Politique de Confidentialité

1. Responsables conjoints du traitement

AlmaTosca est un projet commun mené par deux responsables conjoints du traitement au sens de l'art. 26 du RGPD et de l'art. 5 al. 7 nLPD :

Pour toute demande relative au traitement des données personnelles — y compris l'exercice des droits prévus par la nLPD et le RGPD — l'utilisateur peut s'adresser au point de contact unique : privacy@almatosca.ch.

Aucun délégué à la protection des données (DPO) n'a été désigné, les conditions de désignation obligatoire prévues par l'art. 37 du RGPD et l'art. 10 nLPD n'étant pas remplies.

2. Champ d'application

La présente politique s'applique exclusivement au site vitrine almatosca.ch (ci-après « Site »), à vocation informative et de présentation des services AlmaTosca.

3. Base juridique et champ territorial

Le traitement des données personnelles est effectué conformément à :

• La nouvelle Loi fédérale sur la protection des données (nLPD) de la Suisse, en vigueur depuis le 1er septembre 2023 ;
• Le Règlement général sur la protection des données (RGPD) de l'UE/EEE, applicable aux visiteurs du Site provenant de l'Union européenne et de l'Espace économique européen.

AlmaTosca offre commercialement ses services exclusivement à des clients professionnels établis en Suisse. Pour cette raison, aucun représentant UE n'a été désigné au sens de l'art. 27 du RGPD. Les droits prévus par le RGPD demeurent toutefois garantis aux visiteurs UE/EEE du Site au sens de l'art. 3, par. 2, let. b) du RGPD (cookies analytiques, exercice des droits, réclamation auprès de l'autorité de surveillance).

4. Responsabilité conjointe du traitement

SwissCodex GmbH et New Target SA agissent en tant que responsables conjoints du traitement au sens de l'art. 26 du RGPD et de l'art. 5 al. 7 nLPD. La répartition des rôles et responsabilités est la suivante :

• SwissCodex GmbH — conception, développement, hébergement, maintenance et sécurité technique du Site ; gestion des intégrations avec les services tiers (analytics, gestion du consentement, courrier électronique) ; définition des mesures techniques et organisationnelles de sécurité ;
• New Target SA — réception et traitement des demandes d'information envoyées via le formulaire de contact du Site.

Les responsables conjoints ont conclu un accord interne définissant leurs obligations et responsabilités respectives en matière de protection des données. Le présent document, conjointement avec le point de contact unique privacy@almatosca.ch, met à la disposition des personnes concernées l'essentiel de cet accord. La personne concernée peut exercer ses droits auprès et à l'égard de chacun des responsables conjoints, indistinctement.

5. Cookies et technologies de suivi

Le Site utilise des cookies et technologies similaires pour garantir son fonctionnement, analyser le trafic et améliorer l'expérience utilisateur. Tous les cookies non strictement nécessaires sont installés uniquement après consentement explicite, recueilli via la bannière affichée lors de la première visite.

5.1 Services tiers utilisés

• Google Fonts (Google LLC) — chargement des polices typographiques. Transfert de données : États-Unis, encadré par des clauses contractuelles types.
• Google Analytics 4 (Google LLC) — analyse statistique anonyme du trafic. Configuré avec IP anonymisée et Google Consent Mode v2 : les données sont collectées uniquement après consentement et de manière agrégée. Transfert de données : États-Unis, encadré par des clauses contractuelles types.

5.2 Gestion du consentement

L'utilisateur peut accepter, refuser ou personnaliser le consentement aux cookies via la bannière affichée lors de la première visite, ou rouvrir à tout moment le panneau des préférences (icône en bas à droite). Le consentement est mémorisé et peut être révoqué à tout moment.

5.3 Politique relative aux cookies complète

Pour la liste détaillée des cookies, leurs finalités, leur durée de conservation et leurs fournisseurs, consultez notre Politique relative aux cookies complète.

