Politique de protection des données
Conforme à la LPD suisse et au RGPD
La présente politique de protection des données (ci-après « la Politique ») décrit la manière dont NE Business Sàrl (ci-après « DoniLocation », « nous », « notre ») collecte, traite, utilise et protège les données personnelles des utilisateurs du site web donilocation.ch (ci-après « le Site ») et de l'application mobile DoniLocation (ci-après « l'Application »).
Cette Politique est établie conformément à la Loi fédérale suisse sur la protection des données du 25 septembre 2020 (LPD, RS 235.1), à l'Ordonnance sur la protection des données (OPDo) et, le cas échéant, au Règlement général sur la protection des données de l'Union européenne (RGPD) pour les utilisateurs résidant dans l'Espace économique européen.
1. Responsable du traitement
Le responsable du traitement des données personnelles est :
NE Business Sàrl
Z.I. Proprèses 12, 1868 Collombey
N° IDE : CHE-333.537.231
E-mail : contact@donilocation.ch
Téléphone : +41 76 413 37 91
Pour toute question relative à la protection de vos données, vous pouvez nous contacter à l'adresse indiquée ci-dessus.
2. Données personnelles collectées
2.1 Données fournies par l'utilisateur
Lors de la création de compte :
- Nom et prénom
- Adresse e-mail
- Numéro de téléphone
- Adresse postale
- Date de naissance
- Photo de profil (facultatif)
- Mot de passe (stocké sous forme chiffrée)
Lors de la vérification d'identité (KYC) :
- Copie de la pièce d'identité (carte d'identité ou passeport — recto et verso)
- Copie du permis de conduire (recto et verso)
- Photographie de type selfie pour la vérification faciale
- Numéro et date d'expiration du permis de conduire
- Numéro du document d'identité
Pour les propriétaires de véhicules :
- Informations relatives aux véhicules (marque, modèle, année, immatriculation, photos)
- Coordonnées bancaires (IBAN) pour le versement des revenus de location
- Informations Stripe Connect (identité, coordonnées, données bancaires) pour le traitement des paiements
Pour les propriétaires professionnels (agences) :
- Raison sociale, forme juridique et adresse du siège
- Numéro IDE (identification des entreprises)
- Numéro de TVA (le cas échéant)
- Nom et coordonnées du représentant légal
Lors d'une réservation :
- Dates et heures de location souhaitées
- Préférences de véhicule et options sélectionnées
- Signature électronique du contrat de location
- Accord aux conditions générales
Lors des états des lieux :
- Photographies du véhicule (avec horodatage et géolocalisation intégrés)
- Commentaires et observations sur l'état du véhicule
Dans le cadre de la messagerie :
- Contenu des messages échangés entre propriétaires et locataires
- Horodatage des messages
Avis et évaluations :
- Note attribuée (sur 5)
- Commentaire rédigé par l'utilisateur
2.2 Données collectées automatiquement
Données techniques :
- Adresse IP
- Type et version du navigateur ou de l'appareil
- Système d'exploitation
- Identifiant unique de l'appareil
- Langue et fuseau horaire
- Pages consultées et durée de navigation
- Données de crash et de performance de l'application
Données de géolocalisation :
- Position géographique approximative (pour la recherche de véhicules à proximité)
- Géolocalisation précise lors de la signature du contrat et des états des lieux (avec consentement de l'utilisateur)
Données de notification :
- Jeton d'identification pour les notifications push (Firebase Cloud Messaging)
2.3 Données issues de tiers
- Résultats de la vérification d'identité fournis par notre prestataire KYC
- Informations de paiement et de transaction fournies par Stripe
- Données de vérification du compte Stripe Connect pour les propriétaires
3. Finalités et bases juridiques du traitement
| Finalité | Données concernées | Base juridique (LPD) |
|---|---|---|
| Création et gestion du compte utilisateur | Identité, coordonnées, mot de passe | Exécution du contrat |
| Vérification d'identité et du permis de conduire | Documents KYC, selfie | Obligation légale |
