Déclaration de confidentialité

Version : 3.1

Stand : 2 juin 2026

ZEROVIA SARL,Via Casti 52, 7151 Schluein, Suisse

Courrier électronique : info@zerovia.ch · privacy@zerovia.ch

 Note sur la version 3.1. Cette version étend la v3.0 du 20/11/2025 avec des clauses sur l'obligation de marquage des contenus générés par l'IA (Art. 50 du Règlement UE 2024/1689), la publication des profils ESG publiés publiquement (accessibilité dans les moteurs de recherche et les moteurs de réponse IA), le traitement des données du contact ESG dans un contexte B2B, l'intégration de profils sur les sites Web des clients ainsi que la nomination des fournisseurs de modèles d'IA utilisés.

Cette déclaration de confidentialité décrit comment ZEROVIA GmbH, Via Casti 52, 7151 Schluein, Suisse („ ZEROVIA », „ nous ») traitons des données personnelles lorsque vous utilisez notre site Web ou notre plateforme SaaS. Elle s'applique à :

  •  les sites web zerovia.ch, zerovia.ai et zerovia.academy
  • la plateformezerovia.app,
  • toutes les modules ESG, fournisseur et approvisionnement,
  • Processus de vérification et de validation,
  • Partage de données avec des tiers (opt-in),
  • Interfaces API et d'intégration,
  • profils ESG publiés publiquement ainsi que leur intégration sur les sites web des clients.

Nous traitons les données personnelles conformément à laLoi suisse sur la protection des données (LPD) et, dans la mesure où elle est applicable, laRèglement général sur la protection des données (RGPD).

1. organisme responsable et représentant de l'UE (art. 27 RGPD)

1.1 Entité responsable en Suisse

ZEROVIA GmbH Via Casti 52 CH-7151 Schluein E-mail :privacy@zerovia.ch

1.2 Représentation de l'UE selon l'art. 27 RGPD

Pour les personnes concernées et les autorités de contrôle dans l'UE, ZEROVIA a désigné le représentant suivant :

Représentant de l'UE (art. 27 GDPR) iuro Rechtsanwälte GmbH t/a Prighter
3, rue Schelling
1010 Vienne,
Autriche
Courrier électronique :privacy@zerovia.ch
Portail pour les demandes des personnes concernées :https://app.prighter.com/portal/zerovia

1.3 Activités de traitement de la représentation de l'UE

La représentation de l'UE prend le relais :

  • Réception des demandes des personnes concernées,
  • Réception des demandes des autorités européennes de protection des données,
  • Structuration et transmission sécurisée des requêtes à ZEROVIA,
  • Mise à disposition d'un outil de demande de sujet de données (outil DSR).

Les données traitées comprennent, entre autres : les données d'identification et de contact, les informations relatives à la demande de la personne concernée, le contenu de la demande.

1.4 Clarification des rôles

  • Prighter en tant que responsable : en cas de conseil ou d'assistance conformément à l'article 27 du RGPD.
  • Prighter en tant que sous-traitant : lors de la mise à disposition de l'outil DSR. Prighter utiliseHetzner Online GmbH en tant que fournisseur d'hébergement.

2. types de données à caractère personnel

2.1 Données de base

Nom, prénom, informations de contact professionnelles, rôle et position, affiliation professionnelle.

2.2 Données techniques et d'utilisation

Adresse IP, journaux, horodatages, informations sur le navigateur et l'appareil, journaux d'opt-in, utilisation du jeton API.

2.3 Données liées à l'ESG

  • Informations provenant des profils ESG autoproclamés,
  • Réponses aux questionnaires ESG,
  • Documents téléchargés (politiques, rapports, preuves),
  • Informations pour les vérifications,
  • Données pour validations des partenaires externes,
  • Statut et validité du profil,
  • Niveau de maturité (ZEROvia ESG Quick Check, Rating, VS Basic, VS Comprehensive) et type de profil (Auto-déclaré / Vérifié par ZEROVIA / Validé par un partenaire externe).

2.4 Données de la personne de contact ESG d'un client

Dans le cas des profils ESG publiés publiquement, le nom, la fonction et l'adresse e-mail professionnelle d'une personne de contact ESG désignée par le client sont également traités et publiés. La publication est basée sur l'intérêt commercial légitime (contexte B2B, art. 6 al. 1 let. f RGPD, art. 31 LPD). Le client veille à ce que le traitement des données de la personne concernée soit porté à sa connaissance.

2.5 Données de communication

Correspondance par e-mail, demandes de support, retours au sein de la plateforme.

