nLPD
La loi suisse sur la protection des données révisée (nLPD) est en vigueur depuis le 1er septembre 2023. Elle aligne largement le droit suisse sur le RGPD et concerne tout exploitant de camping qui traite des données personnelles — c’est-à-dire pratiquement tout le monde. CampOne est conçu pour être conforme à la nLPD dès la base ; cette page décrit comment satisfaire aux obligations au quotidien.
Sous-traitance
Section intitulée « Sous-traitance »CampOne traite vos données comme sous-traitant. Le contrat de sous-traitance (CST) fait partie du contrat CampOne et règle :
- la finalité et le périmètre du traitement
- l’hébergement en Suisse (Swiss Hosted)
- les sous-traitants ultérieurs (liste sous Paramètres → Conformité → CST)
- les mesures techniques et organisationnelles (MTO)
- la restitution et la suppression des données en fin de contrat
Une version à jour du CST est consultable à tout moment dans vos paramètres CampOne. Les modifications matérielles sont annoncées 60 jours à l’avance.
Droits des personnes concernées
Section intitulée « Droits des personnes concernées »À votre égard — en tant que responsable du traitement — les hôtes ont les droits suivants :
| Droit | Ce que vous devez faire |
|---|---|
| Accès | Aperçu des données stockées dans les 30 jours |
| Rectification | Corriger ou compléter les données erronées |
| Effacement | Supprimer si aucune obligation de conservation |
| Portabilité | Exporter dans un format lisible par machine |
| Opposition | Cesser certains traitements (par ex. marketing) |
Sous Conformité → Demandes des personnes, vous créez une demande par hôte. Le système agrège automatiquement toutes les données pertinentes des réservations, factures, piste d’audit et activité du portail, et produit un rapport complet.
Durées de conservation
Section intitulée « Durées de conservation »Les données personnelles ne sont pas conservées plus longtemps que nécessaire :
| Type de donnée | Durée | Base |
|---|---|---|
| Données de réservation | 10 ans | CO (livres comptables) |
| Factures | 10 ans | LTVA |
| Scans de pièces | 12 mois | proportionnalité |
| Consentement marketing | jusqu’à révocation | nLPD |
| Connexion portail | 24 mois inactif | sécurité |
| Données de police | 5 ans | cantonal |
La suppression est automatique. Le statut par type est visible dans la vue Conformité.
Registre des activités de traitement
Section intitulée « Registre des activités de traitement »La nLPD exige du responsable un registre des activités de traitement (art. 12 nLPD). CampOne fournit un modèle pré-rempli pour les fonctions standards :
- finalité du traitement
- catégories de données
- destinataires (TWINT, banque, HESTA, …)
- durées de conservation
- mesures de sécurité
Le modèle est disponible en PDF sous Conformité → Registre des activités. Les compléments propres (par ex. système marketing additionnel) s’ajoutent dans le modèle.
Mesures techniques et organisationnelles
Section intitulée « Mesures techniques et organisationnelles »CampOne implémente notamment :
- Chiffrement en transit (TLS 1.3) et au repos (AES-256)
- Contrôle d’accès avec rôles, 2FA pour les administrateurs, logs de connexion
- Isolement des tenants par multi-tenant strict
- Sauvegardes quotidiennes, géo-redondantes en Suisse, conservation 30 jours
- Tests d’intrusion au moins annuels par un spécialiste externe
- Réponse aux incidents avec escalade définie et notification sous 72 heures
Le détail figure dans le CST.
Violation de données
Section intitulée « Violation de données »En cas de violation chez vous ou chez CampOne (par ex. perte d’une tablette d’accueil sans verrouillage) :
- CampOne vous notifie sous 24 heures de tout incident concernant votre tenant.
- Vous notifiez l’incident — si pertinent — sous 72 heures au Préposé fédéral à la protection des données (PFPDT).
- En cas de risque élevé pour les personnes concernées, vous devez aussi les informer.
Un modèle de notification PFPDT est disponible sous Conformité → Notification d’incident.
Politique de confidentialité
Section intitulée « Politique de confidentialité »Vous êtes tenu d’informer vos hôtes du traitement de leurs données — typiquement via une politique de confidentialité sur votre site. CampOne fournit un bloc-modèle que vous pouvez intégrer — il décrit les flux vers CampOne et ses sous-traitants ultérieurs.
Conseils
Section intitulée « Conseils »- Mettre à jour la politique. Quand vous activez le portail client ou le channel manager, étendez votre politique — les nouveaux flux sont à signaler.
- Prendre les demandes au sérieux. Une demande d’accès doit être traitée sous 30 jours — même en haute saison.
- Réviser le registre annuellement. Bloquez un créneau en fin de saison pour relire et compléter le modèle.