Politique de confidentialité

Mis à jour le 1er juin 2026

sdai.ch (édité par HeartCo) accorde une importance primordiale à la protection de vos données personnelles. La présente politique décrit comment nous collectons, utilisons et protégeons vos données, conformément à la Loi fédérale sur la protection des données (LPD) et au Règlement Général sur la Protection des Données (RGPD — UE 2016/679).

1. Responsable du traitement

Le responsable du traitement des données personnelles est : HeartCo, entreprise individuelle exploitée par Anasse OUARRAA, 60 rue François 1er, 75008 Paris — contact@sdai.ch.

Pour toute question relative à vos données, contactez-nous à contact@sdai.ch.

2. Données collectées

Nous collectons les catégories de données suivantes :

Données d'identification : nom, prénom, adresse email, mot de passe hashé (bcrypt)
Données professionnelles :nom de l'entreprise, adresse, numéro IDE (si applicable)
Données métier :bâtiments, zones de détection, matrices d'asservissement, plans DI, équipements, rapports, contrôles
Données financières : informations de facturation et montants des transactions (traitées par Stripe)
Données de consentement :date et heure d'acceptation des CGV et de la présente politique

3. Finalités et bases légales

Finalité	Base légale
Gestion du compte utilisateur et authentification	Exécution du contrat
Fourniture du service SDAI (matrices, plans, contrôles)	Exécution du contrat
Facturation et comptabilité	Obligation légale
Emails transactionnels (confirmation, relances)	Intérêt légitime
Amélioration du service	Intérêt légitime

4. Destinataires et sous-traitants

Nous faisons appel aux sous-traitants suivants :

Vercel Inc.— hébergement de l'application (USA — certifié EU-US et Swiss-US Data Privacy Framework)
Supabase, Inc. (société américaine ; entité contractante Supabase Pte. Ltd., Singapour) — base de données PostgreSQL hébergée physiquement à Zurich, Suisse (AWS eu-central-2)
Stripe — traitement des paiements (USA — entité Stripe, LLC certifiée EU-US et Swiss-US Data Privacy Framework ; PCI-DSS)
Resend Inc.— envoi d'emails transactionnels (USA — Clauses Contractuelles Types de l'UE avec adaptations suisses)
Google Cloud — authentification OAuth (USA, clauses contractuelles types) — uniquement si activé
Vercel Web Analytics— mesure d'audience anonyme et sans cookie (USA — couvert par la certification Data Privacy Framework de Vercel)
Mistral AI SAS — Copilote IA (assistant en lecture seule, plan Pro, activé sur demande) — France (Union européenne). Les données transmises servent uniquement à générer la réponse ; elles ne sont pas utilisées pour entraîner les modèles.

Aucune donnée n'est vendue à des tiers à des fins commerciales.

5. Transferts de données hors de Suisse et de l'Union européenne

Vos données métier (bâtiments, matrices, plans, contrôles) sont hébergées physiquement en Suisse (datacenter Zurich, AWS eu-central-2).

Pour fournir le Service, nous recourons à des sous-traitants établis hors de Suisse et de l'Union européenne, principalement aux États-Unis et, accessoirement, à Singapour. Ces transferts sont encadrés selon les bases légales suivantes :

Sous-traitant	Rôle	Lieu	Base de transfert (RGPD)	Base de transfert (nLPD)
Vercel, Inc.	Hébergement applicatif	USA	EU-U.S. Data Privacy Framework	Swiss-U.S. Data Privacy Framework
Stripe Payments Europe Ltd (cocontractant) / Stripe, LLC (traitement données)	Paiements	Irlande / USA	EU-U.S. Data Privacy Framework	Swiss-U.S. Data Privacy Framework
Resend, Inc.	Emails transactionnels	USA	EU-U.S. Data Privacy Framework	Clauses contractuelles types (CCT) UE 2021/914 — version adaptée pour la Suisse
Supabase, Inc. (responsable) / Supabase Pte. Ltd. (sous-traitant ultérieur, Singapour) / hébergement physique AWS région eu-central-2 (Zurich)	Base de données	USA / Singapour / hébergement CH	Clauses contractuelles types (CCT) UE 2021/914 module 2	CCT UE 2021/914 module 2 — version adaptée pour la Suisse, complétée par une analyse d'impact des transferts (TIA)
Mistral AI SAS	Copilote IA (assistant lecture seule)	France (UE)	Transfert intra-UE — aucun transfert vers un pays tiers	Pays membre de l'UE reconnu adéquat par le PFPDT — aucune garantie supplémentaire requise