5.4 Autres technologies

Le Site utilise également le sessionStorage du navigateur pour gérer l'accès pendant la session en cours. Le sessionStorage n'est pas un cookie, n'est pas transmis au serveur et est automatiquement supprimé à la fermeture de l'onglet du navigateur.

6. Données collectées via le Site

6.1 Formulaire de contact

Le Site dispose d'un formulaire de contact permettant aux visiteurs d'envoyer des demandes d'information ou commerciales. Les données saisies (nom, e-mail, objet, message) sont transmises par courrier électronique à info@almatosca.ch via le serveur SMTP d'Infomaniak Network SA (hébergeur du domaine almatosca.ch) et ne sont stockées dans aucune base de données.

La base juridique du traitement est l'intérêt légitime des responsables conjoints à répondre aux demandes des clients potentiels, ainsi que — lorsque la demande concerne une éventuelle relation commerciale — l'exécution de mesures précontractuelles à la demande de la personne concernée (art. 6, par. 1, let. b) RGPD).

6.2 Données de navigation

Le serveur web (géré par OVH SAS) enregistre automatiquement des données techniques standard (adresse IP, date et heure d'accès, pages visitées, type de navigateur, code de réponse HTTP). Ces données sont utilisées exclusivement pour assurer le fonctionnement technique, la sécurité et le diagnostic du Site, et ne sont pas croisées avec d'autres données personnelles.

7. Sous-traitants et fournisseurs

Pour la gestion technique du Site, les responsables conjoints recourent aux fournisseurs suivants, qualifiés de sous-traitants ou sous-sous-traitants au sens de l'art. 28 du RGPD :

• OVH SAS (France) — hébergement du serveur web et conservation des journaux nginx ;
• Infomaniak Network SA (Suisse) — gestion du domaine almatosca.ch et relais SMTP pour le formulaire de contact ;
• iubenda S.r.l. (UE) — bannière de cookies, conservation du registre des consentements et hébergement de la politique relative aux cookies ;
• Google LLC / Google Ireland Ltd. (UE / États-Unis) — Google Fonts (rendu typographique) et Google Analytics 4 (statistiques agrégées), avec clauses contractuelles types et adhésion au Data Privacy Framework.
• Cloudflare, Inc. (États-Unis) — service Turnstile pour la vérification anti-bot des formulaires de contact et de dégustation du Site. Lors de l'envoi du formulaire, un jeton de vérification et l'adresse IP du visiteur sont transmis à Cloudflare. Cloudflare adhère au EU-US Data Privacy Framework et applique des clauses contractuelles types pour les transferts vers les États-Unis.

Chaque fournisseur est contractuellement tenu de respecter la réglementation applicable en matière de protection des données. Cette liste peut évoluer ; toute mise à jour sera reflétée dans le présent document.

8. Transfert des données

Les données personnelles collectées via le Site sont principalement traitées en Suisse et dans l'Espace économique européen (EEE).

Certains services tiers mentionnés aux sections 5 et 7 (Google Fonts, Google Analytics 4) peuvent impliquer un transfert de données vers les États-Unis d'Amérique. Dans ces cas, le transfert s'effectue sur la base de garanties de protection adéquates prévues par la nLPD et le RGPD, en particulier :

• Clauses contractuelles types (Standard Contractual Clauses) approuvées par la Commission européenne ;
• Adhésion au EU-US Data Privacy Framework, le cas échéant ;
• Mesures techniques supplémentaires telles que la pseudonymisation et l'anonymisation (par exemple l'anonymisation des IP dans Google Analytics 4).

Les données ne sont ni vendues, ni cédées, ni communiquées à des tiers à des fins de marketing.

