État : 24 avril 2026 (PROJET v0.2) Champ d'application : treuhander.ai et tous les sous-domaines associés
1. Aperçu
Treuhander.ai est une plateforme logicielle exploitée par Jagoona GmbH pour les PME suisses, destinée à la saisie, la structuration et la présentation de données comptables. Nous prenons la protection de vos données au sérieux et exploitons la plateforme de manière à ce que le plus grand nombre possible de vos données soient traitées en Suisse et aussi peu que nécessaire à l'étranger proche.
La présente déclaration est conforme : - à la Loi fédérale suisse sur la protection des données (nLPD, en vigueur depuis le 1.9.2023) - au Règlement général sur la protection des données (RGPD) européen pour le traitement de données de personnes situées dans l'UE/EEE
2. Responsable du traitement
Jagoona GmbH Am Baumgarten 5, 6314 Unterägeri, Suisse IDE : CHE-244.370.696 Directeur avec signature individuelle : Michael Heilig Courriel pour les questions de protection des données : hello@treuhander.ai
Un délégué à la protection des données au sens de l'art. 10 nLPD n'est pas obligatoire pour les petites entreprises. Le directeur assume personnellement les tâches d'interlocuteur interne. Pour toute question, veuillez utiliser l'adresse ci-dessus.
3. Données traitées
3.1 Données de contact — Lors de l'inscription, de la prise de contact ou de la demande de conseil : nom, courriel, téléphone, entreprise, fonction.
3.2 Données contractuelles et de facturation — Adresse de facturation, moyen de paiement, statut de l'abonnement, historique des paiements, IDE / données du registre du commerce.
3.3 Données comptables et financières — Le cœur de notre service : pièces justificatives téléchargées (PDF, image), factures enregistrées (débiteurs / créanciers), paiements, données salariales, plan comptable, décomptes TVA, clôtures annuelles, relevés bancaires (s'ils sont importés).
3.4 Données de communication et d'interaction — Contenu de vos messages de chat avec nos agents IA (FELIX, ARIA, LENA, ZENO, REMO), enregistrements vocaux durant les conversations, journaux de session.
3.5 Données techniques — Adresse IP, type de navigateur, identifiants d'appareil, langue, horodatages d'accès, journaux d'erreurs.
4. Finalités et bases légales
| Finalité | Base légale |
|---|---|
| Exécution du contrat (utilisation de la plateforme, comptabilité) | Art. 6 ch. 1 let. b RGPD / Art. 31 al. 1 nLPD |
| Facturation et paiement | Art. 6 ch. 1 let. b RGPD |
| Support et communication | Art. 6 ch. 1 let. b RGPD |
| Sécurité de la plateforme, analyse d'erreurs | Art. 6 ch. 1 let. f RGPD (intérêt légitime) |
| Amélioration du produit (agrégée, sans référence personnelle) | Art. 6 ch. 1 let. f RGPD |
| Obligations de conservation légales (CO 958f, LTVA) | Art. 6 ch. 1 let. c RGPD |
| Marketing direct par courriel aux clients existants | Art. 6 ch. 1 let. f RGPD (opposition possible à tout moment) |
5. Destinataires et sous-traitants
Nous utilisons exclusivement des prestataires soigneusement sélectionnés. Des contrats de sous-traitance (DPA) au sens de l'art. 9 nLPD / art. 28 RGPD sont conclus avec tous.
| Prestataire | Finalité | Localisation | Base de transfert |
|---|---|---|---|
| Infomaniak Network SA | Hébergement UI, e-mail (Catch-All, boîte système, Vault) | Suisse (Genève / Winterthur) | Pas de pays tiers — nLPD directement |
| Supabase Inc. | Base de données, Edge Functions, authentification | Suisse (migration depuis l'Irlande en cours à l'activation du Pro-Plan) | Pas de pays tiers après migration ; jusque-là, décision d'adéquation UE / CH + SCC |
| Bunny Fonts | Polices web (choisies intentionnellement à la place de Google Fonts) | Slovénie (UE) | Décision d'adéquation UE / CH |
| Mistral AI SAS | Traitement de texte (classification de pièces, logique comptable) | France (UE) | Décision d'adéquation UE / CH, pas de transfert vers un pays tiers |
| Anthropic PBC | Traitement vocal (voix, OCR pour PDF difficiles à lire) | États-Unis | Swiss-US DPF + SCC UE 2021 + DPA avec clause Zero-Retention |
| Stripe Payments Europe | Traitement des paiements pour abonnements | Irlande (siège UE) avec société mère US | Swiss-US DPF + SCC |
Important : Nous avons conçu l'architecture de manière que le traitement de texte (Mistral) reste à l'intérieur de l'UE et que seul le traitement vocal (Anthropic) soit transféré aux États-Unis. Cela réduit le transfert vers les États-Unis au strict minimum technique.
