Protection des données chez Aivie

Cette page décrit comment Aivie traite les données à caractère personnel pour le compte de ses clients.
Elle est conçue comme une référence afin que les entreprises puissent simplement faire un lien vers ces informations dans leur propre déclaration de confidentialité.

En bref : les clients restent les responsables du traitement. Aivie est le sous-traitant et traite les données exclusivement selon les instructions et pour la finalité convenue.

Introduction

Aivie est un outil d’automatisation marketing. Les entreprises utilisent Aivie pour gérer les contacts,
segmenter les audiences et diffuser automatiquement des communications via des canaux tels que l’e-mail, le SMS ou les notifications push.

Aivie est fournie en tant que solution hébergée. Dans ce cadre, Aivie traite des données à caractère personnel pour le compte des clients. Les clients restent responsables du contenu, de la finalité, de la licéité, des obligations de conservation et de la transparence vis-à-vis de leurs contacts.

Exemples de cas d’utilisation

Aivie est typiquement utilisée pour automatiser le marketing et la communication client de manière mesurable et efficace.
Exemples :

  • Newsletters et campagnes : campagnes d’e-mailing segmentées avec mesures des ouvertures et des clics
  • Génération de leads : pages de destination et formulaires qui capturent des leads et les transfèrent dans des listes ou des segments
  • Lead Nurturing : parcours automatisés selon les intérêts, le comportement ou la phase du tunnel de vente
  • Communication transactionnelle : confirmations, suivis, informations sur les événements
  • Réactivation : campagnes automatiques en cas d’inactivité ou de parcours interrompu
  • Consentement et préférences : gestion des consentements et des préférences de communication

Quelles données sont traitées avec Aivie

Aivie est conçue pour que les clients pilotent eux-mêmes le traitement des données. Les données collectées
dépendent de la configuration, des formulaires et des fonctions utilisées.

Catégories de données typiques

  • Données d’identification : par exemple, nom, adresse e-mail
  • Données analytiques : par ex. réactions aux campagnes, ouvertures, clics, conversions
  • Données techniques : par exemple, adresse IP, informations sur l’appareil et le navigateur, données de journal pour un fonctionnement sécurisé
  • Données de profil définies par le client : par ex. entreprise, rôle, intérêts, statut de consentement

Les personnes concernées sont typiquement des contacts, des leads ou des clients des clients d’Aivie.

Rôles et responsabilités

En règle générale :

  • Responsable du traitement : clients d’Aivie qui utilisent Aivie au sein de leur entreprise
  • Sous-traitant : Aivie par Idea 2 Collective GmbH

Aivie traite les données à caractère personnel exclusivement selon les instructions documentées du responsable du traitement.
Tout traitement à des fins propres est exclu.

Contact

Idea 2 Collective GmbH
Wengistrasse 6
CH-8004 Zurich
legal@aivie.ch

Souveraineté et maîtrise des données

Les clients restent à tout moment propriétaires de leurs données. Aivie traite les données personnelles exclusivement sur instruction et ne transfère aucun droit d’utilisation à des tiers. Les données peuvent être exportées, transférées ou entièrement supprimées à la fin du contrat.

Protection et sécurité des données

Aivie protège les données de sous-traitance avec le plus grand soin. L’exploitation est organisée de manière à ce que seules les personnes
en ayant impérativement besoin pour l’exploitation et le support y aient accès. Les accès sont accordés selon le principe du « besoin d’en connaître ».

Confidentialité et accès

  • Les personnes ayant accès sont tenues à la confidentialité
  • Les comptes d’utilisateurs partagés sont évités
  • Les droits sont attribués par rôle et de manière minimale

Soutien aux clients

Aivie aide les clients à respecter les droits des personnes concernées et leurs obligations.
Cela inclut, entre autres, l’accès, la rectification, l’effacement, la limitation et la portabilité des données,
dans la mesure où cela est nécessaire dans le cadre de la sous-traitance.

Gestion des incidents de protection des données

En cas de violation de la protection des données personnelles, Aivie informe les responsables sans délai dès qu’elle en a connaissance.
La notification contient au minimum la nature de la violation, les conséquences possibles et les contre-mesures déjà prises ou prévues.

Infrastructure et architecture de sécurité

La plateforme est conçue de manière à garantir la sécurité, l’évolutivité et la traçabilité au niveau de l’infrastructure et de l’application. Voici un aperçu des mécanismes de sécurité essentiels.

