Le contrat qui protège tes clients.

Le présent Accord de Traitement de Données (« DPA ») est conclu entre l'Utilisateur de Slooti, agissant en qualité de Responsable du Traitement, et POZTEK SA (CHE-152.857.209), agissant en qualité de Sous-traitant au sens de l'art. 28 RGPD et de la nLPD.

Il encadre exclusivement le traitement par Slooti des données personnelles que tu importes ou crées dans la plateforme concernant tes clients finaux (les « Données »). Il ne couvre pas les données te concernant directement, régies par la Politique de Confidentialité.

Les termes utilisés (Données personnelles, Traitement, Sous-traitant ultérieur, Violation de données, etc.) ont la signification qui leur est donnée par le Règlement Général sur la Protection des Données (RGPD) et la Loi fédérale sur la protection des données (nLPD).

En cas de divergence entre les définitions du RGPD et de la nLPD, c'est la définition la plus protectrice qui s'applique.

Slooti traite les Données uniquement dans le but de fournir le Service tel que défini dans les CGU : stockage des fiches client, gestion des rendez-vous, encaissement, historique, notifications.

Slooti n'utilise pas les Données à des fins propres, ne les revend pas, ne les croise pas avec d'autres sources, et ne les exploite pas pour de la publicité ciblée.

Catégories de personnes concernées : clients finaux du salon, employés du salon, prospects ayant pris rendez-vous.

Catégories de données : identité (nom, prénom), contact (email, téléphone), données de rendez-vous (date, prestation, employé), historique de transactions, notes éventuelles laissées par le salon. Aucune donnée sensible n'est censée transiter par Slooti, sauf si l'Utilisateur l'importe lui-même — ce qui relève de sa responsabilité.

Slooti s'engage à : (i) ne traiter les Données que sur instructions documentées du Responsable ; (ii) garantir la confidentialité de son personnel ; (iii) mettre en œuvre les mesures de sécurité techniques et organisationnelles décrites ci-après ; (iv) t'assister dans la gestion des demandes des personnes concernées.

En cas de violation de données, Slooti te notifiera dans les meilleurs délais et au plus tard sous 72 heures après en avoir pris connaissance, avec les éléments nécessaires pour ta propre notification à l'autorité de contrôle.

Slooti met en œuvre : chiffrement TLS 1.3 en transit, AES-256 au repos, isolation par Row-Level Security au niveau de chaque boutique, sauvegardes automatiques chiffrées, journalisation des accès, MFA disponible pour les comptes administrateurs.

Une revue de sécurité interne est effectuée au moins une fois par an. Slooti se réserve le droit de modifier les mesures techniques pour maintenir ou améliorer le niveau de sécurité, sans jamais le diminuer.

Slooti recourt à des sous-traitants ultérieurs pour fournir le Service : Supabase (hébergement base de données et fichiers, Suisse/Zurich), Stripe (paiement, mondial), Resend (email, UE), Vercel (frontend, edge). La liste à jour est disponible sur demande.

Toute modification de cette liste te sera notifiée au moins 30 jours à l'avance, te laissant la possibilité de t'opposer pour motif légitime. À défaut d'opposition, le changement est réputé accepté.

Les Données sont hébergées en Suisse, dans la région Supabase de Zurich. Les transferts éventuels hors Suisse (métadonnées, email transactionnel, paiement) sont encadrés par les clauses contractuelles types et des mesures techniques complémentaires.

Le DPA est conclu pour la durée du contrat principal (CGU). À la fin du contrat, Slooti restituera ou supprimera les Données dans un délai de 90 jours, selon ton choix, sauf obligation légale de conservation. Un export peut être demandé à tout moment depuis le tableau de bord.