Politique de confidentialité

Date d'entrée en vigueur : 4 mai 2026 Dernière mise à jour : 4 mai 2026

La présente Politique de confidentialité explique comment Nina Costioli, opérant sous le nom Lead From Within (le « Coach », « nous »), collecte, utilise, partage et protège vos données personnelles lorsque vous visitez leadfromwithin.ch (le « Site ») ou utilisez nos services de coaching (les « Services »).

Nous traitons vos données personnelles conformément à la loi fédérale suisse sur la protection des données (LPD / nLPD), et — si vous résidez dans l'Espace économique européen (EEE) ou au Royaume-Uni — au Règlement général européen sur la protection des données (RGPD) ainsi qu'au RGPD britannique.

01Responsable du traitement de vos données

Le responsable du traitement de vos données personnelles est :

Nina Costioli — indépendante, opérant sous le nom Lead From Within
Suisse
E-mail : info@leadfromwithin.ch
Téléphone : +41 78 732 07 16

Nous sommes une petite structure de coaching à un·e seul·e praticien·ne et ne sommes pas légalement tenu·e·s de désigner un délégué à la protection des données (DPO). Pour toute question concernant vos données personnelles, veuillez écrire à l'adresse e-mail ci-dessus en mentionnant « Demande relative à la confidentialité ».

02Données que nous collectons

Nous ne collectons que les données personnelles dont nous avons réellement besoin pour exploiter le Site et fournir les services de coaching.

2.1 Données que vous nous fournissez directement

Quand	Ce que nous collectons
Réservation d'un appel découverte gratuit (formulaire de réservation)	Nom complet, adresse e-mail, numéro de téléphone (facultatif), thématique souhaitée (facultatif), date/heure choisie
Création d'un compte client	Nom complet, adresse e-mail, mot de passe (stocké uniquement sous forme de hash bcrypt salé — jamais en clair)
Pendant les engagements de coaching	Notes prises par Nina pendant les séances, devoirs réalisés, entrées de journal que vous choisissez d'écrire dans votre compte, ressources que nous partageons avec vous
Contact par e-mail	Le contenu de votre message et votre adresse e-mail
Soumission d'un témoignage (avec consentement)	Votre nom (ou vos initiales si vous préférez), la citation que vous fournissez, le rôle/société que vous mentionnez

2.2 Données collectées automatiquement

Cookies de session — une fois connecté·e, un cookie nommé lfw.sid identifie votre session de navigation. Il est strictement nécessaire pour vous maintenir connecté·e.
Journaux du serveur — notre serveur enregistre temporairement les métadonnées des requêtes (adresse IP, chemin de la requête, agent utilisateur, horodatage) pour la sécurité, la prévention des abus et le débogage. Ces journaux sont généralement purgés sous 30 jours, sauf en cas d'enquête de sécurité en cours.
Mémoire de limitation de débit — pour contrer les attaques par force brute sur la connexion et la réinitialisation de mot de passe, nous gardons votre adresse IP en mémoire jusqu'à 1 heure.

Nous n'utilisons pas à ce jour d'outils tiers d'analyse, de traceurs publicitaires ou d'outils de profilage comportemental. Voir notre Politique relative aux cookies pour la liste complète.

2.3 Données reçues de tiers

Google Calendar / Google Meet — lorsque Nina confirme votre réservation, un événement de calendrier et un lien Meet sont créés via l'API Calendar de Google. Les participant·e·s à l'événement (votre nom et e-mail) sont traité·e·s par Google.
Fournisseur d'e-mail (SMTP) — les e-mails sortants (confirmations de réservation, réinitialisation de mot de passe, bienvenue, notifications de modification) transitent par un fournisseur SMTP. Le fournisseur traite nécessairement l'adresse e-mail du destinataire et le contenu du message en transit.

03Comment et pourquoi nous utilisons vos données

Finalité	Exemples
Faire fonctionner le Site et votre compte	Sessions de connexion, réinitialisation de mot de passe, préférences du compte, paramètres de visibilité des pages
Fournir les services de coaching	Planifier, confirmer, reporter et rappeler les séances ; partager devoirs, notes et ressources ; suivre le décompte des séances de votre forfait
Communiquer avec vous	Répondre aux demandes ; envoyer les confirmations et rappels de réservation ; réinitialiser les mots de passe
Maintenir la sécurité du service	Détecter les abus, tentatives de force brute, spam et accès non autorisés
Respecter nos obligations légales	Conserver les registres requis par le droit fiscal et comptable suisse ; répondre aux demandes légitimes des autorités compétentes
Améliorer le Site (de manière agrégée et non identifiante)	Lire les journaux d'erreurs bruts pour corriger les bugs ; examiner les schémas d'usage des fonctionnalités à un niveau non identifiant

Nous ne vendons pas vos données personnelles, et nous ne les partageons pas avec des réseaux marketing, des courtiers en données ou tout tiers à des fins publicitaires.

