Politique de Confidentialité

Résumé pour humains :
Vos données sont stockées en Suisse. Nous ne vendons pas vos informations. Vous restez propriétaire de vos fichiers. Nous utilisons l'IA (Infomaniak) uniquement pour vous rendre service (traduction), sans réentraînement sur vos données.

1. Responsable de Traitement

Cette politique décrit comment Operom collecte, utilise et protège vos données personnelles conformément à la :

  • nLPD (Nouvelle Loi sur la Protection des Données - Suisse)
  • RGPD (Règlement Général sur la Protection des Données - UE)

Responsable de traitement :

Mathieu Rérat, exploitant individuel

Operom

Adresse :

Granges-Saint-Martin 16

1350 Orbe, Suisse

Contact protection des données :

info@operom.ch

Pour toute question sur vos données ou pour exercer vos droits, contactez-nous à cette adresse.

2. Données Collectées

Nous collectons uniquement les données nécessaires au bon fonctionnement du service :

  • Compte : Nom, Prénom, Email, Nom de l'entreprise, Hash de mot de passe.
  • Usage : Logs de connexion, adresse IP, type d'appareil (pour la sécurité).
  • Contenu métier : Les données que vous importez (Rapports, Photos, Vidéos, Données employés) restent votre propriété exclusive. Nous agissons en tant que Sous-traitant pour ces données.

⚠️ Avertissement : Données sensibles relatives à la santé

Si vous uploadez des certificats médicaux (arrêts maladie, justificatifs d'absence), vous nous transmettez volontairement des données sensibles relatives à la santé (Art. 9 RGPD, Art. 5 nLPD). Ces données sont traitées uniquement pour la gestion des absences dans le cadre de l'exécution du contrat de travail, conformément à votre demande. Elles bénéficient d'un niveau de protection renforcé et ne sont accessibles qu'aux personnes habilitées (responsable RH, chef d'équipe assigné).

3. Utilisation des Données

Vos données sont utilisées pour :

  • Fournir et maintenir le service Operom.
  • Vous notifier des mises à jour ou alertes de sécurité.
  • Assurer le support client.

IA & Traduction :

Lorsque vous utilisez la traduction, le texte est envoyé à l'API Sovereign d'Infomaniak (Suisse). Aucune donnée n'est utilisée pour entraîner l'IA. Les données transitent de manière chiffrée et éphémère.

4. Stockage et Sécurité

La sécurité est notre priorité absolue.

  • Lieu de stockage : Suisse (Zurich et Genève).
  • Sous-traitants certifiés : Infomaniak (Suisse) et Supabase (AWS Zurich). Ces partenaires sont certifiés ISO 27001 et SOC2.
  • Chiffrement : Toutes les données transitent en HTTPS/TLS 1.2+ et sont chiffrées au repos (Encryption at Rest).
  • Antivirus : Tous les fichiers uploadés sont scannés par ClamAV.

5. Bases juridiques du traitement

Conformément au RGPD et à la nLPD suisse, le traitement de vos données personnelles repose sur les bases juridiques suivantes:

Exécution du contrat (Art. 6(1)(b) RGPD)

Fourniture du service Operom, gestion de votre compte, fonctionnalités de l'application.

Obligation légale (Art. 6(1)(c) RGPD)

Facturation, comptabilité (conservation 10 ans), respect des obligations fiscales suisses.

Consentement (Art. 6(1)(a) RGPD, Art. 31 nLPD)

Cookies analytics (Google Analytics, PostHog), newsletters et communications marketing (si applicable).

Intérêt légitime (Art. 6(1)(f) RGPD)

Les traitements suivants sont fondés sur nos intérêts légitimes ou ceux de tiers:

  • • Sécurité du service et prévention des abus (logs de connexion, détection fraudes)
  • • Support client et résolution de problèmes techniques
  • • Amélioration et optimisation de nos services
  • • Analyse statistique anonymisée de l'utilisation

6. Cookies & Traceurs

Nous utilisons des cookies pour améliorer votre expérience :

Pour plus de détails, consultez notre politique de gestion des cookies .

Cookies Essentiels (Toujours actifs)

Nécessaires au fonctionnement du site. Impossible de les refuser.

  • Session Supabase : Authentification utilisateur
  • cookie-consent : Mémorisation de vos choix de cookies (LocalStorage)

Cookies Analytics (Optionnels - Avec votre consentement)

Nous utilisons deux outils d'analyse pour améliorer votre expérience, respectant le Google Consent Mode v2 :

Google Analytics 4 (Mesure d'audience)

  • _ga : Identifiant utilisateur unique (Durée : 2 ans)
  • _ga_* : État de la session (Durée : 2 ans)
  • _gid : Identifiant de session (Durée : 24 heures)
  • Éditeur : Google LLC (États-Unis)

PostHog (Heatmaps & Enregistrements)

  • ph_* : Session et identification utilisateur
  • Finalité : Heatmaps, enregistrements de sessions, analyse comportementale
  • Durée : 1 an
  • Éditeur : PostHog Inc.
  • Hébergement : Union Européenne (eu.i.posthog.com)

⚠️ Transfert hors Suisse : Google Analytics implique un transfert de données vers les États-Unis (Google LLC). PostHog est hébergé dans l'UE mais peut impliquer des transferts vers les États-Unis (PostHog Inc.). Ces transferts sont encadrés par les clauses contractuelles types de la Commission européenne. Vous pouvez refuser ces cookies via le bandeau ou en modifiant vos préférences.

