Conditions générales d'utilisation

1. Dispositions générales

Les présentes conditions générales d'utilisation (ci-après « CGU ») régissent l'accès et l'utilisation de l'application FinitoApp (ci-après « l'Application » ou « le Service »), exploitée par Orestis Zacharakis en entreprise individuelle de droit suisse (non immatriculée au Registre du commerce, conformément à l'art. 36 ORC qui dispense d'inscription les entreprises individuelles dont le chiffre d'affaires annuel reste inférieur à CHF 100'000), siège en Suisse (ci-après « FinitoApp » ou « l'Éditeur »).

En créant un compte sur FinitoApp, l'utilisateur (ci-après « l'Utilisateur ») déclare avoir pris connaissance des présentes CGU, les comprendre pleinement et les accepter sans réserve. Si l'Utilisateur n'accepte pas tout ou partie des présentes CGU, il doit s'abstenir d'utiliser le Service.

FinitoApp est une application de gestion de chantiers destinée aux professionnels du bâtiment. Elle permet la gestion de projets, le suivi des réserves et retouches, la coordination des équipes, la réception d'ouvrage et le partage de documents.

Les présentes CGU constituent l'intégralité de l'accord entre l'Utilisateur et FinitoApp. Elles prévalent sur toute autre condition générale ou particulière non expressément agréée par FinitoApp.

2. Inscription et compte utilisateur

L'accès à FinitoApp nécessite la création d'un compte. L'Utilisateur s'engage à fournir des informations exactes, complètes et à jour lors de son inscription et à les maintenir actualisées tout au long de l'utilisation du Service.

Éligibilité. FinitoApp est destinée aux professionnels du bâtiment majeurs (18 ans révolus). En créant un compte, l'Utilisateur déclare être majeur et agir dans un cadre professionnel. Les mineurs ne peuvent créer un compte qu'avec le consentement explicite et écrit de leur représentant légal, conformément à l'art. 6 al. 1 let. d RGPD et à l'art. 31 nLPD.

L'Utilisateur est seul responsable de la confidentialité de ses identifiants de connexion (adresse e-mail, mot de passe, jetons d'authentification). Toute activité réalisée depuis son compte est réputée effectuée par lui-même. En cas d'utilisation non autorisée de son compte, l'Utilisateur doit en informer immédiatement FinitoApp à l'adresse support@finitoapp.ch.

L'Utilisateur s'engage à ne pas créer de comptes multiples, à ne pas usurper l'identité d'un tiers, et à ne pas utiliser le Service à des fins frauduleuses ou contraires aux lois en vigueur.

FinitoApp se réserve le droit de suspendre ou de supprimer, sans préavis ni indemnité, tout compte en cas de violation des présentes CGU, d'utilisation abusive, frauduleuse ou illicite du Service, ou de fourniture d'informations fausses ou trompeuses.

3. Description des services

FinitoApp propose les fonctionnalités suivantes :

• Création et gestion de projets de construction et de rénovation
• Suivi des réserves et des défauts constatés sur chantier (snagging / retouches)
• Campagnes de retouches avec suivi photographique et validation
• Gestion des lots (appartements, unités, locaux) et des contacts associés (avec consentement explicite tracé du maître d'ouvrage)
• Module de réception d'ouvrage avec inspection pièce par pièce et génération de procès-verbal (PV)
• Module de planning avec création et suivi des tâches
• Partage de plans PDF avec épinglage de défauts (formules Pro & Max)
• Fil de discussion par réserve avec édition 15 min et historique complet
• Partage public temporaire (formules Pro & Max) : génération d'un lien sécurisé valable 7 jours permettant la consultation d'une réserve sans compte. Le visiteur invité accepte des conditions de partage dédiées avant accès. Le créateur peut révoquer le lien à tout moment.
• Duplication d'une réserve sur plusieurs lots en une seule opération
• Invitation et coordination des équipes avec gestion des rôles et permissions (administrateur, partenaire, intervenant, observateur)
• Génération de codes QR pour l'invitation aux projets
• Système de notifications en temps réel (push mobile inclus)
• Export PDF horodaté (Pro & Max), Excel XLSX (Max) et Word DOCX 100 % éditable (Max) des rapports et procès-verbaux
• Charte graphique d'agence sur les exports PDF et Word (logo, couleurs, police — formule Max)
• Signature électronique des rapports (formule Max)

Le Service est proposé en quatre formules :