2.6 Données de traitement relatives à l'IA

Les saisies (prompts) et les textes de sortie des modèles d'IA générative que nous utilisons (voir §10), les données de journal associées pour le marquage des contenus assistés par l'IA conformément à l'article 50 (4) du règlement UE 2024/1689.

3) les finalités du traitement des données

3.1 Mise à disposition de la plate-forme

Création et gestion de comptes utilisateurs, gestion des rôles et des autorisations, exploitation des modules, diagnostic des erreurs et stabilité.

3.2 Profilage ESG

Création et gestion de profils ESG, saisies auto-déclarées, vérifications formelles („ Verified by ZEROVIA »), support technique pour les validations par des partenaires externes, affichage du statut du profil, génération de rapports (ESG Quick Check, ESG Rating, VS Basic, VS Comprehensive).

3.3 Publication du profil public et indexation par machine

Avec la publication active d'un profil ESG souszerovia.app/profils/{slug} les données marquées comme publiques :

  • rendu publiquement accessible,
  • comme données structurées (Schema.org JSON-LD) pour l'indexation dans les moteurs de recherche et les moteurs de réponse de l'IA (y compris ChatGPT, Perplexity, Google AI Overviews, Claude).

Les champs marqués comme „ Internes » dans le centre de publication n'apparaissent ni dans le profil visible ni dans le JSON-LD. Il n'est techniquement pas possible de différencier par système d'indexation individuel ; une révocation de l'indexation n'opère que par la dépublication complète du profil.

3.4 Partage de données avec des tiers (opt-in)

Avec le consentement explicite du client : transmission à des banques, compagnies d'assurance, grandes entreprises, clients et fournisseurs, organismes externes de validation ou d'audit, autorisations basées sur API, autorisations via codes partenaires ou liens de partage.

3.5 Intégration sur les sites web des clients

Lors de l'intégration d'un profil ESG publié sur un site web client (snippet, intégration côté serveur ou JavaScript), les données sont techniquement transmises de zerovia.app au visiteur final du site client. ZEROVIA n'utilise pas ses propres cookies marketing ou de suivi. Le client est responsable de l'information de ses visiteurs finaux concernant la protection des données (avis de confidentialité, bannière de cookies) sur son site tiers.

3.6 Fonctions assistées par IA (voir §10)

Classification et étiquetage, nettoyage des données, recherche sémantique, aide textuelle et recommandations, vérification de la cohérence des déclarations ESG, rédactions de textes basées sur l'IA pour les profils ESG.

3.7 Amélioration et développement

Analyses statistiques anonymes, amélioration de l'UI/UX, développement de la plateforme.

3.8 Communication

Support, messages de sécurité, notifications de modifications des conditions générales ou de la politique de confidentialité.

4. bases juridiques du traitement des données

4.1 Exécution d'un contrat

(Art. 6 par. 1 let. b RGPD ; Art. 31 LGPD) Enregistrement et gestion de compte, utilisation des modules, création de profils ESG, réalisation de vérifications, traitement technique des validations, utilisation des modules fournisseurs et achats, fourniture de fonctionnalités d'API.

4.2 Intérêt légitime

(Art. 6 par. 1 let. f) RGPD ; Art. 31 LPD) Maintien de la sécurité informatique, détection d'abus et prévention de la fraude, développement de nos logiciels, documentation et assurance qualité, création d'analyses anonymisées,Publication de la personne de contact ESG désignée par le client dans un contexte B2B (nom, fonction, adresse e-mail professionnelle).

4.3 Consentement (opt-in)

(Art. 6 al. 1 let. a) RGPD; Art. 6 LPD) Transmission de données ESG à des banques, des assurances et de grandes entreprises, transmission à des partenaires de validation ou d'audit,publication active d'un profil ESG (y compris l'indexation associée par les moteurs de recherche et les moteurs de réponse d'IA), les accès aux API, les codes partenaires ou les liens de partage, certaines fonctions basées sur l'IA (si expliquées séparément). Un consentement peut être révoqué à tout moment avec effet pour l'avenir.

4.4 Obligation légale

(Art. 6 al. 1 let. c DSGVO) Obligations de conservation conformément au CO et au droit fiscal suisses.

5. profilés ESG et leur traitement

ZEROVIA distingue deux axes orthogonaux :stade de maturation (Profondeur de la divulgation) etType de profil (Profondeur de contrôle). La méthodologie complète se trouve souszerovia.ch/methodik peut être consulté.

5.1 Types de profil

  1.  Profil ESG auto-déclaré – Autodéclaration du dirigeant, pas d’examen par ZEROVIA, responsabilité totale de l’entreprise.
  2. Vérifié par ZEROVIA – examen formel des documents, vérifications de plausibilité, pas d'audit, pas de certification, adhésion nécessaire.
  3. Validé par un partenaire externe – examen de fond par des spécialistes externes, ZEROVIA = fournisseur de plateforme purement technique, transmission uniquement après acceptation.