9. Durée de conservation

Les données personnelles collectées via le Site sont conservées pendant la durée strictement nécessaire aux finalités pour lesquelles elles ont été collectées, selon les critères suivants :

• E-mails reçus via le formulaire de contact : conservés pendant 24 mois maximum à compter de leur réception, sauf évolution du contact en relation contractuelle ; dans ce dernier cas, s'appliquent les durées de conservation prévues par la relation commerciale et la législation fiscale et comptable suisse applicable (art. 958f CO) ;
• Journaux techniques du serveur web : 90 jours maximum ;
• Données de Google Analytics 4 : 14 mois (paramètre par défaut), sous forme agrégée et anonymisée ;
• Cookies et préférences de consentement : selon les durées indiquées dans la Politique relative aux cookies.

À l'expiration des durées indiquées, les données sont supprimées ou anonymisées de manière irréversible.

10. Droits de la personne concernée

Conformément à la nLPD suisse et au RGPD, vous avez le droit de :

• Accès : demander la confirmation du traitement et obtenir une copie de vos données personnelles ;
• Rectification : demander la correction de données inexactes ou incomplètes ;
• Suppression : demander l'effacement de vos données personnelles, le cas échéant ;
• Portabilité : recevoir vos données dans un format structuré, couramment utilisé et lisible par machine ;
• Opposition : vous opposer au traitement pour des motifs légitimes liés à votre situation particulière ;
• Limitation : demander la limitation du traitement dans certaines circonstances ;
• Retrait du consentement : retirer à tout moment le consentement donné pour les traitements fondés sur le consentement (en particulier les cookies analytiques), sans porter atteinte à la licéité du traitement effectué avant le retrait. Pour les cookies, il est possible de rouvrir à tout moment le panneau de consentement via l'icône située en bas à droite du Site ;
• Réclamation auprès de l'autorité de surveillance : introduire une réclamation auprès de l'autorité compétente (voir section 13).

Pour exercer ces droits, écrivez au point de contact unique des responsables conjoints : privacy@almatosca.ch. Les responsables conjoints répondront sans retard injustifié et, en tout état de cause, dans un délai de 30 jours à compter de la réception de la demande.

11. Décision automatisée et profilage

Aucune décision automatisée ni activité de profilage produisant des effets juridiques significatifs sur la personne concernée n'est mise en œuvre, au sens de l'art. 22 du RGPD et de l'art. 21 nLPD. Les analyses statistiques effectuées via Google Analytics 4 sont agrégées et anonymisées et ne sont pas utilisées pour prendre des décisions concernant des individus.

12. Sécurité des données

Le Site est réalisé avec une technologie statique (Astro) et ne stocke aucune donnée personnelle dans une base de données propre. Les responsables conjoints adoptent néanmoins des mesures techniques et organisationnelles appropriées pour garantir la confidentialité, l'intégrité et la disponibilité des données personnelles traitées, conformément aux exigences de la nLPD et du RGPD. En particulier :

• chiffrement du trafic via HTTPS/TLS (certificat Let's Encrypt) sur almatosca.ch et sur www.almatosca.ch ;
• séparation des accès administratifs au serveur et authentification SSH par clé ;
• rotation et limitation des journaux d'accès (90 jours maximum) ;
• mises à jour régulières du serveur web (nginx) et du système d'exploitation ;
• contrôle des fournisseurs tiers via des contrats de traitement des données et sélection de prestataires disposant de certifications de sécurité reconnues.

13. Autorité de surveillance

L'utilisateur a le droit d'introduire une réclamation auprès de l'autorité de surveillance compétente. En particulier :

• Pour les résidents en Suisse : Préposé fédéral à la protection des données et à la transparence (PFPDT) — www.edoeb.admin.ch ;
• Pour les résidents UE/EEE : autorité de protection des données du pays de résidence (pour la France : Commission Nationale de l'Informatique et des Libertés — www.cnil.fr).

14. Modifications de la présente politique

SwissCodex GmbH et New Target SA, en qualité de responsables conjoints, se réservent le droit de mettre à jour la présente politique à tout moment afin de refléter les évolutions réglementaires, techniques ou organisationnelles. Les modifications substantielles seront communiquées aux utilisateurs avec un préavis raisonnable. La date de la dernière mise à jour est indiquée en haut du document.