Politique de confidentialité

Dernière mise à jour : 17 mars 2026

1. Introduction

MBBS SARL (ci-après « MBBS SARL » ou « nous »), société à responsabilité limitée de droit suisse, inscrite au Registre du Commerce du canton de Genève, dont le siège social est situé Rue de Cornavin 11, 1201 Genève, Suisse, est responsable du traitement des données personnelles collectées via la plateforme Optimal Work (ci-après « la Plateforme »).

La présente politique de confidentialité décrit comment nous collectons, utilisons, stockons, partageons et protégeons vos données personnelles conformément à la nouvelle Loi fédérale sur la protection des données (nLPD, RS 235.1) entrée en vigueur le 1er septembre 2023, à son ordonnance d'application (OPDo), et au Règlement général sur la protection des données (RGPD, UE 2016/679) lorsque applicable.

2. Responsable du traitement

Responsable : MBBS SARL

Adresse : Rue de Cornavin 11, 1201 Genève, Suisse

Email : [email protected]

Téléphone : +41 78 320 55 80

Pour toute question relative à la protection de vos données personnelles ou pour exercer vos droits, vous pouvez nous contacter à l'adresse email ci-dessus.

3. Données personnelles collectées

Dans le cadre de l'utilisation de la Plateforme, nous collectons les catégories de données suivantes :

  • Données d'identification : nom, prénom, adresse email, numéro de téléphone, photo de profil.
  • Données professionnelles : poste occupé, taux horaire, heures de travail, pointages, affectations aux chantiers et sites, qualifications.
  • Données contractuelles : contrats de travail, conditions d'emploi, dates d'embauche et de fin de contrat, informations salariales.
  • Données de connexion et techniques : adresse IP, type de navigateur, système d'exploitation, horodatages de connexion, journaux d'activité, identifiants de session.
  • Données de communication : messages échangés via le chat d'équipe, demandes de congé, tickets de support, interactions avec les agents IA.
  • Données de géolocalisation : position lors des pointages sur site (si activé par l'employeur).
  • Données relatives aux véhicules et outils : attributions de véhicules de service, inventaire des outils distribués, kilométrage.
  • Données de paiement : informations de facturation traitées par Stripe (nous ne stockons jamais les numéros de carte bancaire complets).

4. Finalités et bases juridiques du traitement

Conformément à l'art. 6 nLPD et à l'art. 6 RGPD, nous traitons vos données pour les finalités suivantes :

FinalitéBase juridique
Fourniture et gestion de la PlateformeExécution du contrat (art. 6§1b RGPD)
Gestion des ressources humaines et administration du personnelExécution du contrat de travail
Suivi des heures de travail et pointagesObligation légale (droit du travail suisse)
Gestion de la facturation et des paiementsExécution du contrat
Communication interne (chat, notifications)Intérêt légitime
Assistance par intelligence artificielleIntérêt légitime / Consentement
Sécurité et prévention des fraudesIntérêt légitime
Amélioration de la Plateforme et statistiquesIntérêt légitime / Consentement
Respect des obligations légales et fiscalesObligation légale

5. Sous-traitants et destinataires des données

Conformément à l'art. 9 nLPD, nous faisons appel aux sous-traitants suivants pour le fonctionnement de la Plateforme. Chaque sous-traitant est lié par un accord de traitement des données (DPA) garantissant un niveau de protection adéquat :

Sous-traitantFinalitéLocalisationGaranties
Supabase Inc.Base de données (PostgreSQL)USACCT, SOC 2
Amazon Web ServicesStockage de fichiers (S3)USA / UECCT, ISO 27001
Stripe Inc.Traitement des paiementsUSAPCI DSS, CCT
OpenRouter / OpenAIIntelligence artificielle (agents IA)USACCT, DPA
HostingerEmail SMTPUE (Lituanie)RGPD
Google (Gmail)Email transactionnel (fallback)USACCT, ISO 27001

Vos données ne sont jamais vendues à des tiers. Elles ne sont partagées qu'avec les sous-traitants ci-dessus et, le cas échéant, avec les autorités compétentes en cas d'obligation légale.