| Mise en relation propriétaires/locataires | Profil, véhicules, disponibilités | Exécution du contrat |
| Traitement des réservations et contrats | Données de réservation, signature | Exécution du contrat |
| Traitement des paiements et séquestre | Données financières (via Stripe) | Exécution du contrat |
| Versement des revenus aux propriétaires | IBAN, données Stripe Connect | Exécution du contrat |
| Communication entre utilisateurs | Messages, horodatage | Exécution du contrat |
| Réalisation des états des lieux | Photos, géolocalisation, horodatage | Exécution du contrat |
| Gestion des litiges et des dommages | Tous les éléments de preuve | Intérêt légitime prépondérant |
| Réponse aux demandes des autorités | Identité, permis, contrat de location | Obligation légale |
| Notifications push | Jeton FCM | Consentement |
| Détection des crashes et amélioration technique | Données techniques, logs d'erreur | Intérêt légitime prépondérant |
| Affichage des véhicules sur la carte | Géolocalisation des véhicules | Exécution du contrat |
| Prévention de la fraude | Données KYC, données de transaction | Intérêt légitime prépondérant |
| Respect des obligations fiscales et comptables | Factures, transactions | Obligation légale |
4. Sous-traitants et transferts de données
4.1 Sous-traitants
Nous faisons appel aux prestataires suivants pour le traitement de vos données :
| Prestataire | Fonction | Localisation | Données concernées |
|---|---|---|---|
| Scaleway (Iliad Group) | Hébergement serveurs et base de données | Suisse | Toutes les données de la plateforme |
| Stripe Payments Europe Ltd. | Paiements, séquestre, KYC financier | UE / États-Unis | Données de paiement, identité des propriétaires |
| Brevo (ex-Sendinblue) | Envoi d'e-mails transactionnels | UE (France) | Adresse e-mail, prénom, contenu des notifications |
| Firebase / Google LLC | Notifications push, rapports de crashes | États-Unis | Jeton push, données de crash, identifiant appareil |
| Sentry (Functional Software Inc.) | Surveillance des erreurs applicatives | États-Unis | Données techniques d'erreur, identifiant de session |
Chaque sous-traitant est lié par un contrat de traitement des données (DPA) garantissant un niveau de protection adéquat.
4.2 Transferts vers des pays tiers
Certains sous-traitants (Firebase/Google, Sentry) traitent des données aux États-Unis. Ces transferts sont encadrés par les garanties suivantes :
- Clauses contractuelles types (SCC) adoptées par la Commission européenne et reconnues par le PFPDT
- Mesures de sécurité techniques complémentaires (chiffrement en transit et au repos)
L'hébergement principal des données (base de données, stockage de fichiers, authentification) reste exclusivement en Suisse.
4.3 Absence de vente de données
DoniLocation ne vend, ne loue et ne cède jamais vos données personnelles à des tiers à des fins publicitaires, de marketing ou de profilage commercial.
5. Durées de conservation
| Type de données | Durée | Fondement |
|---|---|---|
| Données de compte (profil actif) | Durée de vie du compte | Exécution du contrat |
| Données de compte (après suppression) | 30 jours puis suppression définitive | Intérêt légitime (sécurité) |
| Copies de permis et pièces d'identité | 2 ans après la dernière location | Obligation légale (LCR) |
| Contrats de location signés | 10 ans | Obligation légale (CO art. 962) |
| Factures et données comptables | 10 ans | Obligation légale (LTVA art. 70) |
| Photos des états des lieux | 2 ans après la fin de la location | Preuve en cas de litige |
| Messages échangés | Durée de vie du compte | Exécution du contrat |
| Avis et évaluations | Durée de vie du compte | Exécution du contrat |
| Données de transaction Stripe | 10 ans | Obligation légale (comptabilité) |
| Logs techniques et données de crash | 90 jours | Intérêt légitime (maintenance) |
| Logs d'accès et de sécurité | 1 an | Intérêt légitime (sécurité) |
À l'expiration de ces durées, les données sont supprimées de manière irréversible ou anonymisées de façon à rendre toute identification impossible.
