Conformité LPD / RGPD

    Dernière mise à jour : 23 avril 2026

    Welby est conçu dès sa conception (« privacy by design ») pour respecter les exigences de la Loi fédérale sur la protection des données (nLPD) entrée en vigueur le 1er septembre 2023, ainsi que du Règlement général sur la protection des données (RGPD) de l'Union européenne.

    Responsable du traitement

    Hundred Technologies Sàrl/GmbH
    Rue du Dauphiné 11, 1203 Genève, Suisse
    IDE : CH-486.714.259
    Contact : support@welby.ch

    Mesures techniques et organisationnelles

    Hébergement

    Données hébergées exclusivement en Suisse. Aucun transfert international de données.

    Chiffrement

    TLS 1.2+ en transit. AES-256 au repos. Empreintes SHA-256 des documents signés.

    Contrôle d'accès

    Authentification sécurisée. Rôles et permissions granulaires (RBAC). Journal d'audit immuable.

    Minimisation

    Seules les données strictement nécessaires sont collectées. Aucun cookie de tracking.

    Catégories de données traitées

    CatégorieFinalitéDurée
    Identité (nom, e-mail, téléphone)Gestion du compte et des formulairesDurée du contrat + 10 ans
    Données de santé (anamnèses)Documentation clinique obligatoireDurée du contrat + 10 ans
    Signatures électroniquesPreuve de consentementDurée du contrat + 10 ans
    Photos cliniquesDocumentation avant/après traitementDurée du contrat + 10 ans
    Données techniques (IP, logs)Sécurité et traçabilité12 mois

    Droits des personnes concernées

    Les patients et les utilisateurs professionnels disposent des droits suivants :

    • Droit d'accès (art. 25 LPD / art. 15 RGPD)
    • Droit de rectification (art. 32 LPD / art. 16 RGPD)
    • Droit à l'effacement (art. 32 LPD / art. 17 RGPD)
    • Droit à la portabilité (art. 28 LPD / art. 20 RGPD)
    • Droit d'opposition (art. 30 LPD / art. 21 RGPD)

    Les patients doivent adresser leurs demandes à leur institut, qui est le responsable du traitement. L'institut peut transmettre la demande à support@welby.ch pour exécution technique.

    Registre des activités de traitement

    Conformément à l'art. 12 LPD et à l'art. 30 RGPD, Hundred Technologies Sàrl tient un registre des activités de traitement. Ce registre est disponible sur demande auprès de admin@welby.ch.

    Notification des violations

    En cas de violation de données à caractère personnel, Hundred Technologies Sàrl s'engage à :

    • Notifier le PFPDT dans les meilleurs délais (art. 24 LPD).
    • Notifier l'autorité de contrôle compétente dans les 72 heures (art. 33 RGPD).
    • Informer les personnes concernées si la violation est susceptible d'engendrer un risque élevé (art. 24 al. 4 LPD / art. 34 RGPD).
    • Informer les instituts clients dans les 24 heures suivant la découverte de l'incident.

    Autorité de surveillance

    Suisse : Préposé fédéral à la protection des données et à la transparence (PFPDT), Feldeggweg 1, 3003 Berne — www.edoeb.admin.ch

    UE : Les personnes résidant dans l'UE peuvent s'adresser à l'autorité de protection des données de leur pays de résidence.