CONDITIONS GÉNÉRALES D'UTILISATION (CGU)

ConnectFiber - Morellia

Dernière mise à jour : 13 janvier 2026

1. PRÉAMBULE

Les présentes Conditions Générales d'Utilisation (ci-après « CGU ») définissent les règles d'accès et d'utilisation de l'application SaaS ConnectFiber (ci-après « le Service » ou « l'Application ») fournie par Morellia (ci-après « le Fournisseur »).

L'utilisation du Service implique l'acceptation pleine et entière des présentes CGU, des Conditions Générales de Vente (CGV) et de la Politique de Confidentialité.

Fournisseur :
Morellia
Route de Saint-Ignace 29
1633 Marsens, Fribourg, Suisse
Email : contact@morellia.ch
Téléphone : +41 79 833 11 63

2. DÉFINITIONS

• Client : La personne morale ou physique ayant souscrit un abonnement au Service

• Utilisateur : Toute personne physique ayant accès au Service dans le cadre d'un compte Client (employés, collaborateurs, administrateurs)

• Compte : Espace personnel sécurisé permettant l'accès au Service

• Identifiants : Login (email) et mot de passe permettant l'accès au Compte

• Données du Client : Ensemble des données saisies, téléchargées, générées ou stockées par le Client via le Service

• Données Personnelles : Données permettant d'identifier directement ou indirectement une personne physique

• CGV : Conditions Générales de Vente régissant les aspects contractuels et financiers

3. OBJET

Les présentes CGU ont pour objet de définir :

• Les conditions d'accès au Service

• Les droits et obligations des Utilisateurs

• Les règles d'utilisation acceptable du Service

• Les limitations et restrictions d'usage

• Les mesures de sécurité à respecter

4. ACCÈS AU SERVICE

4.1 Prérequis techniques

Configuration minimale requise :

• Connexion Internet haut débit stable (minimum 5 Mbps recommandé)

• Navigateur web à jour (Chrome, Firefox, Safari, Edge - dernières versions)

• JavaScript activé

• Résolution d'écran minimale : 1280x720 pixels (1920x1080 recommandé)

Compatibilité mobile :

• Le Service est accessible depuis les appareils mobiles (smartphones, tablettes)

• Une connexion Internet stable est requise

4.2 Création du Compte

La création du Compte est effectuée par le Fournisseur lors de la souscription du Client. Le Fournisseur fournit au Client :

• Un compte administrateur principal avec identifiants

• La possibilité de créer des comptes Utilisateurs supplémentaires

4.3 Identifiants et sécurité d'accès

Responsabilité des Identifiants :

• Les Identifiants sont strictement personnels et confidentiels

• Le Client et les Utilisateurs sont seuls responsables de la préservation de la confidentialité de leurs Identifiants

• Toute connexion ou transmission de données effectuée à partir d'un Compte sera réputée avoir été effectuée par le titulaire du Compte

Sécurité des mots de passe :

• Les Utilisateurs doivent choisir des mots de passe robustes (minimum 15 caractères, mélange de majuscules, minuscules, chiffres et caractères spéciaux recommandé)

• Les mots de passe ne doivent jamais être partagés, communiqués à des tiers ou notés dans des lieux accessibles

• Les mots de passe doivent être changés régulièrement et immédiatement en cas de suspicion de compromission

En cas de compromission : En cas de perte, vol, utilisation frauduleuse ou suspicion d'utilisation non autorisée des Identifiants, le Client et/ou l'Utilisateur doit immédiatement :

1. Modifier son mot de passe si possible

2. Notifier le Fournisseur par email (contact@morellia.ch) et téléphone (+41 79 833 11 63)

Le Fournisseur se réserve le droit de suspendre temporairement l'accès au Compte le temps de vérifier la légitimité de son utilisation.

Authentification à deux facteurs (2FA) : L'authentification à deux facteurs n'est pas encore disponible mais pourra être implémentée dans une version future du Service.

4.4 Gestion des Utilisateurs

Comptes multiples :

• Le Client peut créer plusieurs comptes Utilisateurs pour ses employés et collaborateurs

• Le Client administre lui-même les droits d'accès de chaque Utilisateur

• Le Client est responsable de la désactivation immédiate des comptes des employés quittant l'entreprise

Responsabilité :

• Le Client est responsable de toutes les actions effectuées via les comptes de ses Utilisateurs

• Le Client doit s'assurer que ses Utilisateurs respectent les présentes CGU

5. UTILISATION ACCEPTABLE DU SERVICE

5.1 Usage autorisé

Le Service est destiné exclusivement à un usage professionnel dans le cadre de l'activité du Client dans le secteur FTTH (gestion de rendez-vous, installations, pointages, stocks, KPI, documents).

Le Client et ses Utilisateurs s'engagent à utiliser le Service :

• Conformément à sa destination et aux présentes CGU

• Dans le respect des lois et règlements en vigueur

• De bonne foi et de manière raisonnable

• Sans porter atteinte aux droits de tiers

5.2 Usages strictement interdits

Il est expressément interdit, sans que cette liste soit exhaustive :

Usages illégaux ou frauduleux :

• Toute utilisation contraire aux lois suisses ou internationales

• Toute activité frauduleuse, délictuelle ou criminelle

• La violation des droits de propriété intellectuelle de tiers

• La diffusion de contenus illégaux, diffamatoires, injurieux, racistes, xénophobes, pornographiques ou pédopornographiques

• Le harcèlement, les menaces ou l'intimidation

Usages abusifs ou nuisibles :

• Toute tentative d'accès non autorisé aux serveurs, réseaux ou données

• L'utilisation de robots, scrapers ou autres outils automatisés non autorisés

• La surcharge intentionnelle des serveurs (déni de service)

• L'introduction de virus, malwares, chevaux de Troie ou tout code malveillant

• La tentative de contournement des mesures de sécurité

• L'ingénierie inverse, la décompilation ou le désassemblage du Service

• La copie, modification, distribution ou reproduction du code source

Usages commerciaux non autorisés :

• La revente, sous-licence ou location du Service à des tiers

• L'utilisation du Service pour le compte de tiers ou en mode bureau de service (sauf accord écrit)

• La création de services concurrents basés sur le Service

Usages portant atteinte au Service :

• Toute action susceptible de perturber, ralentir ou dégrader le Service

• Le partage public des Identifiants ou l'accès multi-utilisateurs non autorisé

• L'utilisation excessive ou abusive des ressources (stockage, bande passante)

5.3 Sanctions en cas de non-respect

En cas de violation des présentes CGU, le Fournisseur se réserve le droit, sans préavis ni indemnité :

• De suspendre temporairement ou définitivement l'accès au Compte

• De supprimer tout contenu en violation

• De résilier immédiatement le contrat conformément aux CGV

• De prendre toute action légale appropriée

• D'en informer les autorités compétentes si nécessaire

6. OBLIGATIONS ET RESPONSABILITÉS DU CLIENT

6.1 Respect de la réglementation

Protection des données : Le Client, agissant en tant que Responsable du traitement, est seul responsable :

• Du respect de la législation sur la protection des données (nLPD suisse, RGPD européen)

• De l'obtention des consentements nécessaires auprès de ses clients finaux et employés

• De la fourniture des informations légales obligatoires (finalités, durées de conservation, droits)

• Du traitement des demandes d'exercice des droits (accès, rectification, suppression, portabilité, opposition)

• De la déclaration éventuelle de traitements auprès du PFPDT (Préposé fédéral à la protection des données)

Secteur FTTH/Télécommunications : Le Client est responsable du respect de toutes réglementations spécifiques applicables à son secteur d'activité. Le Fournisseur ne garantit pas que le Service répond à toutes les obligations réglementaires spécifiques du secteur des télécommunications.

6.2 Exactitude et licéité des données

Le Client garantit que :

• Toutes les données qu'il saisit, télécharge ou traite via le Service sont exactes, à jour et licites

• Il dispose de tous les droits nécessaires sur ces données

• Ces données ne violent aucun droit de tiers (propriété intellectuelle, vie privée, etc.)

• Ces données ne contiennent aucun élément illégal, diffamatoire ou malveillant

Le Client est seul responsable du contenu des données qu'il stocke et traite via le Service.

