Protection des données — RGPD & nLPD

Dernière mise à jour : 17 mars 2026

Welcomize est édité par NYL Sàrl, société de droit suisse établie à 1530 Payerne, Suisse. Numéro IDE : CHE-423.400.269. Contact protection des données : privacy@welcomize.co. La plateforme est conçue dans le respect de la nouvelle Loi fédérale sur la Protection des Données (nLPD, en vigueur depuis le 1er septembre 2023) ainsi que du Règlement Général sur la Protection des Données de l'Union européenne (RGPD, UE 2016/679) pour les utilisateurs résidant dans l'UE. La Suisse bénéficie d'une décision d'adéquation de la Commission européenne, garantissant un niveau de protection équivalent.

1. Cadre légal applicable

  • nLPD (Suisse) : la nouvelle loi fédérale sur la protection des données s'applique à tous les utilisateurs et au traitement des données effectué depuis la Suisse.
  • RGPD (Union européenne) : s'applique au traitement des données personnelles de toute personne résidant dans l'UE, en vertu du principe d'extraterritorialité du règlement (art. 3 RGPD).
  • Les deux cadres sont largement alignés. En cas de divergence, Welcomize applique le standard le plus protecteur pour l'utilisateur.

2. Bases légales des traitements

  • Exécution du contrat (art. 6§1-b RGPD) : traitement de vos données de compte et de facturation, nécessaire à la fourniture du service souscrit.
  • Intérêt légitime (art. 6§1-f RGPD) : traitement pseudonymisé des données d'usage pour améliorer la plateforme, prévention des fraudes et sécurité.
  • Consentement (art. 6§1-a RGPD) : envoi de communications marketing optionnelles. Vous pouvez retirer votre consentement à tout moment via le lien de désinscription ou en contactant hello@welcomize.co.
  • Obligation légale (art. 6§1-c RGPD) : conservation des données de facturation pendant 10 ans (CO art. 958f).

3. Welcomize en tant que sous-traitant

  • Lorsque vous utilisez Welcomize pour gérer les données de vos propres clients, Welcomize agit en qualité de sous-traitant (au sens de l'art. 9 nLPD et de l'art. 28 RGPD) et vous en qualité de responsable de traitement.
  • À ce titre, vous êtes responsable de disposer d'une base légale valide pour traiter les données de vos clients via notre plateforme.
  • Informer vos clients de ce traitement, de ses finalités et de leurs droits.
  • Respecter les droits de vos clients en matière de protection des données et répondre à leurs demandes d'exercice de droits.
  • Welcomize s'engage à traiter les données uniquement selon vos instructions documentées et dans le cadre du service fourni.
  • Ne pas sous-traiter à un tiers sans votre autorisation préalable (la liste des sous-traitants actuels figure à la section 7).
  • Mettre à votre disposition toutes les informations nécessaires pour démontrer la conformité et permettre la réalisation d'audits.
  • Supprimer ou restituer les données à la fin de la prestation, selon votre choix.
  • Un contrat de sous-traitance (Data Processing Agreement — DPA) conforme à l'art. 28 RGPD et à l'art. 9 nLPD est disponible sur demande à hello@welcomize.co.

4. Droits des personnes concernées

  • Conformément à la nLPD et au RGPD, vous disposez des droits suivants :
  • Droit d'accès (art. 25 nLPD / art. 15 RGPD) : obtenir une copie des données personnelles vous concernant.
  • Droit de rectification (art. 32 nLPD / art. 16 RGPD) : corriger des données inexactes ou incomplètes.
  • Droit à l'effacement (art. 17 RGPD) : demander la suppression de vos données dans les cas prévus par la loi.
  • Droit à la portabilité (art. 28 nLPD / art. 20 RGPD) : recevoir vos données dans un format structuré et lisible par machine (CSV, JSON). L'export est disponible depuis votre espace compte ou sur demande à hello@welcomize.co.
  • Droit d'opposition (art. 21 RGPD) : vous opposer au traitement fondé sur l'intérêt légitime.
  • Droit à la limitation (art. 18 RGPD) : restreindre le traitement dans certaines circonstances.
  • Pour exercer ces droits, contactez-nous à privacy@welcomize.co. Nous nous engageons à répondre dans un délai de 30 jours.

5. Durées de conservation

  • Données de compte : conservées pendant toute la durée de votre abonnement, puis supprimées dans un délai de 30 jours après résiliation, sauf obligation légale contraire.
  • Données de facturation : conservées 10 ans conformément aux obligations légales comptables suisses (CO art. 958f).
  • Données de vos clients : supprimées sur votre demande ou dans un délai de 30 jours après résiliation de votre compte.
  • Données d'utilisation : conservées sous forme pseudonymisée pendant une durée maximale de 24 mois, puis supprimées ou définitivement anonymisées.