5.1 Transferts vers les États-Unis reposent sur : Swiss-US Data Privacy Framework, SCC 2021 avec annexe CH, clause Zero-Retention avec Anthropic (pas d'utilisation pour l'entraînement, pas de conservation plus longue que nécessaire).
5.2 Modifications des sous-traitants : publiées à treuhander.ai/legal/subprocessors, notification 30 jours avant tout ajout.
6. Traitement par IA — transparence
6.1 Outils d'IA utilisés - Mistral AI (France) : analyse de texte des pièces justificatives, propositions de comptabilisation, classification TVA, analyse de contrats. - Anthropic Claude (États-Unis) : assistants vocaux (REMO, FELIX, ARIA, LENA, ZENO), transcription vocale, réponses vocales, OCR pour PDF difficiles à lire.
Important — ce qui est transmis à Anthropic : exclusivement votre commande vocale ou écrite à l'assistant IA (par ex. « Affiche les créanciers ouverts »), ainsi que le contexte minimal nécessaire à la réponse. Les pièces justificatives complètes, les PDF de factures, les scans de justificatifs ou les enregistrements comptables complets ne sont pas transmis à Anthropic — le traitement de texte de ces documents se fait chez Mistral (UE). Unique exception technique : les scans PDF difficiles à lire que l'OCR de Mistral ne peut traiter sont transmis en repli à Anthropic (cas rare, toujours avec clause Zero-Retention).
6.2 Comment nous utilisons l'IA — et comment pas - Les propositions IA sont des propositions, vérifiées et validées par l'utilisateur ou son fiduciaire. Il n'y a aucune décision automatisée avec effet juridique (art. 21 nLPD / art. 22 RGPD). - Vos données ne sont pas utilisées pour l'entraînement des modèles IA. Contractuellement exclu avec Mistral et Anthropic. - Les textes de conversation et enregistrements vocaux sont supprimés chez le prestataire IA après traitement (Anthropic : Zero-Retention ; Mistral : 30 jours maximum).
6.3 Signalement IA — Les propositions générées par IA sont marquées dans l'interface. Au début d'une conversation vocale, nous indiquons explicitement que vous parlez avec un assistant IA (art. 50 EU-AI-Act).
6.4 Vos droits — Vous pouvez vous opposer au pré-tri IA. Dans ce cas, les propositions IA sont désactivées pour votre compte — vous saisissez alors toutes les écritures manuellement. Contact : hello@treuhander.ai.
7. Sécurité des données
- Transmission chiffrée : HTTPS / TLS 1.3
- Stockage chiffré : AES-256 pour les champs sensibles (mots de passe bcrypt, tokens API via Supabase Vault)
- Contrôle d'accès : Row-Level-Security par mandant
- Sauvegarde : quotidienne sur infrastructure suisse
- Notification de violation : sous 72 heures au PFPDT + clients concernés
8. Durée de conservation
| Catégorie de données | Durée |
|---|---|
| Données comptables (obligation CO 958f) | 10 ans après la fin de l'exercice |
| Données de contact de prospects | 2 ans après le dernier contact |
| Journaux de chat et vocaux | 12 mois après la session |
| Données de facturation | 10 ans (CO + LTVA) |
| Journaux de plateforme / logs d'erreurs | 90 jours |
| Données après résiliation | 30 jours de grâce pour l'export, puis suppression sauf conservation légale |
9. Vos droits
Selon la nLPD (art. 25–32) et le RGPD (art. 15–22), vous disposez des droits suivants : accès · rectification · effacement · limitation · portabilité des données · opposition · réclamation auprès du PFPDT (edoeb.admin.ch) ou d'une autorité de contrôle de l'UE.
Contact pour tous ces droits : hello@treuhander.ai
10. Cookies et suivi
Nous utilisons exclusivement des cookies techniquement nécessaires (session, langue, CSRF). Pas de Google Analytics, pas de Facebook Pixel, pas de traceurs marketing. Aucune bannière de cookies nécessaire.
11. Enfants
Notre service s'adresse exclusivement aux entreprises et aux personnes autorisées. Nous ne collectons pas sciemment de données d'enfants de moins de 16 ans.
12. Modifications
Nous nous réservons le droit d'adapter cette déclaration. Les modifications substantielles sont communiquées par courriel avec un préavis d'au moins 30 jours.
Historique : 23.04.2026 — v0.1 · 24.04.2026 — v0.2 (Jagoona GmbH comme responsable ; région Supabase Suisse ; précision voix vs documents)
13. Informations complémentaires pour les personnes concernées dans l'UE / EEE (RGPD)
- Bases légales : voir section 4
- Transferts vers les États-Unis : voir section 5.1
- Représentant UE (art. 27 RGPD) : [à nommer en cas de ciblage UE régulier]
- Autorité de contrôle compétente : autorité de protection des données de votre lieu de résidence
En cas de divergence entre les versions linguistiques, la version allemande fait foi.