Nous contacter Contact

Engagement nLPD

Mise à jour : 2026-04-14

Dernière mise à jour : 14 avril 2026

1. Contexte — la nLPD de 2023

La nouvelle loi fédérale sur la protection des données (« nLPD » ou LPD révisée) est entrée en vigueur le 1er septembre 2023. Elle remplace l'ancienne LPD de 1992 et renforce les droits des personnes concernées ainsi que les obligations des responsables de traitement et des sous-traitants. ark.flow a été conçu pour se conformer à ce cadre légal, en parallèle du respect du RGPD pour la clientèle européenne.

2. Pourquoi ark.flow est conçu « nLPD-first »

  • Hébergement 100 % suisse des données applicatives chez Infomaniak Network SA à Genève.
  • Isolation par Instance : chaque client dispose d'un container dédié et d'une base de données isolée. Aucune donnée client n'est partagée entre Instances.
  • Chiffrement au repos des credentials, tokens et pièces sensibles en AES-256-GCM.
  • Pas de transfert applicatif hors Suisse pour les données comptables et fiduciaires ; seuls les flux paiement (Stripe, UE) et CDN/DNS (Cloudflare, US, encadré par SCC et adéquation) impliquent un transfert.
  • Analytics sans cookies (Umami auto-hébergé), pas de tracker tiers commercial.
  • IA optionnelle et encadrée : les fournisseurs d'IA sont utilisés uniquement sur activation du Client, avec des contrats interdisant l'entraînement de leurs modèles sur ses données.

3. Tableau des obligations nLPD et notre réponse

Article nLPDObligationRéponse ark.flow
Art. 5Définitions (données, traitement, profilage)Terminologie reprise dans toutes nos pages légales
Art. 6Principes : licéité, bonne foi, proportionnalité, finalité, exactitude, conservation limitéeFinalités et durées détaillées dans la Politique de confidentialité
Art. 8Sécurité des donnéesMesures techniques et organisationnelles documentées ; revue périodique
Art. 9Traitement par un sous-traitantClauses d'encadrement dans les CGU ; liste publique des sous-traitants ultérieurs
Art. 12Registre des activités de traitementRegistre tenu en interne, non publié, fourni sur demande du PFPDT
Art. 16-17Communication transfrontièreDonnées applicatives en Suisse ; Stripe (UE) et Cloudflare (US, SCC + adéquation) pour leurs finalités respectives
Art. 19-21Devoir d'information, décisions automatiséesCouvert par la Politique de confidentialité ; aucune décision automatisée à effet juridique
Art. 22Analyse d'impact relative à la protection des données (AIPD)Réalisée pour les traitements IA et comptables, disponible sur demande motivée
Art. 24Annonce de violations de la sécurité des donnéesProcédure documentée, notification au PFPDT sous 72 h
Art. 25Droit d'accèsRéponse sous 30 jours à [email protected]
Art. 28Droit à la remise ou à la transmission des donnéesExport JSON/CSV et export Crésus natif (Compta) disponibles
Art. 30Traitements portant atteinte à la personnalité, droit d'oppositionTraité par le point de contact privacy
Art. 32Droit de rectification et d'effacementRéponse sous 30 jours, sous réserve des obligations comptables de 10 ans
Art. 49Plainte au PFPDTCoordonnées fournies dans la Politique de confidentialité

4. Mesures techniques et organisationnelles (résumé)

  • Transit : TLS 1.2 minimum, HSTS, en-têtes CSP stricts.
  • Repos : AES-256-GCM pour les secrets et tokens ; disques chiffrés au niveau infrastructure.
  • Accès : MFA obligatoire pour les administrateurs ; journalisation complète ; revue trimestrielle des droits.
  • Résilience : sauvegardes quotidiennes chiffrées, testées mensuellement.
  • Organisation : sensibilisation interne, contrats de confidentialité avec toute personne accédant aux systèmes de production.

5. Renvois

6. Contact protection des données

[email protected]

En cas de divergence entre les versions linguistiques, la version française fait foi.