6. Transferts internationaux de données

Certains de nos sous-traitants sont situés aux États-Unis. Conformément à l'art. 16-17 nLPD et aux art. 44-49 RGPD, ces transferts sont encadrés par les clauses contractuelles types (CCT) adoptées par la Commission européenne et reconnues par le Préposé fédéral à la protection des données et à la transparence (PFPDT). Nous nous assurons que chaque sous-traitant offre un niveau de protection des données adéquat, conformément à la liste des pays reconnus par le Conseil fédéral suisse et aux évaluations d'impact sur les transferts (TIA) réalisées le cas échéant.

7. Durée de conservation

Nous conservons vos données personnelles uniquement pendant la durée nécessaire aux finalités pour lesquelles elles ont été collectées, conformément au principe de proportionnalité (art. 6§4 nLPD) :

Type de donnéesDurée de conservation
Données du compte utilisateurDurée de l'abonnement + 30 jours
Documents comptables et contractuels10 ans (art. 958f CO)
Données de connexion et journaux12 mois
Messages de chatDurée de l'abonnement + 30 jours
Interactions avec les agents IA12 mois
Données de paiement (identifiants Stripe)10 ans (obligations fiscales)

Les données sont supprimées ou anonymisées à l'expiration de ces délais, sauf obligation légale de conservation plus longue.

8. Sécurité des données

Conformément à l'art. 8 nLPD (sécurité des données) et au principe de « Privacy by Design and by Default » (art. 7 nLPD), nous mettons en œuvre les mesures techniques et organisationnelles suivantes :

  • Chiffrement en transit : toutes les communications sont chiffrées via TLS 1.3.
  • Chiffrement au repos : les données stockées sont chiffrées (AES-256).
  • Contrôle d'accès : authentification forte, contrôle d'accès basé sur les rôles (RBAC), principe du moindre privilège.
  • Journalisation : tous les accès aux données sont journalisés et audités.
  • Sauvegardes : sauvegardes automatiques quotidiennes avec rétention de 30 jours.
  • Tests de sécurité : surveillance continue de l'infrastructure et des vulnérabilités.
  • Isolation des données : architecture multi-tenant avec isolation stricte des données par entreprise.

9. Intelligence artificielle et profilage

La Plateforme intègre des agents d'intelligence artificielle (Einstein, Mathias, Expert Ascenseur) destinés à assister les utilisateurs dans leurs tâches quotidiennes. Conformément à l'art. 21 nLPD relatif au profilage :

  • Les agents IA traitent les données dans le cadre strict des finalités décrites à l'article 4.
  • Aucune décision automatisée ayant un effet juridique significatif n'est prise sans intervention humaine (art. 21 nLPD).
  • Les résultats produits par les agents IA sont fournis à titre indicatif et ne constituent pas des avis professionnels certifiés.
  • Les interactions avec les agents IA sont journalisées à des fins d'amélioration du service et de sécurité.
  • Les données transmises aux fournisseurs d'IA (OpenRouter/OpenAI) sont traitées conformément à leurs DPA respectifs et ne sont pas utilisées pour l'entraînement de modèles.

10. Cookies et technologies similaires

La Plateforme utilise les catégories de cookies suivantes :

CatégorieFinalitéDuréeConsentement
EssentielsAuthentification, session, sécuritéSession / 30 joursNon requis
FonctionnelsPréférences (thème, langue)1 anNon requis
AnalytiquesMesure d'audience (anonymisée)13 moisRequis

Vous pouvez gérer vos préférences de cookies via la bannière de consentement. Les cookies essentiels et fonctionnels ne peuvent pas être désactivés car ils sont nécessaires au fonctionnement de la Plateforme.

