PRIVACY_NOTICE · v2.0.0 · fr-CH · SHA-256: 1eb80ae883bd31a6e1dfae20fdfefa00ec04cba008b4d5c9d80d16705f21faec

    Politique de confidentialité — v2.0.0

    Dernière mise à jour : 12 juin 2026

    1. Qui traite vos données — deux rôles distincts

    Le Service Welby est édité par Hundred Technologies Sàrl/GmbH (ci-après « Welby », « nous »), Rue du Dauphiné 11, 1203 Genève, Suisse. IDE : CH-486.714.259.

    Deux situations de traitement coexistent et sont régies différemment :

    • Données Compte (Partie A) : les données relatives aux professionnels (le Client institut et ses Utilisateurs Autorisés) et à la relation contractuelle avec Welby. Pour ces données, Welby est le responsable du traitement.
    • Données Clients (Partie B) : les données relatives aux Clients Finaux (les personnes accueillies par l'institut), saisies dans le Service par l'institut ou par le Client Final lui-même. Pour ces données, l'institut est le responsable du traitement et Welby agit exclusivement en qualité de sous-traitant, sur instructions documentées, conformément au Contrat de sous-traitance (DPA, publié à l'adresse welby.ch/legal/dpa).

    Délégué à la protection des données (DPO) : dpo@welby.ch.

    Partie A — Données Compte (Welby responsable du traitement)

    A.1 Données collectées

    • Identification des professionnels : nom, prénom, e-mail, téléphone, rôle, signature manuscrite numérisée le cas échéant.
    • Données contractuelles et de facturation : raison sociale, adresse de l'établissement, forfait souscrit, historique de facturation (le paiement est traité par notre prestataire de paiement — voir A.5).
    • Données techniques : adresse IP, user-agent, horodatages d'accès et d'acceptation des documents contractuels — à des fins de sécurité, de traçabilité et de preuve.
    • Données d'usage du Service : journaux d'audit, indicateurs agrégés.

    A.2 Finalités et bases juridiques

    • Fourniture du Service, gestion du Compte, authentification — exécution du contrat (art. 31 al. 2 let. a nLPD ; art. 6 par. 1 let. b RGPD).
    • Facturation et comptabilité — exécution du contrat et obligations légales (art. 957 ss CO).
    • Sécurité, prévention des abus, journalisation d'audit — intérêt prépondérant / légitime de Welby à la sécurité du Service.
    • Preuve des acceptations contractuelles (horodatage, version, empreinte SHA-256) — exécution du contrat et intérêt légitime à la préservation des preuves.
    • Communications de service (notifications, informations de cycle de vie de l'abonnement) — exécution du contrat ; les communications non nécessaires peuvent être désactivées à tout moment.
    • Amélioration du Service — statistiques agrégées et anonymisées uniquement.

    A.3 Durée de conservation

    • Données du Compte : pendant la durée du contrat, puis suppression ou anonymisation dans les 90 jours suivant la fin de la fenêtre d'export prévue par les CGU.
    • Pièces comptables (factures) : 10 ans conformément à l'art. 962 CO.
    • Registres d'acceptation contractuelle : conservés aussi longtemps que nécessaire à la préservation des preuves contractuelles.

    A.4 Vos droits (professionnels)

    Conformément à la nLPD et, le cas échéant, au RGPD : droit d'accès, de rectification, d'effacement, de limitation, de portabilité, d'opposition et de retrait du consentement. Pour les exercer : dpo@welby.ch. Nous répondons dans un délai de 30 jours.

    A.5 Destinataires et sous-traitants

    Nous faisons appel à un nombre restreint de sous-traitants, tous liés par des clauses contractuelles conformes. La liste publique de référence, tenue à jour, est disponible à l'adresse welby.ch/legal/subprocessors. En résumé :

    • Infomaniak Network SA (Suisse) — hébergement de l'ensemble de la plateforme et acheminement des e-mails transactionnels (invitations aux Clients Finaux, rappels, e-mails de compte). Toutes les Données Clients et Données Compte sont hébergées exclusivement en Suisse.
    • Anthropic PBC (États-Unis ; clauses contractuelles types) — assistance IA d'onboarding : structuration de listes de prix et traduction des contenus opérationnels rédigés par l'institut. Aucune Donnée Clients (aucune anamnèse, aucune photographie, aucune coordonnée de Client Final) n'est transmise.
    • Stripe Payments Europe Ltd (Irlande ; transferts vers les USA sous clauses contractuelles types et, le cas échéant, DPF) — traitement des paiements d'abonnement.
    • Brevo SAS (France, UE) — communications de cycle de vie et automatisation des e-mails destinés aux professionnels. Données de contact professionnelles et événements de service uniquement ; aucune Donnée Clients.

