Politique de confidentialité
Protection de vos données personnelles — conformité nLPD (1er septembre 2023) & OLPD
Introduction et engagement
Amori attache une importance fondamentale à la protection de la vie privée de ses clients et visiteurs. La présente politique décrit comment Amori collecte, utilise et protège vos données personnelles dans le cadre de l'exploitation du site a-mori.ch et de la vente en ligne de morilles séchées.
Cette politique est conforme à la loi fédérale suisse sur la protection des données révisée (nLPD du 25 septembre 2020, en vigueur depuis le 1er septembre 2023) et à l'Ordonnance sur la protection des données (OLPD du 31 août 2022). Elle s'applique à l'ensemble des traitements de données personnelles effectués par Amori en lien avec son site et son activité commerciale.
Amori traite vos données dans le strict respect des principes suivants : licéité, bonne foi, proportionnalité et finalité déterminée.
Responsable du traitement
Le responsable du traitement de vos données personnelles est :
| Raison sociale | [Forme juridique à confirmer] Naveen Begni, nom commercial « Amori » |
| Adresse | Atelier Amori, 2000 Neuchâtel, Suisse |
| info@a-mori.ch | |
| Téléphone | +41 76 824 81 44 |
Pour toute question relative au traitement de vos données, vous pouvez nous contacter à l'adresse email ci-dessus.
Données collectées, finalités et bases légales
La table ci-dessous récapitule les catégories de données collectées, leur finalité et la base légale applicable (art. 31 nLPD).
| Catégorie | Données concernées | Finalité | Base légale (art. 31 nLPD) |
|---|---|---|---|
| Identité | Nom, prénom | Exécution du contrat de vente ; facturation | Art. 31 al. 2 let. a nLPD — exécution du contrat |
| Contact | Adresse email, numéro de téléphone | Confirmation de commande ; support client | Art. 31 al. 2 let. a nLPD |
| Livraison | Adresse postale (rue, NPA, localité, pays) | Expédition ; transmission Poste Suisse | Art. 31 al. 2 let. a nLPD |
| Paiement | Données traitées exclusivement par Stripe — Amori ne stocke aucune donnée de carte | Encaissement sécurisé ; prévention de la fraude | Art. 31 al. 2 let. a nLPD |
| Historique commandes | Détail des commandes (produits, montants, dates) | Service après-vente ; obligations comptables | Art. 31 al. 2 let. c nLPD & CO art. 958f |
| Navigation | Adresses IP et logs serveur (collectés automatiquement par Vercel) | Sécurité, diagnostic technique, prévention des abus | Art. 31 al. 2 let. c nLPD — intérêt légitime |
| Newsletter | Adresse email ; date d'inscription | Envoi de la newsletter Amori | Art. 31 al. 1 nLPD — consentement explicite |
Amori ne collecte ni ne traite de données sensibles au sens de l'art. 5 let. c nLPD.
Destinataires des données (sous-traitants)
Amori ne vend jamais vos données personnelles à des tiers. Vos données sont partagées uniquement avec les sous-traitants strictement nécessaires à l'exécution du contrat ou à l'exploitation du site :
| Destinataire | Rôle | Données transmises | Localisation |
|---|---|---|---|
| Stripe Payments Europe Ltd | Traitement des paiements (carte, TWINT) | Données de paiement ; adresse de facturation | Irlande (UE) → USA (cf. Art. 5) |
| Vercel Inc. | Hébergement applicatif et base de données (Vercel Postgres, Vercel Blob) | Données de commande, contenu du site, logs IP | USA (cf. Art. 5) — réseau global |
| Resend, Inc. | Envoi des emails transactionnels (confirmation commande, contact) | Email du destinataire, contenu de l'email | USA (cf. Art. 5) |
| Google LLC (Google Workspace) | Boîte mail pro info@a-mori.ch (stockage, anti-spam) | Emails reçus / envoyés depuis l'adresse pro | USA (cf. Art. 5) |
| Poste Suisse SA | Livraison des commandes | Nom, prénom, adresse de livraison, téléphone | Suisse |
| Comptable mandaté | Tenue de la comptabilité légale | Données de facturation | Suisse |
Chaque sous-traitant est lié à Amori par un contrat (Data Processing Agreement) garantissant un niveau de protection approprié des données personnelles qui lui sont confiées.
