Politique de confidentialité
Dernière mise à jour : 2026-05-09 (ébauche Pass 65 — posture biométrique étendue pour couvrir le déverrouillage de l'application mobile (Pass 63) en plus des futurs flux de pointage et de validation. La version finale revue par un conseil juridique est prévue au Sprint 6, conformément à la feuille de route du projet).
Responsable du traitement
MyShift est le responsable du traitement des données personnelles traitées via ce service. Contact : privacy@my-shift.ch.
Données que nous traitons
- Données de compte (nom, e-mail, hachage du mot de passe) — fournies par vous lors de l'inscription ; base légale : exécution du contrat (nLPD art. 31 / RGPD art. 6, par. 1, let. b).
- Données de locataire et d'emploi (nom de l'établissement, canton, dossiers d'emploi, saisies du temps de travail) — fournies par les responsables (Owners) et les gérants (Managers) ; base légale : exécution du contrat.
- Données de facturation (identifiant client Stripe + statut d'abonnement) — gérées par Stripe ; nous ne voyons jamais les numéros de carte.
- Données d'erreur côté serveur (traces d'appels anonymisées) — SDK serveur Sentry ; base légale : intérêt légitime (sécurité du système + correction d'erreurs ; RGPD art. 6, par. 1, let. f). Le SDK navigateur est actuellement désactivé (Phase A).
- Statistiques agrégées de la page d'accueil — Plausible Analytics ; sans cookie, sans identifiant persistant, sans donnée personnelle (selon la politique de données de Plausible, consultée le 2026-05-08).
Sous-traitants
Nous faisons appel à des sous-traitants tiers pour fournir le service. La liste complète avec les juridictions et les bases légales est publiée sur la page des sous-traitants.
Si vous vous connectez avec Google ou Apple, vos données d'identité (identifiant de compte, adresse e-mail — qui, pour Apple, peut être un alias @privaterelay.appleid.com — et, lors de la première connexion, votre nom) sont transmises à ce fournisseur agissant comme sous-traitant d'authentification. Le transfert chez Google est couvert par le Data Privacy Framework Suisse–États-Unis ; Apple Inc. n'est pas certifié DPF, son transfert repose donc sur des clauses contractuelles types (SCC).
Vos droits
En vertu de la loi fédérale révisée sur la protection des données (nLPD, en vigueur depuis le 2023-09-01) et du Règlement général sur la protection des données de l'UE (RGPD, le cas échéant), vous avez le droit de :
- accéder à vos données personnelles (nLPD art. 25 / RGPD art. 15)
- rectifier des données inexactes (nLPD art. 32 / RGPD art. 16)
- supprimer des données qui ne sont plus nécessaires (RGPD art. 17)
- exporter vos données dans un format structuré (nLPD art. 28 / RGPD art. 20)
- vous opposer à un traitement fondé sur l'intérêt légitime (RGPD art. 21)
- retirer votre consentement au suivi statistique — voir le lien ci-dessous ou contactez-nous.
Localisation des données
Phase A (environnement pilote actuel) : les données sont hébergées chez Vercel + Supabase Cloud (région AWS eu-west-1, Irlande, UE). Phase B (cible de lancement commercial) : les données migrent vers Infomaniak Genève pour une localisation suisse. Les clients seront informés du basculement au moins 30 jours à l'avance.
Conformité PFPDT (préposé fédéral à la protection des données)
- Données biométriques (déverrouillage de l'application mobile par Face ID / Touch ID / empreinte digitale, ainsi que les futurs pointages et validations) : traitées uniquement sur l'appareil, dans le Secure Enclave (iOS) ou le Trusted Execution Environment (Android). Le gabarit biométrique, ses métadonnées ou toute clé dérivée de la biométrie ne parviennent jamais à notre application ; le système d'exploitation ne renvoie qu'un résultat succès/échec. Le déverrouillage biométrique est facultatif (opt-in), une solution de repli par lien magique restant toujours disponible.
- Données de géorepérage : sur consentement uniquement (opt-in) ; les coordonnées GPS brutes ne sont jamais stockées — seul un booléen entrée/sortie l'est.
- Données des certificats médicaux : dates uniquement ; jamais le contenu diagnostique.