• Lite — gratuite, accès limité (un seul projet actif, fonctionnalités d'export et de partage restreintes).
• Pro — abonnement individuel mensuel ou annuel (création de projets, collaborateurs et stockage limités, exports PDF, partage public 7 jours).
• Max — abonnement individuel mensuel ou annuel (projets et collaborateurs illimités, stockage étendu, exports Excel et Word, signature électronique, charte graphique d'agence).
• Max Team — abonnement organisation mensuel ou annuel facturé à la place (« seat »), réservé aux équipes d'au moins deux collaborateurs. Chaque place donne accès à la totalité des fonctionnalités Max plus la gestion centralisée de l'organisation et de la facturation. Le tarif unitaire dégressif décroît automatiquement avec le nombre de places souscrites (les paliers exacts sont affichés avant validation lors de la souscription via la page Profil > Organisation). Une période d'essai gratuite de 14 jours est offerte à la création de l'organisation. La résiliation est possible à tout moment ; aucun remboursement au prorata n'est dû en application de l'art. 40e CO.

Les détails et tarifs de chaque formule sont disponibles sur les pages dédiées de l'Application (Tarifs pour les formules individuelles, Profil > Organisation pour la formule Max Team).

FinitoApp se réserve le droit de modifier, d'ajouter ou de supprimer des fonctionnalités à tout moment, sans que cela ne constitue une modification substantielle des CGU, pour autant que le cœur du Service reste accessible.

4. Abonnements et paiements

Les abonnements Pro, Max et Max Team sont facturés selon les tarifs en vigueur au moment de la souscription, indiqués en francs suisses (CHF) et affichés avant toute validation. Le paiement s'effectue par carte bancaire via Stripe (prestataire de paiement certifié PCI-DSS), par TWINT (pour les abonnements annuels), ou via les achats intégrés Apple (App Store) et Google (Google Play). La formule Max Team est facturée à la place (« seat ») uniquement via Stripe depuis la WebApp : le tarif unitaire est dégressif en fonction du nombre de places et est recalculé automatiquement à chaque ajout ou retrait d'un membre de l'organisation. Une organisation Max Team comporte au minimum deux places.

Une période d'essai gratuite de 14 jours est proposée aux nouveaux utilisateurs pour la formule Pro et à la création d'une organisation Max Team. À l'issue de cette période, l'Utilisateur Pro est automatiquement basculé sur la formule Lite, sauf souscription active à un abonnement payant ; pour Max Team, le premier prélèvement intervient à l'issue des 14 jours d'essai sauf résiliation préalable. Aucun prélèvement n'est effectué pendant la période d'essai.

L'abonnement est renouvelé automatiquement à chaque échéance (mensuelle ou annuelle), sauf résiliation par l'Utilisateur avant la date de renouvellement. La résiliation peut être effectuée à tout moment depuis les paramètres du compte ou via la plateforme de paiement concernée (App Store, Google Play).

En cas de résiliation, l'accès aux fonctionnalités payantes reste actif jusqu'à la fin de la période déjà payée. Aucun remboursement au prorata n'est effectué, conformément à l'art. 40e du Code des obligations suisse (CO) qui exclut le droit de révocation pour les contrats de services numériques exécutés avec le consentement de l'Utilisateur.

FinitoApp se réserve le droit de modifier ses tarifs. Toute modification tarifaire sera communiquée à l'Utilisateur au moins 30 jours avant son entrée en vigueur. L'Utilisateur aura la possibilité de résilier son abonnement avant l'application du nouveau tarif.

Les transactions financières sont traitées exclusivement par des prestataires de paiement tiers (Stripe, Apple, Google). FinitoApp ne stocke aucune donnée de carte bancaire sur ses serveurs. Les comptes bancaires utilisés par l'Éditeur de FinitoApp sont domiciliés en Suisse.

Achats in-app sur iOS (politique Apple 3.1.1) — conformément à la section 3.1.1 des App Store Review Guidelines, les abonnements souscrits depuis l'application iOS sont gérés exclusivement par Apple. Aucun lien direct vers un autre mode de paiement n'est proposé depuis l'application iOS. Pour toute question de facturation depuis iOS, l'Utilisateur peut nous contacter à support@finitoapp.ch.

5. Propriété intellectuelle

L'ensemble des éléments composant l'Application — incluant sans limitation le design, le code source, l'architecture logicielle, les algorithmes, les marques, les logos, les textes, les éléments graphiques, les bases de données et leur structure — sont la propriété exclusive d'Orestis Zacharakis (FinitoApp) et sont protégés par la Loi fédérale sur le droit d'auteur (LDA), la Loi fédérale sur les marques (LPM) et les traités internationaux applicables.