Transferts de données hors de Suisse / UE
Plusieurs sous-traitants d'Amori sont établis aux États-Unis (Vercel, Stripe Inc., Resend, Google). Les données concernées peuvent donc transiter et être stockées hors de la Suisse et de l'Espace Économique Européen.
Ces transferts sont encadrés par les garanties suivantes (art. 16 al. 2 nLPD) :
- Stripe Payments Europe Ltd (siège en Irlande) est soumise au RGPD ; l'Irlande est reconnue par le PFPDT comme offrant un niveau de protection adéquat. Les transferts vers Stripe Inc. (USA, société mère) sont encadrés par les Clauses Contractuelles Types de la Commission européenne.
- Vercel Inc. (USA) propose un Data Processing Addendum incluant les Clauses Contractuelles Types et les addendums suisses pour les transferts depuis la Suisse. Les données peuvent être stockées dans plusieurs régions selon les fonctionnalités utilisées.
- Resend, Inc. (USA) propose un DPA incluant les Clauses Contractuelles Types.
- Google LLC (USA) propose un DPA Google Workspace incluant les Clauses Contractuelles Types ; certains datacenters sont situés en Europe.
Pour plus d'informations sur les pratiques de protection des données :
- Stripe : stripe.com/ch/privacy
- Vercel : vercel.com/legal/privacy-policy
- Resend : resend.com/legal/privacy-policy
- Google : policies.google.com/privacy
Le Client peut, à tout moment, demander une copie des Clauses Contractuelles Types signées avec ces sous-traitants à info@a-mori.ch.
Durée de conservation
| Catégorie | Durée | Fondement |
|---|---|---|
| Données de commande et de facturation | 10 ans | CO art. 958f |
| Compte client (si applicable) | 3 ans après dernière activité | Délai de prescription CO art. 127 |
| Newsletter | Jusqu'à désinscription + 30 jours | Consentement révocable |
| Logs serveur (IP) | 30 jours (politique Vercel) | Sécurité informatique |
| Correspondance email | 3 ans après résolution | Intérêt légitime |
À l'expiration de ces délais, les données sont supprimées de manière sécurisée ou anonymisées de façon irréversible.
Cookies et technologies de traçage
Art. 7.1 — Cookies techniques uniquement (MVP)
Le site a-mori.ch utilise actuellement uniquement des cookies techniques, strictement nécessaires au fonctionnement du site. Ces cookies ne nécessitent pas de consentement préalable.
- Stockage local du panier : le contenu du panier est conservé en localStorage côté navigateur (pas un cookie au sens strict), persistant jusqu'à la commande ou la suppression manuelle ;
- Cookie de session administration : authentifie le gestionnaire du site dans l'interface d'administration (cookie chiffré iron-session, supprimé à la fermeture du navigateur ou après 8h).
Aucun cookie tiers, aucun cookie publicitaire, aucun outil de tracking comportemental (Google Analytics, Meta Pixel, etc.) n'est actuellement installé sur le site.
Art. 7.2 — Évolution future
Si Amori devait mettre en place des outils d'analyse d'audience ou des cookies tiers à l'avenir, la présente politique serait mise à jour et un mécanisme de recueil du consentement (bannière cookies) serait implémenté conformément à la nLPD et aux recommandations du PFPDT.
Vos droits en matière de protection des données
Conformément aux art. 25 à 32 de la nLPD, vous disposez des droits suivants concernant vos données personnelles :
- Droit d'information (art. 19 nLPD)La présente politique répond à cette obligation.
- Droit d'accès (art. 25 nLPD)Vous pouvez demander une copie des données vous concernant et des informations sur leur traitement.
- Droit de rectification (art. 32 nLPD)Vous pouvez demander la correction de données inexactes ou incomplètes.