Le Copilote IA s'appuie sur Mistral AI, un prestataire établi en France (Union européenne). À la différence de nos autres sous-traitants, ce traitement n'implique aucun transfert hors de l'Espace économique européen: il bénéficie de la reconnaissance d'adéquation de l'UE par le PFPDT. Les données que vous soumettez au Copilote ne sont pas utilisées pour l'entraînement des modèles.

Bien que la base de données soit physiquement hébergée en Suisse (AWS Zurich), Supabase, Inc. demeure une société américaine susceptible d'accès administratif. Nous avons documenté cette situation dans une analyse d'impact des transferts (TIA) disponible sur demande à l'adresse contact@sdai.ch.

La liste complète et à jour des sous-traitants figure à la section 4 ci-dessus ; toute modification fait l'objet d'une notification 30 jours avant son entrée en vigueur.

6. Durées de conservation

Données de compte :durée de l'abonnement actif + 3 ans après résiliation
Données métier identifiantes :durée du compte (anonymisées à la fermeture du compte ou sur demande d'effacement)
Données métier anonymisées (contrôles, tests intégraux, interventions, rapports) :conservées pour une durée minimale de 10 ans après leur création, conformément aux obligations d'audit fixées par la norme NEPI 108-15, les directives AEAI et la norme SIA 2046 en matière de traçabilité des installations de détection incendie.
Données de facturation : 10 ans (obligation légale comptable)
Consentements : 5 ans (preuve)
Logs de sécurité et traces techniques : 12 mois maximum
Sauvegardes : 30 jours en rétention chiffrée (Supabase, région eu-central-2)
Données saisies dans le SaaS par le client (sdai.ch agissant comme sous-traitant) : selon les instructions du client, supprimées sous 30 jours après résiliation, sauf obligation légale de conservation

7. Vos droits

Conformément à la LPD et au RGPD, vous disposez des droits suivants :

Droit d'accès : obtenir une copie de vos données
Droit de rectification : corriger des données inexactes
Droit à l'effacement (« droit à l'oubli ») : sur demande, vos données personnelles identifiantes (nom, prénom, email, photo de profil) sont anonymisées immédiatement. Vos données métier (contrôles, tests intégraux, interventions, rapports) sont conservées de manière anonymiséepour satisfaire aux obligations d'audit prévues par les normes NEPI 108-15, AEAI et SIA 2046 — elles ne peuvent plus être rattachées à votre identité (cf. section 6 ci-dessus).
Droit à la portabilité : exporter vos données dans un format structuré
Droit d'opposition : vous opposer au traitement fondé sur l'intérêt légitime
Retrait du consentement : à tout moment, sans affecter les traitements antérieurs

Pour exercer ces droits, rendez-vous dans Paramètres → Mon compte de votre espace sdai.ch, ou contactez-nous à contact@sdai.ch. Nous répondrons dans un délai maximum d'un mois.

8. Cookies

sdai.ch utilise des cookies essentiels au fonctionnement du service (session d'authentification, préférences de langue). Aucun cookie de tracking ou publicitaire n'est utilisé. Nous recourons en complément à une mesure d'audience anonyme et sans cookie (Vercel Web Analytics), qui ne collecte aucune donnée permettant de vous identifier.

9. Contact et réclamation

Pour toute question relative à vos données personnelles : contact@sdai.ch

Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès du Préposé fédéral à la protection des données et à la transparence (PFPDT) : www.edoeb.admin.ch

Pour les résidents de l'UE, vous pouvez également contacter la CNIL : www.cnil.fr