6.3 Sécurité et vigilance

Le Client s'engage à :

• Protéger ses Identifiants et ceux de ses Utilisateurs

• Former et sensibiliser ses Utilisateurs aux bonnes pratiques de sécurité

• Surveiller l'utilisation du Service par ses Utilisateurs

• Signaler immédiatement toute anomalie, utilisation suspecte ou incident de sécurité

• Mettre en place des procédures internes de gestion des accès

• Désactiver immédiatement les comptes des employés quittant l'entreprise

6.4 Sauvegardes complémentaires

Bien que le Fournisseur effectue des sauvegardes régulières (toutes les 6 heures), le Client est fortement encouragé à effectuer ses propres exports et sauvegardes de ses données critiques à intervalles réguliers en utilisant les fonctionnalités d'export disponibles dans l'Application (formats Excel, SQL, PDF).

Le Fournisseur ne saurait être tenu responsable de la perte de données résultant de l'absence de sauvegardes complémentaires effectuées par le Client.

6.5 Maintien des coordonnées

Le Client s'engage à maintenir ses coordonnées (email, téléphone, adresse postale) à jour dans son profil et à notifier par écrit tout changement au Fournisseur dans les 15 jours.

7. GESTION DES DONNÉES

7.1 Propriété des données

Le Client demeure le seul et unique propriétaire de toutes les données qu'il saisit, génère ou stocke via le Service. Le Fournisseur ne revendique aucun droit de propriété sur ces données.

7.2 Utilisation des données par le Fournisseur

Le Fournisseur s'engage à :

• N'utiliser les données du Client que dans le cadre strict de la fourniture du Service

• Ne pas vendre, louer ou céder les données à des tiers

• Ne pas utiliser les données à des fins de marketing pour des services tiers

• Ne pas utiliser les données pour entraîner ou améliorer les modèles d'IA (sauf accord exprès du Client)

Analyse et amélioration : Le Fournisseur peut utiliser des données agrégées, anonymisées et non identifiables à des fins statistiques et d'amélioration du Service, sans possibilité de remonter à un Client ou Utilisateur spécifique.

7.3 Traitement de l'IA locale

Contrôle qualité des installations : Le Service utilise une intelligence artificielle locale (modèle Florence2) pour l'analyse automatique des photos d'installation. Ce traitement est effectué localement sur les serveurs du Fournisseur (Hetzner, Francfort).

Garanties :

• Les images ne sont pas partagées avec des services tiers d'IA

• Le modèle d'IA est exécuté en local et ne transmet pas de données à des API externes

• Les images peuvent être stockées temporairement pour le contrôle qualité puis supprimées conformément à la politique de conservation

7.4 Export et portabilité

Le Client peut à tout moment exporter ses données via l'interface de l'Application dans les formats suivants :

• Excel (XLS/XLSX) pour les données tabulaires

• PostgreSQL dump pour export complet de la base de données

• PDF pour les rapports et documents

• JPEG/PNG pour les photos et images

L'export est gratuit et illimité pendant la durée du contrat.

7.5 Conservation des données

Pendant la durée du contrat :

• Les données opérationnelles (installations, pointages, stocks) sont conservées pendant toute la durée du contrat

• Les données des clients finaux (nom, prénom, adresse, téléphone, email) sont automatiquement supprimées 2 semaines après la clôture et validation du mandat (installation validée et payée)

• Les documents et photos peuvent être conservés plus longtemps selon les besoins du Client (fonction d'archivage disponible)

Après résiliation du contrat :

• Le Client dispose de 2 mois pour récupérer ses données (voir CGV article 6.3)

• Passé ce délai, toutes les données sont supprimées de manière irréversible

• Les données comptables et factures peuvent être conservées pour obligations légales (10 ans selon droit suisse)

7.6 Suppression sur demande

Le Client ou un Utilisateur final peut à tout moment demander la suppression de données personnelles spécifiques :

• Par le Client : Suppression directe via l'interface ou demande par email/téléphone

• Par un Utilisateur final : Demande à adresser au Client (Responsable du traitement), qui transmettra au Fournisseur si nécessaire

Délai de traitement : 72 heures maximum pour une suppression manuelle demandée au Fournisseur (hors week-ends et jours fériés).

8. PROPRIÉTÉ INTELLECTUELLE

8.1 Droits du Fournisseur

Propriété exclusive : Le Service, incluant sans limitation :

• Le code source, les algorithmes et les bases de données

• Les interfaces graphiques, logos et éléments de design

• La marque "ConnectFiber" et "Morellia"

• Les modèles d'IA et leurs paramètres

• La documentation et les supports de formation

...demeure la propriété intellectuelle exclusive du Fournisseur ou de ses concédants de licence.

Licence d'utilisation limitée : Le Client bénéficie d'un droit d'utilisation personnel, non exclusif, non transférable, non cessible et révocable du Service, strictement limité à la durée du contrat et dans le cadre de son activité professionnelle.

Ce droit ne confère aucun droit de propriété sur le Service.

8.2 Restrictions

Il est strictement interdit au Client et aux Utilisateurs de :

• Copier, reproduire ou dupliquer tout ou partie du Service

• Modifier, adapter, traduire ou créer des œuvres dérivées

• Décompiler, désassembler ou procéder à l'ingénierie inverse

• Extraire le code source ou les algorithmes

• Retirer, masquer ou modifier les mentions de propriété intellectuelle

• Utiliser la marque "ConnectFiber" ou "Morellia" sans autorisation écrite

8.3 Composants open source

Le Service intègre des composants sous licences open source (liste non exhaustive) :

• n8n (Sustainable Use License & n8n Enterprise License)

• Cal.com (AGPL v3 / Commercial License)

• Supabase (Apache 2.0)

• PostgreSQL (PostgreSQL License)

• Metabase (AGPL v3)

• Florence2 (MIT License)

• Qwen2.5 (Apache 2.0 / Tongyi Qianwen License)

Ces composants restent soumis à leurs licences respectives. Le Client reconnaît et accepte ces termes.

8.4 Suggestions et contributions

Toute suggestion, idée, proposition d'amélioration, bug report ou contribution volontaire communiquée par le Client ou un Utilisateur au Fournisseur pourra être librement utilisée, modifiée et intégrée au Service par le Fournisseur sans obligation de rémunération, de reconnaissance ou de compensation envers le contributeur.

9. DISPONIBILITÉ ET MAINTENANCE

9.1 Engagement de disponibilité

Le Fournisseur s'efforce de maintenir le Service accessible 24h/24 et 7j/7, avec un objectif de disponibilité de 95% calculé sur une base mensuelle.

Exclusions : Cet engagement ne couvre pas les interruptions dues à :

• La maintenance programmée

• Les défaillances des fournisseurs tiers (Hostinger, Supabase, Hetzner)

• Les pannes d'Internet ou de télécommunication

• Les cas de force majeure

• Les actions du Client ou de tiers (attaques DDoS, etc.)

9.2 Maintenance

Maintenance programmée :

• Le Fournisseur peut effectuer des opérations de maintenance planifiées

• Ces maintenances seront, dans la mesure du possible, programmées en dehors des heures ouvrables (20h-6h, heures suisses)

• Le Client sera informé par email au moins 48 heures à l'avance pour les maintenances majeures

Maintenance d'urgence : En cas de nécessité impérieuse (faille de sécurité critique, bug majeur), le Fournisseur peut procéder à une maintenance d'urgence sans préavis.

9.3 Mises à jour

Mises à jour automatiques : Le Service fait l'objet de mises à jour régulières (corrections de bugs, améliorations, nouvelles fonctionnalités) qui sont déployées automatiquement sans intervention du Client.

Versions majeures :

• Les nouvelles fonctionnalités sont généralement incluses sans surcoût

• Certaines versions majeures avec refonte substantielle pourraient faire l'objet d'une tarification spécifique (notifiée avec 60 jours de préavis)

9.4 Interruptions de service

En cas d'interruption non programmée, le Fournisseur s'engage à :

• Rétablir le Service dans les meilleurs délais

• Informer le Client par email et/ou téléphone dès que possible

• Fournir des informations sur la nature et la durée estimée de l'interruption

Compensation : Voir CGV article 7.4 pour les conditions de compensation en cas d'indisponibilité prolongée.

10. SUPPORT TECHNIQUE

10.1 Canaux de support

Contact :

• Email : contact@morellia.ch

• Téléphone : +41 79 833 11 63

Horaires :

• Du lundi au vendredi, de 8h00 à 18h00 (heures suisses)

• Hors jours fériés du canton de Fribourg

Hors horaires : En dehors des horaires de support, les demandes seront traitées le jour ouvrable suivant.

10.2 Niveau de support inclus

Le support technique standard inclus couvre :

• L'assistance à l'utilisation des fonctionnalités du Service

• Le diagnostic et la résolution des bugs et dysfonctionnements

• Les conseils sur les bonnes pratiques

• L'assistance à la récupération de données

Délai de réponse : 72 heures ouvrables maximum pour une première réponse.