5.2 Niveaux de maturité

  1. Vérification rapide ESG (Niveau 1),
  2. Notation ESG (Niveau 2),
  3. VS Basic (niveau 3, anciennement VSME Basic),
  4. VS Comprehensive (Niveau 4, anciennement VSME Comprehensive).

5.3 Publication

Les profils ne sont affichés publiquement que s'ils sont activement partagés. La visibilité est configurable par champ de données (Public / Interne). Les profils publiés seront indexables par les moteurs de recherche et les moteurs de réponse IA conformément au §3.3.

5.4 Dépublication et cycle de vie du profil

En cas de dépublication ou de suppression d'un profil, la page de profil ZEROVIA sera supprimée sous 14 jours et diffusée avec le statut HTTP 410. ZEROVIA s'efforce de bonne foi de faire supprimer les versions de profil indexées des moteurs de recherche et des moteurs de réponse IA, mais ne garantit pas leur suppression complète de leurs données de cache et d'entraînement.

6. transmission de données à caractère personnel à des tiers (opt-in)

La divulgation n'a lieu qu'avec le consentement explicite du client. Destinataires possibles : banques et instituts financiers, assurances, grandes entreprises, clients et fournisseurs, organismes externes de validation et de contrôle, destinataires basés sur API ou Webhook, intégrations de plateformes de partenaires commerciaux.

ZEROVIA ne vérifie pas la légitimité des destinataires. Une révocation n'est effective que pour les accès futurs.

7. clarification des rôles : responsable / sous-traitant

7.1 ZEROVIA en tant que responsable

lors de l'exploitation de la plateforme, de la gestion des profils, des vérifications, des données utilisateur, du traitement lié à la sécurité, des journaux et de la surveillance.

7.2 Les validateurs externes en tant que responsables

dans les décisions de vérification et les rapports de validation ESG.

7.3 ZEROVIA en tant que sous-traitant

lors du traitement de données personnelles pour le compte du client, des intégrations d'API, des processus de vérification technique. S'appliqueAccord sur le traitement des données (DPA) de ZEROVIA, accessible viaprivacy@zerovia.ch.

8. sous-traitants

Nous utilisons des prestataires de services soigneusement sélectionnés. Une liste consolidée et à jour fait partie duContrat de traitement des données (CTD, Annexe C des conditions d'abonnement). Le parc au 02.06.2026 comprend la liste productive :

8.1 Hébergement et infrastructure

Fournisseur

But

Siège / Emplacement des données

Base juridique de la transmission

Infomaniak Network SA

Hébergement de l'environnement de production zerovia.app et zerovia.ch

Suisse (Genève)

à l'intérieur de la Suisse, pas de transfert vers des pays tiers

Uvensys GmbH

Hébergement pour environnement de développement et de test

Allemagne (Gießen)

dans l'UE

8.2 Représentation de l'UE et droits des personnes concernées

Fournisseur

But

Siège / Emplacement des données

Base juridique de la transmission

iuro Rechtsanwälte GmbH (Prighter)

Représentation de l'UE, article 27 du RGPD, fonctionnement de l'outil DSR

Autriche

dans l'UE

Hetzner Online GmbH(Sous-sous-processeur de Prighter)

Hébergement Prighter DSR-Tool

Allemagne

dans l'UE

8.3 Modèles d'IA

Fournisseur

But

Siège / Emplacement des données

Base juridique de la transmission

OpenAI Irlande Ltée.

Modèles d'IA générative (série GPT) pour la rédaction de textes et la vérification de la cohérence des profils ESG

Irlande (résidence des données dans l'UE), traitement partiellement aux États-Unis

SCC + Évaluation d'impact du transfert + mesures de protection techniques

Anthropic PBC

Modèles d'IA générative (gamme Claude) pour la rédaction de textes et la vérification de cohérence

États-Unis

SCC + Évaluation d'impact du transfert + mesures de protection techniques

Mistral AI(plan de secours)

Modèles d'IA générative comme solution de repli européenne

France

dans l'UE

8.4 Exploitation du site web zerovia.ch

Fournisseur

But

Siège / Emplacement des données

Base juridique de la transmission

Google LLC (Site Kit / Analytics)

Mesure de portée website zerovia.ch

UE/États-Unis

après consentement aux cookies uniquement ; SCC

TranslatePress (DevriX)

Multilinguisme zerovia.ch

UE

dans l'UE

SpeedyCache

Mise en cache de page zerovia.ch

UE

dans l'UE

CookieAdmin Pro

Gestion du consentement aux cookies

UE

dans l'UE

Avis : Nous utilisons prioritairement les fournisseurs basés dans l'UE ou en Suisse. Pour les modèles d'IA avec traitement de données américain (OpenAI, Anthropic), une extension s'applique avec des SCC, des TIA et des mesures de protection techniques supplémentaires (cryptage pendant le transit et au repos, aucune utilisation des données clients pour l'entraînement des modèles). Mistral AI est prévu en tant que solution de repli européenne dans la feuille de route, afin de réduire la dépendance à l'égard des pays tiers.

