Alexium
Conforme nLPD — 1er septembre 2023

Politique de
Confidentialité

Dernière mise à jour : 19 mai 2026

§1Responsable du traitement

Le responsable du traitement au sens de la Loi fédérale sur la protection des données (nLPD) est :

Alexium Sàrl
Rue Saint-Gervais 1
2108 Couvet, Val-de-Travers, canton de Neuchâtel, Suisse
contact@alexium.ch

§2Données traitées

Utilisateurs (clients SaaS)

  • Nom, prénom, email professionnel
  • Mot de passe (haché bcrypt cost 12 — jamais stocké en clair)
  • Secret 2FA TOTP (chiffré AES-256-GCM at-rest)
  • Entreprise, plan tarifaire, modules activés
  • IBAN bénéficiaire (chiffré AES-256-GCM at-rest)
  • Identifiants SMTP custom optionnels (chiffrés AES-256-GCM)
  • IP de connexion, user-agent, horodatages

Débiteurs (personnes tierces)

  • Nom, raison sociale, NPA, localité
  • Email, téléphone, adresse postale — tous chiffrés AES-256-GCM at-rest
  • Historique des relances envoyées
  • Score de solvabilité (issu de sources publiques suisses : ZEFIX, FOSC)

Données techniques

  • Audit trail (toutes les actions CRUD + auth) — conservation 10 ans
  • Logs applicatifs (90 jours)
  • Logs serveur Nginx / PM2 (14 jours)
  • Cookies de session technique uniquement — pas de cookies de tracking

§3Finalités du traitement

  • Exécution du contrat SaaS (authentification, gestion du compte, facturation)
  • Recouvrement amiable pour le compte du client (en tant que sous-traitant art. 9 nLPD)
  • Sécurité applicative (audit trail, rate-limiting, détection d'abus)
  • Obligations légales suisses (CO art. 957a — conservation 10 ans)

§4Base légale

  • Exécution du contrat (art. 31 al. 2 let. a nLPD) — données utilisateurs et débiteurs
  • Intérêt légitime (art. 31 al. 2 let. d nLPD) — sécurité, prévention de la fraude
  • Obligation légale (CO art. 957a) — comptabilité
  • Consentement (art. 31 al. 1 nLPD) — newsletter (opt-in explicite)

§5Durée de conservation

  • Données utilisateurs : durée du contrat + 10 ans (CO 958f). Purge automatique J+60 après résiliation.
  • Données débiteurs : durée du mandat + 10 ans
  • Audit trail : 10 ans (non purgé même post-résiliation)
  • Logs techniques : 90 jours (logs applicatifs), 14 jours (logs serveur)
  • Backups DB chiffrés : 30 jours (rotation rclone vers Swiss Backup)

§6Destinataires & transferts

Aucun transfert hors de Suisse. Aucun tiers commercial, aucun partage marketing, aucun cookie de tracking (Google Analytics, Facebook Pixel, etc.).

Sous-traitant unique : Infomaniak Network SA (Genève, Suisse) pour l'hébergement VPS, le serveur SMTP, le stockage S3 (Object Storage Swiss Backup). Infomaniak est lié par un contrat de sous-traitance et opère exclusivement depuis la Suisse.

§7Mesures de sécurité

  • Chiffrement AES-256-GCM at-rest sur les données sensibles (IBAN, email/tel/adresse débiteurs, secrets 2FA, identifiants SMTP)
  • Chiffrement TLS 1.3 en transit (Let's Encrypt, HSTS preload, vérification certificat PostgreSQL)
  • Authentification 2FA TOTP optionnelle
  • Mots de passe bcrypt cost 12
  • Rate-limiting Redis cluster-safe (signup, login, 2FA, admin)
  • Audit trail immuable sur toutes les opérations sensibles
  • Backups chiffrés GPG AES-256 vers Swiss Backup (Genève)
  • Firewall UFW, fail2ban, mises à jour de sécurité automatiques
  • Tests automatisés sur les chemins financiers critiques

§8Vos droits

Conformément aux art. 25 et 32 nLPD, vous disposez des droits suivants :

  • Droit d'accès aux données vous concernant et au traitement effectué
  • Droit de rectification des données inexactes ou incomplètes
  • Droit de suppression (« droit à l'oubli »)
  • Droit à la portabilité via export ZIP CSV+JSON (`/parametres` > Résiliation & Export)
  • Droit d'opposition à un traitement fondé sur l'intérêt légitime
Comment exercer vos droits ?
Pour les débiteurs (personnes tierces) : page publique alexium.ch/dsar
Pour les utilisateurs du SaaS : contact@alexium.ch

Délai légal de réponse : 30 jours (art. 25 al. 7 nLPD).

§9Cookies

Alexium n'utilise aucun cookie de tracking. Seuls les cookies techniques strictement nécessaires sont utilisés :

  • next-auth.session-token / __Secure-next-auth.session-token — session utilisateur (8h, HttpOnly, Secure, SameSite=Lax)
  • alexium-admin — session super-admin (8h, HttpOnly, Secure, SameSite=Strict)

Aucun cookie Google Analytics, Facebook Pixel ou autre traceur tiers. Aucune bannière de consentement n'est nécessaire.

§10Autorité de surveillance

Si vous estimez que vos droits ne sont pas respectés, vous pouvez vous adresser au Préposé fédéral à la protection des données et à la transparence (PFPDT) : edoeb.admin.ch.

§11Modifications

Toute modification substantielle de la présente politique sera notifiée aux utilisateurs par email au moins 30 jours avant sa prise d'effet. La date de dernière mise à jour est affichée en haut de cette page.