11. Vos droits

Conformément à la nLPD (art. 25-32) et au RGPD (art. 15-22), vous disposez des droits suivants :

  • Droit d'accès (art. 25 nLPD) : obtenir confirmation du traitement de vos données et en recevoir une copie. Vous pouvez exporter vos données directement depuis les paramètres de votre compte.
  • Droit de rectification : demander la correction de données inexactes ou incomplètes.
  • Droit à l'effacement (art. 32 nLPD) : demander la suppression de vos données personnelles. Vous pouvez supprimer votre compte directement depuis les paramètres de votre compte.
  • Droit à la portabilité (art. 28 nLPD) : recevoir vos données dans un format structuré, couramment utilisé et lisible par machine (JSON, CSV).
  • Droit d'opposition : vous opposer au traitement de vos données fondé sur l'intérêt légitime.
  • Droit à la limitation du traitement : demander la limitation du traitement dans certaines circonstances.

Pour exercer ces droits, contactez-nous à l'adresse [email protected]. Nous répondrons à votre demande dans un délai de trente (30) jours. Si nous ne pouvons pas donner suite à votre demande, nous vous en informerons avec les motifs de notre refus.

12. Violation de données

Conformément à l'art. 24 nLPD, en cas de violation de la sécurité des données entraînant un risque élevé pour la personnalité ou les droits fondamentaux des personnes concernées, nous notifierons le Préposé fédéral à la protection des données et à la transparence (PFPDT) dans les meilleurs délais. Si la violation est susceptible d'entraîner un risque élevé pour les personnes concernées, nous les informerons également directement, sauf si cela exige un effort disproportionné.

13. Infractions et sanctions

Toute infraction à la présente politique de confidentialité, tout détournement des outils de la Plateforme, toute utilisation abusive ou non autorisée des données, et tout accès frauduleux au système entraîneront les conséquences suivantes :

  • Restriction immédiate d'utilisation : suspension ou résiliation de l'accès à la Plateforme sans préavis ni compensation.
  • Non-remboursement : aucun remboursement des frais d'abonnement ou de service ne sera accordé en cas de suspension ou résiliation pour infraction.
  • Poursuites judiciaires : MBBS SARL se réserve le droit d'engager toute action en justice, civile ou pénale, pour obtenir réparation des préjudices subis, conformément au droit suisse.
  • Dommages et intérêts : l'utilisateur fautif pourra être tenu responsable de l'intégralité des dommages directs et indirects causés à MBBS SARL, à ses clients ou à des tiers.

14. Autorité de recours

Si vous estimez que le traitement de vos données personnelles n'est pas conforme à la législation applicable, vous avez le droit d'introduire une réclamation auprès du Préposé fédéral à la protection des données et à la transparence (PFPDT) :

Préposé fédéral à la protection des données et à la transparence (PFPDT)

Feldeggweg 1, CH-3003 Berne

Téléphone : +41 58 462 43 95

Site web : www.edoeb.admin.ch

15. Modification de la politique

Nous nous réservons le droit de modifier la présente politique de confidentialité à tout moment. Toute modification substantielle sera notifiée aux utilisateurs par email ou par notification dans la Plateforme au moins trente (30) jours avant son entrée en vigueur. La version en vigueur est toujours accessible sur cette page avec sa date de dernière mise à jour.

16. Contact

Pour toute question relative à la présente politique de confidentialité ou au traitement de vos données personnelles :

MBBS SARL

Rue de Cornavin 11

1201 Genève, Suisse

Email : [email protected]

Téléphone : +41 78 320 55 80

© 2026 MBBS SARL — Tous droits réservés

Gestion des cookies

Nous utilisons des cookies essentiels pour le fonctionnement de la Plateforme (session, authentification, préférences). Des cookies analytiques optionnels nous aident à améliorer nos services. Conformément à la nLPD et au RGPD, vous pouvez choisir d'accepter tous les cookies ou de n'autoriser que les cookies essentiels. Pour en savoir plus, consultez notre politique de confidentialité.