6. Sécurité des données
Nous mettons en oeuvre des mesures techniques et organisationnelles appropriées pour protéger vos données personnelles contre tout accès non autorisé, toute modification, divulgation ou destruction :
Mesures techniques
- Chiffrement en transit : toutes les communications sont protégées par TLS/SSL (HTTPS)
- Chiffrement au repos : la base de données est chiffrée
- Gestion des secrets : les clés d'API, mots de passe et certificats sont stockés dans un coffre-fort numérique dédié
- Authentification renforcée : gestion des identités via un serveur d'authentification dédié (Keycloak), protocole OpenID Connect, jetons JWT à durée de vie limitée
- Stockage isolé des fichiers : les documents sont stockés dans un système de stockage objet chiffré et cloisonné par utilisateur
- Pare-feu applicatif : protection contre les attaques web (injection SQL, XSS, brute force)
- Limitation de débit : protection contre les attaques par déni de service
- Séparation des réseaux : les services internes ne sont pas exposés à Internet
- Mots de passe : stockés sous forme de hachage irréversible (bcrypt)
Mesures organisationnelles
- Principe du moindre privilège pour l'accès aux données
- Journalisation et traçabilité des accès aux données sensibles
- Procédure de gestion des incidents de sécurité
- Rotation régulière des secrets et clés d'accès
7. Cookies et technologies similaires
7.1 Cookies strictement nécessaires
Le Site utilise des cookies strictement nécessaires au fonctionnement de la plateforme. Ces cookies ne requièrent pas votre consentement :
| Cookie | Finalité | Durée |
|---|---|---|
| Session d'authentification | Maintenir votre connexion sécurisée | Durée de la session (max. 10h) |
| Préférences de langue | Mémoriser votre choix de langue | 1 an |
| Protection CSRF | Sécuriser les formulaires contre les attaques | Durée de la session |
| Consentement cookies | Mémoriser votre choix de consentement | 1 an |
7.2 Cookies analytiques et tiers
Le Site n'utilise pas de cookies publicitaires ni de traceurs marketing. Aucun cookie de réseau social n'est déposé.
7.3 Gestion des cookies
Vous pouvez configurer votre navigateur pour refuser ou supprimer les cookies. Toutefois, le refus des cookies strictement nécessaires peut empêcher l'utilisation de certaines fonctionnalités du Site.
8. Vos droits
Conformément à la LPD, vous disposez des droits suivants sur vos données personnelles :
8.1 Droit d'accès
Vous pouvez demander à savoir si des données personnelles vous concernant sont traitées, et si oui, obtenir une copie de ces données ainsi que les informations suivantes : les finalités du traitement, les catégories de données traitées, les destinataires, les durées de conservation.
8.2 Droit de rectification
Vous pouvez demander la correction de données personnelles inexactes ou incomplètes vous concernant.
8.3 Droit à l'effacement
Vous pouvez demander la suppression de vos données personnelles lorsque leur conservation n'est plus nécessaire au regard des finalités pour lesquelles elles ont été collectées, sous réserve des obligations légales de conservation mentionnées à la section 5.
8.4 Droit à la portabilité
Vous pouvez demander à recevoir vos données personnelles dans un format structuré, couramment utilisé et lisible par machine (JSON ou CSV), afin de les transmettre à un autre responsable de traitement.
8.5 Droit d'opposition
Vous pouvez vous opposer au traitement de vos données fondé sur un intérêt légitime, pour des raisons tenant à votre situation particulière.
8.6 Droit de retirer votre consentement
Lorsque le traitement est fondé sur votre consentement (notifications push, géolocalisation), vous pouvez retirer ce consentement à tout moment, sans que cela affecte la licéité du traitement effectué avant le retrait.
8.7 Exercice de vos droits
Pour exercer vos droits, adressez votre demande par e-mail à : contact@donilocation.ch
Vous devrez justifier de votre identité (copie de pièce d'identité) conformément à l'art. 25, al. 6 LPD. Nous répondrons à votre demande dans un délai de 30 jours.
8.8 Droit de recours
Si vous estimez que le traitement de vos données personnelles viole la LPD, vous avez le droit d'introduire une plainte auprès du :
Préposé fédéral à la protection des données et à la transparence (PFPDT)
Feldeggweg 1, 3003 Berne
Site web : www.edoeb.admin.ch
9. Traitement des données de paiement
9.1 Sécurité des paiements
Les paiements sur la plateforme sont intégralement traités par Stripe Payments Europe Ltd., prestataire certifié PCI-DSS niveau 1. DoniLocation ne collecte, ne stocke et ne traite aucune donnée de carte bancaire sur ses propres serveurs.
9.2 Mécanisme de séquestre
Les fonds versés par le locataire sont retenus par la plateforme de paiement Stripe pendant la durée de la location, puis transférés au propriétaire du véhicule à l'issue de la restitution, après déduction de la commission de la plateforme. Ce mécanisme garantit la sécurité financière des deux parties.
