Politique de Sécurité
Mise à jour : Juin 2026The Key s'engage à protéger l'intégrité, la confidentialité et la disponibilité de vos données. La discrétion est au cœur de notre ADN — aussi bien dans nos services que dans notre infrastructure, conformément à l'art. 8 nLPD et à l'art. 32 RGPD.
1. Chiffrement et transport sécurisé
L'intégralité des communications entre votre navigateur et nos serveurs est chiffrée via le protocole TLS 1.3 (HTTPS). Aucune donnée sensible ne transite en clair sur le réseau.
- Certificat SSL/TLS délivré par une autorité de certification reconnue
- HSTS (HTTP Strict Transport Security) activé
- Headers de sécurité : Content-Security-Policy, X-Frame-Options, X-Content-Type-Options, Referrer-Policy
2. Contrôle d'accès
L'accès à nos systèmes est strictement encadré par le principe du moindre privilège :
- Authentification multi-facteurs (MFA) obligatoire pour tout accès administrateur
- Gestion centralisée des identités et des droits d'accès
- Journalisation de tous les accès aux données sensibles, notamment celles liées à la santé ou aux documents d'identité de nos clients
- Révision régulière des droits d'accès, tous les 3 mois
- Révocation immédiate des accès en cas de départ ou de changement de rôle au sein de notre équipe
3. Protection des données
- Données au repos chiffrées (AES-256)
- Sauvegardes chiffrées automatiques, testées régulièrement
- Isolation des environnements (production / développement / test)
- Aucune donnée client réelle en environnement de test
- Protection renforcée spécifique aux données sensibles de nos clients (santé, documents d'identité, habitudes de voyage), considérant la nature particulièrement confidentielle de notre clientèle
4. Surveillance et réponse aux incidents
Nous disposons de mécanismes de surveillance continue pour détecter toute activité anormale :
- Monitoring en temps réel des accès et des anomalies
- Alertes automatiques en cas de comportement suspect
- Procédure de réponse aux incidents définie et testée annuellement
- Notification de l'autorité compétente — le Préposé fédéral à la protection des données et à la transparence (PFPDT) pour la Suisse, et l'autorité de contrôle compétente de l'Union européenne lorsque applicable — dans les 72 heures en cas de violation de données présentant un risque
- Information des personnes concernées sans délai injustifié lorsque le risque est élevé
5. Gestion des sous-traitants
Tous nos prestataires et sous-traitants traitant des données sont soumis à des engagements contractuels de sécurité (contrats de traitement des données — DPA) conformes à la nLPD et au RGPD. Pour les prestataires situés dans des pays ne bénéficiant pas d'une reconnaissance d'adéquation, des clauses contractuelles types (CCT) sont systématiquement intégrées. Nous vérifions régulièrement leur niveau de conformité par des audits.
6. Formation et sensibilisation
L'ensemble de notre équipe bénéficie d'une formation régulière à la protection des données et à la cybersécurité, en raison de la nature particulièrement sensible des informations que nous traitons pour notre clientèle.
7. Signalement de vulnérabilité
Si vous découvrez une vulnérabilité de sécurité sur nos systèmes, nous vous invitons à nous en informer de manière responsable avant toute divulgation publique.
Responsible Disclosure
Envoyez votre rapport détaillé à contact@thekey-conciergerie.com en incluant :
- Description précise de la vulnérabilité
- Étapes pour la reproduire
- Impact potentiel estimé
- Vos coordonnées (optionnel, mais recommandé)
Nous nous engageons à accuser réception sous 48h, à traiter le rapport avec sérieux et discrétion, et à vous informer de la résolution.
8. Contact sécurité
Pour toute question relative à la sécurité de vos données : contact@thekey-conciergerie.com
Pour les questions relatives à la protection des données personnelles : contact@thekey-conciergerie.com