Politique de Confidentialité
Dernière mise à jour : Février 2026
Cette politique s'applique à tous les services ADLIBO. Nous nous engageons à protéger vos données personnelles conformément au RGPD (UE), à la nLPD suisse, au UK GDPR, et au CCPA californien.
1. Responsable du traitement
Shaggal Sàrl
- Siège social : Lausanne, Suisse
- Email DPO : dpo@adlibo.com
- Contact général : privacy@adlibo.com
2. Données collectées
2.1 Données que vous nous fournissez
- Données de compte : email, nom, nom de l'entreprise, fonction
- Données de facturation : adresse, numéro TVA (le cas échéant)
- Communications : contenu des emails de support, demandes
2.2 Données collectées automatiquement
- Données techniques : adresse IP, user agent, type de navigateur
- Données d'usage API : endpoints appelés, timestamps, codes de réponse
- Logs de sécurité : tentatives d'authentification, alertes
2.3 Données que nous ne collectons PAS
- Le contenu de vos prompts n'est jamais stocké après analyse
- Nous ne stockons pas vos données bancaires (traitement par Saferpay)
- Aucun cookie de tracking publicitaire
2.4 Données traitées pour les intégrations CRM/ERP externes
Si vous êtes un revendeur ADLIBO utilisant nos fonctionnalités d'intégration CRM, nous traitons les données suivantes pour synchronisation avec vos plateformes externes (HubSpot, Pipedrive, Salesforce, Odoo, ou via Webhooks) :
- Données commerciales : nom du deal, montant, devise, date de clôture prévue
- Données entreprise : nom de l'entreprise, pays, secteur d'activité
- Données contact : nom et email du contact principal
- Données produits : noms des produits, plans, prix unitaires
- Métriques ROI : économies estimées, période de retour sur investissement
Important : Ces données sont détokenisées avant transmission à votre CRM. Vous restez responsable du traitement de ces données dans votre CRM conformément à votre propre politique de confidentialité.
2.5 Données traitées pour Microsoft 365 et Copilot (DataShield)
Notre service DataShield peut tokeniser vos données avant qu'elles n'atteignent Microsoft Copilot pour Office 365. Dans ce cadre :
- Tokenisation : Les données sensibles sont remplacées par des jetons avant envoi à Microsoft
- Aucun stockage : Le contenu original n'est pas conservé par ADLIBO
- Détokenisation : Seul le détenteur de la clé peut récupérer les données originales
- Localisation : La tokenisation s'effectue sur nos serveurs suisses avant tout transfert
2.6 Données traitées pour AI Red Team (Pentest éthique)
Notre service AI Red Team effectue des tests de pénétration éthiques sur vos systèmes d'IA (chatbots, LLMs, assistants). Dans ce cadre :
- Données de périmètre : URLs, endpoints API, identifiants de test fournis par le client
- Résultats de tests : vulnérabilités découvertes, logs de tests, rapports
- Aucune donnée de production : nous n'accédons pas à vos données clients réelles
Autorisation préalable : Tout engagement nécessite la signature d'un contrat SOW (Statement of Work) définissant explicitement le périmètre autorisé.
2.7 Collecte d'emails pour l'audit de souveraineté
Notre outil d'audit de souveraineté IT gratuit nécessite une inscription par email :
- Email : requis pour accéder aux 3 audits gratuits
- Données d'audit : fournisseurs analysés, scores de souveraineté, pays de résidence
- Communications : email de bienvenue (J0) et suivi personnalisé (J7) si consentement
Vous pouvez vous désinscrire à tout moment via le lien présent dans chaque email.
2.8 Données traitées pour Hallucination Guard (Vérification IA)
Notre service Hallucination Guard vérifie les sorties IA contre vos données internes via un conteneur on-premise. Dans ce cadre :
- Conteneur on-premise : vos données ne quittent jamais votre infrastructure
- Sources de vérification : documents internes, CRM, ERP, sites web du client
- Score de confiance : score progressif 0-95% basé sur la correspondance avec vos sources
- Aucune donnée client stockée par ADLIBO : le conteneur fonctionne entièrement chez le client
2.9 Données traitées pour ValPN (VPN Souverain)
Notre service ValPN fournit un accès VPN souverain suisse. Dans ce cadre :
- Données de connexion : adresse IP source, horodatage, durée de session
- Certificats : clés publiques PKI pour l'authentification des appareils
- Métadonnées réseau : volume de bande passante utilisé (pas le contenu du trafic)
- Aucune journalisation du trafic : le contenu de vos communications n'est jamais inspecté ni stocké
3. Finalités et bases légales
| Finalité | Base légale (RGPD) | Durée |
|---|---|---|
| Fourniture du service | Art. 6.1.b | Durée du contrat |
| Facturation | Art. 6.1.c | 10 ans |
| Support client | Art. 6.1.b | 3 ans après clôture |
| Sécurité et prévention fraude | Art. 6.1.f | 90 jours |
| Intégration CRM externes | Art. 6.1.b | Durée du contrat revendeur |
| Tokenisation DataShield (Office 365) | Art. 6.1.b | Non conservé (temps réel) |
| Tests de pénétration AI Red Team | Art. 6.1.b | 90 jours après rapport |
| Audit de souveraineté | Art. 6.1.a | 2 ans ou jusqu'au retrait |
| Onboarding et enrichissement entreprise | Art. 6.1.f | Durée de la relation |
4. Hébergement et transferts de données
4.1 Localisation des données
Toutes vos données sont hébergées exclusivement en Suisse (datacenters à Genève et Zurich). La Suisse bénéficie d'une décision d'adéquation de la Commission européenne, permettant les transferts UE-Suisse sans garanties supplémentaires.