Base légale : Consentement (Art. 6(1)(a) RGPD, Art. 31 nLPD).

7. Destinataires et transmission des données

Dans le cadre de la fourniture de nos services, nous pouvons transmettre vos données à certains destinataires. Voici les catégories de destinataires:

Sous-traitants (prestataires de services)

Nous faisons appel à des prestataires techniques pour l'hébergement, le traitement et la sécurisation de vos données. Ces sous-traitants agissent uniquement sur nos instructions et sont contractuellement tenus de respecter la confidentialité et la sécurité de vos données.

Liste des sous-traitants:

  • • Infomaniak (Suisse) - IA souveraine (traduction), hébergement email
  • • Supabase / AWS Zurich (Suisse) - Base de données, hébergement infrastructure
  • • Google Analytics (États-Unis) - Mesure d'audience (avec votre consentement)
  • • PostHog (UE/États-Unis) - Analyse comportementale (avec votre consentement)

Transferts internationaux

Certains de nos sous-traitants sont situés hors de Suisse ou de l'Union européenne:

⚠️ Transferts vers les États-Unis

  • Google Analytics - Mesure d'audience
  • PostHog - Analyse comportementale

Garanties: Ces transferts sont encadrés par les Clauses Contractuelles Types (SCC) de la Commission européenne, assurant un niveau de protection équivalent au RGPD.

Autorités et obligations légales

Nous pouvons être amenés à transmettre vos données aux autorités compétentes (fiscales, judiciaires, administratives) dans les cas suivants:

  • • Réquisition judiciaire ou demande officielle
  • • Respect d'une obligation légale (fiscalité, comptabilité)
  • • Protection de nos droits en cas de litige

8. Durées de conservation

Nous ne conservons vos données que pendant la durée nécessaire aux finalités pour lesquelles elles ont été collectées, conformément aux obligations légales et à nos intérêts légitimes.

Données de votre compte

  • Compte actif : Pendant toute la durée de votre abonnement
  • Après résiliation : 90 jours, puis suppression automatique de toutes vos données
  • Données métier (rapports, photos, documents, etc.) : Suppression sous 30 jours après résiliation de votre compte

Données techniques et de sécurité

  • Logs de connexion : 12 mois maximum
  • Cookies analytics : Voir les durées détaillées dans notre politique de cookies

Données légales et comptables

  • Factures et documents comptables : 10 ans (obligation légale suisse)

💡 Bon à savoir : Vous pouvez demander la suppression anticipée de vos données en exerçant votre droit à l'effacement (voir section suivante).

9. Vos Droits

Conformément au RGPD et à la nLPD, vous disposez des droits suivants :

  • Droit d'accès (Art. 15 RGPD, Art. 25 nLPD) : Obtenir une copie des données personnelles vous concernant.
  • Droit de rectification (Art. 16 RGPD, Art. 32 nLPD) : Corriger des données inexactes ou incomplètes.
  • Droit à l'effacement / "droit à l'oubli" (Art. 17 RGPD) : Demander la suppression de votre compte et de toutes vos données (sauf conservation légale obligatoire).
  • Droit à la limitation du traitement (Art. 18 RGPD) : Suspendre temporairement le traitement de vos données dans certains cas.
  • Droit à la portabilité (Art. 20 RGPD, Art. 28 nLPD) : Récupérer vos données dans un format structuré et lisible (Export JSON/CSV).
  • Droit d'opposition (Art. 21 RGPD, Art. 30 nLPD) : Vous opposer à tout moment au traitement de vos données fondé sur l'intérêt légitime (par exemple : communications marketing, profilage). En cas d'opposition, nous cesserons le traitement sauf si nous démontrons des motifs légitimes impérieux.

Pour exercer ces droits, contactez-nous à l'adresse info@operom.ch. Nous nous engageons à répondre sous 30 jours maximum.

10. Autorité de contrôle et réclamations

Si vous estimez que le traitement de vos données personnelles n'est pas conforme à la législation applicable, vous avez le droit d'introduire une réclamation auprès de l'autorité de contrôle compétente.

Procédure recommandée

Nous vous invitons dans un premier temps à nous contacter directement à info@operom.ch afin que nous puissions trouver une solution ensemble. Nous nous engageons à vous répondre dans un délai de 30 jours.

Autorité de contrôle suisse

Préposé fédéral à la protection des données et à la transparence (PFPDT)

Adresse : Feldeggweg 1, 3003 Berne, Suisse

Email : info@edoeb.admin.ch

Téléphone : +41 58 462 43 95

Site web : www.edoeb.admin.ch

Si vous résidez dans l'Union européenne, vous pouvez également contacter l'autorité de protection des données de votre État membre.

11. Modification de la Politique

Nous nous réservons le droit de modifier cette politique. En cas de changement majeur, vous serez notifié par email 30 jours avant l'entrée en vigueur.

Dernière mise à jour : 31 Décembre 2025

🍪 Operom utilise des cookies

Nous utilisons des cookies pour améliorer votre expérience et mesurer l'audience (Google Analytics, PostHog). En savoir plus