Politique de confidentialité

La présente politique décrit la manière dont Hostinfine collecte, utilise et protège les données personnelles des Hôtes et des Voyageurs qui utilisent le Service. Elle est conforme au Règlement Général sur la Protection des Données (RGPD — UE 2016/679) et à la loi française « Informatique et Libertés ».

1. Responsable du traitement

Le responsable du traitement est Authomations, éditeur du Service Hostinfine, dont les coordonnées figurent sur la page Mentions légales.

Pour toute question relative à vos données personnelles : privacy@authomations.com.

2. Données collectées

2.1 Hôtes (utilisateurs inscrits)

Lors de l'inscription et de l'utilisation du Service, nous collectons :

• Adresse email (obligatoire) ;
• Nom et, le cas échéant, prénom et nom de société ;
• Mot de passe (stocké uniquement sous forme chiffrée via bcrypt, non réversible) ;
• Pour les connexions Google : identifiant Google, email, nom, photo de profil (avatar) ;
• Informations de facturation et de paiement : traitées directement par Stripe, nous ne stockons qu'un identifiant client Stripe (aucune donnée de carte bancaire) ;
• Contenus créés : livrets d'accueil, photos, adresses, informations de contact partagées avec les voyageurs, modèles, collections ;
• Données techniques : date de création du compte, dernière connexion, plan souscrit.

2.2 Voyageurs (consultation d'un livret)

Lorsqu'un voyageur consulte un livret via un QR code ou un lien partagé, aucune donnée personnelle n'est collectée. Aucun cookie de tracking, aucun pixel, aucune inscription n'est requise.

3. Finalités et bases légales

• Exécution du contrat (art. 6-1-b RGPD) — création et gestion du compte, hébergement des livrets, traduction automatique, envoi de liens et QR codes.
• Obligations légales (art. 6-1-c RGPD) — facturation, comptabilité, conservation des justificatifs fiscaux (10 ans).
• Intérêt légitime(art. 6-1-f RGPD) — sécurité du Service, prévention des fraudes, journaux d'accès techniques (conservation 30 jours).

4. Destinataires et sous-traitants

Vos données sont accessibles uniquement aux personnes habilitées au sein de Authomations. Elles peuvent également être transmises aux sous-traitants suivants, strictement dans la limite nécessaire à l'exécution du Service :

• Stripe Payments Europe Ltd. (Irlande) — traitement des paiements et facturation. Contrat de sous-traitance RGPD signé.
• Resend Inc.(États-Unis) — envoi d'emails transactionnels (réinitialisation de mot de passe). Transfert encadré par les clauses contractuelles types (CCT) de la Commission européenne.
• Google LLC (États-Unis) — authentification OAuth pour les Hôtes qui choisissent cette méthode. Transfert encadré par les CCT.
• Vercel Inc. (États-Unis) — hébergement de la couche web (pas de données persistantes). Transfert encadré par les CCT.
• Serveurs auto-hébergés en Union européenne — stockage principal MongoDB (base de données) et MinIO (images des livrets).

Aucune donnée n'est vendue, louée ou transmise à des tiers à des fins commerciales.

5. Durées de conservation

• Compte et contenus: jusqu'à la suppression du compte par l'Hôte ou 3 ans d'inactivité.
• Factures et justificatifs : 10 ans à compter de leur émission (obligation fiscale française).
• Journaux d'accès techniques : 30 jours.
• Token de réinitialisation de mot de passe : 1 heure.

6. Vos droits

Conformément au RGPD, vous disposez des droits suivants sur vos données :

• Droit d'accès — obtenir une copie des données que nous détenons sur vous ;
• Droit de rectification — corriger des données inexactes ou incomplètes (directement modifiable depuis « Mon compte ») ;
• Droit à l'effacement — demander la suppression de vos données (bouton « Supprimer mon compte » dans « Mon compte ») ;
• Droit à la portabilité — recevoir vos données dans un format structuré et courant ;
• Droit d'opposition — vous opposer au traitement pour motifs légitimes ;
• Droit à la limitation du traitement dans certaines conditions ;
• Droit de définir des directives post-mortem relatives à la conservation et à la communication de vos données après votre décès.

Pour exercer ces droits, écrivez à privacy@authomations.com. Nous répondons dans un délai d'un mois. Si vous estimez que le traitement de vos données n'est pas conforme au RGPD, vous pouvez introduire une réclamation auprès de la CNIL (cnil.fr/fr/plaintes).

7. Cookies

Hostinfine utilise uniquement des cookies strictement nécessaires au fonctionnement du Service :

• next-auth.session-token— cookie de session permettant de maintenir l'utilisateur connecté (durée : 30 jours) ;
• next-auth.csrf-token — cookie de sécurité anti-CSRF (durée : session) ;
• next-auth.callback-url — cookie technique utilisé pendant le flux de connexion (durée : session).

Ces cookies sont dispensés de consentement conformément à l'article 82 de la loi « Informatique et Libertés » et aux recommandations de la CNIL.

Nous n'utilisons aucun cookie de mesure d'audience, de publicité, de tracking ou de réseau social. Aucun pixel Meta/Facebook, aucun Google Analytics, aucun service de remarketing.

8. Sécurité

Nous mettons en œuvre des mesures techniques et organisationnelles adaptées pour protéger vos données :

• Chiffrement des communications via HTTPS/TLS ;
• Mots de passe stockés avec bcrypt (hash non réversible) ;
• Accès aux bases de données restreint et authentifié, journalisation des accès administrateurs ;
• Sauvegardes régulières avec chiffrement au repos ;
• Utilisation de prestataires certifiés ou soumis à des contrats de sous-traitance RGPD conformes.

9. Transferts hors Union européenne

Le stockage principal de vos données (base de données et images) s'effectue sur des serveurs situés en Union européenne. Certains sous-traitants (Stripe pour certaines opérations, Resend, Google, Vercel) peuvent néanmoins traiter des données aux États-Unis. Ces transferts sont encadrés par les clauses contractuelles types (CCT) adoptées par la Commission européenne et, le cas échéant, par les certifications Data Privacy Framework (DPF).

10. Mineurs

Le Service s'adresse à des adultes exerçant une activité de location. Aucun compte ne doit être créé par un mineur de moins de 15 ans sans l'autorisation du représentant légal.

11. Modifications de la politique

La présente politique peut être mise à jour pour refléter des changements légaux ou des évolutions du Service. La date de mise à jour est indiquée en haut du document. Les utilisateurs sont invités à consulter cette page régulièrement.