Conformité à la nLPD suisse

La nouvelle Loi fédérale suisse sur la protection des données (nLPD), entrée en vigueur le 1^er septembre 2023, renforce la protection des personnes concernées et fixe de nouvelles obligations aux entreprises qui traitent des données personnelles. ILYGO Sàrl a conçu ILYGO Atrium en suivant les principes de privacy by design et a documenté l'ensemble de ses engagements ci-dessous.

1. Hébergement et souveraineté des données

Les Données Client sont hébergées en Suisse, dans des centres de données certifiés ISO 27001 exploités par Infomaniak Network SA à Genève. Aucun stockage primaire des données n'est réalisé hors de Suisse. Les sauvegardes restent également sur le territoire suisse.

2. Cloisonnement multi-tenant

Chaque Client dispose d'un schéma PostgreSQL dédié, isolé au niveau de la base de données. Les requêtes applicatives sont systématiquement contextualisées au schéma du Client via le mécanisme search_path de PostgreSQL, ce qui garantit qu'aucune donnée d'un Client ne peut être exposée à un autre.

3. Principes appliqués (art. 6 nLPD)

• Licéité : tout traitement repose sur une base légale (exécution du contrat, obligation légale, consentement, intérêt légitime).
• Bonne foi et proportionnalité : seules les données strictement nécessaires sont collectées.
• Finalité reconnaissable : les finalités sont explicitées dans la politique de confidentialité et le DPA.
• Exactitude : les Utilisateurs peuvent corriger les données depuis leur espace.
• Sécurité : mesures techniques et organisationnelles décrites en Annexe 2 du DPA.

4. Privacy by design et by default

• chiffrement des secrets au repos (Fernet AES-128 + HMAC) ;
• journalisation des accès super-administrateur ;
• authentification multi-facteurs disponible pour tous les Utilisateurs ;
• politique de mot de passe forte (min. 8 caractères, 1 chiffre, 1 caractère spécial) ;
• aucune réutilisation des Données Client pour entraîner des modèles d'intelligence artificielle de tiers ;
• droits d'accès au moindre privilège pour le personnel ILYGO ;
• suppression automatique des données 30 jours après résiliation, sauf obligation légale.

5. Registre des activités de traitement (art. 12 nLPD)

ILYGO tient un registre interne de ses activités de traitement, mis à jour à chaque évolution significative du Service. Une copie résumée peut être communiquée aux Clients sur demande à privacy@ilygo.ch.

6. Analyse d'impact (art. 22 nLPD)

Lorsqu'un traitement présente des risques élevés pour les personnes concernées, ILYGO réalise une analyse d'impact relative à la protection des données et met en œuvre les mesures correctives nécessaires. Les Clients qui mettraient en place dans le Service des traitements à risques élevés sont invités à mener leur propre analyse d'impact, ILYGO se tenant à disposition pour fournir les informations techniques utiles.

7. Notification des violations (art. 24 nLPD)

En cas de violation de la sécurité des données entraînant un risque élevé pour les personnes concernées, ILYGO informe le Préposé fédéral à la protection des données et à la transparence (PFPDT) dans les meilleurs délais et notifie les Clients concernés au plus tard dans les soixante-douze (72) heures.

8. Droit des personnes concernées

Les personnes physiques dont les données sont traitées dans ILYGO Atrium peuvent exercer leurs droits (accès, rectification, effacement, opposition) directement auprès du Client Responsable du traitement. ILYGO assiste le Client dans la prise en compte de ces demandes dans des délais raisonnables.

9. Délégué à la protection des données

ILYGO Sàrl a désigné un point de contact unique pour toutes les questions liées à la protection des données : privacy@ilygo.ch.