utilisons aucun cookie publicitaire, aucun outil de tracking tiers (pas de Google Analytics, pas de pixel Facebook, etc.).
10. Intelligence artificielle
La Plateforme utilise l’intelligence artificielle pour générer des offres commerciales. Les données suivantes sont transmises au fournisseur IA :
- Contexte du contact (secteur, enjeux)
- Besoins identifiés
- Livrables et périmètre de la mission
Ne sont jamais transmises : données financières (IBAN, numéro TVA), mots de passe, ni aucune donnée non pertinente à la génération de l’offre.
Le fournisseur IA ne stocke pas les données au-delà du traitement immédiat de la requête.
11. Modifications
Nous nous réservons le droit de modifier la présente politique. En cas de changement substantiel, vous serez informé par e-mail. La date de dernière mise à jour est indiquée en haut de cette page.
12. Contact et autorité de surveillance
Pour toute question relative à la protection de vos données :
- E-mail : privacy@mandatos.ch
Vous avez également le droit de déposer une plainte auprès de l’autorité compétente :
- Préposé fédéral à la protection des données et à la transparence (PFPDT)
- Feldeggweg 1, 3003 Berne, Suisse
- www.edoeb.admin.ch