La présente politique explique quelles données personnelles Retr'aide collecte lorsque vous utilisez l'application mobile, le site web et l'espace d'administration, à quelles fins ces données sont traitées, avec qui elles peuvent être partagées et quels droits vous exercez sur elles.
Retr'aide est un service suisse. Le traitement est régi par la loi fédérale sur la protection des données (nLPD, RS 235.1). Lorsque l'utilisateur se trouve dans l'Espace économique européen, les dispositions du RGPD (UE 2016/679) s'appliquent également.
1. Responsable du traitement
Le responsable du traitement au sens de l'art. 5 let. j nLPD est :
Retr'aide
Diamedia Sàrl
Rle de Borjaux 4
1807 Blonay
Suisse
Email : contact@retraide.ch
2. Données collectées
Nous limitons la collecte aux données nécessaires au fonctionnement du service. Selon votre usage, peuvent être traitées :
2.1 Données de compte
- Numéro de téléphone — utilisé comme identifiant et pour l'envoi du code à usage unique (OTP) lors de la connexion.
- Adresse email (facultative) — pour les notifications hors-app et la récupération de compte.
- Mot de passe (si activé) — stocké sous forme de hash bcrypt, jamais en clair.
- Identifiant Google (si vous vous connectez via Google) — l'identifiant OAuth, votre nom et votre email Google.
2.2 Profil et préférences
- Prénom, nom, langue préférée (fr / de / it / en).
- Année de naissance et disponibilités générales.
- Photo de profil (facultative).
- Rôle global (proche aidant ou personne aidée).
2.3 Données du cercle d'aide
- Nom du cercle, code d'invitation, liste des membres et leurs rôles (coordinateur·rice, aidant·e, personne aidée).
- Informations sur la personne aidée (prénom, nom, NPA, année de naissance, lien de parenté, besoins indiqués). Ces données peuvent révéler des éléments sur la santé : voir section Données sensibles.
- Tâches créées, leur catégorie, leurs occurrences, leur statut (en attente / acceptée / en cours / terminée / refusée), et les photos jointes.
- Messages échangés entre membres du cercle.
2.4 Données techniques
- Tokens de notification push (Expo / FCM / APNs) — pour vous envoyer des rappels de tâches et des messages du cercle.
- Logs techniques — adresse IP, user-agent, horodatage, endpoint appelé. Conservés pour la sécurité (détection d'abus, débogage). Les jetons d'authentification, mots de passe et OTP sont automatiquement masqués (« redacted ») avant écriture.
- Journal d'audit — historique des actions administratives (modification de cercle, suppression de membre, etc.) pour la traçabilité.
2.5 Données sensibles (santé)
La nature du service implique que vous puissiez renseigner des informations potentiellement liées à la santé d'un proche (besoins d'aide, médicaments, rendez-vous médicaux). Ces données sont des données personnelles sensibles au sens de la nLPD (art. 5 let. c) et de l'art. 9 RGPD. Elles sont traitées exclusivement au sein du cercle que vous avez créé ou rejoint, et uniquement avec votre consentement explicite (le fait de les saisir).
3. Finalités et base légale
| Finalité | Base légale |
|---|---|
| Fournir le service (créer un compte, gérer un cercle, envoyer des notifications) | Exécution du contrat (art. 31 al. 2 nLPD / art. 6 al. 1 let. b RGPD) |
| Authentification par OTP / Google | Exécution du contrat + intérêt légitime à la sécurité |
| Sécurité, prévention de la fraude, journaux techniques | Intérêt légitime (art. 31 al. 1 nLPD / art. 6 al. 1 let. f RGPD) |
| Statistiques d'usage agrégées et anonymisées | Intérêt légitime |
| Traitement de données sensibles (santé d'un proche) | Consentement explicite (art. 6 al. 7 nLPD / art. 9 al. 2 let. a RGPD) |
| Respect d'obligations légales (conservation, demandes d'autorités) | Obligation légale |
4. Destinataires et sous-traitants
Nous ne vendons jamais vos données. Nous les partageons uniquement avec les prestataires techniques nécessaires au fonctionnement du service (sous-traitants au sens de l'art. 9 nLPD), sous contrat de traitement à façon :
- Hébergement — Hetzner Online GmbH (Allemagne, UE) : serveurs applicatifs, base de données PostgreSQL, cache Redis.
