Politique de confidentialité

1. Responsable du traitement

Le responsable du traitement des données sur mietkuendigung.ch est :

Vous trouverez d'autres informations sur l'exploitant dans les Mentions légales (Impressum).

2. Quelles données nous traitons

2.1 Données saisies dans l'assistant

Lorsque vous utilisez l'assistant de résiliation, nous collectons les données que vous saisissez :

• Nom et adresse (locataire et bailleur)
• Canton et situation de logement
• Détails du contrat de bail (date, type, délai)
• Situation de résiliation (standard, anticipée, colocation, etc.)

Ces données sont stockées dans notre base de données chez Supabase (AWS Londres, UK) afin de vous fournir la lettre générée et — pour Premium — le tableau de bord.

2.2 Adresse e-mail

Nous utilisons votre adresse e-mail pour :

• Authentification (lien magique ou mot de passe)
• Rappels d'échéance par e-mail (uniquement avec votre consentement explicite)

2.3 Données de paiement

Les données de paiement (carte de crédit, bancaires, TWINT) sont traitées et stockées exclusivement par notre prestataire de paiement Stripe. Nous n'avons aucun accès à vos données de paiement. De Stripe nous recevons uniquement : adresse e-mail, numéro de commande et variante de produit (Basic/Premium).

2.4 Données techniques

Lors de votre visite, des données techniques sont automatiquement enregistrées (adresse IP, type de navigateur, heure d'accès). Elles sont utilisées pour l'exploitation technique, la sécurité et le diagnostic d'erreurs (voir section 3 — sous-traitants).

2.5 Cookies

Nous n'utilisons aucun cookie de traçage et aucun cookie tiers. Seuls les cookies strictement nécessaires sont utilisés (session d'authentification). Pour l'analyse produit, nous utilisons PostHog dans une configuration sans cookies.

Comme aucun cookie de traçage n'est utilisé, aucune bannière de cookies n'est nécessaire (LTC art. 45c).

3. Sous-traitants et prestataires

Nous faisons appel à des sous-traitants soigneusement sélectionnés. Des contrats de sous-traitance (DPA) ou des clauses contractuelles types (CCT) sont en place avec tous les prestataires basés aux États-Unis.

3.1 Supabase (base de données + authentification)

Prestataire:

Supabase Inc., 970 Toa Payoh North #07-04, Singapore 318992

Région d'hébergement:

AWS eu-west-2 — Londres, Royaume-Uni (UK)

Finalité:

Stockage des comptes utilisateurs, des données de résiliation, du contenu du tableau de bord ; services d'authentification

Base légale:

Exécution du contrat (nLPD art. 31 al. 2 let. a) et intérêt légitime à la sécurité des données

Durée de conservation:

12 mois après la dernière connexion, puis suppression automatique

Important : depuis le Brexit, le Royaume-Uni n'est plus un État membre de l'UE. Il dispose toutefois de sa propre législation sur la protection des données (UK Data Protection Act 2018 + UK-GDPR) et a été reconnu à la fois par le PFPDT suisse et par la Commission européenne comme offrant un niveau de protection adéquat. Vos données principales ne sont pas transférées aux États-Unis.

DPA: supabase.com/legal/dpa

3.2 Stripe (paiement)

Prestataire:

Stripe Payments Europe Limited, 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland

Rôle:

Prestataire de paiement (sous-traitant pour les données de paiement). Le vendeur juridique et votre cocontractant reste l'exploitant (Joel Waeber).

Région d'hébergement:

UE (Dublin, Irlande) via Stripe Payments Europe Ltd. Maison mère à San Francisco, États-Unis.

Finalité:

Paiement, remboursements, prévention de la fraude

Ce que nous recevons de Stripe:

Adresse e-mail, numéro de commande, variante de produit (Basic/Premium), horodatage. Nous ne voyons jamais les données de carte.

S'appliquent : les clauses contractuelles types UE/CH (CCT) et — lorsque la certification existe — le Data Privacy Framework UE-US et Suisse-US (DPF). Stripe est certifié PCI-DSS Level 1.

Politique de confidentialité de Stripe: stripe.com/privacy

3.3 Vercel (hébergement web)

Prestataire:

Vercel Inc., 440 N Barranca Ave #4133, Covina, CA 91723, USA

Région d'hébergement:

Société américaine avec un réseau edge mondial. Les actifs statiques sont servis depuis des PoPs géographiquement proches (y compris UE). Les fonctions serverless peuvent s'exécuter dans des régions US ou UE selon la configuration.

Finalité:

Diffusion de l'application web et hébergement des fonctions serverless (Next.js)

Base légale:

Intérêt légitime à l'exploitation et à la performance (nLPD art. 31 al. 2 let. c)

Vercel est une société américaine. Pour les transferts s'appliquent : les clauses contractuelles types UE/CH (CCT) et — lorsque la certification existe — le Data Privacy Framework UE-US et Suisse-US (DPF). Vercel ne traite pas les données applicatives — celles-ci sont stockées exclusivement chez Supabase (Londres, UK). Vercel ne voit que les métadonnées de requête (IP, user-agent, URL).

