Aller au contenu principal

Politique de confidentialité

Dernière mise à jour : 19 mai 2026 (version DRAFT)

1. Responsable de traitement

Le responsable de traitement des données personnelles collectées via le service Hosty CM est Hosty(cf. mentions légales pour l'entité juridique exacte).

2. Données collectées

Deux catégories de données sont traitées :

  • Données du compte Client (conciergerie): adresse email, nom, téléphone (optionnel), données de facturation Stripe, identifiants d'API des connexions OTA (chiffrés en base via Laravel Crypt).
  • Données des guests (séjours): nom, prénom, adresse email, numéro de téléphone, dates de séjour, montant payé, identifiants techniques de réservation. Ces données sont transmises par les providers OTA partenaires (Channex en V1) au moment de la confirmation d'une réservation.

3. Finalités du traitement

  • Exécution du contrat de souscription au Service.
  • Synchronisation des réservations entre les OTA et le PMS du Client (raison d'être du Service).
  • Facturation et recouvrement des sommes dues.
  • Réponse aux demandes d'exercice des droits RGPD (DSAR, Erasure) initiées par les guests via le Client.
  • Amélioration continue du Service (anonymisation préalable obligatoire pour tout usage statistique).

4. Bases légales (RGPD article 6)

  • Exécution d'un contrat (6.1.b) pour les données du compte Client.
  • Intérêt légitime(6.1.f) pour les données guests transitant via le Service — l'intérêt légitime est celui du Client (conciergerie), Hosty agissant en qualité de sous-traitant (cf. DPA).
  • Obligation légale (6.1.c) pour la conservation des factures (10 ans, Code de commerce).

5. Destinataires et sous-traitants

Hosty fait appel aux sous-traitants suivants pour fournir le Service :

  • Channex (Royaume-Uni / UE) — Channel Manager OTA.
  • Stripe (Irlande / États-Unis) — paiement et facturation. Transferts hors UE encadrés par les clauses contractuelles types (SCC).
  • Resend(États-Unis) — envoi d'emails transactionnels (liens magiques, factures). Idem SCC.
  • Hostinger(Lituanie / UE) — hébergement du serveur d'application Hosty CM.

Aucune donnée n'est revendue, louée ou cédée à un tiers à des fins commerciales.

6. Durée de conservation

  • Données du compte Client : durée du contrat + 3 ans (prescription commerciale).
  • Données guests dans cm_inbox_bookings : durée du contrat + 12 mois (résolution litiges réservation).
  • Factures : 10 ans (obligation légale comptable).
  • Logs d'audit RGPD (table audit_events) : conservés sans limite de durée — preuve de l'exercice effectif des droits.

7. Droits des personnes concernées

Conformément aux articles 15 à 22 du RGPD, toute personne dont les données sont traitées peut exercer ses droits :

  • Droit d'accès(article 15) — demande d'export complet des données détenues (DSAR). Mise en œuvre via le Client (conciergerie) qui contacte Hosty.
  • Droit de rectification (article 16).
  • Droit à l'effacement(article 17) — cascade d'anonymisation dans toutes les bases via la fonction « Erasure » de Hosty CM. Les rows shells sont conservées avec un hash déterministe du guest_email pour preuve de respect du droit.
  • Droit à la limitation, opposition et portabilité (articles 18, 20, 21).
  • Droit de réclamation auprès de la CNIL (www.cnil.fr).

8. Cookies

En V1, le tableau de bord Hosty CM n'utilise aucun cookie analytique. Seul un cookie de session technique (cm_session, httpOnly) est posé après connexion pour maintenir l'authentification. Un bandeau de consentement sera activé dès l'ajout d'outils analytiques (été 2026 au plus tôt).

9. Sécurité

Hosty applique les mesures de sécurité techniques et organisationnelles décrites dans le DPA — chiffrement au repos (Laravel Crypt) et en transit (TLS 1.3), isolation multi-tenant par Row Level Security PostgreSQL, audit log immuable des opérations sensibles, rotation périodique des secrets via age vault, sauvegardes age-encrypted.

10. Contact

Pour toute question ou pour exercer un droit RGPD : contact@hosty.chat. Délai de réponse : 1 mois maximum (RGPD article 12).