Toute reproduction, distribution, modification, adaptation, ingénierie inverse, décompilation, désassemblage ou utilisation non autorisée de tout ou partie de l'Application est strictement interdite sans l'accord écrit préalable de l'Éditeur (Orestis Zacharakis, FinitoApp). Toute infraction expose le contrevenant à des poursuites civiles et pénales.

Les contenus téléchargés ou créés par l'Utilisateur (photos, documents, descriptions, plans) restent sa propriété. L'Utilisateur accorde à FinitoApp une licence non exclusive, non transférable, limitée dans le temps et révocable, d'utilisation de ces contenus aux seules fins de fourniture, d'amélioration et de maintenance du Service.

L'Utilisateur garantit détenir les droits nécessaires sur tous les contenus qu'il télécharge ou partage via l'Application et s'engage à ne pas publier de contenus portant atteinte aux droits de tiers.

6. Limitation de responsabilité

Le Service est fourni « en l'état » (« as is ») et « selon disponibilité » (« as available »). FinitoApp met tout en œuvre pour assurer la disponibilité, la fiabilité et le bon fonctionnement du Service, sans toutefois pouvoir garantir une disponibilité ininterrompue, exempte d'erreurs ou de défauts.

Dans les limites autorisées par le droit suisse, FinitoApp décline expressément toute responsabilité pour :

• Tout dommage direct, indirect, accessoire, consécutif, spécial ou punitif résultant de l'utilisation ou de l'impossibilité d'utiliser le Service
• Toute perte de données, perte de chiffre d'affaires, perte de bénéfices, interruption d'activité ou tout autre préjudice commercial ou financier
• Toute erreur, inexactitude ou omission dans les contenus générés par l'Application, y compris les rapports PDF, procès-verbaux de réception et documents exportés
• Les décisions prises par l'Utilisateur sur la base des informations fournies par l'Application
• Les différends, litiges ou réclamations entre l'Utilisateur et ses clients, partenaires, sous-traitants ou tout autre tiers, que ceux-ci soient ou non liés à l'utilisation du Service
• Toute défaillance ou indisponibilité résultant d'un cas de force majeure, d'une maintenance planifiée ou non, d'une défaillance de tiers (hébergeur, fournisseur d'accès, prestataire de paiement) ou d'une attaque informatique
• Les contenus publiés par les utilisateurs, dont FinitoApp n'a pas l'obligation de contrôler la licéité ou l'exactitude

FinitoApp n'est pas un cabinet d'architecture, un bureau d'ingénieurs, un expert en bâtiment ni un conseiller juridique. L'Application est un outil de gestion et de documentation. Les procès-verbaux de réception, rapports et documents générés par l'Application ont une valeur indicative et ne se substituent en aucun cas à l'avis d'un professionnel qualifié. L'Utilisateur reste seul responsable de la vérification de la conformité des travaux, du respect des normes de construction (SIA, etc.) et des obligations contractuelles avec ses propres clients.

En tout état de cause, la responsabilité totale de FinitoApp, toutes causes confondues, est limitée au montant effectivement payé par l'Utilisateur au cours des douze (12) mois précédant l'événement ayant causé le dommage. Cette limitation ne s'applique pas en cas de faute intentionnelle ou de négligence grave de la part de FinitoApp, conformément à l'art. 100 al. 1 CO.

L'Utilisateur reconnaît que le Service est un outil d'aide à la gestion et que son utilisation ne crée aucun lien de conseil, de mandat ou de représentation entre FinitoApp et l'Utilisateur ou ses clients.

7. Obligations et responsabilités de l'Utilisateur

L'Utilisateur s'engage à :

• Utiliser le Service conformément à sa destination et aux présentes CGU
• Ne pas utiliser le Service à des fins illicites, frauduleuses, diffamatoires ou portant atteinte aux droits de tiers
• Vérifier l'exactitude et l'exhaustivité des données qu'il saisit dans l'Application
• Effectuer des sauvegardes régulières de ses données importantes en dehors de l'Application
• Informer FinitoApp de toute anomalie ou dysfonctionnement constaté
• Respecter les droits de propriété intellectuelle de FinitoApp et des tiers
• Ne pas tenter de contourner les mesures de sécurité de l'Application
• Ne pas surcharger intentionnellement les serveurs par des requêtes automatisées excessives

L'Utilisateur est seul responsable des contenus qu'il publie et partage via l'Application (photos, descriptions, documents, commentaires). Il garantit que ces contenus sont licites, ne violent aucun droit de tiers et ne contiennent aucun élément diffamatoire, obscène, menaçant ou contraire à l'ordre public.

