RGPD

Notre engagement

Champ d'application du RGPD

Bien que Stellos AG soit basée en Suisse, pays reconnu par la Commission européenne comme offrant un niveau de protection des données adéquat, le RGPD s'applique à nos activités lorsque nous traitons des données personnelles de personnes situées dans l'UE ou l'EEE. Nous appliquons les normes du RGPD à l'ensemble de nos opérations comme référentiel de base.

Rôles : responsable et sous-traitant

Stellos opère selon deux rôles distincts selon le contexte :

• Responsable du traitement, pour les données collectées directement via notre site web (demandes de contact, demandes de démonstration et communications directes). Nous déterminons les finalités et les moyens du traitement.
• Sous-traitant, pour les données personnelles traitées pour le compte de nos clients (gestionnaires immobiliers, opérateurs) via la plateforme Stellos, telles que les relevés de plaques d'immatriculation, les journaux d'accès et les données des locataires. Dans ce rôle, nous agissons sur instructions documentées de nos clients, qui sont les responsables du traitement.

Toutes les relations clients impliquant le traitement de données personnelles sont encadrées par un Accord de traitement des données (ATD) conformément à l'article 28 du RGPD.

Bases légales utilisées

• Article 6(1)(b), Contrat : traitement nécessaire à l'exécution de nos services.
• Article 6(1)(c), Obligation légale : conformité au droit suisse et européen applicable.
• Article 6(1)(f), Intérêt légitime : répondre aux demandes, améliorer notre plateforme et assurer la sécurité.
• Article 6(1)(a), Consentement : communications marketing, lorsqu'il est explicitement donné et librement révocable à tout moment.

Droits des personnes concernées

En vertu du RGPD, les personnes disposent des droits suivants, que nous respectons sans délai injustifié et dans un délai de 30 jours à compter d'une demande vérifiée :

• Droit d'accès (art. 15), obtenir une copie des données personnelles que nous détenons vous concernant.
• Droit de rectification (art. 16), corriger les données inexactes ou incomplètes.
• Droit à l'effacement (art. 17), demander la suppression de vos données lorsqu'aucune base légale prépondérante ne s'y oppose.
• Droit à la limitation du traitement (art. 18), limiter la manière dont nous traitons vos données dans certaines circonstances.
• Droit à la portabilité (art. 20), recevoir vos données dans un format structuré et lisible par machine.
• Droit d'opposition (art. 21), vous opposer au traitement fondé sur l'intérêt légitime, y compris le profilage.
• Droit de retirer votre consentement (art. 7(3)), retirer votre consentement à tout moment sans affecter la licéité du traitement antérieur.

Pour exercer l'un de ces droits, envoyez un e-mail à contact@stellos.com en précisant votre demande. Nous pouvons vous demander de vérifier votre identité avant d'y donner suite.

Transferts internationaux de données

Lorsque des données personnelles sont transférées en dehors de la Suisse ou de l'EEE, nous nous appuyons sur l'une ou plusieurs des garanties suivantes :

• Une décision d'adéquation de la Commission européenne pour le pays de destination.
• Les Clauses Contractuelles Types (CCT) approuvées par la Commission européenne (art. 46(2)(c) RGPD).
• Des règles d'entreprise contraignantes ou d'autres mécanismes de transfert approuvés.

Notre infrastructure principale est hébergée dans des centres de données situés dans l'EEE et en Suisse. Nous réalisons des analyses d'impact sur les transferts lorsque cela est nécessaire.

Conservation des données

Nous conservons les données personnelles uniquement le temps nécessaire à la finalité pour laquelle elles ont été collectées, ou conformément aux obligations légales. Durées spécifiques de conservation :

• Données de contact et de demandes : jusqu'à 24 mois à compter du dernier échange.
• Données opérationnelles de la plateforme (traitées en tant que sous-traitant) : selon les ATD conclus avec les clients.
• Documents comptables et financiers : 10 ans conformément au droit comptable suisse.

Les données sont supprimées de manière sécurisée ou anonymisées à l'issue de leur période de conservation.

Mesures de sécurité

Nous mettons en œuvre des mesures techniques et organisationnelles appropriées (MTO) conformément à l'article 32 du RGPD, notamment :

• Chiffrement des données en transit (TLS) et au repos.
• Contrôles d'accès et principe du moindre privilège pour les systèmes internes.
• Évaluations de sécurité régulières et tests d'intrusion.
• Infrastructure hébergée dans des centres de données certifiés ISO 27001.
• Procédures de réponse aux incidents incluant des protocoles de notification de violation respectant le délai de 72 heures prévu à l'article 33 du RGPD.

Accords de traitement des données

Les clients qui utilisent la plateforme Stellos pour traiter des données personnelles de leurs locataires, employés ou utilisateurs finaux sont tenus de conclure un Accord de traitement des données (ATD) avec Stellos AG. Cet accord encadre la nature, la finalité et la durée du traitement, et définit les obligations des deux parties en vertu de l'article 28 du RGPD.

Pour demander un ATD, contactez-nous à contact@stellos.com.

Autorité de contrôle

Si vous êtes situé en Suisse et estimez que vos données ont été traitées illégalement, vous pouvez déposer une plainte auprès du Préposé fédéral à la protection des données et à la transparence (PFPDT) : www.edoeb.admin.ch.

Si vous êtes situé dans l'UE ou l'EEE, vous avez le droit de déposer une plainte auprès de l'autorité de contrôle de votre pays de résidence ou du lieu où la violation présumée s'est produite.

Contact

Pour toute question relative au RGPD, toute demande ou pour obtenir une copie de notre ATD, veuillez contacter :

Stellos AG, Protection des données
Apfelbaumstrasse 45, 8050 Zurich, Suisse
contact@stellos.com