Politique de confidentialité
Dernière mise à jour : 14.05.2026
Conforme à la nouvelle loi fédérale sur la protection des données (nLPD, CH) et au Règlement général sur la protection des données (RGPD, UE/EEE).
1. Objet
La présente politique de confidentialité décrit la manière dont IntimX collecte, traite, stocke et protège vos données personnelles lorsque vous utilisez le Service accessible à l'adresse intimx.ch. Elle s'applique à tous les utilisateurs (membres, prestataires, établissements), qu'ils disposent ou non d'un compte. Les termes définis dans les Conditions générales d'utilisation (CGU) s'appliquent par renvoi.
2. Responsable du traitement
Le responsable du traitement au sens de l'art. 5 let. j nLPD et de l'art. 4 par. 7 RGPD est : N.JULIEN Sion (VS), Suisse Nom commercial : Artenic Contact protection des données : privacy@intimx.ch L'Éditeur n'a pas désigné de délégué à la protection des données (DPD) au sens de l'art. 10 nLPD, cette désignation n'étant pas obligatoire. Pour toute question relative à vos données, adressez-vous directement à privacy@intimx.ch.
3. Bases juridiques du traitement
Les traitements de données effectués par IntimX reposent sur les bases juridiques suivantes : — Exécution du contrat (art. 6 al. 1 let. b RGPD / art. 31 al. 1 nLPD) : inscription, gestion du compte, messagerie, abonnements, facturation. — Intérêts légitimes prépondérants (art. 6 al. 1 let. f RGPD / art. 31 al. 1 nLPD) : sécurité du Service, prévention de la fraude, statistiques agrégées, amélioration du Service. — Obligation légale (art. 6 al. 1 let. c RGPD / art. 31 al. 1 nLPD) : conservation des données transactionnelles (CO art. 958f), coopération avec les autorités. — Consentement (art. 6 al. 1 let. a RGPD / art. 31 al. 1 nLPD) : cookies analytiques, notifications push, communications marketing.
4. Données collectées
Données d'inscription : — Tous les rôles : adresse e-mail, mot de passe (haché Argon2id, jamais stocké en clair), nom d'affichage, langue préférée, horodatage d'acceptation des CGU et de la politique de confidentialité. — Membre et prestataire : date de naissance (vérification 18+). — Prestataire : catégorie, type de service, biographie, attributs physiques, tarifs, horaires, coordonnées publiques. — Établissement : catégorie, métadonnées commerciales, coordonnées publiques, liens sociaux. Données d'utilisation : — Journaux d'accès : adresse IP, agent utilisateur, géolocalisation (ville, pays) — conservés 90 jours. — Sessions : empreinte du jeton de rafraîchissement (SHA-256), hachage IP et agent utilisateur (SHA-256), contexte géographique, informations d'appareil (navigateur, OS). — Appareils de confiance : empreinte de l'appareil (SHA-256), informations d'appareil (navigateur, OS, mobile). — Messagerie : contenu des messages (5 000 caractères max), horodatage, identifiants de conversation. — Galerie : images (JPEG, PNG, WebP, HEIC, max 8 Mo), métadonnées de fichier. — Statistiques de profil : compteurs agrégés (vues, clics) par jour — aucune donnée individuelle de visiteur. — Présence : dernier accès (mis à jour via WebSocket). — Notifications push (opt-in) : URL d'endpoint fournie par le navigateur (Firebase, Mozilla Push, Apple Push), clés cryptographiques publiques (p256dh, auth) servant au chiffrement des notifications, horodatage d'abonnement. Désinscription possible à tout moment depuis les paramètres du navigateur ou du compte. Données sensibles (vault chiffré) : — Vérification d'identité (KYC, volontaire) : prénom, nom, date de naissance, téléphone, adresse — chiffrés AES-256-GCM. — Documents KYC : fichiers chiffrés stockés séparément. Données de paiement : — Identifiants Stripe (customer ID, payment intent ID). IntimX ne collecte ni ne stocke jamais vos données de carte bancaire.