L'Utilisateur s'engage à indemniser et à dégager FinitoApp de toute responsabilité en cas de réclamation de tiers résultant de son utilisation du Service ou de la violation des présentes CGU.

8. Garanties et exclusions

FinitoApp ne garantit pas que :

• Le Service répondra aux exigences spécifiques de chaque Utilisateur
• Le Service sera disponible de manière ininterrompue, sécurisée ou exempte d'erreurs
• Les résultats obtenus par l'utilisation du Service seront exacts, fiables ou complets
• Les défauts éventuels du Service seront corrigés dans un délai déterminé

Toute garantie implicite, y compris les garanties de qualité marchande, d'adéquation à un usage particulier ou de non-contrefaçon, est expressément exclue dans les limites autorisées par le droit suisse.

L'Utilisateur reconnaît qu'il utilise le Service à ses propres risques et sous sa propre responsabilité. Il lui incombe de s'assurer que le Service convient à ses besoins professionnels avant de souscrire un abonnement payant.

9. Résiliation

L'Utilisateur peut à tout moment — indépendamment de sa formule (gratuite ou payante) — supprimer immédiatement et définitivement la totalité de ses données depuis les paramètres de l'Application (section « Supprimer mon compte » ou page Politique de confidentialité). La suppression est effective immédiatement : comptes, chantiers, lots, réserves, plans PDF, photos, signatures, commentaires, historique d'activité, fichiers S3 et statistiques administratives sont purgés dans leur intégralité.

En cas de résiliation d'un abonnement payant (PRO ou MAX), les données de l'Utilisateur créées pendant la période payante sont conservées pendant une période de 120 jours avant suppression définitive, permettant une éventuelle réactivation du compte. Pendant ces 120 jours, l'Utilisateur passe en mode lecture seule : il peut consulter l'ensemble de ses chantiers et réserves, mais les fonctionnalités d'édition, de création et d'export (PDF, DOCX, Excel, réception d'ouvrage, signatures, etc.) sont désactivées tant qu'il n'a pas réactivé une formule payante. Des rappels par e-mail sont envoyés à J-30, J-14, J-7 et J-1 avant la purge définitive.

Cascade de suppression : la suppression volontaire et définitive d'un compte déclenche une cascade chez Stripe (web), RevenueCat (mobile, via DELETE /v1/subscribers/:appUserId), Brevo (listes de diffusion) et l'ensemble des fichiers stockés sur le bucket S3 d'Infomaniak. Aucune trace identifiante ne subsiste après cette opération, hors les obligations comptables (10 ans, art. 958f CO).

FinitoApp se réserve le droit de résilier ou de suspendre le compte d'un Utilisateur, sans préavis ni indemnité, en cas de violation des présentes CGU, d'utilisation abusive ou illicite du Service, ou de non-paiement des sommes dues.

Les données liées à des projets partagés avec d'autres utilisateurs pourront être conservées de manière anonymisée pour le bon fonctionnement des projets concernés, conformément aux intérêts légitimes des autres participants.

En cas de cessation définitive du Service, FinitoApp s'engage à informer les Utilisateurs au moins 60 jours à l'avance et à leur permettre d'exporter leurs données dans un format standard.

10. Politique de confidentialité et protection des données

10.1 Responsable du traitement

Le responsable du traitement des données personnelles au sens de l'art. 5 let. j nLPD est Orestis Zacharakis (FinitoApp, entreprise individuelle de droit suisse), domicilié en Suisse. Pour toute question relative à la protection des données, l'Utilisateur peut contacter FinitoApp à l'adresse privacy@finitoapp.ch.

10.2 Cadre juridique applicable

Le traitement des données personnelles est régi par la Loi fédérale sur la protection des données révisée (nLPD, entrée en vigueur le 1er septembre 2023) et son ordonnance d'application (OPDo). Pour les Utilisateurs situés dans l'Union européenne ou l'Espace économique européen, le Règlement général sur la protection des données (RGPD) s'applique de manière complémentaire.