4.2 Pas de transfert vers les États-Unis
En tant qu'entreprise 100% suisse sans filiale américaine, nous ne sommes pas soumis au CLOUD Act. Vos données ne sont jamais transférées vers des juridictions sans protection adéquate.
4.3 Framework Multi-Pays de Souveraineté
ADLIBO opère un framework de souveraineté couvrant 8 juridictions avec des configurations spécifiques pour chaque pays :
| Pays | Cadre légal | Standards clés |
|---|---|---|
| Suisse (CH) | nLPD | FINMA, Swiss Government Cloud |
| France (FR) | GDPR | SecNumCloud, HDS, CNIL |
| Allemagne (DE) | GDPR | BSI C5, IT-Grundschutz, TISAX |
| Italie (IT) | GDPR | AgID, ACN |
| Royaume-Uni (GB) | UK GDPR | ICO, Cyber Essentials |
| Union Européenne (EU) | GDPR | NIS2, DORA, EU AI Act 2024 |
| États-Unis (US) | CCPA/HIPAA | SOC2, FedRAMP |
| Canada (CA) | PIPEDA | Law 25 Quebec, PHIPA Ontario |
4.4 Sous-traitants
Nous utilisons un nombre limité de sous-traitants, tous situés en Suisse ou dans l'UE. Sous-traitants.
5. Vos droits
Conformément au RGPD, à la nLPD suisse, au UK GDPR et au CCPA, vous disposez des droits suivants :
Droit d'accès
Obtenir une copie de vos données personnelles
Droit de rectification
Corriger des données inexactes ou incomplètes
Droit à l'effacement
Demander la suppression de vos données
Droit à la portabilité
Recevoir vos données dans un format structuré
Droit d'opposition
Vous opposer au traitement de vos données
Droit de limitation
Restreindre le traitement dans certains cas
Retrait du consentement
Retirer votre consentement à tout moment
Réclamation
Déposer plainte auprès d'une autorité de contrôle
Pour exercer vos droits : formulaire de demande ou email à privacy@adlibo.com. com. Délai de réponse : 30 jours maximum.
6. Dispositions spécifiques par juridiction
6.1 Résidents de l'Union Européenne (RGPD)
Vous pouvez déposer une réclamation auprès de votre autorité de protection des données nationale (CNIL en France, BfDI en Allemagne, etc.).
6.2 Résidents suisses (nLPD)
La nouvelle Loi sur la Protection des Données (nLPD) est entrée en vigueur le 1er septembre 2023. Autorité de surveillance : PFPDT (Préposé fédéral à la protection des données).
6.3 Résidents du Royaume-Uni (UK GDPR)
Après le Brexit, le UK GDPR s'applique. Autorité de surveillance : ICO (Information Commissioner's Office). La Suisse bénéficie du statut d'adéquation UK.
6.4 Résidents de Californie (CCPA/CPRA)
Les résidents californiens disposent de droits supplémentaires sous le California Consumer Privacy Act (CCPA) et le California Privacy Rights Act (CPRA) :
- Droit de savoir : quelles données sont collectées et comment elles sont utilisées
- Droit de suppression : demander la suppression de vos données
- Droit de refus : refuser la « vente » de vos données (nous ne vendons pas vos données)
- Non-discrimination : pas de traitement défavorable pour exercice de vos droits
Nous ne vendons pas vos données personnelles. Pour exercer vos droits CCPA : privacy@adlibo.com privacy@adlibo.com
7. Sécurité des données
Nous mettons en oeuvre des mesures techniques et organisationnelles appropriées :
- Chiffrement : TLS 1.3 en transit, AES-256 au repos
- Authentification : 2FA obligatoire pour l'administration, API keys hashées
- Accès : principe du moindre privilège, logs d'accès audités
- Infrastructure : datacenters Infomaniak Genève, hébergement 100% suisse
- Tests : pentests annuels, bug bounty program
8. Cookies
Nous utilisons uniquement des cookies essentiels au fonctionnement du service (authentification, préférences de session). Aucun cookie de tracking publicitaire. Cookies.
9. Conservation des données
| Type de données | Durée de conservation |
|---|---|
| Données de compte | Durée de la relation + 3 ans |
| Logs API | 90 jours |
| Factures | 10 ans (obligation légale suisse) |
| Données de support | 3 ans après résolution |
| Contenu des prompts analysés | Non conservé (temps réel uniquement) |
10. Modifications
Nous pouvons modifier cette politique. Les changements significatifs seront notifiés par email avec un préavis de 30 jours. La date de dernière mise à jour est indiquée en haut.
11. Contact
Pour toute question concernant cette politique ou vos données personnelles :
- Email DPO : dpo@adlibo.com
- Email général : privacy@adlibo.com
- Adresse : Shaggal Sàrl, Lausanne, Suisse