Politique de confidentialité

Jager Dori, entreprise individuelle de droit suisse, dont l'identité complète figure dans les mentions légales, est le responsable du traitement au sens de la nLPD et du RGPD. Aucun délégué à la protection des données (DPO) n'a été désigné, l'entité n'atteignant pas les seuils déclencheurs prévus par la loi. L'interlocuteur unique pour toute demande relative aux données personnelles est :

Gavin Lancaster — [email protected]

Le service collecte les catégories de données suivantes :

• Nom de l'entreprise et URL du site audité — saisis volontairement par l'utilisateur dans le formulaire d'audit. Finalité : exécuter l'audit demandé. Base légale : exécution d'un contrat (art. 31 al. 2 let. a nLPD ; art. 6 §1 b RGPD).
• Adresse IP, hachée — l'adresse IP du visiteur n'est jamais conservée en clair. Elle est convertie en empreinte SHA-256 salée avec un sel pivotant quotidiennement, puis tronquée à 32 caractères. Finalité : limiter les abus à 5 audits par heure et par adresse IP. Base légale : intérêt légitime du Fournisseur à la sécurité du service (art. 31 al. 2 let. d nLPD ; art. 6 §1 f RGPD).
• Adresse électronique — collectée lors de l'achat d'un rapport ou de la souscription d'un abonnement, et utilisée pour la livraison des rapports, l'authentification par lien magique et les communications relatives au contrat. Finalité : exécution du contrat. Base légale : art. 31 al. 2 let. a nLPD ; art. 6 §1 b RGPD.
• Données de paiement — numéro de carte, nom du porteur, adresse de facturation. Ces données sont collectées et traitées directement par Stripe et ne transitent ni ne sont stockées sur les serveurs de Jager Dori. Le Fournisseur reçoit de Stripe uniquement l'identifiant client, l'identifiant d'abonnement et le statut du paiement.
• Journaux applicatifs et techniques — durée d'exécution des audits, statut HTTP, messages d'erreur, réponses brutes des moteurs interrogés. Finalité : diagnostic d'incidents, qualité du service. Base légale : intérêt légitime.

Cookies : le service dépose un unique cookie strictement nécessaire, nommé rangia_session, après authentification par lien magique. Ce cookie est signé (HMAC), porte les attributs HttpOnly et Secure, et expire au bout de 30 jours. Aucun cookie analytique, publicitaire ou tiers n'est déposé. Le droit suisse n'impose pas de bannière de consentement pour les cookies strictement nécessaires ; aucune bannière n'est donc affichée.

• Audits (nom de marque, URL, score) — conservés sans limite de durée tant que l'intéressé n'en demande pas la suppression. L'empreinte IP associée suit la même règle, mais sa valeur change chaque jour en raison de la rotation du sel.
• Cache d'exécution (Upstash Redis) — 7 jours, ce qui évite de relancer un audit identique facturé à un moteur tiers.
• Cookie de session — 30 jours à compter de la dernière connexion.
• Adresse électronique des clients et journaux comptables — conservés 10 ans à compter de la fin de l'exercice concerné, conformément à l'obligation de conservation prévue à l'art. 958f du Code des obligations suisse.
• Journaux applicatifs — purgés au plus tard après 90 jours.

Pour fournir le service, Jager Dori a recours aux sous-traitants suivants. Chacun a été retenu pour ses garanties contractuelles et techniques en matière de protection des données.

Les moteurs d'intelligence artificielle reçoivent uniquement le nom de la marque, son URL et une requête calibrée — ils ne reçoivent ni l'adresse électronique, ni l'adresse IP, ni aucune donnée d'identification du visiteur.

Certains sous-traitants (OpenAI, Perplexity, Google, xAI, Stripe pour la partie américaine de son infrastructure, Cloudflare, Sentry lors de son activation) sont établis aux États-Unis. Les transferts de données vers ces destinataires reposent sur les clauses contractuelles types adoptées par la Commission européenne (CCT 2021/914) et reconnues par le Préposé fédéral à la protection des données et à la transparence (PFPDT), ainsi que, le cas échéant, sur le cadre Swiss–US Data Privacy Framework lorsque l'organisation destinataire y est certifiée.

Les communications entre le navigateur et le service sont chiffrées en transit (TLS 1.3). Les secrets applicatifs sont stockés hors du code source. Les sessions client utilisent une signature HMAC avec un secret rotatif. Les bases de données activent la sécurité au niveau ligne (RLS) par défaut. Aucun système n'étant infaillible, le Fournisseur s'engage à notifier toute violation de sécurité affectant des données personnelles conformément aux obligations légales applicables, dans les meilleurs délais et au plus tard dans les délais prévus par la nLPD et le RGPD.

Conformément à la nLPD et au RGPD, vous disposez à l'égard de vos données personnelles des droits suivants :

• droit d'accès à vos données et de connaître les finalités du traitement ;
• droit de rectification des données inexactes ou incomplètes ;
• droit d'effacement, dans la limite des obligations légales de conservation comptable ;
• droit à la portabilité des données que vous nous avez fournies, dans un format lisible par machine ;
• droit d'opposition aux traitements fondés sur l'intérêt légitime ;
• droit de retirer à tout moment un consentement préalablement donné, sans effet rétroactif.

Pour exercer l'un de ces droits, écrivez à [email protected] en indiquant l'adresse électronique de votre compte et la nature de votre demande. Nous accusons réception sous 5 jours ouvrés et répondons dans un délai maximum de 30 jours.

Si vous estimez que vos droits ne sont pas respectés, vous pouvez adresser une réclamation au Préposé fédéral à la protection des données et à la transparence (PFPDT), Feldeggweg 1, 3003 Berne, Suisse — edoeb.admin.ch.

La présente politique peut évoluer pour refléter des modifications du service ou des obligations légales. La version applicable est celle publiée à rangia.ch/confidentialite. En cas de modification substantielle affectant un traitement en cours, les clients actifs en sont informés par courriel.