Infrastructure cloud

  • Hébergement sur une plateforme cloud avec des emplacements selon la configuration (par exemple, Suisse)
  • Architecture réseau mondiale à haute disponibilité avec composants redondants
  • Séparation de l’application, du système de fichiers, de la base de données, du cache et de l’infrastructure e-mail
  • Projets isolés possibles pour des exigences clients spécifiques

Chiffrement

  • Chiffrement de toutes les données en transit via TLS
  • Chiffrement de toutes les données au repos au niveau de l’infrastructure et du stockage
  • Prise en charge des clés de chiffrement gérées par le client en cas d’exigences accrues
  • Gestion des clés séparée avec droits d’accès clairement définis

Contrôle d’accès et gestion des identités

  • Contrôle d’accès basé sur les rôles selon le principe du besoin d’en connaître
  • Attribution granulaire des droits au niveau du projet et du système
  • Évitement des comptes utilisateurs partagés
  • Vérification et ajustement réguliers des autorisations

Journalisation d’audit et surveillance

  • Journalisation des accès système et aux données pertinents
  • Surveillance des métriques d’infrastructure et d’application
  • Traçabilité des modifications de configuration et d’autorisations
  • Base technique pour l’analyse forensique si nécessaire

Sécurité réseau

  • Architecture réseau segmentée
  • Mécanismes de pare-feu et de contrôle du trafic
  • Détection d’intrusion et identification des menaces au niveau du cloud
  • Principe de confiance zéro pour le contrôle d’accès

Sauvegardes et restauration

  • Sauvegardes régulières de la base de données, des fichiers et des composants système pertinents
  • Processus de restauration définis
  • Emplacements de stockage de sauvegarde physiquement et logiquement séparés (même juridiction)

Développement logiciel sécurisé

  • Utilisation de standards de développement éprouvés
  • Mises à jour et correctifs de sécurité réguliers
  • Déploiements contrôlés avec processus de validation définis
  • Séparation des environnements de développement, de test et de production

Sécurité physique des centres de données

  • Contrôles d’accès multicouches
  • Surveillance 24/7
  • Systèmes d’accès biométriques
  • Redondance des sites pour garantir une haute disponibilité

Isolation des données pour les secteurs réglementés

Pour les clients ayant des exigences réglementaires accrues, par exemple dans le secteur financier ou administratif,
les données peuvent être exploitées dans des projets séparés. Cela permet de séparer clairement les mandants sur le plan logique et organisationnel et de mettre en œuvre des concepts d’accès individuels.

Mesures de sécurité organisationnelles

  • Concept de sécurité documenté
  • Rôles et responsabilités définis
  • Processus de continuité d’activité et de reprise
  • Formations et sensibilisation régulières des collaborateurs
  • Gestion contrôlée des changements

Hébergement des données : Suisse, Allemagne ou à l’emplacement de votre choix

Nous comprenons que l’emplacement de vos données n’est pas seulement une décision technique, mais juridique. C’est pourquoi Aivie s’adapte à votre stratégie de conformité.

Notre infrastructure est conçue de manière à ce que vos données restent dans votre juridiction :

Pour les clients de Suisse :

  • Emplacement : Zurich.
  • Avantage : Vos données restent garanties sur le sol suisse. Idéal pour la conformité avec la nLPD et pour les secteurs soumis à des exigences strictes (finance, santé, administrations).

Pour les clients d’Allemagne et de l’UE :

  • Emplacement : Francfort.
  • Avantage : Vos données sont stockées exclusivement sur des serveurs en Allemagne. Cela garantit une conformité totale avec le RGPD et assure qu’aucun stockage n’a lieu dans des pays tiers.

Remarque : Pour la livraison technique des e-mails, nous utilisons l’infrastructure spécialisée d’AWS. Étant donné que les e-mails, en tant que média mondial, franchissent de toute façon les frontières (par exemple, dès que le destinataire utilise un fournisseur international comme Gmail ou Outlook), nous privilégions ici une qualité de délivrabilité maximale. Cela garantit que vos messages arrivent de manière fiable et ne finissent pas dans les spams. Et ce, en totale conformité avec la protection des données (LPD, RGPD).

Sous-traitants ultérieurs

Aivie fait appel à des sous-traitants ultérieurs pour exploiter la plateforme en toute sécurité et fournir certains sous-processus. Tous les sous-traitants ultérieurs sont liés par contrat.

Aivie informe les clients au moins 2 semaines avant tout changement prévu concernant les sous-traitants ultérieurs,
afin que des objections puissent être formulées.

Sous-traitants ultérieurs actuels

Sous-traitants ultérieursActivitéLieu de traitement
Google (Google Ireland Limited)Hébergement de la solution d’automatisation marketingZurich, Francfort ou un autre emplacement de votre choix.
Amazon Web Services (AWS EMEA)Envoi d’e-mailsFrancfort

Remarque :
Si, dans le cadre de l’infrastructure utilisée, un transfert vers un pays tiers s’avère nécessaire, celui-ci s’effectue exclusivement dans le respect des dispositions légales et avec des garanties appropriées telles que les clauses contractuelles types.