10.3 Données collectées

FinitoApp collecte les données suivantes lors de l'inscription et de l'utilisation du Service :

• Données d'identification : nom, prénom, adresse e-mail, numéro de téléphone (facultatif)
• Données professionnelles : corps de métier, nom d'entreprise, fonction
• Données de profil : avatar, logo d'entreprise, préférence linguistique
• Données de projet : descriptions, photos, plans PDF, réserves, tâches de planning, informations sur les lots, procès-verbaux de réception
• Données de paiement : identifiant client Stripe, identifiant RevenueCat (achats mobiles), statut et historique d'abonnement. FinitoApp ne stocke jamais les numéros de carte bancaire.
• Données techniques : adresse IP, type d'appareil, système d'exploitation, journaux de connexion, jetons d'authentification

10.4 Finalités et bases juridiques du traitement

Les données sont traitées aux fins suivantes :

• Exécution du contrat (art. 6 al. 1 let. b RGPD / art. 31 al. 1 nLPD) : fourniture du Service, gestion du compte, traitement des paiements
• Intérêts légitimes (art. 6 al. 1 let. f RGPD) : amélioration du Service, prévention de la fraude, sécurité informatique
• Obligations légales (art. 6 al. 1 let. c RGPD) : conformité fiscale, comptable et réglementaire
• Consentement (art. 6 al. 1 let. a RGPD) : envoi de communications marketing (si applicable)

10.5 Destinataires des données

Les données personnelles peuvent être partagées avec les catégories de destinataires suivantes, dans les limites strictement nécessaires à la fourniture du Service :

• Autres utilisateurs du projet : dans le cadre de la collaboration (nom, prénom, rôle, coordonnées partagées dans le projet)
• Infomaniak Network SA : hébergement des serveurs et des données (VPS + Object Storage S3 + DNS + TLS + backups chiffrés), basé en Suisse (Genève) — pas de transfert international
• Stripe Payments Europe Ltd. : prestataire de paiement (certifié PCI-DSS Level 1), basé en Irlande (UE), décision d'adéquation CH-UE
• Sendinblue SAS (Brevo) : emails transactionnels et marketing (avec consentement), basé en France (UE), décision d'adéquation CH-UE
• RevenueCat Inc. : gestion des achats in-app (Apple, Google), basé aux États-Unis, avec clauses contractuelles types (SCC)
• Sentry (Functional Software Inc.) : détection d'erreurs applicatives (stack traces scrubbées des tokens / passwords), région UE activée, décision d'adéquation CH-UE
• Apple Inc. (App Store) : distribution mobile iOS + IAP, basé aux États-Unis, SCC via contrat développeur Apple
• Google LLC (Play Store) : distribution mobile Android + IAP, basé aux États-Unis, SCC via contrat développeur Google
• Let's Encrypt (ISRG) : émission de certificats TLS — hors scope nLPD (nom de domaine uniquement, aucune donnée personnelle)

La liste publique à jour des sous-traitants ultérieurs au sens Art. 9 al. 3 nLPD + Art. 19 nLPD est consultable sur la page dédiée : app.finitoapp.ch/sous-traitants. Toute modification substantielle est notifiée 30 jours à l'avance.

FinitoApp ne vend, ne loue et ne cède jamais les données personnelles de ses Utilisateurs à des tiers à des fins commerciales ou publicitaires.

10.6 Hébergement et localisation des données

L'ensemble des données (base de données, fichiers, sauvegardes) est hébergé en Suisse, chez Infomaniak Network SA, société suisse dont les centres de données sont situés exclusivement en Suisse. Infomaniak est certifié ISO 27001 et respecte les normes les plus strictes en matière de sécurité et de confidentialité des données.

Aucun transfert de données vers des pays tiers ne s'effectue pour l'hébergement principal. Les seuls transferts vers les États-Unis concernent les prestataires de paiement (Stripe, RevenueCat) et sont encadrés par des clauses contractuelles types approuvées par la Commission européenne et reconnues par le Préposé fédéral à la protection des données (PFPDT).