DPA: vercel.com/legal/dpa

3.5 PostHog (analyse produit)

Prestataire:

PostHog, Inc., 2261 Market Street #4008, San Francisco, CA 94114, USA

Région d'hébergement:

Région UE (eu.i.posthog.com) — centres de données à Francfort / Dublin. Aucun transfert vers les États-Unis.

Finalité:

Mesure des parcours de conversion, détection des points de friction, amélioration de la navigation

Base légale:

Intérêt légitime à l'amélioration du produit (nLPD art. 31 al. 2 let. c)

Durée de conservation:

Selon la configuration par défaut de PostHog ; nous travaillons avec des données de funnel agrégées sans lien personnel direct

Notre configuration minimise les données personnelles autant que possible :

• Sans cookies : pas d'identifiant persistant d'appareil (persistence: 'memory')
• L'adresse IP n'est pas stockée (ip: false)
• Pas d'autocapture — seuls les événements explicitement définis sont transmis (p. ex. calculator_completed, paywall_viewed)
• Pas de noms réels, pas d'adresses e-mail dans les événements — uniquement des métadonnées comme canton, niveau de produit ou situation de résiliation
• Le paramètre navigateur 'Do Not Track' est respecté (respect_dnt: true)
• Session Replay (enregistrement des interactions à l'écran) est désactivé. Si nous activions cette fonctionnalité à l'avenir, la politique serait mise à jour au préalable.

Droit d'opposition : activez 'Do Not Track' (DNT) dans votre navigateur — notre intégration détecte ce paramètre et supprime la collecte.

DPA: posthog.com/dpa

4. Transferts transfrontaliers

Les données personnelles sont transférées à des prestataires situés dans les pays suivants (nLPD art. 16–17). Pour la transparence, voici où se trouve chaque composant :

La protection des données est en outre assurée par :

• Clauses contractuelles types UE/CH (CCT) avec tous les prestataires américains
• Data Privacy Framework UE-US et Suisse-US (DPF) pour les prestataires certifiés
• Contrats de sous-traitance (DPA) avec tous les sous-traitants
• Minimisation au niveau applicatif (absence de cookies, pas de stockage d'IP chez PostHog, pas d'autocapture, pas de noms dans les événements)
• Mesures techniques et organisationnelles des prestataires (chiffrement, contrôle d'accès, audits)

Risque résiduel : Vercel (société américaine) ainsi que les maisons mères américaines des services hébergés dans l'UE (Stripe et PostHog) sont soumises au droit américain (p. ex. CLOUD Act). Un accès théorique des autorités américaines à des données stockées dans l'UE ne peut pas être totalement exclu dans tous les cas. Ce risque résiduel est atténué par les mesures contractuelles et techniques décrites ci-dessus.

5. Finalités du traitement

Nous traitons vos données exclusivement aux fins suivantes :

• Fourniture du service: Calcul des délais, génération des lettres de résiliation, mise à disposition du tableau de bord
• Authentification: Connexion et contrôle d'accès (utilisateurs Premium uniquement)
• Rappels d'échéance: Notifications par e-mail sur des dates importantes (uniquement avec consentement explicite)
• Exploitation technique: Sécurité, correction de bogues, disponibilité

Nous n'utilisons pas vos données à des fins de marketing, de publicité ou de profilage.

6. Durée de conservation

Nous conservons vos données uniquement le temps nécessaire à la fourniture du service (nLPD art. 6, principe de minimisation) :

• Données d'assistant et tableau de bord: 12 mois après la dernière connexion. Suppression automatique ensuite.
• Adresse e-mail: Jusqu'à la suppression du compte ou sur demande.
• Journaux techniques et données d'erreurs: 30 jours au maximum.

7. Vos droits (nLPD art. 25–29)

Vous disposez des droits suivants concernant vos données personnelles :

• Droit d'accès (art. 25): Vous pouvez à tout moment demander des informations sur les données que nous conservons.
• Rectification (art. 6 al. 5): Vous pouvez demander la correction de données inexactes.
• Effacement (art. 6 al. 4): Vous pouvez demander la suppression de vos données, sauf obligation légale de conservation.
• Portabilité (art. 28): Vous pouvez demander une copie de vos données dans un format électronique courant.

Adressez vos demandes à : info@mietkuendigung.ch

Nous répondons en règle générale dans un délai de 30 jours.

8. Sécurité des données

Nous prenons des mesures techniques et organisationnelles adéquates pour protéger vos données (nLPD art. 8) :

• Transmission chiffrée (HTTPS/TLS)
• Contrôle d'accès au niveau de la base de données (Supabase Row Level Security)
• Clés séparées pour les accès publics et administratifs
• Contrôles et mises à jour de sécurité réguliers

9. Modifications de la présente politique

Nous nous réservons le droit de modifier cette politique à tout moment. La version actuelle est toujours disponible sur cette page. En cas de modifications substantielles, nous en informons les utilisateurs enregistrés par e-mail.

10. Contact et réclamations

Pour toute question relative à la protection des données ou à l'exercice de vos droits, contactez-nous à : info@mietkuendigung.ch

Vous avez également le droit de déposer une réclamation auprès du Préposé fédéral à la protection des données et à la transparence (PFPDT) :