10.3 Hors périmètre du support

Le support ne couvre pas :

• La formation avancée ou répétée des Utilisateurs (au-delà de la formation initiale)

• Le développement de fonctionnalités spécifiques

• L'assistance sur des logiciels ou systèmes tiers

• Les problèmes de connexion Internet du Client

• Les problèmes matériels du Client (ordinateurs, serveurs)

• Les demandes ne relevant pas du Service

10.4 Formation

Formation initiale : Une session de formation initiale (en présentiel ou visioconférence) est incluse lors de la souscription pour l'administrateur principal et/ou les utilisateurs clés.

Documentation : Une documentation utilisateur en ligne sera progressivement mise à disposition sur www.connectfiber.ch.

Formations complémentaires : Des formations complémentaires ou webinaires pourront être proposés ultérieurement (conditions à définir).

11. SÉCURITÉ

11.1 Mesures de sécurité du Fournisseur

Le Fournisseur met en œuvre des mesures techniques et organisationnelles pour protéger le Service et les données :

Chiffrement :

• Chiffrement des communications (SSL/TLS)

• Chiffrement des données au repos (selon capacités de Supabase)

• URLs de stockage chiffrées pour les fichiers

Contrôle d'accès :

• Authentification obligatoire par email/mot de passe

• Row Level Security (RLS) sur toutes les tables de base de données

• Contrôles d'accès granulaires par rôles

• Storage privé (accès uniquement aux données autorisées)

Infrastructure :

• Hébergement sur des infrastructures certifiées (Supabase, Hostinger, Hetzner)

• Pare-feu et protection anti-intrusion

• Surveillance et logs de sécurité

Sauvegardes :

• Sauvegardes automatiques toutes les 6 heures

• Conservation des sauvegardes selon politique de Supabase

• Possibilité de restauration en cas d'incident

Gestion des vulnérabilités :

• Tests de sécurité périodiques (minimes actuellement)

• Veille sur les vulnérabilités des composants utilisés

• Application des correctifs de sécurité dès que possible

11.2 Obligations de sécurité du Client

Mots de passe :

• Utiliser des mots de passe robustes et uniques

• Ne jamais partager ses Identifiants

• Changer régulièrement ses mots de passe

• Ne pas noter ses mots de passe dans des lieux accessibles

Sensibilisation :

• Former et sensibiliser ses Utilisateurs à la sécurité

• Établir des règles internes d'utilisation

• Surveiller les activités suspectes

Gestion des accès :

• Désactiver immédiatement les comptes des employés partants

• Attribuer les droits d'accès selon le principe du moindre privilège

• Réviser régulièrement les droits d'accès

Poste de travail :

• Maintenir les systèmes d'exploitation et navigateurs à jour

• Utiliser un antivirus à jour

• Ne pas utiliser le Service sur des réseaux WiFi publics non sécurisés

11.3 Incidents de sécurité

Notification par le Client : En cas de suspicion d'incident de sécurité (accès non autorisé, fuite de données, compromission de compte), le Client doit immédiatement notifier le Fournisseur par :

• Email : contact@morellia.ch

• Téléphone : +41 79 833 11 63

Notification par le Fournisseur : En cas de violation de données à caractère personnel, le Fournisseur s'engage à :

• Notifier le Client dans les 72 heures suivant la découverte de l'incident

• Fournir toutes informations disponibles sur la nature et l'étendue de la violation

• Informer, si nécessaire, le PFPDT (Préposé fédéral à la protection des données) conformément à la nLPD

• Mettre en œuvre toutes mesures correctives appropriées

Coopération : Les parties s'engagent à coopérer de bonne foi pour gérer l'incident et limiter ses conséquences.

11.4 Limitations

Aucun système n'est inviolable : Le Client reconnaît qu'aucun système informatique n'est totalement sécurisé et qu'une sécurité absolue ne peut être garantie. Le Fournisseur ne peut donc garantir l'absence totale de faille de sécurité ou de violation de données.

Absence de RC Pro : Le Client est informé que le Fournisseur ne dispose pas actuellement d'assurance responsabilité civile professionnelle spécifique. En cas d'incident de sécurité imputable au Fournisseur, la responsabilité de ce dernier est limitée conformément aux CGV article 10.

12. CONFIDENTIALITÉ

12.1 Engagement de confidentialité

Le Fournisseur s'engage à traiter comme strictement confidentielles toutes les informations et données du Client auxquelles il a accès dans le cadre de la fourniture du Service.

Le Fournisseur s'interdit de :

• Divulguer ces informations à des tiers non autorisés

• Utiliser ces informations à d'autres fins que la fourniture du Service

• Accéder aux données du Client sauf nécessité technique ou demande expresse du Client

12.2 Exceptions

L'obligation de confidentialité ne s'applique pas aux informations :

• Déjà publiques ou tombées dans le domaine public sans faute du Fournisseur

• Dont la divulgation est requise par la loi ou une décision de justice

• Devant être communiquées aux sous-traitants techniques (Hostinger, Supabase, Hetzner) dans le cadre strict de la fourniture du Service

12.3 Sous-traitants

Le Fournisseur peut faire appel à des sous-traitants techniques pour l'hébergement et le traitement des données :

• Hostinger (Francfort, Allemagne) : Hébergement du front-end

• Supabase (Zurich, Suisse) : Base de données, authentification, stockage

• Hetzner (Francfort, Allemagne) : Serveur IA et applications (n8n, Cal.com, etc.)

Ces sous-traitants sont contractuellement tenus à la confidentialité et à la sécurité des données.

12.4 Protection des données

Les aspects relatifs à la protection des données personnelles sont régis par la Politique de Confidentialité distincte.

13. LIMITATION DE RESPONSABILITÉ

13.1 Service fourni "en l'état"

Le Service est fourni "en l'état" et "selon disponibilité". Le Fournisseur ne garantit pas que le Service :

• Sera exempt d'erreurs, de bugs ou d'interruptions

• Répondra spécifiquement aux besoins du Client

• Sera toujours disponible, ininterrompu ou sécurisé

• Sera compatible avec tous les systèmes ou navigateurs

13.2 Exclusions de garantie

Le Fournisseur exclut expressément toute garantie implicite, notamment :

• Les garanties de qualité marchande

• Les garanties d'adéquation à un usage particulier

• Les garanties de performance ou de résultat

• Les garanties de compatibilité

13.3 Limitations de responsabilité

Plafond de responsabilité : La responsabilité totale du Fournisseur est limitée à deux (2) mois d'abonnement conformément aux CGV article 10.3.

Dommages exclus : Le Fournisseur ne saurait être tenu responsable des dommages indirects (pertes de profits, de données, d'exploitation, de clientèle, etc.) conformément aux CGV article 10.3.

Causes d'exonération : Le Fournisseur n'est pas responsable des dommages causés par :

• Une faute du Client ou d'un Utilisateur

• Un usage non conforme du Service

• Une défaillance des fournisseurs tiers

• Un cas de force majeure

• Une interruption d'Internet

• Un acte malveillant de tiers

13.4 Responsabilité du Client

Le Client est seul responsable :

• De l'utilisation qu'il fait du Service et des conséquences de cette utilisation

• Des actions de ses Utilisateurs

• De la licéité et de l'exactitude de ses données

• Du respect de ses obligations légales (protection des données, etc.)

• De la sécurité de ses Identifiants et postes de travail

Le Client garantit le Fournisseur contre toute réclamation de tiers résultant d'une utilisation non conforme du Service ou d'une violation de ses obligations.

14. MODIFICATIONS DES CGU

14.1 Droit de modification

Le Fournisseur se réserve le droit de modifier les présentes CGU à tout moment pour tenir compte de :

• L'évolution du Service

• L'évolution de la législation

• L'amélioration de la sécurité

• Des considérations commerciales

14.2 Notification et entrée en vigueur

Notification : Toute modification substantielle des CGU sera notifiée au Client par :

• Email à l'adresse enregistrée

• Notification dans l'interface du Service

• Publication sur www.connectfiber.ch

Préavis : Un préavis de 30 jours calendaires sera respecté avant l'entrée en vigueur des modifications.

Acceptation : La poursuite de l'utilisation du Service après l'entrée en vigueur des modifications ou l'absence d'opposition écrite dans le délai de préavis vaut acceptation des nouvelles CGU.

Droit de résiliation : En cas de désaccord avec les modifications, le Client peut résilier le contrat sans frais dans les 30 jours suivant la notification, avec effet à la date d'entrée en vigueur des nouvelles CGU.