6. Transferts internationaux de données

  • Les données principales (base de données, fichiers, authentification) sont hébergées en Suisse via Supabase et ne quittent pas le territoire helvétique.
  • Suisse → UE : la Suisse bénéficie d'une décision d'adéquation de la Commission européenne. Les transferts de données entre la Suisse et l'UE sont autorisés sans mesures supplémentaires.
  • Suisse → États-Unis (Stripe) : ces transferts sont encadrés par des clauses contractuelles types (SCCs) approuvées par la Commission européenne et les certifications de ces prestataires (PCI DSS Level 1). Welcomize s'assure que ces sous-traitants offrent des garanties adéquates conformément à l'art. 16 nLPD et aux art. 44-49 RGPD.
  • Aucune donnée n'est transférée vers des pays ne présentant pas un niveau adéquat de protection sans garanties contractuelles appropriées.

7. Sous-traitants techniques

  • Welcomize fait appel aux sous-traitants techniques suivants :
  • Supabase (Suisse) : base de données, authentification, stockage de fichiers. Certifié SOC 2 Type II.
  • Stripe (États-Unis) : traitement des paiements. Certifié PCI DSS Level 1.
  • Mailgun (Union européenne) : envoi d'emails transactionnels depuis des serveurs européens.
  • Chaque sous-traitant est lié par un accord de sous-traitance (DPA) conforme à la nLPD et au RGPD. La liste complète et à jour est disponible sur demande à hello@welcomize.co.
  • En cas d'ajout ou de remplacement d'un sous-traitant, vous en serez informé par email avec un préavis de 30 jours. Si vous vous y opposez, vous pourrez résilier votre abonnement avant l'entrée en vigueur du changement.

8. Sécurité des données

  • Welcomize met en œuvre des mesures techniques et organisationnelles appropriées pour protéger les données personnelles conformément à l'art. 8 nLPD et à l'art. 32 RGPD :
  • Chiffrement : données chiffrées en transit (TLS 1.2+) et au repos (AES-256).
  • Authentification : authentification sécurisée avec gestion des sessions côté serveur, cookies signés et rotation des jetons.
  • Isolation des données : séparation stricte des données entre clients via des politiques de sécurité au niveau de la base de données (Row Level Security).
  • Sauvegardes : sauvegardes automatiques quotidiennes avec conservation chiffrée. Procédures de restauration testées régulièrement.
  • Contrôle d'accès : accès aux données limité aux seuls collaborateurs habilités, dans le cadre strict de leurs fonctions, selon le principe du moindre privilège.
  • Journalisation : les accès et actions critiques sont enregistrés à des fins d'audit et de sécurité.

9. Notification en cas de violation de données

  • En cas de violation de données personnelles au sens de l'art. 24 nLPD et de l'art. 33 RGPD, Welcomize s'engage à vous notifier dans un délai de 72 heures après en avoir pris connaissance, si la violation est susceptible d'engendrer un risque pour vos droits ou ceux de vos clients.
  • Décrire la nature de l'incident, les catégories et le volume approximatif de données concernées.
  • Communiquer les mesures correctives prises ou envisagées pour remédier à la violation et en atténuer les effets.
  • Fournir les coordonnées du point de contact pour obtenir des informations complémentaires.
  • En Suisse : Préposé fédéral à la protection des données et à la transparence (PFPDT), dans les meilleurs délais.
  • Dans l'UE : autorité de contrôle compétente, dans un délai de 72 heures (art. 33 RGPD).
  • Si la violation est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées, celles-ci en seront également informées directement (art. 34 RGPD).

10. Analyses d'impact (DPIA)

  • Welcomize s'engage à réaliser une analyse d'impact relative à la protection des données (DPIA, art. 35 RGPD / art. 22 nLPD) lorsqu'un traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées.
  • Welcomize assiste également ses clients dans la réalisation de leurs propres analyses d'impact, en fournissant les informations techniques nécessaires sur demande.

11. Autorités de contrôle et réclamations

  • Pour toute question ou pour exercer vos droits, contactez-nous à privacy@welcomize.co.
  • Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de :
  • En Suisse : Préposé fédéral à la protection des données et à la transparence (PFPDT), Feldeggweg 1, 3003 Berne — www.edoeb.admin.ch
  • Dans l'Union européenne : l'autorité de protection des données de votre pays de résidence (par exemple : CNIL en France, APD en Belgique, AEPD en Espagne, BfDI en Allemagne).

12. Modifications de la présente page

Welcomize se réserve le droit de modifier la présente page relative à la protection des données. En cas de modification substantielle, vous serez informé par email au moins 30 jours avant l'entrée en vigueur. La date de dernière mise à jour est indiquée en haut de cette page.

13. Contact

Pour toute question relative à la protection de vos données, vous pouvez nous contacter à : Email : privacy@welcomize.co — Adresse : NYL Sàrl — 1530 Payerne, Suisse.

Pour toute question relative à ces documents, vous pouvez nous contacter à hello@welcomize.co