Althy — Informations légales
Politique de confidentialité
Dernière mise à jour : Avril 2026 · Conforme nLPD suisse (2023) et RGPD européen
Vos droits en résumé
Vous pouvez accéder, rectifier, exporter ou supprimer vos données à tout moment. Contactez privacy@althy.ch — délai de réponse : 30 jours maximum.
1. Responsable du traitement
HBM Swiss Sàrl, Genève, Suisse
DPO (Délégué à la Protection des Données) : privacy@althy.ch
Base légale principale : nouvelle Loi suisse sur la Protection des Données (nLPD, RS 235.1, en vigueur depuis le 1er septembre 2023) et RGPD européen (Règlement 2016/679) pour les utilisateurs résidant dans l'UE.
2. Données collectées
| Catégorie | Données | Finalité | Durée |
|---|---|---|---|
| Identification | Nom, prénom, email, téléphone, photo de profil | Création de compte, communication | Durée abonnement + 3 ans |
| Profil professionnel | IBAN, BIC, UID IDE, N° TVA, spécialités, zone d'intervention | Facturation, matching prestataires | Durée abonnement + 3 ans |
| Biens immobiliers | Adresses, descriptions, photos, charges, loyers | Gestion immobilière | Durée abonnement + 5 ans |
| Locataires | Dossiers de candidature, scoring, bail, paiements | Gestion locative | 5 ans après fin du bail |
| Finances | Transactions Stripe, loyers, dépenses, factures | Comptabilité, facturation | 10 ans (obligation fiscale CH) |
| Documents | PDFs uploadés ou générés (baux, EDL, quittances) | Service documentaire | 5 ans après création |
| Localisation | Adresse principale, zone d'intervention, lat/lng biens | Carte, matching géographique | Durée abonnement |
| Interactions IA | Questions posées à l'assistant, estimations demandées | Fourniture du service IA | 90 jours maximum |
| Logs techniques | Adresse IP, user agent, sessions, erreurs Sentry | Sécurité, debugging | 30 jours |
| Consentements | Acceptation CGU, consentement marketing, frais dossier | Preuve de consentement | Durée abonnement + 5 ans |
3. Base légale du traitement
3.1 Pour les utilisateurs résidant en Suisse (nLPD)
La nouvelle Loi suisse sur la Protection des Données (nLPD), en vigueur depuis le 1er septembre 2023, autorise par défaut le traitement des données personnelles par les personnes privées (art. 30 nLPD), sauf atteinte illicite à la personnalité de la personne concernée.
Lorsque le traitement pourrait constituer une atteinte, il est justifié par l'un des motifs suivants (art. 31 nLPD) :
- Consentement de la personne concernée
- Exécution d'un contrat ou mesures précontractuelles
- Loi (obligation légale)
- Intérêt prépondérant d'Althy / HBM Swiss Sàrl
3.2 Pour les utilisateurs résidant dans l'Union Européenne (RGPD)
Si vous résidez dans un État membre de l'Union Européenne, le Règlement Général sur la Protection des Données (RGPD) s'applique également par effet extraterritorial (art. 3 RGPD).
Le traitement de vos données est alors fondé sur les bases légales suivantes :
- Article 6.1.a — Consentement : newsletters, cookies non essentiels
- Article 6.1.b — Exécution du contrat : gestion compte, services Althy
- Article 6.1.c — Obligation légale : comptabilité, lutte blanchiment
- Article 6.1.f — Intérêt légitime : sécurité, prévention fraude
4. Partage des données
Althy partage des données uniquement avec les sous-traitants nécessaires à la fourniture du service :
| Catégorie | Données | Finalité | Durée |
|---|---|---|---|
| Stripe Inc. | Paiements, virements | USA — SCCs | Données minimales de transaction |
| Supabase Inc. | Base de données, authentification | USA — infrastructure EU (Frankfurt) | Toutes les données |
| Vercel Inc. | Hébergement frontend | USA — SCCs | Logs d'accès |
| Railway Corp. | Hébergement backend | USA — SCCs | Logs d'application |
| Anthropic PBC | Modèle IA (Claude) | USA — SCCs | Questions/réponses anonymisées* |
| Resend Inc. | Emails transactionnels | USA — SCCs | Email, contenu minimal |
| Twilio Inc. | SMS | USA — SCCs | Numéro de téléphone, message |
| Sentry Inc. | Monitoring erreurs | USA — SCCs | Logs d'erreurs anonymisés |
| PostHog Inc. | Analytics (opt-in) | USA/EU — SCCs | Comportement utilisateur (si consentement) |
* Les questions posées à l'IA sont minimisées avant envoi à Anthropic : les noms propres, adresses et données financières sont remplacés par des pseudonymes. Les données ne sont jamais utilisées pour entraîner les modèles d'Anthropic.
Althy ne vend jamais vos données à des tiers à des fins commerciales.
5. Transferts hors Suisse / UE
Certains sous-traitants sont établis aux États-Unis. Ces transferts sont encadrés par des Clauses Contractuelles Types (CCT/SCCs) approuvées par la Commission européenne et reconnues par le Préposé fédéral à la protection des données (PFPDT).
La base de données principale (Supabase) est hébergée dans la région EU (Frankfurt, Allemagne), ce qui minimise les transferts transatlantiques pour les données les plus sensibles.
6. Vos droits (art. 25–32 nLPD / art. 15–22 RGPD)
Accès (art. 15 RGPD / art. 25 nLPD)
Obtenir une copie de toutes vos données personnelles
Rectification (art. 16 RGPD / art. 32 al. 1 nLPD)
Corriger des données inexactes ou incomplètes
Effacement (art. 17 RGPD / art. 32 al. 2 nLPD)
Demander la suppression de vos données (sous réserve d'obligations légales)
Portabilité (art. 20 RGPD / art. 28 nLPD)
Recevoir vos données dans un format structuré (JSON/CSV)
Opposition (art. 21 RGPD / art. 30 nLPD)
S'opposer au traitement fondé sur l'intérêt légitime
Retrait du consentement
Retirer votre consentement à tout moment (analytics, marketing)
Exercice de vos droits : privacy@althy.ch
Depuis votre espace client : Paramètres → Sécurité → Export de mes données
Délai de réponse : 30 jours maximum (prorogeable à 60 jours en cas de demande complexe, avec information préalable).
Vous avez également le droit de déposer une réclamation auprès du Préposé fédéral à la protection des données et à la transparence (PFPDT) : edoeb.admin.ch
7. Sécurité des données
- Chiffrement AES-256 des données au repos
- Chiffrement TLS 1.3 de toutes les communications
- Row Level Security (RLS) : chaque utilisateur n'accède qu'à ses propres données
- Authentification à deux facteurs (2FA) disponible
- Tokens d'accès limités dans le temps (JWT)
- Monitoring des accès anormaux via Sentry
- Protection DDoS via Cloudflare
8. Cookies
Pour les informations détaillées sur les cookies utilisés, consultez notre Politique cookies.
9. Mineurs
Althy est réservé aux personnes de 18 ans ou plus. Althy ne collecte pas sciemment de données de mineurs. Si vous avez connaissance qu'un mineur a créé un compte, contactez privacy@althy.ch pour suppression immédiate.
10. Modifications
Cette politique peut être mise à jour. Les modifications significatives sont notifiées par email avec un préavis de 30 jours. La version en vigueur est toujours consultable à l'adresse althy.ch/legal/confidentialite.
11. Contact
DPO Althy : privacy@althy.ch