RechNex - Swiss QR Invoice Platform

1) Identite du responsable du traitement

Le responsable du traitement pour RechNex est Ruta Group Kacper Ruta. RechNex est exploite par ruta-tech.ch et implemente techniquement par glasbox.ch (entites appartenant a Ruta Group).

Pour toute demande relative a la protection des donnees ou a la securite, utilisez les coordonnees officielles ci-dessous.

Entite legale (responsable): Ruta Group Kacper Ruta
Adresse: Werkstrasse 11, 6102 Malters, Suisse
UID: CHE-471.967.194
Produit: RechNex
Contact protection des donnees: info@rechnex.ch
Operateur de service: ruta-tech.ch (exploite par Ruta Group)
Implementation technique/agence: glasbox.ch (detenue par Ruta Group)

2) Champ d'application et principes

Nous traitons uniquement les donnees necessaires pour fournir un service suisse B2B de documents et de facturation, avec un principe strict de minimisation des donnees.

Le traitement est limite a l'execution du contrat, la securite de la plateforme, la conformite legale et la prevention des abus. Aucun profilage publicitaire n'est effectue.

3a) Finalite du traitement

Nous traitons les donnees personnelles exclusivement aux fins decrites dans la presente politique: fourniture et amelioration de RechNex, securite de la plateforme, respect des obligations legales et communication avec les utilisateurs concernant leurs comptes et services.

Aucune donnee n'est traitee a des fins depassant le fonctionnement securise d'une plateforme suisse B2B de documents et de facturation.

3b) Base juridique du traitement

Selon la nLPD suisse, le traitement est licite lorsqu'il sert l'execution du contrat (art. 31 al. 2 let. a nLPD), le respect d'obligations legales ou la protection d'interets legitimes. Nous fondons l'ensemble de nos traitements operationnels sur ces bases.

Pour les personnes concernees dans l'UE au titre du RGPD, le traitement repose sur: l'execution du contrat (art. 6 par. 1 let. b RGPD), l'interet legitime (art. 6 par. 1 let. f RGPD) ou le consentement explicite le cas echeant. Le consentement peut etre retire a tout moment sans affecter la liceiete du traitement anterieur.

3) Donnees traitees et finalites

Pour fournir RechNex, nous traitons des donnees de compte, d'organisation, de clients, de documents, de securite technique et de facturation. Les donnees de carte bancaire ne sont jamais stockees par RechNex.

Les donnees clients et documents sont strictement separees par locataire (tenant) pour empecher tout acces inter-organisation.

Compte utilisateur: e-mail, prenom, nom, langue, fuseau horaire, statut de verification; les mots de passe sont stockes uniquement sous forme de hash bcrypt.
Profil societe: raison sociale/nom legal, adresse, UID, statut TVA, coordonnees, logo/signature/tampon, IBAN/QR-IBAN pour factures QR.
Donnees clients (isolation tenant): nom, adresse, personne de contact, e-mail, telephone.
Donnees documentaires: factures et relances avec snapshots immuables; PDF stockes cote serveur.
Donnees de securite: hashes SHA-256 pour tokens de session et tokens de reset, journaux IP et user-agent de session.
Usage d'essai: seul un hash SHA-256(IP+UA+salt) est conserve; aucune IP brute n'est stockee pour l'empreinte d'essai.
Journaux d'audit: type d'acteur, identifiant, metadonnees d'action, adresse IP, horodatage.
Facturation: seuls les identifiants Stripe client/abonnement sont conserves; les cartes sont traitees exclusivement par Stripe (PCI-DSS).
E-mail: messages transactionnels uniquement (pas de newsletters, pas de marketing).

4) Hebergement et sous-traitants

Nous utilisons des sous-traitants selectionnes avec des obligations contractuelles de protection des donnees. L'acces est limite au strict necessaire.

En cas de transfert hors de Suisse, nous appliquons des decisions d'adequation reconnues et/ou des clauses contractuelles types (SCC).