15. DISPOSITIONS GÉNÉRALES

15.1 Intégralité de l'accord

Les présentes CGU, conjointement avec les CGV et la Politique de Confidentialité, constituent l'intégralité de l'accord entre le Client et le Fournisseur concernant l'utilisation du Service.

15.2 Divisibilité

Si une disposition des CGU est jugée invalide ou inapplicable, les autres dispositions resteront en vigueur. La disposition invalide sera remplacée par une disposition valide d'effet équivalent.

15.3 Renonciation

Le fait pour le Fournisseur de ne pas exercer un droit ou une action prévus aux CGU ne constitue pas une renonciation à ce droit ou à cette action.

15.4 Cession

Le Client ne peut céder ses droits ou obligations au titre des présentes CGU sans l'accord écrit préalable du Fournisseur.

15.5 Droit applicable et juridiction

Les présentes CGU sont régies par le droit suisse. Tout litige sera soumis à la compétence exclusive des tribunaux du canton de Fribourg, Suisse.

16. CONTACT ET RÉCLAMATIONS

Pour toute question, réclamation ou demande concernant les présentes CGU ou l'utilisation du Service :

Email : contact@morellia.ch
Téléphone : +41 79 833 11 63
Courrier :
Morellia
Route de Saint-Ignace 29
1633 Marsens
Suisse

Horaires de disponibilité : Lundi au vendredi, 8h00 - 18h00 (heures suisses)

Date de dernière mise à jour : 13 janvier 2026

POLITIQUE DE CONFIDENTIALITÉ

ConnectFiber - Morellia

Dernière mise à jour : 13 janvier 2026

1. PRÉAMBULE

La présente Politique de Confidentialité décrit comment Morellia (ci-après « le Fournisseur », « nous », « notre ») collecte, utilise, stocke et protège les données à caractère personnel dans le cadre de l'application SaaS ConnectFiber (ci-après « le Service »).

Le Fournisseur est fermement engagé à protéger la vie privée et les données personnelles de ses utilisateurs conformément à la législation suisse, notamment la nouvelle Loi fédérale sur la protection des données (nLPD) entrée en vigueur le 1er septembre 2023, et le cas échéant au Règlement Général sur la Protection des Données (RGPD) européen.

Responsable du traitement :
Morellia
Route de Saint-Ignace 29
1633 Marsens, Fribourg, Suisse
Email : contact@morellia.ch
Téléphone : +41 79 833 11 63

2. CHAMP D'APPLICATION

La présente Politique de Confidentialité s'applique à :

• Tous les utilisateurs du Service ConnectFiber (clients professionnels et leurs employés)

• Toutes les données personnelles collectées et traitées via le Service

• Le site web www.connectfiber.ch et www.morellia.ch

3. DÉFINITIONS

Pour faciliter la compréhension de cette politique, voici les principales définitions :

• Données à caractère personnel : Toute information se rapportant à une personne physique identifiée ou identifiable

• Traitement : Toute opération effectuée sur des données (collecte, enregistrement, conservation, modification, consultation, communication, suppression, etc.)

• Responsable du traitement : Entité qui détermine les finalités et les moyens du traitement des données

• Sous-traitant : Entité qui traite des données pour le compte du Responsable du traitement

• Personne concernée : Personne physique dont les données personnelles sont traitées

• nLPD : Nouvelle Loi fédérale suisse sur la protection des données (en vigueur depuis septembre 2023)

• RGPD : Règlement Général sur la Protection des Données de l'Union Européenne

• PFPDT : Préposé fédéral à la protection des données et à la transparence (autorité suisse)

4. QUALITÉ DES PARTIES ET RÔLES

4.1 Relations tripartites

Dans le cadre de l'utilisation du Service, trois types d'acteurs interviennent :

Le Fournisseur (Morellia) :

• Agit comme Responsable du traitement pour les données de ses clients professionnels (entreprises FTTH)

• Agit comme Sous-traitant pour les données des clients finaux et employés de ses clients

Le Client (entreprise FTTH) :

• Agit comme Responsable du traitement pour les données de ses propres clients finaux (particuliers bénéficiaires des installations FTTH) et de ses employés/techniciens

• Utilise le Service comme outil pour gérer son activité

Les Personnes concernées :

• Employés et administrateurs du Client (Utilisateurs du Service)

• Clients finaux du Client (particuliers bénéficiaires des installations FTTH)

4.2 Responsabilités respectives

Le Fournisseur est responsable de :

• La protection et la sécurité technique des données stockées sur le Service

• Le respect de la nLPD et du RGPD dans son rôle de Sous-traitant

• La mise en œuvre de mesures de sécurité appropriées

• L'assistance au Client dans le respect de ses obligations

Le Client est responsable de :

• La licéité de la collecte des données de ses clients finaux et employés

• L'obtention des consentements nécessaires

• La fourniture des informations légales obligatoires à ses clients finaux

• Le traitement des demandes d'exercice de droits de ses clients finaux

• Le respect de la réglementation applicable à son secteur (FTTH/télécommunications)

5. DONNÉES COLLECTÉES

5.1 Données des clients professionnels (entreprises FTTH)

Données d'identification et de contact :

• Nom de l'entreprise

• Nom et prénom du représentant légal

• Adresse professionnelle complète

• Numéro de téléphone professionnel

• Adresse email professionnelle

• Numéro IDE (si applicable)

• Numéro de TVA (si applicable)

Données de facturation :

• Informations de facturation (adresse de facturation si différente)

• Historique des paiements

• Factures émises

Données d'utilisation du Service :

• Identifiants de connexion (email, mot de passe haché)

• Dates et heures de connexion

• Actions effectuées dans l'application (à des fins de traçabilité et sécurité)

Base légale : Exécution du contrat (article 31 al. 1 nLPD)

5.2 Données des employés du Client (Utilisateurs)

Données professionnelles :

• Nom et prénom

• Email professionnel

• Fonction/rôle dans l'entreprise

• Droits d'accès attribués

Données de pointage et de production :

• Heures de travail (pointages)

• Interventions effectuées

• KPI individuels de production

Base légale : Intérêt légitime du Client employeur (gestion RH et production) et/ou exécution du contrat de travail (article 31 al. 1 et 2 nLPD)

5.3 Données des clients finaux (particuliers bénéficiaires FTTH)

Données personnelles minimales :

• Nom et prénom

• Adresse complète du lieu d'installation

• Numéro de téléphone

• Adresse email

Données d'intervention :

• Date et heure de rendez-vous

• Type d'installation demandée

• Statut de l'intervention (en cours, validée, clôturée)

• Photos de l'installation (pour contrôle qualité via IA)

Conservation limitée : Ces données sont automatiquement supprimées 2 semaines après la validation et clôture du mandat (installation validée et payée), sauf demande contraire du Client pour des besoins de SAV.

Base légale :

• Pour le Fournisseur : Traitement pour le compte du Client (sous-traitance)

• Pour le Client : Exécution du contrat avec le client final et obligations légales (article 31 al. 1 et 2 nLPD)

5.4 Données techniques

Données de connexion (logs) :

• Adresse IP (non collectée actuellement selon vos indications)

• Type de navigateur et système d'exploitation

• Horodatage des connexions

• Pages consultées dans l'application

Cookies : Le Service n'utilise actuellement pas de cookies de tracking ou d'analytics tiers.

6. FINALITÉS DU TRAITEMENT

6.1 Fourniture et gestion du Service

Les données sont traitées pour :

• Créer et gérer les comptes clients et utilisateurs

• Permettre l'accès au Service et son utilisation

• Fournir les fonctionnalités du Service (gestion des rendez-vous, installations, pointages, stocks, KPI, documents)

• Assurer le support technique et l'assistance

6.2 Gestion administrative et comptable

• Facturation et gestion des paiements

• Gestion des relances et contentieux

• Tenue de la comptabilité

• Respect des obligations fiscales et légales

6.3 Sécurité et prévention des fraudes

• Authentification et contrôle d'accès

• Détection et prévention des utilisations frauduleuses

• Traçabilité des actions (logs de sécurité)

• Gestion des incidents de sécurité

6.4 Amélioration du Service

• Analyse des dysfonctionnements et bugs

• Amélioration de l'expérience utilisateur

• Développement de nouvelles fonctionnalités

Important : Le Fournisseur n'utilise PAS les données clients pour entraîner ou améliorer ses modèles d'IA, sauf accord exprès du Client.

6.5 Communication

• Envoi d'informations importantes sur le Service (maintenances, mises à jour, modifications contractuelles)

• Support technique

• Emails informatifs sur les nouvelles fonctionnalités (avec possibilité de désinscription)

Le Fournisseur n'utilise PAS les données à des fins de marketing pour des produits ou services tiers.

