1. Contexte — la nLPD de 2023
La nouvelle loi fédérale sur la protection des données (« nLPD » ou LPD révisée) est entrée en vigueur le 1er septembre 2023. Elle remplace l'ancienne LPD de 1992 et renforce les droits des personnes concernées ainsi que les obligations des responsables de traitement et des sous-traitants. ark.stock a été conçu pour se conformer à ce cadre légal, en parallèle du respect du RGPD pour la clientèle européenne.
2. Pourquoi ark.stock est conçu « nLPD-first »
- Hébergement 100 % suisse des données applicatives chez Infomaniak Network SA à Genève.
- Isolation par Instance : chaque client dispose d'un container dédié et d'une base de données isolée. Aucune donnée client n'est partagée entre Instances.
- Chiffrement au repos des credentials, tokens et pièces sensibles en AES-256-GCM.
- Pas de transfert applicatif hors Suisse pour les données comptables et fiduciaires ; seuls les flux paiement (Stripe, UE) et CDN/DNS (Cloudflare, US, encadré par SCC et adéquation) impliquent un transfert.
- Analytics sans cookies (Umami auto-hébergé), pas de tracker tiers commercial.
- IA optionnelle et encadrée : les fournisseurs d'IA sont utilisés uniquement sur activation du Client, avec des contrats interdisant l'entraînement de leurs modèles sur ses données.
3. Tableau des obligations nLPD et notre réponse
| Article nLPD | Obligation | Réponse ark.stock |
|---|---|---|
| Art. 5 | Définitions (données, traitement, profilage) | Terminologie reprise dans toutes nos pages légales |
| Art. 6 | Principes : licéité, bonne foi, proportionnalité, finalité, exactitude, conservation limitée | Finalités et durées détaillées dans la Politique de confidentialité |
| Art. 8 | Sécurité des données | Mesures techniques et organisationnelles documentées ; revue périodique |
| Art. 9 | Traitement par un sous-traitant | Clauses d'encadrement dans les CGU ; liste publique des sous-traitants ultérieurs |
| Art. 12 | Registre des activités de traitement | Registre tenu en interne, non publié, fourni sur demande du PFPDT |
| Art. 16-17 | Communication transfrontière | Données applicatives en Suisse ; Stripe (UE) et Cloudflare (US, SCC + adéquation) pour leurs finalités respectives |
| Art. 19-21 | Devoir d'information, décisions automatisées | Couvert par la Politique de confidentialité ; aucune décision automatisée à effet juridique |
| Art. 22 | Analyse d'impact relative à la protection des données (AIPD) | Réalisée pour les traitements IA et comptables, disponible sur demande motivée |
| Art. 24 | Annonce de violations de la sécurité des données | Procédure documentée, notification au PFPDT sous 72 h |
| Art. 25 | Droit d'accès | Réponse sous 30 jours à privacy@ark.swiss |
| Art. 28 | Droit à la remise ou à la transmission des données | Export JSON/CSV et export Crésus natif (Compta) disponibles |
| Art. 30 | Traitements portant atteinte à la personnalité, droit d'opposition | Traité par le point de contact privacy |
| Art. 32 | Droit de rectification et d'effacement | Réponse sous 30 jours, sous réserve des obligations comptables de 10 ans |
| Art. 49 | Plainte au PFPDT | Coordonnées fournies dans la Politique de confidentialité |
4. Mesures techniques et organisationnelles (résumé)
- Transit : TLS 1.2 minimum, HSTS, en-têtes CSP stricts.
- Repos : AES-256-GCM pour les secrets et tokens ; disques chiffrés au niveau infrastructure.
- Accès : MFA obligatoire pour les administrateurs ; journalisation complète ; revue trimestrielle des droits.
- Résilience : sauvegardes quotidiennes chiffrées, testées mensuellement.
- Organisation : sensibilisation interne, contrats de confidentialité avec toute personne accédant aux systèmes de production.
5. Renvois
- Politique de confidentialité — mentions substantives d'information
- Politique Cookies — traceurs et stockage local
- Conditions générales d'utilisation — cadre contractuel
- Accord de traitement des données (DPA) — sous-traitance (art. 28 RGPD / art. 9 LPD)
6. Contact protection des données
En cas de divergence entre les versions linguistiques, la version française fait foi.