Infomaniak (Geneve, Suisse): hebergement, SMTP et infrastructure sous juridiction suisse.
Stripe (US/UE): traitement des paiements et gestion des abonnements.
RechNex ne stocke que les metadonnees de facturation necessaires; les donnees de carte restent chez Stripe.
Google LLC (Etats-Unis): Google Analytics (GA4), analyse anonymisee de l'utilisation du site. Transferts vers les Etats-Unis fondes sur le Data Privacy Framework UE-Etats-Unis et/ou les clauses contractuelles types (SCC), selon le cas.

5) Cookies et donnees techniques

Nous utilisons des cookies et stockages techniques necessaires a l'authentification, a la securite et a la langue. Nous utilisons egalement Google Analytics (GA4) de Google LLC pour analyser l'utilisation du site.

En dehors de Google Analytics, RechNex n'utilise pas de traceurs publicitaires, pas de Meta Pixel, pas de retargeting publicitaire et pas de profilage marketing comportemental.

Cookie de session NextAuth (HTTP-only, Secure, SameSite).
Cookie de preference de langue.
RechNex utilise Google Analytics (GA4) de Google LLC pour analyser l'utilisation du site.
GA4 collecte des donnees d'utilisation anonymisees telles que les pages vues, la duree des sessions et le type d'appareil.
Google Analytics utilise des cookies (p. ex. _ga, _ga_*) avec une duree de stockage allant jusqu'a 2 ans.
Les adresses IP sont traitees de maniere anonyme (l'anonymisation IP est activee par defaut dans GA4).
Base juridique : interet legitime a l'amelioration du service (art. 31 al. 1 nLPD ; art. 6 par. 1 let. f RGPD).
Opt-out : les utilisateurs peuvent desactiver Google Analytics via l'extension de navigateur de Google (https://tools.google.com/dlpage/gaoptout).

6) Securite des donnees et prevention des fuites

Nous appliquons des mesures techniques et organisationnelles en couches pour proteger la confidentialite, l'integrite et la disponibilite des donnees.

L'acces aux ressources sensibles est authentifie et controle par tenant, avec des droits strictement limites selon les roles.

Hachage cryptographique SHA-256 pour les artefacts de securite.
Isolation multi-tenant stricte au niveau base de donnees et controle d'acces.
Endpoints PDF authentifies et controles par autorisation.
RBAC strict et principe du moindre privilege.
Rate limiting contre les attaques de force brute.
Journalisation des evenements de securite pour tracabilite et analyse.

7) Duree de conservation

Les donnees personnelles sont conservees uniquement pendant la duree necessaire a l'execution du service, aux obligations legales, comptables et de securite.

Les durees dependent de la categorie de donnees, de la base legale et des obligations de conformite. Les donnees non necessaires sont supprimees ou anonymisees.

8) Droits des personnes concernees et autorite de controle

Vous pouvez demander l'acces, la rectification, l'effacement, la limitation, l'opposition et la portabilite selon les conditions legales applicables.

En Suisse, vous pouvez contacter le PFPDT (Prepose federal a la protection des donnees et a la transparence). Pour les personnes concernees dans l'UE, les droits RGPD s'appliquent le cas echeant.

Demandes: info@rechnex.ch
Autorite suisse: PFPDT (Prepose federal a la protection des donnees et a la transparence).

9) Protection des mineurs

RechNex est une plateforme SaaS B2B concue exclusivement pour un usage commercial par des entreprises, des independants et des organisations professionnelles. Le service ne s'adresse pas aux personnes de moins de 18 ans.

Nous ne collectons pas sciemment de donnees personnelles de mineurs. Si nous apprenons que des donnees d'une personne de moins de 18 ans ont ete collectees, nous prendrons des mesures immediates pour les supprimer.

10) Modifications de la presente politique

Nous pouvons mettre a jour cette politique de confidentialite periodiquement pour refleter les evolutions de nos pratiques, des exigences legales ou des fonctionnalites de la plateforme. Les modifications substantielles seront communiquees via l'application ou par e-mail aux utilisateurs concernes.

La date d'effet en haut de cette page indique la derniere revision. L'utilisation continue de RechNex apres une mise a jour vaut acceptation des conditions revisees.

Politique de confidentialite (nLPD)