Aller au contenu principal

Data Processing Agreement (DPA)

Dernière mise à jour : 19 mai 2026 (version DRAFT)

Convention de sous-traitance des données personnelles conformément à l'article 28 du Règlement Général sur la Protection des Données (RGPD).

1. Parties

  • Responsable de traitement: la conciergerie ou l'exploitant souscripteur du Service Hosty CM (« le Client »).
  • Sous-traitant: Hosty (« le Sous-traitant »), tel qu'identifié dans les mentions légales.

2. Objet et description du traitement

Dans le cadre du Service Hosty CM, le Sous-traitant traite les données personnelles des guests (voyageurs) du Client aux finalités suivantes :

  • Synchronisation des réservations entre les OTA partenaires et le système PMS du Client.
  • Notification au Client des nouvelles réservations, modifications et annulations.
  • Traçabilité de l'exécution des droits RGPD (DSAR, Erasure) via un audit log immuable.

Catégories de données traitées : nom, prénom, adresse email, numéro de téléphone, dates de séjour, montant, identifiants de réservation.

Catégories de personnes concernées : guests ayant réservé un séjour dans une propriété gérée par le Client.

3. Durée du traitement

Le traitement est effectué pour la durée du contrat de souscription liant le Client et le Sous-traitant. À la fin du contrat, le Sous-traitant procède à la destruction ou à la restitution des données dans un délai de 30 jours, à l'exception des données conservées au titre d'une obligation légale.

4. Obligations du Sous-traitant

  • Traiter les données uniquement sur instructions documentées du Client.
  • Garantir la confidentialité par le biais d'engagements contractuels avec tout personnel ayant accès aux données.
  • Mettre en œuvre les mesures de sécurité techniques et organisationnelles décrites en annexe.
  • Ne recourir à des sous-traitants ultérieurs qu'avec l'autorisation préalable du Client (liste fournie en section 7 ; toute modification donne lieu à notification préalable).
  • Assister le Client dans la gestion des demandes d'exercice des droits par les personnes concernées (DSAR / Erasure via les endpoints dédiés /api/rgpd/dsar et /api/rgpd/erasure).
  • Notifier au Client toute violation de données dans un délai de 48 heures après en avoir eu connaissance.
  • Tenir un registre des activités de traitement.

5. Mesures de sécurité techniques et organisationnelles

  • Chiffrement au repos— secrets et tokens d'API chiffrés en base via Laravel Crypt (AES-256-CBC).
  • Chiffrement en transit — TLS 1.3 sur toutes les communications, y compris vers les sous-traitants ultérieurs.
  • Isolation multi-tenant — Row Level Security PostgreSQL forcée (USING + WITH CHECK) sur toutes les tables contenant des données personnelles.
  • Authentification — magic link à usage unique (token de 32 octets, TTL 15 minutes, hash stocké en base), jamais de mot de passe.
  • Audit log immuable — toutes les opérations sensibles (DSAR, Erasure, gestion de comptes) sont tracées dans la table audit_events, sans possibilité de modification post-écriture.
  • Sauvegardes — chiffrées via age (clé privée opérateur), restauration testée trimestriellement.
  • Rotation des secrets — procédure documentée via un vault age chiffré, exécutée au moins une fois par an ou immédiatement en cas de soupçon de compromission.

6. Droits des personnes concernées

Le Sous-traitant met à disposition du Client les endpoints techniques nécessaires à l'exercice des droits RGPD :

  • POST /api/rgpd/dsar— extraction JSON des données d'un guest (article 15).
  • POST /api/rgpd/erasure — anonymisation cascade (article 17) avec confirmation explicite (double opt-in).

Le Client demeure le seul responsable du choix de répondre favorablement à une demande d'exercice de droit.

7. Sous-traitants ultérieurs

Le Sous-traitant a recours aux sous-traitants ultérieurs suivants, autorisés par le Client à la signature du présent DPA :

  • Channex (UE / Royaume-Uni) — Channel Manager.
  • Stripe (Irlande / États-Unis) — paiement et facturation. Transferts hors UE encadrés par les Clauses Contractuelles Types (SCC) approuvées par la Commission européenne.
  • Resend (États-Unis) — emails transactionnels. Idem SCC.
  • Hostinger (Lituanie / UE) — hébergement.

Toute modification de cette liste donne lieu à notification préalable du Client dans un délai de 30 jours, lui ouvrant un droit d'opposition légitime.

8. Transferts hors UE

Lorsque le traitement implique un transfert de données vers un pays tiers (Stripe, Resend — États-Unis), il est encadré par les Clauses Contractuelles Types (CCT) de la Commission européenne (décision 2021/914), et complété si nécessaire par des mesures additionnelles (chiffrement de bout en bout).

9. Audit

Le Client peut, à ses frais et après préavis de 30 jours, faire réaliser un audit des mesures de sécurité du Sous-traitant. Cet audit ne peut excéder 2 jours ouvrés par an et doit être conduit par un auditeur soumis à une obligation de confidentialité.

10. Restitution et destruction des données

À la fin du contrat, le Client peut demander, par écrit dans un délai de 30 jours, la restitution complète des données ou leur destruction certifiée. À défaut de demande dans ce délai, les données sont automatiquement détruites selon les durées de conservation indiquées dans la politique de confidentialité.

11. Loi applicable

Le présent DPA est régi par le droit français et complète le contrat de souscription au Service Hosty CM.

12. Contact

Pour toute question liée à la protection des données : contact@hosty.chat.