- Droit à l'effacement (art. 32 nLPD)Vous pouvez demander la suppression dans les conditions prévues par la loi (sauf données soumises à conservation comptable).
- Droit d'opposition (art. 30 nLPD)Vous pouvez vous opposer au traitement fondé sur l'intérêt légitime, pour des motifs liés à votre situation personnelle.
- Droit à la portabilité (art. 28 nLPD)Vous pouvez demander que vos données vous soient remises dans un format structuré.
- Droit de retrait du consentement (art. 31 nLPD)La désinscription à la newsletter est possible en un clic via le lien figurant dans chaque email.
Comment exercer vos droits
Pour exercer l'un de vos droits, adressez une demande écrite à :
- Email : info@a-mori.ch (objet : « Demande droits LPD »)
- Courrier : Amori, Atelier Amori, 2000 Neuchâtel, Suisse
Merci d'indiquer dans votre demande votre nom et prénom, l'adresse email utilisée lors de vos commandes ou inscriptions, et le droit que vous souhaitez exercer.
Amori s'engage à répondre dans un délai de 30 jours à compter de la réception de la demande (art. 25 al. 6 nLPD). En cas de demande complexe, ce délai peut être prolongé de 30 jours supplémentaires, avec notification du motif.
La réponse est en principe gratuite. En cas de demandes manifestement infondées ou excessives, Amori se réserve le droit de facturer des frais administratifs raisonnables ou de refuser la demande, conformément à l'art. 26 nLPD.
Voies de recours
Si vous estimez que le traitement de vos données personnelles viole la nLPD, vous disposez des voies de recours suivantes :
- Voie amiable : contactez Amori à info@a-mori.ch en vue d'un règlement amiable.
- Préposé fédéral à la protection des données et à la transparence (PFPDT) :
Feldeggweg 1, 3003 Berne, Suisse
Téléphone : +41 58 462 43 95
Email : contact@edoeb.admin.ch
Site : www.edoeb.admin.ch - Voie judiciaire : le Tribunal civil compétent (art. 15 nLPD).
Sécurité des données
Amori met en œuvre les mesures techniques et organisationnelles appropriées pour protéger vos données personnelles (art. 8 nLPD) :
- Chiffrement des communications : HTTPS/TLS imposé par Vercel sur l'ensemble du site ;
- Paiements sécurisés : délégués à Stripe (PCI-DSS niveau 1) — Amori n'a jamais accès aux données de carte ;
- Mots de passe hachés : bcrypt pour les comptes administrateurs ;
- Accès limité : seul l'administrateur du site (info@a-mori.ch) accède au back-office ;
- Sauvegardes : Vercel Postgres effectue des sauvegardes automatiques quotidiennes ;
- Sessions admin : cookies httpOnly, secure, sameSite=lax, durée 8h ;
- Headers de sécurité : CSP, HSTS, X-Frame-Options, Referrer-Policy.
En cas de violation de données pouvant engendrer un risque élevé pour vos droits et libertés, Amori s'engage à en informer les personnes concernées et le PFPDT dans les délais prévus par la nLPD (art. 24 nLPD).
Modifications de la politique de confidentialité
Amori se réserve le droit de modifier la présente politique à tout moment. La version en vigueur est celle publiée sur a-mori.ch/confidentialite, avec indication de la date de dernière mise à jour.
En cas de modification substantielle affectant vos droits, Amori s'engage à vous en informer par email (si vous avez un compte ou êtes inscrit à la newsletter) ou par un avis visible sur le site, avec un préavis raisonnable avant l'entrée en vigueur des nouvelles dispositions.
Cette politique de confidentialité a été rédigée avec rigueur pour assurer la conformité d'Amori à la nLPD. Elle ne remplace pas l'avis d'un avocat inscrit au barreau pour un contentieux ouvert, une violation de données avérée ou une situation à risque juridique significatif.
Recommandation : Me Géraldine Veya, avocate au barreau — Promenade-Noire 3, 2000 Neuchâtel.