9.3 Stripe Connect
Les propriétaires qui perçoivent des revenus via la plateforme sont tenus de créer un compte Stripe Connect. Dans ce cadre, Stripe collecte directement les informations d'identité et bancaires nécessaires. Ces données sont traitées par Stripe en qualité de responsable de traitement indépendant, conformément à sa propre politique de confidentialité.
10. Vérification d'identité (KYC)
10.1 Nécessité de la vérification
La vérification d'identité et du permis de conduire est obligatoire pour tout utilisateur souhaitant louer un véhicule sur la plateforme. Cette exigence répond à une obligation légale du loueur (identification du conducteur, assurance, réponse aux autorités en cas d'infraction).
10.2 Données collectées
Le processus de vérification implique la collecte de copies de documents d'identité et de permis de conduire, ainsi qu'un selfie pour la comparaison faciale. Ces données sont conservées de manière sécurisée pendant la durée légale requise (cf. section 5).
10.3 Communication aux autorités
Conformément à la législation suisse applicable (Loi sur la circulation routière, LCR), DoniLocation peut être tenue de communiquer l'identité du conducteur et les justificatifs associés aux autorités compétentes en cas d'infraction commise pendant une location.
11. Géolocalisation
11.1 Géolocalisation des véhicules
La position approximative des véhicules disponibles est affichée sur une carte interactive pour permettre la recherche par proximité. L'adresse exacte de prise en charge n'est communiquée au locataire qu'après confirmation de la réservation.
11.2 Géolocalisation lors des états des lieux
Lors de la signature du contrat de location et de la réalisation des états des lieux, l'Application enregistre la position géographique de l'utilisateur avec son consentement. Ces données servent d'élément de preuve en cas de litige.
11.3 Contrôle par l'utilisateur
L'utilisateur peut désactiver la géolocalisation dans les paramètres de son appareil. Toutefois, certaines fonctionnalités (recherche de véhicules à proximité, état des lieux) peuvent nécessiter l'activation de la géolocalisation pour fonctionner correctement.
12. Notifications push
L'Application peut envoyer des notifications push pour vous informer des événements liés à vos locations : nouvelles demandes de réservation, messages reçus, rappels, mises à jour de statut.
L'envoi de notifications push repose sur votre consentement, que vous pouvez retirer à tout moment via les paramètres de votre appareil. Le service technique de notifications push est assuré par Firebase Cloud Messaging (Google LLC).
13. Mineurs
La plateforme DoniLocation n'est pas destinée aux personnes de moins de 18 ans. La location d'un véhicule requiert la détention d'un permis de conduire valide. Nous ne collectons pas sciemment de données personnelles de mineurs. Si nous prenons connaissance qu'un mineur a créé un compte, celui-ci sera supprimé dans les meilleurs délais.
14. Modification de la Politique
Nous nous réservons le droit de modifier la présente Politique à tout moment. Toute modification substantielle sera portée à votre connaissance par notification dans l'Application ou par e-mail. La date de dernière mise à jour est indiquée en tête du présent document.
Votre utilisation continue de la plateforme après la publication d'une version modifiée vaut acceptation de cette nouvelle version.
15. Contact
Pour toute question, demande d'exercice de vos droits ou signalement relatif à la protection de vos données personnelles :
NE Business Sàrl
Z.I. Proprèses 12, 1868 Collombey
E-mail : contact@donilocation.ch
Téléphone : +41 76 413 37 91
16. Dispositions spécifiques aux résidents de l'UE/EEE
Si vous résidez dans l'Espace économique européen, les dispositions supplémentaires suivantes s'appliquent conformément au RGPD :
- Base légale : chaque traitement repose sur une base légale identifiée à la section 3 (exécution du contrat, obligation légale, consentement ou intérêt légitime)
- Transferts hors EEE : les transferts de données vers la Suisse sont couverts par la décision d'adéquation de la Commission européenne. Les transferts vers les États-Unis sont encadrés par les clauses contractuelles types
- Autorité de contrôle : vous pouvez introduire une réclamation auprès de l'autorité de contrôle de votre pays de résidence (en France : la CNIL, 3 Place de Fontenoy, 75007 Paris, www.cnil.fr)
Dernière mise à jour : avril 2026