7. BASE LÉGALE DES TRAITEMENTS

Conformément à la nLPD (article 31), les traitements de données personnelles effectués par le Fournisseur reposent sur les bases légales suivantes :

• Exécution du contrat (art. 31 al. 1 nLPD) : Gestion des comptes, fourniture du Service, facturation

• Obligations légales (art. 31 al. 2 let. a nLPD) : Conservation des données comptables, fiscales, réponse aux demandes des autorités

• Intérêts légitimes (art. 31 al. 2 let. d nLPD) : Sécurité du Service, prévention des fraudes, amélioration du Service

• Consentement (art. 31 al. 1 nLPD) : Communications marketing (possibilité de retrait à tout moment)

8. DESTINATAIRES DES DONNÉES

8.1 Au sein du Fournisseur

Les données sont accessibles uniquement :

• Au personnel autorisé du Fournisseur (propriétaire unique actuellement) strictement dans le cadre de ses fonctions

• Aucun accès aux données clients sauf nécessité technique ou demande expresse du Client

8.2 Sous-traitants techniques (hébergement et infrastructure)

Le Fournisseur fait appel aux sous-traitants suivants pour l'hébergement et le fonctionnement technique du Service :

Hostinger (UAB "Hostinger International")

• Rôle : Hébergement du front-end (interface web)

• Localisation : Francfort, Allemagne (Union Européenne)

• Données traitées : Code HTML/CSS/JavaScript, aucune donnée personnelle stockée

• Conformité : RGPD

• Politique de confidentialité : https://www.hostinger.com/privacy-policy

Supabase (Supabase Inc.)

• Rôle : Base de données PostgreSQL, authentification, stockage de fichiers

• Localisation : Zurich, Suisse (données stockées en Suisse)

• Données traitées : Toutes les données applicatives (clients, utilisateurs, clients finaux, documents, photos)

• Conformité : RGPD, certifications SOC 2 Type II

• Politique de confidentialité : https://supabase.com/privacy

• DPA disponible : Oui

Hetzner (Hetzner Online GmbH)

• Rôle : Hébergement du serveur IA et applications (n8n, Cal.com, traitement IA)

• Localisation : Francfort, Allemagne (Union Européenne)

• Données traitées : Photos d'installation pour analyse IA, données d'automatisation n8n, données de rendez-vous Cal.com

• Conformité : RGPD, certifications ISO 27001

• Politique de confidentialité : https://www.hetzner.com/legal/privacy-policy

Garanties :

• Tous les sous-traitants sont situés en Suisse ou dans l'Union Européenne

• Aucun transfert de données hors Suisse/UE du fait du Fournisseur

• Ces sous-traitants offrent des garanties de sécurité et de conformité appropriées

• Des accords de sous-traitance (DPA - Data Processing Agreement) sont en place ou en cours avec ces partenaires

8.3 Services intégrés open source

Le Service utilise les logiciels open source suivants hébergés sur le serveur Hetzner du Fournisseur :

• n8n : Automatisation de workflows (self-hosted, pas de transfert de données à n8n GmbH)

• Cal.com : Gestion de calendrier et prise de rendez-vous (self-hosted, pas de transfert de données à Cal.com Inc.)

• Metabase : Analyse et visualisation de données (self-hosted)

• PostgreSQL : Base de données (via Supabase)

• Florence2 : Modèle d'IA pour analyse d'images (exécuté localement sur serveur Hetzner)

• Qwen2.5 : Modèle de langage (exécuté localement si utilisé)

Important : Ces outils sont hébergés en local sur l'infrastructure du Fournisseur et n'envoient aucune donnée à des services tiers externes.

8.4 Autorités et tiers autorisés

Le Fournisseur peut être amené à communiquer des données personnelles :

• Aux autorités judiciaires, fiscales ou administratives sur demande légale

• Aux conseils juridiques et experts-comptables (sous obligation de confidentialité)

• En cas de réquisition judiciaire ou administrative

8.5 Absence de partage commercial

Le Fournisseur ne vend, ne loue et ne partage jamais les données personnelles avec :

• Des annonceurs ou régies publicitaires

• Des courtiers en données

• Des partenaires commerciaux pour du marketing tiers

• Toute autre entité à des fins commerciales

9. TRANSFERTS INTERNATIONAUX DE DONNÉES

9.1 Localisation géographique des données

Données principales :

• Supabase (base de données principale) : Zurich, Suisse 🇨🇭

• Hetzner (serveur IA) : Francfort, Allemagne (UE) 🇩🇪

• Hostinger (front-end) : Francfort, Allemagne (UE) 🇩🇪

9.2 Aucun transfert hors Suisse/UE

Garantie du Fournisseur : Le Fournisseur garantit qu'aucune donnée personnelle n'est transférée hors de la Suisse ou de l'Union Européenne dans le cadre de la fourniture du Service, sauf demande explicite du Client.

9.3 Choix du stockage par le Client

Le Client peut choisir son propre mode de stockage pour certaines données :

• Stockage sur le cloud de son choix (responsabilité du Client en termes de localisation et conformité)

• Stockage local sur ses propres serveurs

Dans ce cas, le Client est responsable de la conformité de sa solution de stockage avec la réglementation applicable.

9.4 Mécanismes de protection (si transferts futurs)

Si des transferts hors Suisse/UE devaient être mis en place à l'avenir, le Fournisseur s'engage à :

• Informer le Client préalablement

• Mettre en place des garanties appropriées (Clauses Contractuelles Types de la Commission Européenne, décision d'adéquation, etc.)

• Obtenir le consentement du Client si nécessaire

10. DURÉE DE CONSERVATION DES DONNÉES

10.1 Données des clients professionnels (entreprises)

Pendant la durée du contrat :

• Toutes les données nécessaires à la fourniture du Service sont conservées

Après résiliation du contrat :

• Données de production et opérationnelles : Suppression après la période de récupération de 2 mois (voir article 10.4)

• Données comptables et factures : Conservation pendant 10 ans (obligation légale suisse - art. 958f CO)

• Données fiscales : Conservation selon obligations légales fiscales suisses

10.2 Données des employés du Client (Utilisateurs)

• Conservées pendant toute la durée du contrat avec le Client

• Supprimées 2 mois après la résiliation du contrat (période de récupération)

• Sauf données comptables (pointages à des fins de facturation) conservées 10 ans

10.3 Données des clients finaux (particuliers)

Conservation très limitée : Les données des clients finaux (nom, prénom, adresse, téléphone, email, photos d'installation) sont automatiquement supprimées 2 semaines après la clôture et validation du mandat d'installation.

Exceptions :

• Si le Client demande expressément une conservation plus longue pour des besoins de SAV (Service Après-Vente), les données peuvent être conservées jusqu'à 6 mois maximum sauf accord contraire

• Les données peuvent être conservées si elles font l'objet d'une obligation légale (litige, réquisition judiciaire)

10.4 Période de récupération après résiliation

Après la résiliation du contrat avec un Client :

• Le Client dispose de 2 mois pour demander la récupération de ses données

• Passé ce délai, toutes les données sont définitivement et irréversiblement supprimées

• Le Fournisseur fournit un export complet dans un format exploitable (PostgreSQL dump, Excel, PDF)

10.5 Sauvegardes

Sauvegardes automatiques :

• Fréquence : Toutes les 6 heures

• Conservation des sauvegardes : Selon politique de Supabase (généralement 7 à 30 jours)

• Les sauvegardes sont également supprimées après la période de récupération de 2 mois

10.6 Suppression définitive

La suppression des données est réalisée de manière sécurisée et irréversible :

• Suppression des données de la base de données de production

• Suppression des fichiers du stockage (photos, documents)

• Suppression des sauvegardes après la période de rétention

• Aucune possibilité de récupération après suppression définitive

11. SÉCURITÉ DES DONNÉES

Le Fournisseur met en œuvre des mesures techniques et organisationnelles appropriées pour protéger les données personnelles contre la destruction accidentelle ou illicite, la perte, l'altération, la divulgation ou l'accès non autorisés.