04Base juridique du traitement

Lorsque le RGPD s'applique, nous nous appuyons sur les bases légales suivantes :

Exécution d'un contrat (art. 6, par. 1, point b RGPD) — pour fournir les services de coaching que vous avez demandés ou souscrits, y compris la gestion des réservations et le compte client.
Consentement (art. 6, par. 1, point a RGPD) — pour les cookies non essentiels, la publication de témoignages avec votre nom, et lorsque vous avez expressément accepté de recevoir des communications marketing ou des newsletters. Vous pouvez retirer votre consentement à tout moment.
Intérêts légitimes (art. 6, par. 1, point f RGPD) — pour assurer la sécurité du Site (limitation de débit, détection des abus), défendre nos intérêts juridiques et améliorer le service de manière non intrusive. Lorsque nous nous appuyons sur les intérêts légitimes, nous les avons mis en balance avec vos droits et libertés.
Respect d'une obligation légale (art. 6, par. 1, point c RGPD) — pour conserver les factures et paiements pendant les durées exigées par le droit suisse, et répondre aux demandes légitimes des autorités de contrôle ou des tribunaux.

Lorsque la LPD suisse s'applique, nous traitons les données personnelles uniquement s'il existe une base légale (consentement, exécution d'un contrat, intérêt légitime prépondérant ou obligation légale), conformément aux principes de licéité, de bonne foi, de finalité, de proportionnalité, d'exactitude et de sécurité.

Nous partageons des données personnelles uniquement avec des prestataires de services soigneusement sélectionnés (« sous-traitants ») qui nous aident à exploiter le Site et à fournir le coaching, et seulement dans la mesure strictement nécessaire.

Sous-traitant	Ce qu'il traite	Pays
Hébergeur / fournisseur d'infrastructure	Toutes les requêtes du Site, journaux, base de données, fichiers téléversés	Union européenne ou Suisse
Fournisseur d'e-mail (SMTP)	E-mails sortants (confirmations, liens de réinitialisation, rappels)	Union européenne ou Suisse (selon le fournisseur)
Google (Calendar / Meet)	Date/heure de la réservation, noms et e-mails des participant·e·s pour les séances confirmées uniquement	États-Unis (avec les Clauses contractuelles types et le Cadre UE-États-Unis pour la protection des données)

Nous pouvons également divulguer des données personnelles à des avocats, comptables, auditeurs ou autorités compétentes lorsque la loi l'exige ou que cela est nécessaire pour défendre des prétentions juridiques.

06Transferts internationaux

Dans la mesure du possible, vos données personnelles restent en Suisse ou dans l'Espace économique européen. La principale exception concerne Google (Calendar et Meet), qui peut transférer des données vers les États-Unis. Ces transferts sont protégés par :

Le Cadre UE–États-Unis pour la protection des données (pour les entités Google certifiées), et
Lorsque ce cadre ne s'applique pas, par les Clauses contractuelles types de la Commission européenne, accompagnées de mesures supplémentaires.

Vous pouvez nous demander une copie des garanties en écrivant à info@leadfromwithin.ch.

07Durée de conservation

Donnée	Durée
Compte client actif (nom, e-mail, hash du mot de passe)	Tant que vous conservez le compte, plus 90 jours après la demande de suppression pour permettre la récupération
Enregistrements de réservations et de séances	10 ans après la dernière séance, pour respecter les durées comptables et de prescription suisses
Notes de coaching, devoirs, entrées de journal	Supprimés rapidement à votre demande de suppression de compte, sauf si nous devons les conserver pour défendre ou faire valoir des prétentions juridiques
Journaux d'e-mails (métadonnées de livraison)	Jusqu'à 12 mois
Journaux du serveur (IP, chemin de requête)	Généralement jusqu'à 30 jours ; plus longtemps uniquement en cas d'enquête de sécurité en cours
Jetons de réinitialisation de mot de passe	Usage unique, expiration automatique après 1 heure
Cookies de session	Jusqu'à votre déconnexion ou 1 heure d'inactivité, selon la première éventualité
Enregistrement du consentement aux cookies	12 mois à compter de votre dernier choix, puis nous vous redemandons

08Sécurité de vos données

Nous prenons la sécurité des données au sérieux. Mesures spécifiques :

Chiffrement HTTPS/TLS pour tout le trafic entre votre navigateur et le Site.
Mots de passe stockés uniquement sous forme de hash bcrypt (facteur de coût 12) ; les mots de passe en clair ne sont jamais stockés ni journalisés.
En-têtes de sécurité HTTP stricts (Content-Security-Policy, HSTS, X-Frame-Options, Referrer-Policy).
Limitation de débit par route sur les points d'accès de connexion, d'inscription, de réinitialisation de mot de passe et de réservation pour contrer la force brute et le spam.
Validation des entrées côté serveur et requêtes SQL paramétrées pour empêcher les injections.
Cookies de session marqués HttpOnly, SameSite=Lax, Secure en production ; rotation à chaque connexion.
Accès administratif limité à Nina Costioli ; les actions d'administration sont protégées par une vérification de rôle séparée à chaque requête.
Revues régulières des dépendances et application des correctifs.