- Notifications push — Expo / Google (FCM) / Apple (APNs) : transit des notifications jusqu'à l'appareil.
- Authentification Google (si vous l'utilisez) — Google LLC.
- Envoi de SMS (OTP) — fournisseur SMS suisse / européen.
- Analytics — Google Analytics 4 (mesure d'audience avec IP anonymisée). Vous pouvez vous y opposer (voir section Cookies).
- CMS éditorial — Sanity.io (articles et FAQ publics, sans données utilisateur).
- Surveillance d'erreurs — Sentry (rapports de plantage de l'application mobile, sans contenu de message).
Les membres de votre cercle voient les données que vous y partagez (votre nom, vos tâches, vos messages). C'est la nature même du service.
5. Transferts hors de Suisse / UE
Certains sous-traitants (Google, Apple, Sentry) peuvent traiter des données aux États-Unis. Ces transferts s'appuient sur le Data Privacy Framework (décision d'adéquation UE-USA) ou, à défaut, sur les clauses contractuelles types de la Commission européenne combinées à des mesures techniques complémentaires (chiffrement en transit et au repos).
6. Durée de conservation
- Compte actif : tant que vous utilisez le service.
- OTP : 5 minutes en cache Redis, jamais persisté.
- Logs techniques : 90 jours.
- Journal d'audit administratif : 2 ans.
- Suppression de compte : à votre demande, voir la page dédiée. Suit une période de 30 jours pendant laquelle le compte est désactivé mais récupérable, puis suppression définitive (« hard delete »). Les données indispensables à des obligations légales (facturation, traçabilité) peuvent être conservées plus longtemps si la loi l'exige.
7. Vos droits
Vous pouvez à tout moment, sans frais et sans justification :
- accéder à vos données et en obtenir une copie ;
- rectifier les données inexactes ;
- supprimer votre compte et vos données (sous réserve d'obligations légales) ;
- vous opposer à un traitement fondé sur l'intérêt légitime ;
- retirer votre consentement à tout moment pour les traitements qui en dépendent ;
- obtenir la portabilité de vos données dans un format structuré (RGPD) ;
- déposer une réclamation auprès du Préposé fédéral à la protection des données et à la transparence (PFPDT, edoeb.admin.ch) ou, dans l'UE, auprès de votre autorité nationale.
Pour exercer ces droits, contactez-nous à privacy@retraide.ch avec une preuve raisonnable d'identité (afin d'éviter les usurpations). Nous répondons dans un délai de 30 jours.
8. Sécurité
- Tout le trafic est chiffré en transit (TLS 1.2+).
- La base de données et les sauvegardes sont chiffrées au repos.
- Les mots de passe sont hashés avec bcrypt ; les OTP sont à usage unique et expirent en 5 minutes.
- Les jetons d'accès JWT sont à durée courte et complétés par des jetons de rafraîchissement révocables.
- Les accès administrateurs sont tracés dans un journal d'audit.
- En cas de violation de données affectant matériellement vos droits, nous vous en informerons et notifierons le PFPDT (ou l'autorité européenne compétente) dans les délais légaux.
9. Cookies et technologies similaires
Le site web utilise un nombre limité de cookies :
- Cookies strictement nécessaires — préférence de langue, état de session. Ne nécessitent pas de consentement.
- Cookies de mesure d'audience — Google Analytics 4 avec IP anonymisée. Vous pouvez vous y opposer en activant le mode « Do Not Track » de votre navigateur ou via l'opt-out Google.
L'application mobile ne dépose pas de cookies mais utilise un stockage local sécurisé (Expo SecureStore) pour conserver les jetons d'authentification.
10. Mineurs
Le service n'est pas destiné aux personnes de moins de 16 ans. Si vous avez connaissance d'un compte appartenant à un·e mineur·e sans le consentement parental requis, merci de nous le signaler ; nous supprimerons les données concernées.
11. Modifications de cette politique
Nous pouvons mettre à jour cette politique pour refléter des évolutions légales ou techniques. Toute modification substantielle sera notifiée en application (bandeau ou notification) au moins 30 jours avant son entrée en vigueur. La date de dernière mise à jour figure en haut de cette page.
12. Contact
Pour toute question relative à la protection de vos données :
Retr'aide — Délégué à la protection des données
privacy@retraide.ch