5. Cookies et technologies similaires
IntimX utilise les cookies suivants : Cookies essentiels (sans consentement, art. 45c al. 2 LTC) : — ix_access : jeton d'accès JWT. Durée : 1 heure. HttpOnly, Secure, SameSite=Strict. — ix_refresh : jeton de rafraîchissement JWT. Durée : 7 jours (30 jours avec « Se souvenir de moi »). HttpOnly, Secure, SameSite=Lax. — ix_csrf : jeton CSRF. Durée : session. Accessible au JavaScript pour la validation des formulaires. — ix_age : vérification d'âge (art. 197 CP). Durée : 365 jours. Valeur : confirmation de majorité. Cookies analytiques (avec consentement uniquement) : — Aucun cookie analytique tiers n'est actuellement déployé. Si un service d'analyse est intégré à l'avenir, votre consentement explicite sera demandé. Vous pouvez configurer votre navigateur pour refuser les cookies. Le refus des cookies essentiels rend l'utilisation du Service impossible (authentification requise).
6. Finalités du traitement
Vos données sont traitées pour les finalités suivantes : — Fourniture du Service : création et gestion de votre compte, affichage de votre profil, messagerie entre utilisateurs, gestion des réservations. — Abonnements et paiements : traitement des paiements via Stripe, activation et gestion des abonnements Premium/VIP. — Sécurité : vérification d'âge, vérification d'e-mail, détection de connexions suspectes, verrouillage de compte, gestion des appareils de confiance. — Modération : traitement des signalements, lutte contre les contenus illicites, coopération avec les autorités. — Communication : e-mails transactionnels (vérification, mot de passe, abonnement, réservation), notifications intégrées. — Statistiques : compteurs agrégés de consultation des profils (vues, clics). Aucun profilage individuel. — Conformité légale : conservation des données transactionnelles, journaux d'audit, preuve de consentement.
7. Destinataires et sous-traitants
Vos données peuvent être communiquées aux destinataires suivants : — Stripe, Inc. (San Francisco, USA) : traitement des paiements par carte bancaire. Stripe agit comme responsable conjoint pour les données de paiement. Politique de confidentialité : stripe.com/privacy. Le transfert vers les USA est encadré par les clauses contractuelles types de la Commission européenne. — Infomaniak Network SA (Genève, Suisse) : hébergement de l'infrastructure (serveurs, bases de données PostgreSQL, stockage objet S3, service e-mail transactionnel). Toutes les données sont hébergées en Suisse. — GeoIP (base de données locale) : résolution de la géolocalisation (ville, pays) à partir de l'adresse IP. Aucune transmission à un tiers — la base est intégrée à l'application. — Telegram (optionnel) : notifications d'alerte aux administrateurs pour les événements de sécurité. Aucune donnée utilisateur n'est transmise. — Autorités compétentes : sur réquisition légale conforme au droit suisse. IntimX ne vend, ne loue et ne partage jamais vos données personnelles à des fins publicitaires ou commerciales.
8. Transferts internationaux
L'ensemble des données traitées par IntimX est hébergé sur l'infrastructure d'Infomaniak en Suisse. Aucun transfert systématique de données hors de Suisse n'est effectué. Exception : les données de paiement sont transmises à Stripe, Inc. aux États-Unis. Ce transfert est encadré par les clauses contractuelles types (CCT) adoptées par la Commission européenne et reconnues par le PFPDT comme offrant un niveau de protection adéquat (art. 16 al. 2 let. d nLPD).
9. Durée de conservation
Compte actif : vos données sont conservées pendant toute la durée de votre inscription. Suppression de compte : une période de grâce de 30 jours s'applique (annulable). À l'expiration, le compte est fermé et les données sont traitées comme suit : — Données d'identité chiffrées (vault) : purgées 3 ans après la fermeture (nLPD art. 31 al. 1 let. c). — Documents KYC : supprimés 3 ans après la fermeture (fichiers et colonnes chiffrées). — Données transactionnelles (abonnements) : conservées 10 ans (CO art. 958f). — Journaux d'accès (IP, agent utilisateur, géo) : purgés après 90 jours. — Sessions : supprimées à l'expiration (7 ou 30 jours) ou à la révocation. — Journal d'audit KYC : conservé indéfiniment (preuve de conformité nLPD art. 32). — Journal de consentement : conservé indéfiniment (preuve de consentement, nLPD art. 6 al. 7 / RGPD art. 7 al. 1). — Actions administratives : conservées indéfiniment (preuve juridique).