Protection contre le US Cloud Act et l’accès par des tiers

Indépendamment de l’emplacement des données : Étant donné que nous nous appuyons sur une infrastructure cloud mondiale, de nombreux clients s’interrogent sur l’accès par les autorités américaines (US Cloud Act).

Notre architecture de sécurité bloque techniquement ce risque. Nous ne nous appuyons pas uniquement sur des contrats, mais sur le chiffrement et la maîtrise des données :

1. Chiffrement par défaut (Encryption by Default)

Toutes les données sont chiffrées à la fois pendant la transmission (en transit) et sur les disques (au repos). Le fournisseur d’infrastructure ne voit que des blocs de données chiffrés, mais jamais de données personnelles ou marketing lisibles.

2. Vos données, votre clé (CMEK, HYOK)

Pour éliminer de facto le risque du US Cloud Act, nous prenons en charge les clés de chiffrement gérées par le client (CMEK) et Hold Your Own Key (HYOK).

  • Le principe : La clé de déchiffrement des données n’est pas détenue par le fournisseur cloud, mais gérée séparément.
  • La sécurité : Même dans le cas théorique d’une ordonnance de remise des autorités au fournisseur, les données transmises seraient des données inutiles sans votre clé.

En d’autres termes : vous détenez la clé de vos données.

Remarque : Cette fonctionnalité est disponible en tant qu’option supplémentaire.

3. Séparation de l’infrastructure et de l’application

Nous utilisons l’infrastructure cloud comme un pur « centre de données numérique ». La gestion logique et l’accès aux bases de données sont effectués exclusivement par l’application Aivie et notre équipe basée en Suisse.

Contrat de sous-traitance (DPA)

Aivie fournit sur demande un contrat de sous-traitance afin de régir de manière contraignante les droits et obligations dans la relation de sous-traitance.

Que règle le contrat de sous-traitance

  • Objet, durée, nature et finalité du traitement
  • Traitement uniquement selon des instructions documentées
  • Confidentialité et restriction d’accès
  • Mesures techniques et organisationnelles et leur développement
  • Recours et changement de sous-traitants ultérieurs avec préavis
  • Soutien pour les droits des personnes concernées et les obligations des responsables
  • Droits de contrôle et d’audit des responsables
  • Suppression ou restitution des données à la fin du contrat

Demander un contrat de sous-traitance : legal@aivie.ch

Certifications et conformité

Notre fournisseur d’infrastructure Google Cloud dispose de certifications de sécurité et de conformité étendues, notamment ISO 27001 ainsi que les rapports d’audit SOC 1, SOC 2 et SOC 3. Aivie n’exploite pas ses propres centres de données et n’est pas certifiée ISO 27001 de manière indépendante. Aivie répond toutefois aux exigences pertinentes, même sans certification propre.

Aivie utilise ces contrôles d’infrastructure audités comme base technique pour l’exploitation sécurisée de la plateforme. Les certifications concernent notamment la sécurité physique des centres de données, la protection réseau, le chiffrement, la gestion des accès et l’auditabilité.

Exemples de certificats et normes pertinents

  • LPD et RGPD
  • ISO 27001, ISO 27017 et ISO 27018
  • Rapport ISAE 3000 Type 2 (FINMA)
  • SOC 1, SOC 2 et SOC 3
  • C5 et CSA STAR

Des détails supplémentaires sur les certifications et rapports d’audit de Google Cloud Platform sont consultables ici :
Aperçu de la conformité Google Cloud

Conformité avec la LPD et le RGPD

Aivie est conçue de manière à ce que les clients puissent répondre aux exigences de la LPD suisse et du RGPD de l’UE.
Du point de vue de l’UE, la Suisse dispose d’un niveau de protection des données reconnu comme adéquat.

Ce que les clients mettent typiquement en œuvre eux-mêmes

  • Base juridique et obligations d’information vis-à-vis de leurs contacts
  • Consentements aux cookies sur leur propre site web, si des technologies de suivi sont utilisées
  • Délais de conservation et processus internes pour l’accès, la suppression ou l’opposition

Module de texte pour votre propre déclaration de confidentialité

Afin que les visiteurs comprennent rapidement comment Aivie travaille en tant que sous-traitant, la mention suivante peut être incluse dans votre propre déclaration de confidentialité.
Veuillez insérer le lien vers cette page.

Exemple de clause de protection des données

Nous utilisons Aivie comme outil d’automatisation marketing pour diffuser des newsletters, des campagnes et des parcours de communication automatisés.
Aivie traite les données personnelles sur notre instruction et exclusivement selon nos directives.
Les détails concernant la protection des données, la sécurité des données, les sous-traitants ultérieurs et le contrat de sous-traitance sont décrits ici :
https://aivie.ch/datenschutz-aivie

État

État : 3 mars 2026