Dernière mise à jour : 2026-05-18
1. Contexte — la nLPD de 2023
La nouvelle loi fédérale sur la protection des données (« nLPD » ou LPD révisée) est entrée en vigueur le 1er septembre 2023. Elle remplace l'ancienne LPD de 1992 et renforce les droits des personnes concernées ainsi que les obligations des responsables de traitement et des sous-traitants. ark.plan a été conçu dès son origine pour se conformer à ce cadre légal, avant même d'ouvrir son marché aux clients européens soumis au RGPD.
2. Pourquoi ark.plan est conçu « nLPD-first »
- Hébergement 100% suisse des données applicatives chez Infomaniak Network SA à Genève.
- Isolation par Instance : chaque client dispose d'un container Docker dédié et d'une base de données PostgreSQL isolée. Aucune donnée client n'est partagée entre Instances.
- Chiffrement au repos des credentials et tokens OAuth en AES-256-GCM.
- Données applicatives stockées exclusivement en Suisse : seul le flux de paiement passe par Stripe Payments Europe Ltd. en Irlande (UE). Les fonctions IA optionnelles, désactivables à tout moment, impliquent un transfert des textes concernés vers des sous-traitants US (Anthropic, OpenAI, Google) couvert par les clauses contractuelles types.
- Analytics sans cookies (Umami auto-hébergé), pas de tracker tiers commercial.
3. Tableau des obligations nLPD et notre réponse
| Article nLPD | Obligation | Réponse ark.plan |
|---|---|---|
| Art. 5 | Définitions (données, traitement, profilage) | Terminologie reprise dans toutes nos pages légales |
| Art. 6 | Principes : licéité, bonne foi, proportionnalité, finalité, exactitude, conservation limitée | Finalités et durées détaillées dans la Politique de confidentialité |
| Art. 8 | Sécurité des données | Mesures techniques et organisationnelles documentées (Annexe A du DPA) |
| Art. 9 | Traitement par un sous-traitant | DPA annexé aux CGU, signé par adhésion ; liste publique des sous-traitants ultérieurs |
| Art. 12 | Registre des activités de traitement | Registre tenu en interne, non publié, fourni sur demande du PFPDT |
| Art. 16-17 | Communication transfrontière | Données applicatives en Suisse ; Stripe (UE) pour paiements ; sous-traitants IA US (Anthropic, OpenAI, Google) uniquement si fonctions IA activées, couverts par CCT |
| Art. 19-21 | Devoir d'information, décisions automatisées | Couvert par la Politique de confidentialité ; aucune décision automatisée à effet juridique |
| Art. 22 | Analyse d'impact relative à la protection des données (AIPD) | Réalisée pour le traitement CRM, disponible sur demande motivée |
| Art. 24 | Annonce de violations de la sécurité des données | Procédure documentée, notification au PFPDT sous 72h |
| Art. 25 | Droit d'accès | Réponse sous 30 jours à notre formulaire de contact |
| Art. 28 | Droit à la remise ou à la transmission des données | Export CSV disponible (autres formats sur la roadmap) |
| Art. 30 | Traitements portant atteinte à la personnalité, droit d'opposition | Traité par le point de contact privacy |
| Art. 32 | Droit de rectification et d'effacement | Réponse sous 30 jours, sous réserve des obligations comptables |
| Art. 49 | Plainte au PFPDT | Coordonnées fournies dans la Politique de confidentialité |
4. Renvois
- Politique de confidentialité — mentions substantives d'information
- Accord de traitement des données (DPA) — sous-traitance
- Conditions générales d'utilisation — cadre contractuel
5. Contact protection des données
notre formulaire de contact — +41 78 448 60 02
En cas de divergence entre les versions linguistiques, la version française fait foi.