Politique de confidentialité
Transparence sur le traitement de vos données — LPD (Suisse) et RGPD (Union Européenne).
1. Responsable du traitement
2. Portée
La presente politique décrit comment GoLynk traite les données personnelles des visiteurs et utilisateurs, conformément à la LPD (Suisse) et, lorsque applicable, au RGPD (UE).
3. Données collectees
3.1 Données que vous fournissez
- Formulaire de contact : nom/prenom, email, sujet, message.
- Creation de compte : email, mot de passe, nom de la société ou du freelance.
- Contenu applicatif : données saisies (projets, tâches, clients, CRM, trésorerie, calendrier, factures), fichiers importes.
- Abonnements et crédits : type de plan, historique d'achat de crédits, identifiants de transaction Payrexx (aucune donnée bancaire n'est stockée par GoLynk).
- Liens de portail client : lorsque vous activez la fonctionnalité de portail, GoLynk génère et stocke un token aléatoire associé à un de vos clients tiers. Aucune donnée du client tiers n'est collectée directement par GoLynk (l'identification se fait via le token).
3.2 Données techniques et de sécurité
- Adresse IP et metadonnées de connexion (rate-limit, sécurité).
- Sessions et preferences stockées localement (cookies et/ou localStorage).
- Identifiants techniques (device_id) et empreinte de navigateur pour limiter la fraude.
4. Finalites du traitement
- Fournir le Service : creation de compte, authentification, accès aux fonctionnalités.
- Gerer les abonnements et crédits : traitement des paiements via Payrexx, suivi du solde de crédits.
- Sécurité : limitation des tentatives, détection d'anomalies, prevention d'accès non autorises.
- Support : répondre a vos demandes.
- Obligations legales : conservation limitee lorsque requis par la loi.
- Portail client tokenisé : permettre à vos propres clients d'accéder en lecture seule à leurs factures et devis via un lien sécurisé que vous générez et contrôlez.
5. Bases juridiques (RGPD si applicable)
- Execution du contrat : fournir le Service et ses fonctionnalités.
- Interet legitime : sécurité, prevention des abus.
- Consentement : uniquement pour traitements optionnels (ex. traceurs non nécessaires).
6. Chiffrement des données
Les données applicatives sensibles (trésorerie, messagerie) sont chiffrées côté client avec l'algorithme AES-256-GCM avant d'etre transmises à nos serveurs. Cela signifie que GoLynk ne peut techniquement pas lire vos données métier. La clé de chiffrement est dérivée de votre compte et peut être renouvelée depuis les paramètres de sécurité.
7. Destinataires et sous-traitants
| Prestataire | Usage | Données concernees | Pays |
|---|---|---|---|
| Supabase | Authentification + base de données | Email, contenu applicatif (chiffre) | Union Européenne |
| Payrexx AG | Paiement (abonnements et crédits) | Email, montant, reference transaction | Suisse (Thun) |
| Brevo | Email transactionnel | Email, code de verification | France/UE |
| Hostinger | Hébergement du site vitrine | IP, fichiers statiques | UE |
| CDN (Cloudflare, jsDelivr) | Chargement de bibliotheques | IP, user-agent | Global (CDN) |
7 bis. Transmission à des organes officiels (déclarations fiscales)
À la demande explicite du Client (ou de sa fiduciaire mandatée), GoLynk peut servir de canal technique pour transmettre les documents comptables de clôture (bilan, compte de résultat, journal des écritures au format PDF horodaté) à des organes officiels :
- Autorités fiscales cantonales (AFC, OCR, OCAS, etc.)
- Administration fédérale des contributions (AFC)
- Caisses de compensation AVS/AI
Cette transmission n'est jamais automatique et requiert une validation explicite et tracée du Client. Aucune autre catégorie de données personnelles n'est transmise. La traçabilité de l'envoi (horodatage, destinataire, hash du fichier) est conservée 10 ans (durée légale de conservation comptable, CO art. 958f).
7 ter. Portail client tokenisé (accès tiers en lecture seule)
GoLynk propose une fonctionnalité de portail client permettant à l'Utilisateur (freelance ou société) de générer un lien sécurisé unique pour chacun de ses propres clients. Ce lien permet à ces tiers — qui ne sont pas titulaires d'un compte GoLynk — d'accéder en lecture seule à leurs propres factures et devis, et de télécharger les PDF associés.
- Sécurité du lien : chaque lien contient un token cryptographique aléatoire de 288 bits, généré côté serveur. Il est impossible à deviner ou à énumérer.
- Cloisonnement strict : un token donne accès aux documents d'un seul client. Aucun accès croisé n'est techniquement possible.
- Durée de validité : 90 jours, prolongée de 90 jours à chaque accès légitime. L'Utilisateur peut révoquer instantanément un token depuis son interface ; l'accès est alors immédiatement coupé.
- Aucune inscription : le client tiers n'a ni mot de passe ni compte à créer. Aucun profilage, aucune donnée comportementale n'est collectée.
- Audit minimal : seuls la date du dernier accès et le nombre total d'accès sont conservés (à des fins de détection d'anomalie par l'Utilisateur). Aucune adresse IP du client tiers n'est conservée de manière persistante.
- Responsabilité de l'Utilisateur : l'Utilisateur reste responsable du traitement (RGPD/nLPD) des données de ses propres clients et de la transmission sécurisée du lien à son destinataire.
8. Communication à l'etranger
Aucune donnée ne quitte l'espace Suisse/EEE. En cas de changement, tous les clients seront avertis au minimum 30 jours avant.
9. Durées de conservation
- Comptes : pendant la relation contractuelle, puis suppression/anonymisation.
- Demandes de contact : 60 mois apres clôture.
- Logs sécurité : 30 jours.
- Transactions de crédits : pendant la durée du compte + obligations legales.
- Tokens de portail client : tant que l'Utilisateur les conserve actifs. Expiration automatique après 90 jours sans utilisation. Suppression immédiate à la révocation.
- Données locales (localStorage) : jusqu'a suppression par l'utilisateur.
10. Sécurité
Nous mettons en place des mesures techniques et organisationnelles adaptees : chiffrement de bout en bout (AES-256-GCM), contrôles d'accès (Row Level Security), authentification renforcée (2FA), rotation de cles, et limitation des abus. Voir Politique de sécurité.
11. Violations de données
En cas de violation, nous appliquons un processus de gestion d'incident (détection, confinement, correction). Notification aux autorites et/ou aux personnes concernees conformément à la LPD.
12. Vos droits
- Acces, rectification, effacement, limitation, opposition, droit à l'oubli.
- Portabilité (si applicable).
- Reclamation : PFPDT en Suisse / autorite competente UE.
- Contact : legal@golynk.ch.
13. Mises à jour
Nous pouvons mettre à jour cette politique. En cas de changement substantiel, une nouvelle prise de connaissance sera demandée.