10.7 Durée de conservation

Les données personnelles sont conservées selon les principes suivants :

• Compte actif : pendant toute la durée d'utilisation du compte
• Suppression du compte : suppression définitive dans un délai de 30 jours
• Résiliation d'abonnement payant : conservation pendant 120 jours en mode lecture seule, puis suppression définitive. Rappels par e-mail à J-30, J-14, J-7, J-1.
• Expiration de la période d'essai : conservation pendant 30 jours
• Données comptables et fiscales : conservation pendant 10 ans conformément à l'art. 958f CO
• Journaux de connexion : conservation pendant 12 mois à des fins de sécurité
• Journaux d'activité projet : conservation pendant 2 ans (alignée sur le délai de garantie CO art. 367), puis suppression automatique

10.7bis Photographies et données biométriques

Les photographies téléchargées dans le cadre du suivi des réserves et des réceptions peuvent contenir des images de personnes présentes sur le chantier. L'Utilisateur est informé que :

• FinitoApp ne procède à aucun traitement de reconnaissance faciale ni d'extraction de données biométriques à partir des photographies
• L'Utilisateur est responsable de s'assurer que les personnes photographiées ont été informées de la prise de vue et de son utilisation dans le cadre du suivi de chantier, conformément à l'art. 28 CC et à la nLPD
• Les photographies sont stockées de manière sécurisée et ne sont accessibles qu'aux membres autorisés du projet
• En cas de demande de suppression par une personne identifiable sur une photographie, l'Utilisateur doit supprimer la photographie concernée ou procéder à son anonymisation (floutage)

10.7ter Engagement définitif : aucun outil d'analyse d'usage sur la WebApp

FinitoApp prend l'engagement définitif et pérenne suivant : la version web de l'Application (app.finitoapp.ch) n'intègre aucun outil d'analyse comportementale, aucun cookie de suivi, aucun pixel de tracking, aucun script d'analytics tiers (Google Analytics, Mixpanel, PostHog, Amplitude, Hotjar, Matomo, etc.) et n'en intégrera jamais. Cet engagement est un choix éditorial structurant du Service : il garantit qu'aucune donnée comportementale n'est jamais transmise à un tiers depuis votre navigateur.

Conséquences pratiques pour l'Utilisateur :

• Aucune bannière de consentement cookies n'est affichée sur la WebApp : il n'y a aucun consentement à recueillir puisqu'il n'y a aucun cookie analytique
• Seuls des cookies strictement techniques sont posés (jeton JWT d'authentification, jeton de rafraîchissement, session admin), dispensés de consentement sous l'Art. 6 nLPD et l'Art. 7 RGPD
• Aucun « score d'engagement », aucune mesure de durée de session, aucun heatmap, aucun enregistrement d'écran (session replay)
• Le respect du signal « Do Not Track » du navigateur est sans objet : rien n'est suivi à la base
• Aucune liste de visiteurs, aucun export d'audience, aucun reciblage publicitaire

Métriques internes anonymes. L'Éditeur peut consulter des métriques agrégées non-identifiantes issues des journaux serveur (nombre total d'utilisateurs, volume de chantiers actifs, taille de stockage utilisée, nombre d'exports générés). Ces compteurs sont calculés exclusivement à partir des données déjà stockées en base pour le fonctionnement du Service ; aucun nouvel événement n'est généré, collecté ou transmis à un tiers à cette fin.

Modifications futures. Toute évolution de cet engagement (par exemple l'ajout d'un outil d'analyse cookieless hébergé en Suisse) constituerait une modification substantielle des présentes CGU et de la Politique de confidentialité : elle ferait l'objet d'une notification explicite par e-mail et par bannière dans l'Application au moins 30 jours avant son entrée en vigueur, accompagnée de la possibilité de refuser cet outil ou de résilier le compte sans pénalité.

10.8 Sécurité des données

FinitoApp met en œuvre des mesures techniques et organisationnelles appropriées pour protéger les données personnelles contre tout accès non autorisé, modification, divulgation ou destruction, notamment :

