Data Processing Agreement (DPA)
Accord de traitement des données - Article 28 du RGPD
1. Objet
Hoguest agit en tant que sous-traitant au sens de l'article 28 du RGPD pour le compte du Client, responsable de traitement. Le présent Data Processing Agreement (DPA) définit les obligations respectives des parties concernant le traitement des données personnelles dans le cadre de l'utilisation du service Hoguest.
2. Données traitées
Les catégories de données personnelles traitées dans le cadre du service sont les suivantes :
- Données propriétaires : nom, prénom, adresse, email, téléphone, RIB, informations fiscales
- Données voyageurs : nom, prénom, date de naissance, nationalité, document d'identité, dates de séjour
- Données mandats : numéro, conditions, commissions, CRGs
- Données financières : encaissements, reversements, comptabilité mandante
- Données de messagerie : messages voyageurs traités par le Module IA Premium
3. Traitement par le Module IA Premium
Le Module IA Premium utilise le modèle Claude API (Anthropic) en tant que sous-traitant ultime pour le traitement automatisé des messages et contenus.
Données traitées
- Messages voyageurs (entrants et sortants)
- Avis publics
- Informations des biens (descriptions, équipements, consignes)
- Profils voyageurs (prénom, dates de séjour, préférences)
Localisation des traitements
Anthropic est sous-traitant agréé disposant d'un DPA et de clauses contractuelles types (SCC) conformes aux exigences du RGPD.
Conservation et utilisation des données par Anthropic
- Anthropic ne conserve pas les données transmises via l'API
- Anthropic ne les utilise pas pour l'entraînement de ses modèles
Durée de conservation des conversations
- 6 mois post-séjour : conservation des conversations en clair
- 12 mois additionnels : archivage pseudonymisé
- Suppression définitive à l'issue de cette période
Le Client peut à tout moment demander la suppression anticipée des conversations IA via son compte client ou par email à dpo@hoguest.fr.
4. Obligations du sous-traitant (Hoguest)
En sa qualité de sous-traitant, Hoguest s'engage à :
- Traiter les données personnelles uniquement sur instruction documentée du Client
- Garantir la confidentialité des données traitées et s'assurer que les personnes autorisées à traiter les données sont soumises à une obligation de confidentialité
- Mettre en œuvre les mesures de sécurité techniques et organisationnelles appropriées, notamment : chiffrement AES-256 au repos, Row Level Security (RLS) PostgreSQL, authentification multi-facteurs (MFA), chiffrement TLS 1.3 en transit
- Notifier le Client de toute violation de données personnelles dans un délai de 72 heures suivant la prise de connaissance de la violation
- Assister le Client pour répondre aux demandes d'exercice des droits des personnes concernées (accès, rectification, suppression, portabilité)
- À la fin du contrat, supprimer ou restituer l'ensemble des données personnelles au choix du Client, et détruire les copies existantes sauf obligation légale de conservation
- Mettre à disposition du Client toutes les informations nécessaires pour démontrer le respect des obligations et permettre la réalisation d'audits sur demande raisonnable
5. Sous-traitants ultérieurs
Hoguest fait appel aux sous-traitants ultérieurs suivants pour la fourniture du service :
| Sous-traitant | Fonction | Localisation | Garanties |
|---|---|---|---|
| Supabase | Base de données | UE (Francfort) | DPA |
| Vercel | Hébergement | US (edge UE) | DPA + SCC + DPF |
| Anthropic | IA (Module IA Premium) | US | DPA + SCC + zero retention |
| Channex | Channel manager | UE (Estonie) | DPA |
| Pennylane | Comptabilité | France | DPA |
| Stripe | Paiements | Irlande | DPA + PCI DSS |
| Resend | Emails transactionnels | US | DPA + SCC + DPF |
| Sentry | Monitoring erreurs | US | DPA + scrubbing |
Le Client est informé de tout ajout ou remplacement de sous-traitant ultime au moins 30 jours à l'avance. Il dispose d'un droit d'opposition motivé dans ce délai.
6. Transferts hors UE
Certains sous-traitants ultérieurs sont situés aux États-Unis. Les transferts de données hors de l'Union européenne sont encadrés par :
- Le Data Privacy Framework (DPF) pour les sous-traitants certifiés
- Les clauses contractuelles types (SCC) adoptées par la Commission européenne
- Des mesures supplémentaires techniques (chiffrement en transit et au repos, pseudonymisation) et organisationnelles (contrôle d'accès, politique de sécurité)
7. Durée de conservation
- Données actives : durée du contrat entre Hoguest et le Client
- Données voyageurs (fiches police) : 6 mois après le départ du voyageur
- Conversations IA : 6 mois post-séjour, puis 12 mois en archivage pseudonymisé
- Post-résiliation : 30 jours de conservation après résiliation du contrat, puis suppression définitive
8. Droits des personnes concernées
Les personnes concernées (propriétaires, voyageurs) disposent des droits suivants conformément au RGPD : droit d'accès, de rectification, d'effacement, de limitation du traitement, de portabilité des données et d'opposition.
Le Client, en tant que responsable de traitement, est le point de contact principal pour l'exercice de ces droits. Hoguest assiste le Client dans la mesure du possible pour répondre à ces demandes dans les délais prévus par le RGPD.
9. Notification de violation
En cas de violation de données personnelles, Hoguest s'engage à :
- Notifier le Client dans un délai de 72 heures suivant la prise de connaissance de la violation
- Fournir toutes les informations nécessaires : nature de la violation, catégories et nombre de personnes concernées, conséquences probables, mesures prises ou proposées
- Assister le Client dans ses obligations de notification auprès de la CNIL et des personnes concernées le cas échéant
10. Contact DPO
Pour toute question relative au traitement des données personnelles ou au présent DPA, vous pouvez contacter notre délégué à la protection des données :
Pour consulter notre politique de confidentialité complète, rendez-vous sur la page Politique de confidentialité.
Dernière mise à jour : mai 2026