Hébergement Suisse

Vos données restent en Suisse.

Welcomize héberge vos données et celles de vos clients dans le datacenter AWS de Zurich, opéré pour nous par Supabase. Elles ne quittent jamais le territoire helvétique.

100%
Données hébergées en Suisse
AES-256
Chiffrement au repos
TLS 1.3
Chiffrement en transit
Zurich, CH

5 garanties concrètes.
Pas des promesses.

Chaque mesure ci-dessous est techniquement vérifiable. Si vous avez un DPO ou un RSSI, ils trouveront ici les réponses précises qu'ils cherchent.

01

Hébergement Suisse, exclusivement

Toute votre base de données, vos fichiers et vos sauvegardes sont hébergés à Zurich, chez AWS (région eu-central-2), via Supabase.

  • Supabase est certifié SOC 2 Type II — un audit indépendant valide les contrôles de sécurité
  • AWS gère physiquement le datacenter (accès biométrique, redondance, alimentation et refroidissement)
  • La Suisse bénéficie d'une décision d'adéquation UE : vos clients européens sont couverts
02

Chiffrement à tous les étages

Vos données sont illisibles sans les clés : en transit comme sur disque. Même un accès physique aux serveurs ne donnerait rien d'exploitable.

  • En transit : TLS 1.3 (HTTPS) sur toutes les communications navigateur ↔ serveur
  • Au repos : AES-256 sur la base de données et le stockage de fichiers, clés gérées par AWS KMS
  • Les mots de passe sont hachés (bcrypt), jamais stockés en clair
03

Isolation stricte entre entreprises

Le Row Level Security (RLS) de Postgres cloisonne les données au niveau de la base. Un bug applicatif ne peut pas exposer les données d'une autre entreprise.

  • Chaque requête SQL est filtrée par la base elle-même selon l'identité authentifiée
  • Les politiques RLS sont appliquées de manière inconditionnelle, même en cas de bug côté code
  • Auditées et testées à chaque migration de schéma
04

Sauvegardes quotidiennes chiffrées

Vos données sont sauvegardées chaque jour automatiquement, conservées 7 jours, et chiffrées. Restauration testée régulièrement.

  • Snapshots complets de la base de données tous les jours
  • Stockage chiffré, répliqué, isolé de la production
  • Procédure de restauration documentée en cas d'incident
05

Notification transparente en cas d'incident

Si quelque chose arrive — personne n'est à 100 % à l'abri — nous vous prévenons dans les 72 heures, avec tous les faits.

  • Obligation légale : art. 24 nLPD et art. 33 RGPD
  • Description de l'incident, des données concernées et des mesures prises
  • Notification au PFPDT (Suisse) et aux autorités UE compétentes en parallèle

Ce que nous ne faisons pas.

Autant que ce que nous protégeons, ce qui compte c'est ce que nous nous interdisons de faire. Voici nos engagements clairs.

Nous ne vendons jamais vos données

Aucune revente à des courtiers en données, agences publicitaires, ou partenaires commerciaux. Notre modèle économique, c'est votre abonnement — pas vos données.

Nous n'utilisons pas vos données pour entraîner des IA

Les données que vous ou vos clients entrez dans Welcomize ne servent à entraîner aucun modèle d'intelligence artificielle. Ni le nôtre, ni celui d'un tiers.

Aucun tracker publicitaire

Pas de Google Analytics dans l'app, pas de Meta Pixel, pas de cookies publicitaires. La plateforme n'est pas un outil de profilage déguisé.

Aucune donnée bancaire stockée chez nous

Les paiements sont traités directement par Stripe (certifié PCI DSS Level 1). Les numéros de carte, IBAN ou codes de sécurité ne passent jamais par nos serveurs.

Pas d'accès manuel à vos données

Nos ingénieurs n'accèdent pas aux données de votre entreprise pour « jeter un œil ». Toute intervention technique est tracée et motivée par une demande de votre part.

Aucun transfert vers des pays non adéquats

Vos données opérationnelles restent en Suisse. Seuls Stripe (facturation, États-Unis) et Mailgun (emails transactionnels, UE) reçoivent les données strictement nécessaires à leur fonction.

Nos sous-traitants.
Liste exhaustive.

Nous n'utilisons que 3 prestataires techniques pour faire fonctionner Welcomize. Chacun est lié par un DPA conforme à la nLPD et au RGPD. En cas de changement, vous êtes prévenu 30 jours avant et pouvez résilier sans pénalité.

Supabase

Base de données, authentification, stockage de fichiers

Localisation
Zurich, Suisse (AWS eu-central-2)
Données reçues
Toutes les données opérationnelles de la plateforme
SOC 2 Type IIHIPAAGDPR

Stripe

Traitement des paiements uniquement

Localisation
États-Unis (SCCs approuvées par la Commission européenne)
Données reçues
Nom, email, adresse de facturation. Aucun accès aux données de vos clients.
PCI DSS Level 1SOC 1SOC 2

Mailgun

Emails transactionnels (notifications, confirmations)

Localisation
Union européenne (serveurs UE)
Données reçues
Adresse email du destinataire, contenu de l'email transactionnel
SOC 2 Type IIGDPR

Les questions qu'on nous pose souvent.

Réponses directes — pas de langue de bois.

D'abord, toutes nos données sont chiffrées au repos (AES-256) : même en cas d'accès non autorisé à l'infrastructure, l'attaquant récupère des blobs illisibles sans les clés gérées par AWS KMS. Ensuite, le cloisonnement Row Level Security empêche qu'un accès à un compte donne accès aux autres. Enfin, si un incident devait malgré tout avoir un impact sur vos données, vous serez notifié dans les 72 heures avec une description honnête de ce qui s'est passé, des données concernées et des mesures correctives prises — c'est une obligation légale (nLPD art. 24, RGPD art. 33) que nous prenons très au sérieux.

Une question précise sur la sécurité ?

Notre équipe répond directement à vos DPO, RSSI ou services juridiques. DPA, schéma d'architecture, liste exhaustive des sous-traitants — nous partageons tout ce qui est nécessaire.