9) Transfert de données vers d'autres pays

Les données peuvent être transmises :

  • dans les pays avec une décision d'adéquation de la Commission européenne ou un État tiers reconnu conformément à l'annexe 1 de la LPD,
  • dans des pays tiers sur la base deClauses contractuelles types (CCT) de la Commission européenne, complétés par une évaluation d'impact des transferts (EIT) et des mesures de protection techniques,
  • avec votre consentement explicite,
  • en raison d'obligations légales.

Les envois aux partenaires de validation se font uniquement sur la base du volontariat (opt-in). Les envois aux fournisseurs de modèles d'IA basés aux États-Unis sont effectués exclusivement sur la base des clauses contractuelles types (CCT) avec addition de mesures supplémentaires (chiffrement, pseudonymisation dans la mesure du possible).

10. Fonctions basées sur l'IA — Transparence conformément à l'article 50 du règlement UE 2024/1689

10.1 Fonctions utilisées

ZEROVIA utilise des modèles d'IA générative pour :

  • Ébauches de textes basées sur l'IA dans les profils ESG (stratégie de durabilité, mesures clés, informations sectorielles),
  • Contrôle de cohérence des déclarations ESG (contrôle de plausibilité, indice de greenwashing),
  • Classification et étiquetage des documents téléchargés,
  • recherche sémantique.

10.2 Obligation d'étiquetage

Les contenus créés par IA dans les profils publics seront signalés comme tels — visibles dans le profil et lisibles par machine dans le JSON-LD via le champstatutCréationArtistique. Cette identification a lieu même avant l'entrée en vigueur réglementaire de l'article 50, paragraphe 4, du règlement UE 2024/1689 (applicable à partir du 02.08.2026).

10.3 Fournisseurs de modèles d'IA utilisés

Actuellement utilisés de manière productiveOpenAI Irlande Ltée. (Modèles GPT) etAnthropic PBC (Modèle Claude). Comme solution de repli européenne, la connexion deMistral AI (France) est prévue pour réduire davantage la dépendance vis-à-vis des pays tiers. Les changements de fournisseurs sont mis à jour dans la liste des sous-traitants (§8.3) et dans le DPA ; les changements importants seront communiqués à l'avance aux clients conformément aux conditions d'abonnement §13.

10.4 Données d'entraînement

Les données clients sontpas utilisé pour former des modèles d'IA accessibles au public. L'utilisation de données agrégées anonymisées pour l'amélioration interne des modèles n'est autorisée qu'après une acceptation expresse du client.

10.5 Aucune décision individuelle automatisée ayant un effet juridique

Aucune décision automatisée au sens de l'article 22 du RGPD n'a d'effet juridique. Les projets d'IA et les contrôles de cohérence sont des fonctions d'assistance que le client examine et valide.

11. durée de conservation

Nous enregistrons des données à caractère personnel :

  • tant qu'un compte utilisateur existe,
  • tant qu'il existe des obligations légales de conservation (10 ans après l'art. 958f CO suisse pour les livres de commerce et les pièces justificatives),
  • tant qu'un intérêt légitime existe,
  • jusqu'à ce qu'une suppression autorisée soit requise.

Les profils ESG sont stockés en fonction de leur durée de validité, puis marqués. Après dépublication : suppression de la page de profil sous 14 jours, réponse HTTP 410, autres indications conformément au §5.4.

12. sécurité informatique et mesures techniques et organisationnelles (TOM)

Nous protégeons les données par des mesures organisationnelles et techniques modernes, notamment :

  • Chiffrement SSL/TLS,
  • contrôles d'accès basés sur les rôles et authentification à deux facteurs facultative,
  • Pare-feux, IDS/IPS,
  • Surveillance du système,
  • sauvegardes régulières,
  • Audits internes et tests de sécurité externes.

Notre architecture de sécurité s'oriente versISO/IEC 27001 et les recommandations duPFPDT.