• Chiffrement des communications en transit (TLS 1.3 / HTTPS, HSTS preload en cours)
• Hachage des mots de passe avec argon2id (OWASP 2024) + vérification HIBP k-anonymity
• Authentification par jetons JWT HttpOnly 15 min + refresh token hashé 7 jours, MFA TOTP optionnel (secret chiffré AES-256-GCM en base de données)
• Réinitialisation de mot de passe : invalide simultanément toutes les sessions ouvertes sur tous les appareils (mitigation OWASP A07:2021)
• Chiffrement au repos : AES-256 sur disque PostgreSQL ; backups GPG-AES-256 côté client + SSE-AES-256 côté S3 ; Object Lock 30 jours immutables
• Validation stricte des entrées via Zod (téléphone format Suisse/international, e-mail RFC 5321, longueur max sur tous les champs texte) — prévient les attaques par injection et les bombes mémoire
• Sécurité des uploads : validation des magic bytes (whitelist JPEG/PNG/WEBP/GIF/PDF), re-encodage systématique des images via la bibliothèque sharp (neutralise tout payload polyglote embarqué dans les chunks ancillaires PNG ou les segments APP JPEG), strip EXIF/IPTC + métadonnées PDF (/Info, XMP), scan antivirus ClamAV optionnel avec mode fail-close, limite 30 mégapixels (anti-decompression-bomb), Content-Disposition attachment + CSP sandbox sur les PDF servis
• Content Security Policy à nonce per-request sur script-src ET style-src (mitigation XSS), frame-ancestors: 'none', object-src: 'none', défense triple-couche CSRF (Sec-Fetch-Site + Bearer + custom header)
• Limitation du taux de requêtes (rate limiting granulaire par endpoint) contre les abus ; lockout brute-force ; emails hashés SHA-256/12 dans les logs
• Journalisation des accès et des événements de sécurité ; audit logs d'actions admin sensibles conservés 3 ans (Art. 12 nLPD)
• Sauvegardes quotidiennes chiffrées, testées mensuellement via un script automatisé
• Maintien des dépendances tierces selon une politique « 0 CVE high » ; surveillance continue par Dependabot, OSV-scanner, pnpm audit ; overrides pnpm sur les transitives sensibles
• Pre-commit hook gitleaks + scans CodeQL hebdomadaires + semgrep SAST + SBOM SPDX 2.3 retention 90j
• Procédure formelle de notification de violation Art. 24 nLPD (notification au PFPDT sous 72h en cas de violation à risque élevé)

10.9 Droits des utilisateurs

Conformément à la nLPD et au RGPD, l'Utilisateur dispose des droits suivants :

• Droit d'accès : obtenir confirmation du traitement de ses données et en recevoir une copie
• Droit de rectification : faire corriger les données inexactes ou incomplètes
• Droit à l'effacement : demander la suppression de ses données (« droit à l'oubli »)
• Droit à la portabilité : recevoir ses données dans un format structuré et couramment utilisé
• Droit d'opposition : s'opposer au traitement de ses données pour des motifs légitimes
• Droit à la limitation : demander la restriction du traitement dans certains cas

Pour exercer ces droits, l'Utilisateur peut contacter FinitoApp à l'adresse privacy@finitoapp.ch. FinitoApp s'engage à répondre dans un délai de 30 jours.

En cas de litige relatif à la protection des données, l'Utilisateur peut s'adresser au Préposé fédéral à la protection des données et à la transparence (PFPDT) en Suisse, ou à l'autorité de contrôle compétente de son lieu de résidence dans l'UE/EEE.

10.10 Cookies et technologies similaires

Sur la WebApp (app.finitoapp.ch), FinitoApp utilise exclusivement des cookies et technologies de stockage local strictement nécessaires au fonctionnement du Service :

• Cookie access_token (HttpOnly, Secure, SameSite=Lax, durée 15 min) — jeton JWT d'authentification
• Cookie refresh_token (HttpOnly, Secure, SameSite=Lax, durée 7 jours, chemin restreint à /api/v1/auth/refresh) — jeton de renouvellement de session
• Cookie admin_session (HttpOnly, Secure, SameSite=Lax, durée 30 min coulissants) — pour les utilisateurs disposant d'un rôle d'administration uniquement
• localStorage — préférences (langue, thème), brouillons de réception, marqueurs d'onboarding, version vue du changelog
• IndexedDB (Dexie.js) — cache hors-ligne des données chantier pour fonctionnement en mobilité

Aucun cookie de suivi publicitaire, aucun cookie d'analyse tiers, aucun cookie de réseau social n'est utilisé sur la WebApp — et conformément à l'engagement définitif décrit à l'article 10.7ter ci-dessus, il n'en sera jamais utilisé sans modification substantielle préalable des présentes CGU.

Conformément à l'Art. 6 nLPD et à l'Art. 7 RGPD, les cookies strictement nécessaires au fonctionnement du Service ne requièrent pas le consentement de l'Utilisateur. Aucune bannière cookies n'est donc affichée sur la WebApp : il n'y a aucun consentement à recueillir.

10.11 Recours à des outils d'intelligence artificielle

L'Éditeur se réserve la faculté de recourir à des outils d'intelligence artificielle pour l'optimisation technique, la revue de code, l'analyse de performance, la détection d'anomalies et les audits internes du Service. Ces outils relèvent exclusivement des moyens de production de l'Éditeur.