Aucune méthode de transmission ou de stockage n'est sûre à 100 %. Nous vous notifierons, ainsi que l'autorité de contrôle compétente, toute violation de données personnelles conformément à nos obligations légales (dans les 72 heures suivant la prise de connaissance, lorsque cela est requis).

09Cookies et traceurs

Nous utilisons un petit nombre de cookies et technologies similaires. Les cookies strictement nécessaires (comme le cookie de session lfw.sid) sont déposés automatiquement lorsque vous vous connectez. Les cookies non essentiels ne sont déposés qu'après votre acceptation via la bannière de cookies.

Lisez le détail complet — y compris les noms, finalités et durées des cookies — dans notre Politique relative aux cookies. Vous pouvez modifier vos préférences à tout moment en cliquant sur .

10Vos droits

Sous réserve du droit applicable, vous disposez des droits suivants :

Accès — obtenir confirmation que nous traitons vos données et en obtenir une copie.
Rectification — corriger les données inexactes ou incomplètes. Vous pouvez modifier votre nom et votre mot de passe directement depuis les paramètres de votre compte.
Effacement (« droit à l'oubli ») — demander la suppression de vos données, sous réserve des exceptions de conservation légale. Vous pouvez déclencher la suppression depuis votre page de compte.
Limitation du traitement — nous demander de suspendre le traitement dans certains cas.
Portabilité des données — recevoir une copie structurée et lisible par machine des données que vous nous avez fournies. Vous pouvez la télécharger depuis votre page de compte.
Opposition — vous opposer à un traitement fondé sur nos intérêts légitimes.
Retrait du consentement — pour tout traitement fondé sur le consentement, y compris les cookies non essentiels et les e-mails marketing. Le retrait n'affecte pas les traitements antérieurs licites.
Ne pas faire l'objet d'une décision fondée uniquement sur un traitement automatisé — voir section 12.
Introduire une réclamation auprès de l'autorité de contrôle compétente — voir section 14.

Pour exercer l'un de ces droits, connectez-vous à votre compte et utilisez les contrôles Confidentialité & données, ou écrivez à info@leadfromwithin.ch. Nous répondons sous 30 jours. Nous pouvons être amené·e·s à vérifier votre identité avant de donner suite à une demande.

11Mineurs

Lead From Within s'adresse aux adultes. Nous ne collectons pas sciemment de données personnelles auprès d'enfants de moins de 16 ans (ou de l'âge équivalent du consentement numérique dans votre pays). Si vous pensez qu'un·e enfant nous a fourni des données personnelles, veuillez nous contacter et nous les supprimerons rapidement.

12Décisions automatisées et profilage

Nous ne prenons pas de décisions vous concernant uniquement sur la base d'un traitement automatisé, et nous ne procédons pas à un profilage produisant des effets juridiques ou similairement significatifs.

13Modifications de cette politique

Nous pouvons mettre à jour la présente Politique de confidentialité de temps à autre. La date de « Dernière mise à jour » en haut de la page indique quand des modifications ont été apportées. Les modifications substantielles seront annoncées par e-mail (aux titulaires de compte) ou par une bannière sur le Site.

14Contact et réclamations

Pour toute question sur cette politique ou pour exercer vos droits :

Nina Costioli — Lead From Within
E-mail : info@leadfromwithin.ch
Téléphone : +41 78 732 07 16

Si vous estimez que nous avons traité vos données personnelles de manière illicite, vous pouvez déposer une réclamation auprès de l'autorité de contrôle compétente. En particulier :

Suisse — Préposé fédéral à la protection des données et à la transparence (PFPDT), www.edoeb.admin.ch.
Espace économique européen — votre autorité locale de protection des données. Une liste est disponible sur edpb.europa.eu.
Royaume-Uni — Information Commissioner's Office (ICO), ico.org.uk.

Nous apprécierions toutefois d'avoir l'opportunité de répondre à vos préoccupations en premier — n'hésitez pas à nous contacter.

Les traductions française et allemande de la présente politique sont fournies à titre de commodité. En cas d'incohérence, la version anglaise prévaut.