Version 2026-07-07 · NINABOT Sàrl, Genève · conforme LPD (CH) / RGPD
Le présent accord régit le traitement par NINABOT Sàrl (« Sous-traitant ») des données personnelles pour le compte du Client (« Responsable du traitement »), dans le cadre du service SOKKAN Cloud.
Le Client est responsable du traitement des données qu'il introduit dans son environnement. NINABOT agit comme sous-traitant, au sens de la LPD (art. 9) et du RGPD (art. 28).
NINABOT traite les données uniquement pour fournir, opérer, facturer et maintenir l'environnement du Client, pour la durée de l'abonnement. À la résiliation, l'environnement est détruit et les données sont supprimées au plus tard 30 jours après la fin de la période payée (délai de grâce permettant une éventuelle restauration à la demande du Client).
Les environnements (machines virtuelles, bases de données, réseau privé) sont hébergés et opérés en Suisse (datacenter Exoscale, Genève). Deux exceptions, inhérentes au service, sont expressément acceptées par le Client :
a) Inférence IA — le contenu que les sessions du Client soumettent aux modèles de langage transite vers le fournisseur de modèle : en BYOK, celui choisi et contracté par le Client (relation directe) ; en inférence incluse, le fournisseur listé à l'art. 6, via la passerelle NINABOT qui journalise les volumes (comptage de tokens) mais ne conserve pas le contenu des requêtes.
b) Acheminement web — l'accès au cockpit passe par le réseau de distribution de Cloudflare (terminaison TLS au point de présence le plus proche) ; Cloudflare n'héberge aucune donnée du Client au repos.
NINABOT met en œuvre des mesures techniques et organisationnelles raisonnables : isolation par environnement dédié (une machine virtuelle et un réseau privé par client, aucune adjacence réseau entre clients), pare-feu par défaut fermé en entrée, accès d'administration restreint et journalisé, chiffrement en transit, secrets d'accès à usage unique remis au Client à la création.
Pour la maintenance et la résolution d'incidents, NINABOT conserve un accès d'administration à l'environnement du Client, via un canal privé chiffré (VPN Tailscale, clés éphémères étiquetées et confinées). Cet accès est limité aux besoins d'exploitation et journalisé. NINABOT n'accède pas au contenu de travail du Client sauf demande de support explicite ou nécessité d'incident.
Le Client accepte le recours aux sous-traitants suivants :
· Exoscale (Akenes SA, Lausanne, CH) — hébergement des environnements · Stripe (Stripe Payments Europe, IE) — paiement, aucune donnée de carte ne transite par NINABOT · Cloudflare (US/UE) — acheminement web et protection · Tailscale (CA) — canal d'administration (métadonnées de connexion uniquement) · Resend (US) — envoi des emails transactionnels · Anthropic (US) — modèles d'IA pour l'inférence incluse.
NINABOT tient cette liste à jour et informe le Client (email) avant tout ajout de sous-traitant ayant accès à des données personnelles ; le Client peut s'y opposer en résiliant avant l'entrée en vigueur.
En cas de violation de données personnelles, NINABOT informe le Client sans délai injustifié et coopère à la notification aux autorités le cas échéant.
NINABOT assiste le Client, dans la mesure du possible, pour répondre aux demandes d'exercice des droits des personnes concernées.
Sur demande raisonnable (au plus une fois par an), NINABOT fournit au Client les informations nécessaires pour démontrer le respect du présent accord — description des mesures, liste des sous-traitants, journaux d'accès d'administration le concernant.
Document contractuel — relu en interne le 2026-07-07 ; évaluation externe en cours.