Politique de confidentialité

1. Présentation de HubTools

HubTools est une plateforme de gestion SaaS tout-en-un développée en Suisse. Elle inclut des modules de gestion de projets, finances, CRM et bien-être. Cette politique explique comment nous collectons, utilisons, hébergeons et protégeons vos données personnelles, conformément à la nouvelle Loi fédérale sur la protection des données (nLPD) en vigueur depuis septembre 2023, et au Règlement Général sur la Protection des Données (RGPD) de l'Union européenne.

Droit applicable : droit suisse. En cas de conflit, la nLPD prévaut pour les utilisateurs résidant en Suisse.

2. Données collectées

Nous collectons uniquement les données nécessaires au fonctionnement de l'application :

• Adresse e-mail et nom (authentification et identification)
• Données de calendrier Google ou Outlook (si vous connectez votre compte, avec votre consentement explicite)
• Tâches, événements, notes et données créés dans l'application par vous
• Documents et fichiers que vous importez (justificatifs, relevés, pièces jointes) — ceux du coffre-fort Finance sont chiffrés de bout en bout sur votre appareil avant tout envoi (voir section 4)
• Données financières saisies dans le module Finance (transactions, budgets) — accessibles à vous seul
• Données de présence et d'activité au sein de votre équipe (horodatage de dernière connexion)
• Sessions de time tracking (catégorie, durée, horodatages)
• Données de navigation minimales à des fins de sécurité et de débogage

3. Utilisation des données Google / Microsoft

Lorsque vous connectez votre Google Calendar ou Outlook, nous accédons à vos événements de calendrier uniquement pour les afficher dans l'application et vous permettre de créer ou modifier des événements depuis celle-ci. Vos tokens d'accès sont stockés de façon chiffrée et ne sont jamais partagés avec des tiers. Vous pouvez révoquer cet accès à tout moment depuis les Paramètres de l'application.

L'utilisation des données obtenues via l'API Google Calendar est conforme à la politique d'utilisation des données utilisateur des API Google, y compris les exigences d'utilisation limitée. Ces données ne sont pas utilisées à des fins publicitaires, ni vendues ou partagées avec des tiers.

4. Hébergement, sous-traitants & chiffrement

Transparence totale : voici exactement où vivent vos données et quels prestataires (sous-traitants) interviennent. Tous sont soumis à des garanties contractuelles conformes au RGPD et à la nLPD.

• Supabase — Base de données et authentification. Hébergement dans l'Union européenne (Irlande, AWS eu-west-1). Données chiffrées au repos (AES-256) et en transit (TLS 1.3).
• Infomaniak (Suisse 🇨🇭) — Stockage des fichiers et documents (coffre-fort, pièces jointes). Hébergeur 100 % suisse, certifié ISO 27001, infrastructure alimentée en énergie renouvelable. Vos fichiers restent en Suisse.
• Infomaniak AI — Apertus (Suisse 🇨🇭) — Fonctionnalités d'intelligence artificielle (détail en section 5). Modèle souverain suisse, traitement réalisé en Suisse.
• Vercel — Hébergement et diffusion de l'application (réseau edge). Accord de traitement (DPA) signé. Vercel ne conserve pas durablement vos données personnelles applicatives.
• Upstash — Limitation de débit anti-abus (Union européenne, Frankfurt). Ne contient que des compteurs techniques, aucune donnée personnelle.
• Tenor (Google) — Recherche de GIF dans la messagerie, appelée uniquement lorsque vous recherchez un GIF. Seul le terme recherché est transmis.
• Google — Connexion « Continuer avec Google » (facultative) et synchronisation de calendrier (si vous l'activez).

L'ensemble des échanges est chiffré en transit (TLS 1.3) et au repos (AES-256). Les tokens OAuth (Google, Microsoft) sont chiffrés au repos (AES-256-GCM).

5. Intelligence artificielle

Certaines fonctionnalités s'appuient sur l'intelligence artificielle — par exemple la lecture et l'extraction automatique des informations d'un relevé ou d'un justificatif que vous importez, l'aide à la catégorisation de dépenses, ou des suggestions de saisie. Nous avons fait le choix d'une IA souveraine et suisse :

• Modèle : Apertus 70B (swiss-ai/Apertus-70B-Instruct), un grand modèle de langage open-source et souverain développé en Suisse.
• Où : hébergé et exécuté par Infomaniak en Suisse 🇨🇭. Vos requêtes ne sont pas envoyées à des fournisseurs d'IA hors de Suisse (OpenAI, Google, Anthropic, etc.).
• Entraînement : vos données ne sont jamais utilisées pour entraîner ou améliorer le modèle.
• Contrôle humain : l'IA assiste mais ne décide pas. Aucune décision automatisée produisant des effets juridiques n'est prise sans votre validation.
• Déclenchement : l'IA n'est sollicitée que lorsque vous utilisez explicitement une fonctionnalité qui en dépend (par exemple importer un document à analyser).

6. Durée de conservation

• Données de compte : conservées jusqu'à suppression du compte par l'utilisateur
• Données applicatives (tâches, notes, événements) : conservées tant que le projet est actif
• Logs techniques : maximum 90 jours, à des fins de sécurité et de débogage
• Données supprimées : effacement définitif dans un délai de 30 jours après demande

7. Vos droits (nLPD & RGPD)

Conformément à la nLPD et au RGPD, vous disposez des droits suivants :

• Droit d'accès : obtenir une copie de vos données personnelles
• Droit de rectification : corriger des données inexactes
• Droit à l'effacement : demander la suppression définitive de toutes vos données (droit à l'oubli)
• Droit à la portabilité : recevoir vos données dans un format structuré et lisible
• Droit d'opposition : vous opposer à certains traitements de vos données
• Droit de retrait du consentement : révoquer votre consentement à tout moment (ex. : déconnecter Google Calendar)

Pour exercer ces droits, supprimez votre compte depuis les Paramètres ou contactez le délégué à la protection des données (DPO).

8. Droits des utilisateurs suisses (nLPD)

HubTools respecte la nouvelle Loi fédérale sur la protection des données (nLPD), entrée en vigueur le 1er septembre 2023. En tant qu'utilisateur suisse, vous bénéficiez de droits renforcés :

• Droit à l'information sur les traitements automatisés vous concernant
• Droit d'opposition à toute décision fondée uniquement sur un traitement automatisé
• Droit de déposer une plainte auprès du Préposé fédéral à la protection des données et à la transparence (PFPDT)

Aucun profilage automatisé à effets juridiques significatifs n'est effectué sans intervention humaine. Les traitements de données sont fondés sur une base légale valide (contrat, intérêt légitime ou consentement explicite).

9. Cookies et traceurs

HubTools utilise uniquement des cookies strictement nécessaires au fonctionnement de l'application (session d'authentification, préférences d'interface). Aucun cookie publicitaire ou de tracking tiers n'est utilisé.

10. Contact & DPO

Pour toute question relative à la protection de vos données, pour exercer vos droits ou contacter le délégué à la protection des données (DPO) :

Nous répondrons à votre demande dans un délai de 30 jours, conformément aux exigences de la nLPD et du RGPD.