11.1 Mesures techniques de sécurité

Chiffrement :

• Chiffrement en transit : Tous les échanges entre les navigateurs des utilisateurs et les serveurs sont chiffrés via SSL/TLS (HTTPS)

• Chiffrement au repos : Les données stockées sur Supabase bénéficient du chiffrement au repos (AES-256)

• URLs de stockage chiffrées : Les URLs d'accès aux fichiers (photos, documents) sont chiffrées et temporaires

Contrôle d'accès :

• Row Level Security (RLS) : Mise en place sur toutes les tables de la base de données Supabase pour garantir que chaque utilisateur ne peut accéder qu'aux données qui le concernent

• Storage privé : Le stockage de fichiers est privé par défaut, accessible uniquement via authentification

• Authentification robuste : Système d'authentification par email et mot de passe (haché avec algorithmes sécurisés : bcrypt ou Argon2)

• Gestion des sessions : Sessions sécurisées avec timeout automatique

• Principe du moindre privilège : Attribution des droits d'accès strictement nécessaires

Infrastructure et réseaux :

• Hébergement sur des infrastructures certifiées (Supabase, Hetzner, Hostinger)

• Pare-feu et protection anti-intrusion

• Protection DDoS fournie par les hébergeurs

• Isolation des environnements (production, développement)

Sauvegardes :

• Sauvegardes automatiques toutes les 6 heures

• Stockage géographiquement redondant (selon infrastructure Supabase)

• Possibilité de restauration en cas d'incident

Journalisation (logs) :

• Logs de sécurité pour traçabilité des accès et actions critiques

• Conservation limitée dans le temps

• Accès restreint aux logs

11.2 Mesures organisationnelles

Accès restreint :

• Accès aux données limité au strict nécessaire (propriétaire unique actuellement)

• Aucun accès aux données clients sauf nécessité technique ou demande expresse

• Principe de moindre privilège

Gestion des vulnérabilités :

• Veille sur les vulnérabilités des composants utilisés (dépendances npm, bibliothèques, frameworks)

• Application des correctifs de sécurité dès que possible

• Tests de sécurité périodiques (tests minimes actuellement, à renforcer)

Politique de mots de passe :

• Exigence de mots de passe robustes (recommandé : 15+ caractères, complexité)

• Mots de passe hachés et jamais stockés en clair

• Possibilité de réinitialisation sécurisée

Sensibilisation :

• Sensibilisation des utilisateurs à la sécurité (via formation initiale et documentation)

• Recommandations de bonnes pratiques

11.3 Limitations et transparence

Aucun système n'est inviolable : Malgré toutes les mesures mises en place, le Fournisseur ne peut garantir une sécurité absolue à 100%. Aucun système informatique n'est totalement invulnérable aux attaques sophistiquées ou aux vulnérabilités zero-day.

Absence de certifications formelles : Le Fournisseur n'a pas encore obtenu de certifications de sécurité formelles (ISO 27001, SOC 2, etc.). Toutefois, les sous-traitants (Supabase, Hetzner) disposent de telles certifications.

Absence de tests de pénétration professionnels : Des tests de sécurité de base sont effectués, mais aucun audit de sécurité ou test de pénétration par un tiers spécialisé n'a encore été réalisé. Cela est prévu pour l'avenir.

Absence de RC Pro et cyber-assurance : Le Fournisseur ne dispose pas actuellement d'assurance responsabilité civile professionnelle ni de cyber-assurance. En cas d'incident de sécurité majeur, la responsabilité financière du Fournisseur est limitée conformément aux CGV (article 10).

11.4 Co-responsabilité du Client

La sécurité des données dépend également du comportement du Client et de ses Utilisateurs. Le Client doit :

• Choisir des mots de passe robustes et les conserver confidentiellement

• Ne jamais partager ses identifiants

• Maintenir à jour ses systèmes et navigateurs

• Former ses employés aux bonnes pratiques de sécurité

• Signaler immédiatement toute anomalie ou suspicion

12. GESTION DES INCIDENTS DE SÉCURITÉ

12.1 Procédure en cas de violation de données

En cas de violation de données à caractère personnel (accès non autorisé, perte, destruction, divulgation accidentelle ou illicite), le Fournisseur s'engage à :

1. Évaluation immédiate :

• Identifier la nature et l'étendue de la violation

• Évaluer les risques pour les droits et libertés des personnes concernées

• Prendre des mesures immédiates pour limiter l'impact

2. Notification au Client (dans les 72 heures) :

• Informer le Client Responsable du traitement dans un délai maximum de 72 heures suivant la découverte de la violation

• Fournir toutes informations disponibles : nature de la violation, catégories et nombre approximatif de personnes concernées, catégories de données, conséquences probables, mesures prises et envisagées

3. Notification aux autorités (si nécessaire) :

• Si la violation présente un risque pour les droits et libertés des personnes, notification au PFPDT (Préposé fédéral à la protection des données et à la transparence) conformément à l'article 24 nLPD

• Le Client Responsable du traitement doit également notifier le PFPDT pour les données dont il est responsable

4. Notification aux personnes concernées (si nécessaire) :

• Si la violation présente un risque élevé pour les droits et libertés des personnes, information directe des personnes concernées (effectuée par le Client pour ses clients finaux, par le Fournisseur pour ses clients professionnels)

5. Documentation :

• Tenir un registre de toutes les violations de données

• Documenter les faits, les effets et les mesures prises

12.2 Mesures correctives

Après un incident, le Fournisseur s'engage à :

• Analyser les causes de l'incident

• Renforcer les mesures de sécurité pour éviter toute récidive

• Mettre en place un plan d'action correctif

• Informer le Client des mesures prises

12.3 Coopération

Le Client et le Fournisseur s'engagent à coopérer de bonne foi pour :

• Gérer l'incident efficacement

• Limiter les conséquences pour les personnes concernées

• Rétablir la sécurité du Service

• Tirer les enseignements de l'incident

12.4 Signalement par le Client

En cas de suspicion d'incident de sécurité (compte compromis, accès suspect, etc.), le Client doit immédiatement contacter le Fournisseur :

Email : contact@morellia.ch
Téléphone : +41 79 833 11 63

13. DROITS DES PERSONNES CONCERNÉES

Conformément à la nLPD suisse (articles 25 à 28) et au RGPD européen (articles 15 à 22), les personnes concernées disposent des droits suivants :

13.1 Droit d'accès (Art. 25 nLPD / Art. 15 RGPD)

Toute personne peut demander :

• La confirmation que des données la concernant sont traitées

• La communication de ces données

• Les informations sur les finalités du traitement, les catégories de données, les destinataires, la durée de conservation, l'origine des données

Comment exercer ce droit :

• Pour les clients professionnels et Utilisateurs : Demande à adresser au Fournisseur par email (contact@morellia.ch) ou courrier

• Pour les clients finaux (particuliers) : Demande à adresser au Client (entreprise FTTH qui est Responsable du traitement), qui transmettra au Fournisseur si nécessaire

Délai de réponse : 30 jours maximum à compter de la réception de la demande (article 25 al. 4 nLPD)

Format : Les données sont fournies gratuitement dans un format structuré et couramment utilisé (PDF, Excel, JSON)

13.2 Droit de rectification (Art. 32 nLPD / Art. 16 RGPD)

Toute personne peut demander :

• La rectification de données inexactes ou incomplètes la concernant

Comment exercer ce droit :

• Via l'interface du Service (modification directe par les Utilisateurs de leurs propres données)

• Par email ou téléphone au Fournisseur ou au support client

• Les administrateurs du Client peuvent rectifier les données de leurs Utilisateurs et clients finaux

Délai de traitement : Dans les meilleurs délais, et au maximum 72 heures pour les demandes manuelles

13.3 Droit à l'effacement / Droit à l'oubli (Art. 32 nLPD / Art. 17 RGPD)

Toute personne peut demander :

• La suppression de ses données personnelles

Conditions :

• Les données ne sont plus nécessaires aux finalités pour lesquelles elles ont été collectées

• La personne retire son consentement (si applicable)

• Les données font l'objet d'un traitement illicite

• Une obligation légale impose la suppression

Exceptions (conservation obligatoire) :

• Obligations légales (données comptables et fiscales : 10 ans)

• Constatation, exercice ou défense de droits en justice

• Archivage dans l'intérêt public

Comment exercer ce droit :

• Pour les Utilisateurs : Demande au Fournisseur ou au Client employeur

• Pour les clients finaux : Demande au Client (entreprise FTTH), qui la transmettra au Fournisseur

• Suppression automatique des données des clients finaux après 2 semaines (clôture du mandat)

Délai de traitement : 72 heures maximum

13.4 Droit à la portabilité des données (Art. 28 nLPD / Art. 20 RGPD)

Toute personne peut demander :

• La récupération de ses données dans un format structuré, couramment utilisé et lisible par machine

• La transmission directe de ces données à un autre responsable du traitement (si techniquement possible)

Format fourni :

• Excel (XLS/XLSX) pour les données tabulaires

• JSON ou CSV pour les données structurées

• PostgreSQL dump pour export complet de base de données (clients professionnels)

• PDF pour les documents et rapports

• Formats d'image originaux (JPEG, PNG) pour les photos

Comment exercer ce droit :

• Via les fonctionnalités d'export intégrées au Service

• Par demande email au Fournisseur

Gratuit et illimité pendant la durée du contrat.