- Données de paie sensibles (numéro AVS / AHV, IBAN) : chiffrées au repos avec AES-256-GCM (audité via la bibliothèque @noble/ciphers). Les valeurs en clair n'apparaissent jamais dans les journaux, les pistes d'audit ou les sauvegardes au-delà de ce que porte le texte chiffré. La clé est conservée hors de la base de données ; la rotation vers un chiffrement enveloppe adossé à un KMS interviendra en Phase B (Infomaniak Genève).
- Jetons de session mobile : chiffrés sur l'appareil en AES-256-GCM avec une clé propre à l'installation, conservée dans le trousseau géré par le système d'exploitation (Trousseau iOS / Android Keystore). Le texte chiffré est stocké dans le stockage privé de l'application (AsyncStorage) ; le JWT de session en clair n'est jamais conservé non chiffré au repos.
- Vérification de l'appareil — attestation d'appareil (signal de confiance lors du pointage mobile) : lorsque vous pointez l'entrée ou la sortie depuis l'application mobile MyShift, le système d'exploitation calcule un signal cryptographique de confiance de l'appareil (Apple App Attest sur iOS ; Google Play Integrity sur Android) que nous vérifions auprès du serveur d'autorité de l'éditeur du système (Apple Inc., États-Unis / Google LLC, États-Unis). La charge utile du signal contient un identifiant d'instance d'appareil anonyme + une signature numérique + un horodatage — aucune donnée biométrique, aucune liste de contacts, aucune localisation, aucune métadonnée d'identification personnelle. L'étape de vérification Apple/Google est un appel transitoire à un sous-traitant (les données sont écartées après le verdict) ; nous ne transmettons jamais votre nom, votre e-mail, votre téléphone ou un quelconque identifiant de compte MyShift à Apple ou Google lors de l'attestation. Le transfert transfrontalier vers des sous-traitants établis aux États-Unis est régi par des clauses contractuelles types (SCC) au sens de l'art. 16, al. 2, let. d nLPD + le Data Privacy Framework Suisse–États-Unis. La base légale complète + le mécanisme de transfert + le calendrier de conservation sont documentés dans notre analyse d'impact relative à la protection des données (AIPD) pour l'attestation mobile. Désactivation : si l'attestation échoue (p. ex. appareil débridé, absence d'Internet), MyShift bascule vers un pointage manuel validé par un gérant — aucun refus de service fondé sur la seule attestation.
- Établissements supprimés en douceur (restaurants/hôtels archivés) : marqués comme archivés mais conservés en base afin de préserver la continuité de la piste d'audit + du pont de paie. Pour exercer votre droit à l'effacement au sens de l'art. 25 nLPD / art. 17 RGPD, contactez-nous par les moyens indiqués ci-dessous — nous honorons les demandes d'effacement dans les limites des exemptions légales de conservation (audit, comptabilité, paie).
- Récits libres des demandes de modification de planning (texte libre que vous pouvez écrire pour demander un échange ou un retrait de service, ainsi que la justification de la décision du gérant) : limités au locataire, lisibles par le gérant, conservés pendant la fenêtre d'audit + de litige. Évitez d'y inclure des détails médicaux ou familiaux sensibles — un type structuré (déplacer / échanger / retirer) est saisi séparément et suffit dans la plupart des cas.
- Présence en direct (tableau de bord des gérants) : lorsque vous pointez l'entrée ou la sortie, votre statut de présence (entrée/sortie + horodatage + catégorie de méthode de pointage) est diffusé en temps réel aux gérants et propriétaires de votre établissement, à des fins de coordination opérationnelle des services uniquement. Aucune géolocalisation, aucun détail d'appareil ni aucune donnée biométrique n'est diffusé ; les messages temps réel sont conservés environ 3 jours (selon la documentation du fournisseur) par notre sous-traitant Supabase, puis supprimés automatiquement. Ce flux n'est pas un système de surveillance du comportement (art. 26 OLT 3) — il sert exclusivement à l'organisation du travail.
Réclamations
Vous pouvez déposer une réclamation auprès du Préposé fédéral à la protection des données et à la transparence (PFPDT) à l'adresse edoeb.admin.ch ou auprès de l'autorité de contrôle de votre État membre de l'UE.
Ceci est une ébauche v1. La version finale revue par un conseil juridique au Sprint 6 la remplacera. Les droits matériels des personnes concernées restent tels qu'énoncés ci-dessus.