    Partie B — Données Clients (l'institut responsable, Welby sous-traitant)

    B.1 Ce que le Service traite pour le compte de l'institut

    Lorsqu'un institut utilise Welby pour documenter ses prestations non médicales, les données suivantes sont traitées pour le compte de l'institut :

    • Identification du Client Final : nom, prénom, date de naissance, coordonnées — saisies par le Client Final ou par l'institut.
    • Réponses aux questionnaires d'accueil (anamnèse) : informations auto-déclarées par le Client Final, y compris des données pouvant relever des catégories sensibles (allergies, contre-indications déclarées). Le Service les archive sans analyse ni interprétation automatisée.
    • Consentements éclairés signés électroniquement, avec horodatage et empreinte du document.
    • Photographies « avant / après » téléversées par le praticien, stockées et affichées côte à côte sans aucune analyse automatisée.
    • Données de séance : notes libres du praticien, produits utilisés, historique des rendez-vous.

    B.2 Qui décide et qui répond à vos demandes

    L'institut que vous fréquentez est le responsable du traitement de ces données : il décide des finalités, des durées de conservation (dans le respect de ses obligations légales) et répond à vos demandes. Welby traite ces données uniquement sur instructions documentées de l'institut, conformément au DPA, et ne les utilise jamais pour ses propres finalités.

    Pour exercer vos droits (accès, rectification, effacement, portabilité, opposition, retrait du consentement), adressez-vous à votre institut. Si une demande nous parvient directement, nous la transmettons sans délai à votre institut (article 7.3 du DPA) et nous ne répondons pas sur le fond.

    B.3 Conservation et suppression

    La durée de conservation de vos données est déterminée par votre institut, dans le respect de ses obligations légales. Lorsque l'institut supprime vos données ou résilie son abonnement, Welby procède à la suppression conformément au DPA (au plus tard 90 jours après la résiliation, sous réserve des obligations légales de conservation, notamment comptables — art. 962 CO).

    B.4 Localisation

    Toutes les Données Clients sont hébergées exclusivement en Suisse et ne sont transmises à aucun sous-traitant situé hors de Suisse.

    2. Sécurité

    Les données sont chiffrées en transit (TLS 1.2+) et au repos (AES-256). Les accès sont contrôlés par authentification multifacteur pour le personnel, fondés sur le moindre privilège et journalisés dans un registre d'audit immuable. Le détail des mesures techniques et organisationnelles figure à l'Annexe II du DPA.

    3. Cookies et stockage local

    Welby utilise un nombre minimal de cookies et d'éléments de stockage local, tous strictement nécessaires au fonctionnement du Service. Aucun cookie publicitaire ou de suivi tiers n'est utilisé.

    • Cookies de session (authentification) : nécessaires à l'authentification des utilisateurs professionnels ; expirent à la déconnexion ou après une période d'inactivité.
    • Préférence de langue (NEXT_LOCALE) : mémorise la langue d'affichage choisie ; expire après 1 an.
    • Stockage local : conserve temporairement l'état d'un formulaire en cours de remplissage afin d'éviter la perte d'informations en cas de rafraîchissement de la page.

    Ces éléments étant strictement nécessaires au Service, leur usage est couvert par l'exception « cookies techniques » et ne requiert pas de consentement préalable distinct.

    4. Autorité de surveillance

    Vous pouvez vous adresser au Préposé fédéral à la protection des données et à la transparence (PFPDT), Feldeggweg 1, 3003 Berne, Suisse. Les personnes résidant dans l'UE peuvent également contacter l'autorité de protection des données de leur pays de résidence.

    5. Modifications

    Nous nous réservons le droit de modifier la présente politique. Toute modification substantielle est notifiée par e-mail aux utilisateurs enregistrés avec un préavis d'au moins 30 jours (article 15 des CGU). La version en vigueur est toujours accessible sur cette page, avec son numéro de version et son empreinte.

    6. Contact

    • Délégué à la protection des données (DPO) : dpo@welby.ch
    • Support général : support@welby.ch
    • Adresse postale : Hundred Technologies Sàrl/GmbH, Rue du Dauphiné 11, 1203 Genève, Suisse.