13.5 Droit d'opposition (Art. 30 al. 2 let. b nLPD / Art. 21 RGPD)

Toute personne peut s'opposer :

• Au traitement de ses données basé sur l'intérêt légitime

• Au traitement à des fins de marketing direct (désinscription des newsletters)

Comment exercer ce droit :

• Lien de désinscription dans chaque email marketing

• Email à contact@morellia.ch

• Courrier postal

Effet : Cessation immédiate du traitement concerné (sauf motif légitime impérieux du Fournisseur ou nécessité légale)

13.6 Droit à la limitation du traitement (Art. 32 nLPD / Art. 18 RGPD)

Toute personne peut demander :

• La limitation (gel) du traitement de ses données dans certaines circonstances :

  • Contestation de l'exactitude des données (pendant vérification)

  • Traitement illicite mais opposition à la suppression

  • Conservation nécessaire pour constatation, exercice ou défense de droits

  • Opposition au traitement (pendant vérification du motif légitime)

Effet : Les données ne peuvent être que conservées, sans autre traitement (sauf exceptions légales)

13.7 Droits spécifiques liés aux décisions automatisées

Le Service n'effectue actuellement aucune décision automatisée ou profilage ayant des effets juridiques significatifs sur les personnes.

L'IA utilisée (Florence2) sert uniquement au contrôle qualité des installations (détection d'anomalies visuelles sur photos) et n'a aucun effet juridique direct sur les personnes. La décision finale reste humaine.

13.8 Modalités d'exercice des droits

Pour les clients professionnels et Utilisateurs :

Email : contact@morellia.ch
Téléphone : +41 79 833 11 63
Courrier :
Morellia - Service Protection des Données
Route de Saint-Ignace 29
1633 Marsens, Suisse

Pour les clients finaux (particuliers) :

Les clients finaux doivent adresser leurs demandes au Client (entreprise FTTH) qui est le Responsable du traitement de leurs données. Le Client transmettra la demande au Fournisseur si nécessaire.

Pièces justificatives : En cas de doute sur l'identité du demandeur, le Fournisseur peut demander une copie d'une pièce d'identité pour éviter toute divulgation à une personne non autorisée.

Délai de réponse :

• 30 jours maximum conformément à l'article 25 al. 4 nLPD

• Prolongation possible de 2 mois en cas de demande complexe (avec notification au demandeur)

Gratuité : L'exercice des droits est gratuit, sauf demandes manifestement abusives ou excessives (article 25 al. 5 nLPD).

13.9 Droit de déposer une plainte

Toute personne estimant que ses droits ont été violés peut déposer une plainte auprès de l'autorité de contrôle compétente :

En Suisse :
PFPDT - Préposé fédéral à la protection des données et à la transparence
Feldeggweg 1
CH-3003 Berne
Téléphone : +41 (0)58 462 43 95
Email : info@edoeb.admin.ch
Site web : https://www.edoeb.admin.ch

Dans l'Union Européenne :
Autorité de contrôle du pays de résidence de la personne concernée (liste disponible sur https://edpb.europa.eu)

14. COOKIES ET TECHNOLOGIES DE SUIVI

14.1 Cookies utilisés

Le Service ConnectFiber n'utilise actuellement aucun cookie de tracking, d'analytics ou de marketing tiers.

Cookies strictement nécessaires : Des cookies techniques strictement nécessaires au fonctionnement du Service peuvent être utilisés, notamment :

• Cookie de session d'authentification (pour maintenir la connexion de l'utilisateur)

• Cookies de sécurité (prévention CSRF, XSS)

Ces cookies sont indispensables au fonctionnement du Service et ne peuvent être désactivés sans compromettre l'utilisation de l'application.

14.2 Outils d'analytics

Le Service n'utilise actuellement aucun outil d'analytics tiers (pas de Google Analytics, Matomo, etc.).

Si un tel outil venait à être intégré à l'avenir, le Client sera informé et pourra exercer son droit d'opposition.

14.3 Réseaux sociaux

Le Service n'intègre actuellement aucun plugin de réseau social (boutons de partage, widgets, etc.).

15. PROTECTION DES MINEURS

Le Service ConnectFiber est destiné exclusivement à un usage professionnel par des entreprises et leurs employés majeurs.

Le Service n'est pas destiné aux mineurs de moins de 18 ans et le Fournisseur ne collecte pas sciemment de données personnelles de mineurs.

Si le Fournisseur découvrait qu'il a collecté des données de mineurs sans consentement parental approprié, il procédera immédiatement à leur suppression.

16. MODIFICATIONS DE LA POLITIQUE DE CONFIDENTIALITÉ

16.1 Droit de modification

Le Fournisseur se réserve le droit de modifier la présente Politique de Confidentialité à tout moment pour :

• Se conformer aux évolutions législatives et réglementaires

• Refléter les changements dans les pratiques de traitement

• Améliorer la protection des données

• Intégrer de nouveaux services ou fonctionnalités

16.2 Notification

Toute modification substantielle sera notifiée aux Clients par :

• Email à l'adresse enregistrée

• Notification dans l'interface du Service

• Publication de la nouvelle version sur www.connectfiber.ch

Préavis : Un préavis minimum de 30 jours sera respecté avant l'entrée en vigueur des modifications substantielles.

16.3 Date de mise à jour

La date de dernière mise à jour est indiquée en haut du présent document. Il est recommandé de consulter régulièrement cette Politique pour rester informé des pratiques du Fournisseur.

16.4 Version archivée

Les versions antérieures de la Politique de Confidentialité peuvent être obtenues sur demande écrite au Fournisseur.

17. RESPONSABILITÉS RESPECTIVES

17.1 Responsabilité du Fournisseur (Sous-traitant)

En tant que Sous-traitant pour les données des clients finaux, le Fournisseur s'engage à :

• Traiter les données uniquement sur instruction documentée du Client

• Garantir la confidentialité des personnes autorisées à traiter les données

• Mettre en œuvre des mesures de sécurité techniques et organisationnelles appropriées

• Assister le Client dans la réalisation d'analyses d'impact et consultations préalables

• Assister le Client pour répondre aux demandes d'exercice de droits des personnes concernées

• Mettre à disposition toute information nécessaire pour démontrer le respect des obligations

• Supprimer ou restituer les données à la fin du contrat

• Notifier toute violation de données dans les 72 heures

17.2 Responsabilité du Client (Responsable du traitement)

En tant que Responsable du traitement pour les données de ses clients finaux et employés, le Client est responsable de :

• Déterminer les finalités et moyens du traitement

• S'assurer de la licéité du traitement

• Informer les personnes concernées (notice de confidentialité)

• Obtenir les consentements nécessaires

• Respecter les principes de protection des données (minimisation, proportionnalité, limitation de conservation, etc.)

• Réaliser une analyse d'impact si nécessaire (AIPD / DPIA)

• Traiter les demandes d'exercice de droits de ses clients finaux et employés

• Déclarer les traitements auprès du PFPDT si nécessaire

• Notifier les violations de données au PFPDT et aux personnes concernées

Le Fournisseur ne peut être tenu responsable du non-respect par le Client de ses obligations légales en matière de protection des données.

17.3 Accord de sous-traitance (DPA)

La présente Politique de Confidentialité, conjointement avec les CGV et CGU, constitue l'accord de sous-traitance (Data Processing Agreement - DPA) entre le Fournisseur et le Client pour les traitements de données des clients finaux.

Le Fournisseur s'engage à formaliser un DPA distinct plus détaillé sur demande du Client.

18. INFORMATIONS COMPLÉMENTAIRES

18.1 Contact - Délégué à la Protection des Données

Le Fournisseur n'a pas encore désigné de Délégué à la Protection des Données (DPO) conformément à l'article 10 nLPD, cette obligation ne s'appliquant qu'aux organisations traitant des données sensibles à grande échelle.

Pour toute question relative à la protection des données, vous pouvez contacter :

Responsable de la protection des données :
Morellia
À l'attention du : Propriétaire
Route de Saint-Ignace 29
1633 Marsens, Suisse
Email : contact@morellia.ch
Téléphone : +41 79 833 11 63

Horaires de contact : Lundi au vendredi, 8h00 - 18h00 (heures suisses)

18.2 Registre des activités de traitement

Conformément à l'article 12 nLPD, le Fournisseur tient un registre des activités de traitement qu'il effectue en tant que Responsable du traitement et Sous-traitant.

Ce registre peut être consulté sur demande écrite adressée au Fournisseur.