13. droits des personnes concernées

En fonction de la loi applicable, vous disposez des droits suivants :

  • Information (art. 15 RGPD / art. 25 RG),
  • Rectification (art. 16 RGPD / art. 32 RGPD),
  • Suppression (art. 17 RGPD / art. 32 LPD),
  • Restriction (art. 18 RGPD),
  • Portabilité des données (art. 20 RGPD / art. 28 RGPD),
  • Opposition (art. 21 RGPD),
  • Révocation des consentements (art. 7, paragraphe 3, RGPD).

Demandes à adresser à :privacy@zerovia.ch

Citoyens de l'UE :https://app.prighter.com/portal/zerovia

Droit de réclamation: Les personnes domiciliées en Suisse peuvent s'adresser au Préposé fédéral à la protection des données et à l'information (PFDI). Les personnes domiciliées dans l'UE peuvent s'adresser à l'autorité nationale de contrôle compétente en matière de protection des données.

14. Cookies et suivi

Le site zerovia.ch utilise :

  • Cookies techniquement nécessaires (Session, Paramètres de langue, Consentement aux cookies) — Base juridique : intérêt légitime.
  • Cookies fonctionnels (par ex. Performance, Mise en cache) — Base juridique : intérêt légitime ou consentement.
  • Analyse-Cookies (Google Site Kit / Analytics) — uniquement avec le consentement explicite via la bannière de cookies.
  • Cookies publicitaires — actuellement non utilisés; en cas d'utilisation future, exclusivement après consentement explicite.

La plateforme ZEROVIA zerovia.app utilise uniquement des cookies techniquement nécessaires à l'authentification et à la gestion des sessions.

Les paramètres des cookies peuvent être modifiés à tout moment via le lien „Paramètres des cookies» situé dans le pied de page du site web.

15. Accord de Traitement des Données (ATD)

Si ZEROVIA traite des données personnelles pour des clients commerciaux en sous-traitance, le règlement s'applique également.ZEROVIA DPA, qui régit : but et portée du traitement, responsabilités, mesures techniques et organisationnelles, sous-traitants (y compris les fournisseurs de modèles d'IA), transferts internationaux. Demande concernantprivacy@zerovia.ch.

16. Intégration sur les sites web des clients

Lorsqu'un client intègre un profil ESG publié sur son propre site web :

  • Snippet et intégration côté serveur : ZEROVIA fournit du code HTML statique avec JSON-LD intégré. Il n'y a pas de connexion en direct entre le site web du client et ZEROVIA. ZEROVIA ne traite pas les données des visiteurs finaux.
  • JavaScript-Intégrer : Le visiteur final du site client charge une ressource depuis embed.zerovia.app. Des données techniquement nécessaires (adresse IP, User-Agent, heure) sont traitées pour la livraison. ZEROVIA n'utilise pas de cookies de suivi.

Le client est responsable du traitement des données personnelles des visiteurs de son site web et doit les informer dans sa propre politique de confidentialité concernant l'intégration.

17. Modifications de la présente politique de confidentialité

La présente politique de confidentialité peut être adaptée, notamment en cas de modifications des produits, de changements des exigences légales, de nouveaux modules ou de processus de validation révisés. En cas de modifications importantes, les clients en seront informés de manière appropriée à l'avance. La version actuelle est disponible surhttps://zerovia.ch/datenschutzerklaerung/ peut être consulté.

Historique des versions :

  • v3.1 (02.06.2026) — KI-VO Art. 50, Publication du contact ESG, Indexation IA, Confidentialité des intégrations, Tableau concret des sous-traitants (Infomaniak, Uvensys, OpenAI, Anthropic, Mistral-prévu), Niveaux de maturité, DPA référencé comme Annexe C des AB.
  • v3.0 (20.11.2025) — Introduction de la représentation Prighter dans l'UE, trois types de profil, référence au DPA.

18. Contact

ZEROVIA GmbH
52, rue Casti
CH-7151 Schluein
privacy@zerovia.ch ·info@zerovia.ch

Les cookies nécessaires activent des fonctionnalités essentielles du site comme les connexions sécurisées et les ajustements des préférences de consentement. Ils ne stockent pas de données personnelles.
Aucun
Les cookies fonctionnels supportent des fonctionnalités comme le partage de contenu sur les réseaux sociaux, la collecte de retours, et l’activation d’outils tiers.
Aucun
Les cookies analytiques suivent les interactions des visiteurs, fournissant des informations sur des métriques telles que le nombre de visiteurs, le taux de rebond et les sources de trafic.
Aucun
Les cookies publicitaires diffusent des annonces personnalisées basées sur vos visites précédentes et analysent l'efficacité des campagnes publicitaires.
Aucun