Protection des Données (RGPD & nLPD)

1. Notre Engagement

Holdyy s'engage à respecter pleinement le Règlement Général sur la Protection des Données (RGPD) de l'Union européenne ainsi que la nouvelle Loi fédérale suisse sur la protection des données (nLPD, entrée en vigueur le 1er septembre 2023). Nous mettons en œuvre des mesures techniques et organisationnelles pour assurer la sécurité des données, la protection de la vie privée dès la conception (Privacy by Design) et par défaut (Privacy by Default), et le respect des droits des personnes concernées.

2. Droits des Personnes Concernées

En vertu du RGPD (Art. 15-22) et de la nLPD (Art. 25-29), vous avez le droit de : accéder à vos données personnelles, rectifier les données inexactes, demander l'effacement (« droit à l'oubli »), restreindre le traitement, à la portabilité des données (format JSON/CSV), vous opposer au traitement et ne pas faire l'objet d'une prise de décision automatisée. Pour exercer ces droits, contactez hello@holdyy.app. Nous répondons dans les 30 jours.

3. Activités de Traitement des Données

Gestion de Compte : nom, email, informations commerciales — base juridique : exécution du contrat. Traitement des Cautions : noms des clients, emails, enregistrements de transactions — base juridique : exécution du contrat, intérêt légitime prépondérant. Facturation : données d'abonnement, événements de paiement — base juridique : exécution du contrat, obligation légale (CO art. 958f). Journaux de Sécurité : pistes d'audit, événements d'authentification — base juridique : intérêt légitime prépondérant, obligation légale.

4. Sous-Traitants et Transferts Internationaux

Stripe (traitement des paiements) : USA/UE, certifié PCI-DSS, Clauses Contractuelles Types (CCT). Clerk (authentification) : USA/UE, SOC 2 Type II, CCT. Resend (livraison d'emails) : USA, CCT. Neon (hébergement base de données) : UE (Francfort), conforme RGPD. Les transferts vers les USA s'appuient sur les CCT de la Commission européenne et sur l'évaluation d'adéquation du Conseil fédéral suisse. Tous les sous-traitants sont contractuellement tenus au respect du RGPD et de la nLPD.

5. Notification de Violation de Données

En cas de violation de données affectant vos données personnelles, nous notifierons le PFPDT (Suisse) et les autorités de contrôle compétentes dans l'UE/EEE dans les 72 heures (Art. 33 RGPD, Art. 24 nLPD). Les personnes concernées seront informées dans les meilleurs délais si la violation est susceptible d'engendrer un risque élevé pour leurs droits.

6. Conseiller à la Protection des Données

Pour les demandes liées à la protection des données, contactez notre conseiller à hello@holdyy.app. Vous avez le droit de déposer une plainte auprès de l'autorité de contrôle de votre pays (CNIL en France, BfDI en Allemagne, ICO au Royaume-Uni, etc.).

7. Comment Exercer Vos Droits

Pour exercer vos droits, envoyez une demande à hello@holdyy.app avec l'objet « Demande Protection des Données ». Incluez l'email de votre compte et précisez quels droits vous souhaitez exercer. Nous vérifierons votre identité et répondrons dans les 30 jours. Il n'y a pas de frais pour les demandes sauf si elles sont manifestement infondées ou excessives.