Politique de confidentialité

Le responsable du traitement des données personnelles décrites dans la présente politique est Walterdesk SA, Rue du Rhône 118, 1204 Genève, Suisse (ci-après « nous »).

Pour toute question relative à la protection des données, vous pouvez contacter notre conseiller à la protection des données (DPO) à l’adresse dpo@walterdesk.ch ou par courrier à l’adresse du siège.

Pour les données traitées au sein des instances clientes (conversations, fichiers, comptes des collaborateurs), l’entreprise cliente est responsable du traitement et nous agissons en qualité de sous-traitant, sur la base d’un contrat de sous-traitance conforme à l’art. 9 LPD et à l’art. 28 RGPD.

Selon votre interaction avec nos services, nous traitons les catégories de données suivantes :

• Données de compte : nom, prénom, adresse email professionnelle, fonction, mot de passe (haché), organisation de rattachement.
• Données de facturation : raison sociale, adresse, numéro de TVA, données de paiement traitées par notre prestataire Stripe (nous ne stockons jamais les numéros de carte).
• Données d’utilisation de la plateforme : journaux de connexion, actions d’administration, métriques d’usage agrégées (volumes de conversations par organisation).
• Contenus des instances : conversations avec les modèles d’IA et fichiers importés, traités exclusivement pour fournir le service, pour le compte de l’entreprise cliente.
• Données de prospection : informations transmises via les formulaires de contact ou de démo (nom, email, entreprise, taille, message).
• Données techniques : adresse IP, type de navigateur, pages consultées sur le site public.

Nous traitons vos données pour les finalités suivantes :

• Fourniture des services souscrits (exécution du contrat) : création et exploitation de votre instance, gestion des utilisateurs, support.
• Facturation et comptabilité (exécution du contrat et obligations légales, notamment le droit comptable suisse).
• Réponse à vos demandes de contact et de démonstration (mesures précontractuelles et intérêt légitime).
• Sécurité de l’infrastructure : détection d’abus, journalisation, prévention des incidents (intérêt légitime prépondérant).
• Amélioration de nos services sur la base de métriques agrégées et anonymisées (intérêt légitime).
• Communication commerciale auprès de nos clients existants, avec possibilité d’opposition à tout moment (intérêt légitime ; consentement lorsque requis).

Nous ne vendons ni ne louons vos données. Elles ne sont communiquées qu’aux sous-traitants strictement nécessaires à la fourniture des services, liés par contrat :

• Hébergeur de droit suisse : hébergement de l’ensemble de l’infrastructure et des données, exclusivement dans des datacenters sécurisés et redondants situés en Suisse. L’identité de l’hébergeur est communiquée sur demande.
• Stripe Payments Europe Ltd (Irlande) : traitement des paiements par carte. Stripe traite les données de paiement en tant que prestataire certifié PCI-DSS ; des transferts vers les États-Unis encadrés par des garanties appropriées peuvent intervenir.
• Modèles d’IA open source (Llama, Qwen, Mixtral, DeepSeek...) : ils sont exécutés sur une passerelle souveraine hébergée en Suisse. Les requêtes ne sont transmises à aucun fournisseur de modèles propriétaire (OpenAI, Anthropic, etc.) et ne sont jamais utilisées pour l’entraînement. Le stockage des conversations demeure en Suisse.

Nous conservons les données uniquement le temps nécessaire aux finalités décrites :

• Données de compte et contenus des instances : pendant la durée du contrat, puis suppression définitive 30 jours après sa fin (délai d’export accordé au client).
• Données de facturation : 10 ans, conformément aux obligations de conservation du droit comptable suisse (art. 958f CO).
• Journaux techniques et de sécurité : 30 à 90 jours selon le plan, jusqu’à 3 ans avec l’add-on de rétention étendue activé par le client.
• Données de prospection : 24 mois après le dernier contact, sauf relation contractuelle nouée entre-temps.
• Sauvegardes chiffrées : cycle de rotation de 30 jours au maximum après la suppression des données de production.

Nous mettons en œuvre des mesures techniques et organisationnelles conformes à l’état de la technique : chiffrement AES-256-GCM au repos et TLS 1.3 en transit, isolation des instances par client, contrôle d’accès basé sur les rôles, journalisation des accès, sauvegardes chiffrées et gestion centralisée des secrets. Le détail figure sur notre page Sécurité.

L’ensemble des données est hébergé en Suisse. Aucune donnée des instances clientes n’est stockée hors du territoire suisse.

Conformément à la LPD et, le cas échéant, au RGPD, vous disposez des droits suivants sur vos données personnelles :

• Droit d’accès : obtenir la confirmation que des données vous concernant sont traitées et en recevoir copie.
• Droit de rectification : faire corriger des données inexactes ou incomplètes.
• Droit à l’effacement : demander la suppression de vos données, sous réserve de nos obligations légales de conservation.
• Droit à la portabilité : recevoir les données que vous nous avez fournies dans un format structuré et couramment utilisé.
• Droit d’opposition : vous opposer à un traitement fondé sur notre intérêt légitime, notamment à des fins de prospection.
• Droit de retirer votre consentement à tout moment, lorsque le traitement repose sur celui-ci.

Pour exercer vos droits, adressez votre demande à dpo@walterdesk.ch en justifiant de votre identité. Nous répondons dans un délai de 30 jours.

Si vous estimez que le traitement de vos données viole le droit de la protection des données, vous pouvez saisir le Préposé fédéral à la protection des données et à la transparence (PFPDT), Feldeggweg 1, 3003 Berne, Suisse. Les personnes situées dans l’Union européenne peuvent également s’adresser à leur autorité de contrôle nationale.

Lorsque la demande concerne des données traitées au sein de l’instance d’une entreprise cliente, nous la transmettons sans délai à cette dernière, qui demeure responsable du traitement.

Le site public utilise uniquement des cookies techniques nécessaires à son fonctionnement (préférence de thème, session d’authentification). Nous n’utilisons pas de cookies publicitaires ni de traceurs tiers à des fins de profilage.

Nous pouvons adapter la présente politique pour refléter l’évolution de nos services ou du cadre légal. La version en vigueur est publiée sur cette page avec sa date de mise à jour. En cas de modification substantielle, les clients sont informés par email au moins 30 jours à l’avance.