Politique de confidentialité
Dernière mise à jour : 13 juin 2026
Version pilote ; revue juridique en attente.
Table des matières
1. Introduction et responsable du traitement
Cette politique de confidentialité explique comment LokBox traite les données personnelles conformément à la Loi fédérale sur la protection des données (LPD) suisse et, le cas échéant, au Règlement général sur la protection des données (RGPD) de l'UE. LokBox est une offre de bubloo, Kubilé (entreprise individuelle), titulaire Ernesta Kubilé. Responsable du traitement : bubloo, Kubilé, Lischenweg 7, 4915 St. Urban, Suisse (IDE : CHE-190.821.402). E-mail : info@lokbox.ch / privacy@lokbox.ch.
2. Catégories de données
Nous traitons les données personnelles fournies lors de l'utilisation de la plateforme : (1) Données de compte : adresse e-mail, nom (facultatif), hash de mot de passe (bcrypt), statut de vérification. (2) Données de mandants (dossiers) : données des clients saisies par les fiduciaires (nom, raison sociale, IDE, adresse, canton, contacts, e-mails, téléphones et instructions spécifiques). (3) Données d'utilisation & prompts : instructions de tâches, étapes d'exécution de l'agent (clics, navigation, erreurs), captures d'écran temporaires et extraits DOM, crédits consommés et résultats. (4) Documents téléversés : fichiers fournis par l'utilisateur pour l'exécution des tâches (ex. factures PDF). (5) Données de paiement : historique des transactions via Stripe (montant, devise, statut, adresse de facturation) ; les données de carte bancaire sont gérées par Stripe. (6) Données de connexion : adresses IP, jetons de session, logs du serveur.
3. Finalités du traitement
Le traitement est nécessaire à l'exécution du contrat (fourniture de l'agent de navigation), à la facturation, au support client et au respect des obligations légales (art. 958f CO).
4. Bases légales (RGPD)
Exécution du contrat (art. 6(1)(b) RGPD) pour la fourniture du service ; obligation légale (art. 6(1)(c) RGPD) pour la conservation comptable ; intérêt légitime (art. 6(1)(f) RGPD) pour la sécurité et la surveillance ; consentement (art. 6(1)(a) RGPD) pour les intégrations OAuth.
5. Sous-traitants et localisations
Hetzner Online GmbH (Allemagne, UE) : hébergement du frontend et de l'infrastructure de l'agent (Falkenstein, Allemagne). Supabase, Inc. (Francfort, Allemagne/UE) : base de données, authentification et stockage des enregistrements. Amazon Web Services EMEA SARL (Luxembourg/UE) : plateforme d'inférence (AWS Bedrock UE) ; exécute l'inférence Anthropic Claude exclusivement dans l'UE (eu-central-1, Francfort) avec un garde-fou strict de résidence des données de l'UE ; aucune donnée ne quitte l'UE ; pas de stockage par Anthropic. Google Cloud Vertex AI (Pays-Bas/UE) : résolution et synthèse (modèles Gemini) au sein de l'UE. Stripe Payments Europe, Ltd. (Irlande/UE) : traitement des paiements. Resend, Inc. (région UE) : envoi d'e-mails de confirmation. Sentry (région UE) : surveillance des erreurs côté serveur.
6. Transferts internationaux
L'hébergement et l'inférence IA sont situés exclusivement dans l'Union européenne (Allemagne, Irlande, Pays-Bas). Les intégrations Google et Notion transfèrent des données vers leurs plateformes (y compris aux États-Unis) pour exécuter tes actions initiées ; des clauses contractuelles types (CCT) sont signées. Nous ne garantissons pas de résidence suisse des données ; elles résident en Allemagne/UE.
7. Sécurité et isolation
Isolation de l'espace de travail : chaque espace est isolé ; les dossiers et l'historique sont partitionnés au niveau de la base de données. Protection des identifiants : les jetons OAuth et clés API sont chiffrés avec AES-256-GCM ; les identifiants/codes 2FA saisis via le flux en direct ne sont pas stockés. Entraînement des modèles : nous n'utilisons jamais tes données pour entraîner des modèles d'IA tiers. Masquage PII : un système de masquage automatique des données personnelles (redondance PII) est en cours de déploiement (phase de test) et n'est pas encore actif par défaut.
8. Conservation
Les données d'utilisation sont conservées 30 jours par défaut. Les données comptables sont conservées 10 ans (art. 958f CO).
9. Tes droits et autorité de contrôle
Tu as un droit d'accès, de rectification, de suppression, de limitation et d'opposition. Contact : privacy@lokbox.ch. Tu peux déposer une réclamation auprès de : en Suisse, le Préposé fédéral à la protection des données et à la transparence (PFPDT), Berne ; dans l'UE, l'autorité de protection des données compétente de ton pays.