Article 1 — Responsable du traitement
Hostiaa SASU, au capital de 12 500 €, immatriculée au RCS de Lyon sous le numéro 943 171 546, située au 2 chemin de Ponterle, 69290 Craponne, est responsable du traitement de vos données personnelles au sens du RGPD.
Délégué à la protection des données (DPO) : contact@hostiaa.fr
Article 2 — Données collectées
- Données d'identification : nom, prénom, adresse email, numéro de téléphone.
- Données de compte :informations de connexion, niveau d'abonnement, rôle, préférences.
- Données de paiement : traitées exclusivement par Stripe. Hostiaa ne stocke jamais vos données bancaires.
- Données de navigation :cookies, adresse IP, logs de connexion, type de navigateur et d'appareil.
- Données d'identité voyageur :photo de pièce d'identité, selfie de vérification (check-in sécurisé).
- Données de localisation : adresses des logements gérés sur la Plateforme.
- Données professionnelles : SIRET, numéro de TVA, IBAN (prestataires et propriétaires professionnels).
- Photos et médias :photos d'état des lieux, analysées par IA (Hosti-Eye™) pour la détection de dommages.
- Données d'usage : actions réalisées sur la Plateforme, fonctionnalités utilisées, fréquence de connexion.
Article 3 — Finalités du traitement
- Gestion de votre compte, exécution du contrat et fourniture des Services.
- Traitement des paiements, facturation, gestion du Wallet et séquestre (escrow) Marketplace.
- Vérification d'identité des voyageurs (lutte contre la fraude et le blanchiment).
- Analyse automatisée par IA : tarification dynamique (Hosti Pricing™), scoring (Hosti-Score™), détection de dommages (Hosti-Eye™), automatisation (HostiFlow™).
- Mise en relation Propriétaires/Conciergeries et Prestataires via la Marketplace.
- Amélioration continue des Services et des modèles d'IA (sous forme anonymisée et agrégée).
- Respect de nos obligations légales, fiscales et réglementaires.
- Communication marketing (avec consentement préalable).
- Prévention de la fraude, détection des abus et sécurité de la Plateforme.
Article 4 — Base légale des traitements
- Exécution du contrat (art. 6.1.b RGPD) : gestion de compte, paiements, Marketplace, fourniture des Services.
- Consentement (art. 6.1.a RGPD) :cookies non essentiels, communications marketing, collecte de données d'identité voyageur.
- Intérêt légitime (art. 6.1.f RGPD) : amélioration des Services, prévention de la fraude, sécurité de la Plateforme.
- Obligations légales (art. 6.1.c RGPD) : conservation des factures, obligations fiscales.
Article 5 — Traitements automatisés et intelligence artificielle
Conformément à l'article 22 du RGPD, Hostiaa vous informe de l'existence des traitements automatisés suivants :
- Hosti-Score™ : Score de fiabilité calculé automatiquement.
- Hosti Pricing™ : Tarification dynamique basée sur les données de marché.
- Hosti-Eye™ :Analyse comparative de photos d'état des lieux.
- HostiFlow™ : Automatisation intelligente des tâches.
- Hosti-Shield™ : Arbitrage automatisé des litiges Marketplace.
Droit à l'intervention humaine : contact@hostiaa.fr.
Anonymisation PII :Les données personnelles sont systématiquement anonymisées avant tout traitement par des modèles d'IA tiers.
Article 6 — Durée de conservation
| Type de données | Durée |
|---|---|
| Données de compte | Durée d'abonnement + 3 ans |
| Données de facturation | 10 ans (obligation légale) |
| Photos d'identité voyageur | 30 jours après check-out |
| Photos d'état des lieux | Durée du litige + 1 an (max 2 ans) |
| Cookies | 13 mois maximum |
| Logs de connexion | 1 an |
| Données d'usage | 3 ans après dernière activité |
| Données Marketplace | Durée de la relation + 5 ans |
Article 7 — Vos droits (RGPD)
- Droit d'accès (art. 15) — Droit de rectification (art. 16) — Droit à l'effacement (art. 17) — Droit à la portabilité (art. 20) — Droit d'opposition (art. 21) — Droit à la limitation (art. 18) — Droit aux décisions automatisées (art. 22) — Droit de retirer votre consentement
Contact DPO : contact@hostiaa.fr — Délai : 30 jours maximum.
Article 8 — Sécurité des données
Chiffrement TLS 1.3 en transit et AES-256 au repos. Row Level Security (RLS). Clés API côté serveur uniquement. Authentification multi-facteurs. Surveillance continue. Sauvegardes chiffrées quotidiennes.
Article 9 — Partage des données
- Stripe Inc. : paiements, séquestre (PCI-DSS Level 1).
- Prestataires Marketplace : informations nécessaires à la prestation.
- Supabase Inc. : hébergement (AWS EU).
- Vercel Inc. : hébergement frontend et CDN.
- Fournisseurs d'IA : données anonymisées uniquement.
- Autorités légales :en cas d'obligation.
Hostiaa ne vend jamais vos données personnelles.
Article 10 — Transferts hors UE
Données hébergées dans l'UE. Sous-traitants US dans le cadre du EU-US Data Privacy Framework. Clauses Contractuelles Types en place.
Article 11 — Violation de données
Notification CNIL sous 72h (article 33 RGPD). Information des personnes concernées si risque élevé (article 34 RGPD).
Article 12 — Réclamation
CNIL — 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07 — www.cnil.fr.
Email : contact@hostiaa.fr | Téléphone : 06 17 28 96 78 | Hostiaa SASU — 2 chemin de Ponterle, 69290 Craponne