10. Mesures de sécurité
IntimX met en œuvre les mesures techniques et organisationnelles suivantes : — Architecture à trois bases de données : les données applicatives (public), les données sensibles (vault chiffré) et les données système sont physiquement séparées. — Chiffrement au repos : les données personnelles identifiantes (prénom, nom, date de naissance, téléphone, adresse) sont chiffrées avec AES-256-GCM dans le vault. — Hachage des mots de passe : Argon2id (mémoire 64 Mo, 3 itérations, conforme OWASP 2023+). Les mots de passe compromis (base HIBP) sont refusés. Historique des 5 derniers mots de passe pour empêcher la réutilisation. — Hachage des jetons : les jetons de rafraîchissement sont stockés sous forme de hachage SHA-256 (jamais en clair). — Transport : HTTPS obligatoire (TLS 1.3), cookies Secure. — CSRF : jeton CSRF sur toutes les actions mutatives. — Verrouillage de compte : mécanisme progressif (15 min, 1 h, 24 h, verrouillage administrateur). — Authentification renforcée : prise en charge optionnelle de Passkey/WebAuthn. — Confiance d'appareil : empreinte de l'appareil hachée SHA-256, vérification OTP par e-mail pour les appareils non reconnus. — Contrôle d'accès : Row-Level Security (RLS) PostgreSQL sur toutes les tables contenant des données utilisateur. — Journalisation d'audit : journaux immuables (append-only) pour les actions KYC, le consentement et les actions administratives.
11. Vos droits
Conformément à la nLPD (art. 25-29) et au RGPD (art. 15-22), vous disposez des droits suivants : — Droit d'accès : obtenir une copie de vos données personnelles. — Droit de rectification : corriger des données inexactes ou incomplètes. — Droit à l'effacement : demander la suppression de vos données (sous réserve des obligations légales de conservation). — Droit à la portabilité : recevoir vos données dans un format structuré et lisible par machine (voir art. 12). — Droit d'opposition : vous opposer à un traitement fondé sur un intérêt légitime. — Droit de retrait du consentement : retirer votre consentement à tout moment (sans affecter la licéité du traitement antérieur). Pour exercer vos droits, adressez un e-mail à privacy@intimx.ch en indiquant votre identité et le droit que vous souhaitez exercer. Nous répondons dans un délai de 30 jours (nLPD) ou 30 jours, extensible à 90 jours en cas de complexité (RGPD). Vous avez le droit d'introduire une réclamation auprès du Préposé fédéral à la protection des données et à la transparence (PFPDT), Feldeggweg 1, 3003 Berne, Suisse (edoeb.admin.ch).
12. Portabilité des données
IntimX propose une fonction d'export de vos données depuis les paramètres de votre compte. L'export comprend : — Données de compte : identifiant, e-mail, rôle, langue, dates d'inscription et de fermeture. — Profil : nom d'affichage, biographie, préférences, paramètres de confidentialité. — Messages : historique de conversation (limité aux dernières entrées). — Réservations, avis, favoris, tickets de support. — Abonnements : historique des abonnements. — Consentements : historique des acceptations et retraits. — Sessions actives : contexte géographique et appareil. L'export nécessite une re-vérification du mot de passe (dans les 5 dernières minutes) et est limité à une demande par 24 heures. Les données sont fournies au format JSON structuré.
13. Protection des mineurs
IntimX est destiné exclusivement aux personnes majeures (18 ans révolus). Conformément à l'art. 197 CP, un age gate est présenté à chaque premier accès. IntimX ne collecte pas sciemment de données personnelles de mineurs. Si nous apprenons qu'un mineur a créé un compte, celui-ci sera immédiatement suspendu et les données supprimées. Tout signalement de contenu impliquant un mineur est traité en priorité absolue via legal@intimx.ch.
14. Modification de la politique
L'Éditeur se réserve le droit de modifier la présente politique à tout moment. Les utilisateurs inscrits sont informés de toute modification substantielle par e-mail ou notification sur la plateforme, au moins 30 jours avant l'entrée en vigueur. La date de la dernière mise à jour est indiquée en tête du présent document. Les versions antérieures sont disponibles sur demande à support@intimx.ch.
15. Contact
Pour toute question relative à la protection de vos données personnelles : Responsable du traitement : N.JULIEN Contact : privacy@intimx.ch Pour les questions générales ou le support : support@intimx.ch Pour les signalements urgents (autorités, mineurs) : legal@intimx.ch Autorité de surveillance : Préposé fédéral à la protection des données et à la transparence (PFPDT) Feldeggweg 1, 3003 Berne, Suisse edoeb.admin.ch