Le présent Data Processing Agreement(« DPA ») fait partie intégrante des Conditions Générales d'Utilisation Hostiaa. Il s'applique automatiquement à tout client B2B (« Responsable de traitement ») confiant à Hostiaa SASU (« Sous-traitant ») le traitement de données à caractère personnel dans le cadre du service Hostiaa.
Ce DPA est conforme à l'article 28 du Règlement (UE) 2016/679 (« RGPD ») et inclut les Clauses Contractuelles Types adoptées par la Commission européenne (Décision 2021/914).
1. Objet et durée du traitement
Hostiaa traite les Données Personnelles uniquement aux fins d'exécution du Contrat (gestion locative courte durée : réservations, paiements, messagerie voyageurs, fiscalité, IA). Le traitement dure tant que le Contrat est en vigueur, plus la durée légale de conservation imposée par la réglementation applicable (DAC7, comptable, fiscal).
2. Catégories de personnes et de données
- Voyageurs / clients finaux du Responsable: identité, contact, pièce d'identité (vérification), historique séjours, communications, photos de check-in/out.
- Propriétaires délégants : identité, contact, IBAN (paiements), informations fiscales.
- Membres d'équipe et prestataires : identité, contact, historique missions.
3. Obligations de Hostiaa (sous-traitant)
- Traitement uniquement sur instructions documentées du Responsable.
- Confidentialité des personnes autorisées à accéder aux Données.
- Mesures techniques et organisationnelles appropriées (cf. Annexe II).
- Notification de toute violation de données dans un délai maximal de 24 heures.
- Assistance au Responsable pour répondre aux demandes d'exercice des droits (Articles 15 à 22 RGPD).
- Restitution ou suppression des Données à la fin du Contrat (à la discrétion du Responsable).
4. Sous-traitants ultérieurs
Hostiaa fait appel aux sous-traitants ultérieurs listés sur la page sub-processors (Vercel, Supabase, Stripe, Anthropic, Resend, Sentry). Toute modification de cette liste est notifiée par email avec un préavis de 30 jours, durant lequel le Responsable peut s'y opposer.
5. Transferts hors UE
L'hébergement principal (Supabase, Vercel) est en UE West (Irlande). Certains sous-traitants ultérieurs sont basés aux États-Unis : les transferts sont encadrés par les Standard Contractual Clauses (modules 2 et 3 selon l'intervenant) et le Data Privacy Framework US-EU pour les acteurs certifiés.
6. Audit & contrôle
Le Responsable peut, sous réserve d'un préavis raisonnable (30 jours) et au maximum une fois par an, demander un audit documentaire des mesures techniques et organisationnelles. Hostiaa peut substituer cet audit par un rapport SOC 2 ou ISO 27001 émis par un tiers indépendant lorsque celui-ci est disponible.
Annexe II — Mesures techniques et organisationnelles
- Chiffrement : TLS 1.3 en transit, AES-256 au repos (Supabase + Vercel).
- Authentification : OAuth + cookies HttpOnly, MFA disponible, RLS PostgreSQL sur 100% des tables.
- Journalisation : Sentry avec PII filtering, audit trail sur les actions critiques.
- Sauvegardes : daily snapshots, rétention 7 jours, restauration testée mensuellement.
- Accès : principe du moindre privilège, accès employés Hostiaa via SSO + audit.
- Vie privée by design: minimisation à l'ingestion, durées de conservation paramétrables.
Contact DPO
Pour toute question liée au présent DPA : dpo@hostiaa.com