18.3 Analyse d'impact relative à la protection des données (AIPD)

Le Fournisseur évalue régulièrement les risques pour les droits et libertés des personnes concernées. Si un traitement présente un risque élevé, une Analyse d'Impact relative à la Protection des Données (AIPD / DPIA) sera réalisée conformément à l'article 22 nLPD.

Le Client, en tant que Responsable du traitement pour ses propres clients finaux, doit réaliser sa propre AIPD si ses traitements présentent un risque élevé.

18.4 Consultations préalables

Si une AIPD révèle un risque élevé résiduel malgré les mesures prises, le Fournisseur et/ou le Client consulteront le PFPDT avant de procéder au traitement, conformément à l'article 23 nLPD.

19. GLOSSAIRE - TERMES TECHNIQUES

Pour faciliter la compréhension de cette politique :

• Chiffrement (SSL/TLS) : Technique cryptographique protégeant les données pendant leur transmission sur Internet

• Chiffrement au repos : Protection des données stockées sur disques durs par cryptage

• Row Level Security (RLS) : Mécanisme de sécurité limitant l'accès aux lignes d'une base de données selon des règles précises

• Hachage de mot de passe : Transformation irréversible du mot de passe en une chaîne de caractères illisible (bcrypt, Argon2)

• DPA (Data Processing Agreement) : Accord de sous-traitance définissant les responsabilités en matière de protection des données

• PFPDT : Préposé fédéral à la protection des données et à la transparence (autorité suisse de contrôle)

• nLPD : Nouvelle Loi fédérale sur la protection des données (en vigueur depuis septembre 2023)

• RGPD : Règlement Général sur la Protection des Données de l'UE

• AIPD / DPIA : Analyse d'Impact relative à la Protection des Données / Data Protection Impact Assessment

• Données sensibles : Données révélant l'origine, les opinions, la santé, les données biométriques/génétiques (art. 5 let. c nLPD)

20. ENGAGEMENTS ET TRANSPARENCE

20.1 Nos engagements

Le Fournisseur s'engage à :

• ✓ Respecter scrupuleusement la nLPD suisse et le RGPD européen

• ✓ Traiter les données personnelles avec le plus grand soin et confidentialité

• ✓ Ne jamais vendre ou louer les données à des tiers

• ✓ Mettre en œuvre des mesures de sécurité robustes

• ✓ Notifier rapidement toute violation de données (72h maximum)

• ✓ Répondre aux demandes d'exercice de droits dans les délais légaux (30 jours)

• ✓ Être transparent sur nos pratiques de traitement

• ✓ Améliorer continuellement nos pratiques de protection des données

• ✓ Former et sensibiliser sur la protection des données

20.2 Transparence sur nos limites

Par souci de transparence, nous informons les Clients de certaines limites actuelles :

• ⚠ Absence de RC Professionnelle et de cyber-assurance (prévues à terme)

• ⚠ Absence de certifications de sécurité formelles (ISO 27001, SOC 2)

• ⚠ Tests de sécurité basiques (pas encore d'audit par tiers spécialisé)

• ⚠ Pas de DPO (Délégué à la Protection des Données) désigné formellement

• ⚠ Documentation de sécurité et AIPD à renforcer

• ⚠ Authentification à deux facteurs (2FA) pas encore implémentée

Ces limitations seront progressivement comblées avec le développement de l'entreprise.

Les Clients professionnels sont invités à prendre en compte ces éléments dans leur propre évaluation des risques et à mettre en place des mesures compensatoires si nécessaire (sauvegardes complémentaires, assurances, etc.).

21. LIENS UTILES ET RESSOURCES

21.1 Ressources officielles suisses

• PFPDT (Préposé fédéral à la protection des données) : https://www.edoeb.admin.ch

• Loi fédérale sur la protection des données (nLPD) : https://www.fedlex.admin.ch

• Guide pratique de la nLPD pour les entreprises : https://www.edoeb.admin.ch/edoeb/fr/home/protection-des-donnees/documentation.html

21.2 Ressources européennes

• Texte du RGPD : https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:32016R0679

• Comité Européen de la Protection des Données (CEPD) : https://edpb.europa.eu

• Autorités de protection des données dans l'UE : https://edpb.europa.eu/about-edpb/about-edpb/members_fr

21.3 Politiques de confidentialité des sous-traitants

• Supabase : https://supabase.com/privacy

• Hostinger : https://www.hostinger.com/privacy-policy

• Hetzner : https://www.hetzner.com/legal/privacy-policy

22. QUESTIONS FRÉQUENTES (FAQ)

Q1 : Mes données sont-elles hébergées en Suisse ?

R : Oui, les données principales sont hébergées sur Supabase dans leur data center de Zurich, Suisse. Certains traitements sont effectués sur des serveurs situés à Francfort en Allemagne (Union Européenne). Aucune donnée n'est transférée hors Suisse/UE.

Q2 : Combien de temps conservez-vous les données de mes clients finaux ?

R : Les données des clients finaux (nom, prénom, adresse, téléphone, email) sont automatiquement supprimées 2 semaines après la clôture et validation du mandat d'installation. Cette suppression automatique minimise les risques pour la vie privée.

Q3 : Puis-je récupérer toutes mes données si je résilie ?

R : Oui, vous disposez d'un délai de 2 mois après la résiliation pour demander un export complet de vos données dans des formats exploitables (PostgreSQL dump, Excel, PDF). Passé ce délai, toutes les données sont définitivement supprimées.

Q4 : L'IA analyse-t-elle les données de mes clients ?

R : L'IA (Florence2) est utilisée uniquement pour le contrôle qualité des photos d'installation (détection d'anomalies visuelles). Elle est exécutée localement sur nos serveurs (pas de transfert vers des API tierces comme OpenAI). Les données ne sont pas utilisées pour entraîner l'IA.

Q5 : Êtes-vous conforme au RGPD et à la nLPD ?

R : Oui, nous nous conformons aux exigences de la nLPD suisse (2023) et du RGPD européen. Toutefois, nous n'avons pas encore de certifications formelles. Nous travaillons continuellement à renforcer notre conformité.

Q6 : Que se passe-t-il en cas de fuite de données ?

R : Nous vous notifierons dans les 72 heures suivant la découverte de l'incident, conformément à la loi. Nous informerons également le PFPDT si nécessaire. Notre responsabilité financière est cependant limitée (voir CGV) et nous ne disposons pas actuellement de cyber-assurance.

Q7 : Puis-je choisir où héberger mes données ?

R : Oui, le Service vous permet de choisir votre propre solution de stockage (cloud ou local) pour certaines données. Dans ce cas, vous êtes responsable de la conformité de votre solution.

Q8 : Vendez-vous mes données à des tiers ?

R : Absolument pas. Nous ne vendons, ne louons et ne partageons jamais vos données avec des annonceurs, des courtiers en données ou des partenaires commerciaux. Vos données sont strictement confidentielles.

Q9 : Comment puis-je exercer mes droits (accès, rectification, suppression) ?

R : Contactez-nous par email (contact@morellia.ch) ou téléphone (+41 79 833 11 63). Nous répondrons dans un délai maximum de 30 jours. Pour les clients finaux, la demande doit être adressée au Client (entreprise FTTH) qui est le Responsable du traitement.

Q10 : Utilisez-vous des cookies de tracking ?

R : Non, nous n'utilisons actuellement aucun cookie de tracking, d'analytics tiers (Google Analytics) ou de marketing. Seuls des cookies techniques strictement nécessaires au fonctionnement sont utilisés (session d'authentification).

23. ACCEPTATION DE LA POLITIQUE

En souscrivant au Service ConnectFiber et en signant le devis/bon de commande, vous reconnaissez avoir pris connaissance de la présente Politique de Confidentialité et vous vous engagez à la respecter.

L'utilisation continue du Service après toute modification de cette Politique vaut acceptation des nouvelles dispositions.

24. CONTACT - PROTECTION DES DONNÉES

Pour toute question, demande d'exercice de droits ou réclamation concernant la protection de vos données personnelles :

Morellia - Service Protection des Données
Route de Saint-Ignace 29
1633 Marsens, Fribourg, Suisse

Email : contact@morellia.ch
Téléphone : +41 79 833 11 63

Horaires : Lundi au vendredi, 8h00 - 18h00 (heures suisses)

Délai de réponse garanti : 30 jours maximum conformément à l'article 25 al. 4 nLPD

Date de dernière mise à jour : 13 janvier 2026

Version : 1.0

Conforme à la nLPD (Loi fédérale sur la protection des données, entrée en vigueur le 1er septembre 2023) et au RGPD européen.