Aucune donnée personnelle d'Utilisateur, aucun contenu saisi dans l'Application (chantiers, réserves, photos, plans, commentaires, procès-verbaux) et aucune donnée de projet n'est transmis à ces outils, traité par des systèmes d'IA, ni utilisé pour l'entraînement de modèles de fournisseurs tiers. Les traitements décrits aux articles 10.3 à 10.7 ne font appel à aucun procédé d'intelligence artificielle.

Toute évolution du Service intégrant, à l'avenir, des fonctionnalités assistées par IA accessibles aux Utilisateurs ferait l'objet d'une mise à jour explicite des présentes CGU et, le cas échéant, du recueil d'un consentement spécifique conformément à la nLPD et au RGPD.

11. Force majeure

FinitoApp ne saurait être tenu responsable de l'inexécution ou du retard dans l'exécution de ses obligations en cas de force majeure, telle que définie par la jurisprudence du Tribunal fédéral suisse. Sont notamment considérés comme cas de force majeure : les catastrophes naturelles, les guerres, les épidémies, les actes de terrorisme, les grèves, les pannes de réseau internet, les défaillances de l'infrastructure d'hébergement, les cyberattaques, les décisions gouvernementales ou réglementaires empêchant la fourniture du Service.

12. Relations avec les tiers

FinitoApp est un outil de gestion de chantiers et de documentation. L'Application ne constitue en aucun cas un conseil juridique, technique ou professionnel.

FinitoApp n'est partie à aucun contrat, accord ou relation entre l'Utilisateur et ses clients, maîtres d'ouvrage, sous-traitants, architectes, régies immobilières ou tout autre tiers. FinitoApp ne peut être tenu responsable des différends, litiges, retards, malfaçons, vices cachés ou dommages survenant dans le cadre des relations professionnelles de l'Utilisateur.

Les procès-verbaux de réception et rapports générés par l'Application sont des outils d'aide à la documentation. Ils ne remplacent pas les obligations légales de l'Utilisateur en matière de réception d'ouvrage au sens des art. 157 ss de la norme SIA 118 ou de l'art. 363 ss CO. L'Utilisateur reste seul responsable du respect des procédures légales applicables.

FinitoApp n'est pas responsable de l'exactitude, de l'exhaustivité ou de la pertinence des informations saisies par les Utilisateurs dans l'Application.

13. Droit applicable et for juridique

Les présentes CGU sont exclusivement soumises au droit suisse, à l'exclusion des règles de conflit de lois et de la Convention des Nations Unies sur les contrats de vente internationale de marchandises (CVIM).

Tout litige relatif à l'interprétation, l'exécution ou la résiliation des présentes CGU sera soumis à la compétence exclusive des tribunaux ordinaires du canton de Vaud, Suisse, sous réserve des dispositions impératives du droit applicable au lieu de domicile de l'Utilisateur.

Les parties s'engagent à rechercher une solution amiable avant toute action en justice. Toute réclamation doit être adressée par écrit à FinitoApp dans un délai de 30 jours suivant la survenance du fait générateur.

14. Dispositions diverses

Cession : L'Utilisateur ne peut céder ses droits ou obligations au titre des présentes CGU sans l'accord écrit préalable de FinitoApp. FinitoApp peut librement céder les présentes CGU à un tiers dans le cadre d'une fusion, acquisition ou cession d'activité.

Divisibilité : Si l'une des clauses des présentes CGU est déclarée nulle ou inapplicable par un tribunal compétent, les autres clauses conservent leur plein effet. La clause invalide sera remplacée par une clause valide se rapprochant le plus possible de l'intention initiale des parties.

Renonciation : Le fait pour FinitoApp de ne pas exercer un droit prévu par les présentes CGU ne constitue pas une renonciation à ce droit pour l'avenir.

Langue : Les présentes CGU sont rédigées en français. En cas de traduction, seule la version française fait foi.

15. Modifications des CGU

FinitoApp se réserve le droit de modifier les présentes CGU à tout moment. Les Utilisateurs seront informés de toute modification substantielle par e-mail ou par notification dans l'Application au moins 30 jours avant l'entrée en vigueur des nouvelles conditions.

La poursuite de l'utilisation du Service après l'entrée en vigueur des nouvelles CGU vaut acceptation de celles-ci. En cas de désaccord, l'Utilisateur peut résilier son compte et son abonnement avant la date d'entrée en vigueur des nouvelles conditions.

L'historique des versions des CGU est conservé et peut être consulté sur demande à l'adresse support@finitoapp.ch.