Politique de confidentialité

Dernière mise à jour : 15 avril 2026

La présente politique de confidentialité décrit la manière dont mon-livretdaccueil.fr collecte, utilise et protège les données personnelles conformément au Règlement Général sur la Protection des Données (RGPD — Règlement UE 2016/679) et à la loi Informatique et Libertés du 6 janvier 1978 modifiée.

1. Responsable du traitement

Amar Benlamaalam — Auto-entrepreneur
5 T Bd Louis XIV, Appt 10, 59800 Lille, France
SIRET : 103 224 531 00014
Contact protection des données : privacy@mon-livretdaccueil.fr

Délégué à la Protection des Données (DPO). La désignation d'un DPO n'est pas obligatoire compte tenu de l'activité (art. 37 RGPD). Les demandes relatives aux données personnelles sont traitées directement par le responsable de traitement à privacy@mon-livretdaccueil.fr.

2. Données collectées

2.1 Données des hôtes (utilisateurs inscrits)

  • Compte : prénom, nom, email, mot de passe (haché bcrypt), numéro de téléphone (optionnel, pour la vérification anti-abus et l'activation premium).
  • Profil OAuth (si connexion Google/Facebook) : identifiant unique du fournisseur, email, nom.
  • Contenu des livrets : nom du logement, adresse, photos, messages de bienvenue, règles, informations d'arrivée/départ, contacts de l'hôte.
  • Paiement : aucune donnée bancaire n'est stockée sur nos serveurs. Stripe traite les paiements.

2.2 Données techniques et analytics

  • Données techniques : adresse IP, type de navigateur, système d'exploitation, pages visitées, horodatage.
  • Analytics livret : vues, scans QR, sections consultées, langue du visiteur, identifiant de session anonyme (UUID généré côté client).

2.3 Données des voyageurs (visiteurs des livrets)

Lorsqu'un voyageur consulte un livret publié par un hôte, certaines données sont traitées :

  • Session anonyme : UUID généré côté client (localStorage, 30 jours), langue détectée du navigateur.
  • État des lieux (si le voyageur choisit d'uploader) : photos horodatées, heure de check-in/check-out, validation des instructions de départ.
  • Logs techniques : adresse IP, user-agent (12 mois).

Répartition des responsabilités. Pour les données saisies par l'hôte et concernant les voyageurs (instructions nominatives, photos de référence du logement), l'hôte agit en qualité de responsable de traitement et l'éditeur en qualité de sous-traitant (article 28 RGPD). Les CGU tiennent lieu d'accord de sous-traitance. Pour les données collectées directement auprès du voyageur par le Service (analytics, logs, photos uploadées par le voyageur lui-même), l'éditeur est responsable de traitement.

Âge minimum. Le Service n'est pas destiné aux mineurs de moins de 15 ans. Les voyageurs mineurs de moins de 15 ans ne peuvent utiliser les fonctionnalités d'upload (photos d'état des lieux) sans l'accord de leur représentant légal (article 45 de la loi Informatique et Libertés).

3. Finalités, bases légales et durées de conservation

FinalitéBase légaleDurée
Gestion du compte et fourniture du ServiceExécution du contrat (art. 6-1-b)Durée du compte + 30 jours
Facturation et comptabilitéObligation légale (art. 6-1-c)10 ans (Art. L123-22 C. com.)
Sécurité, prévention de la fraudeIntérêt légitime (art. 6-1-f)12 mois
Analytics livret anonymesIntérêt légitime (art. 6-1-f)Agrégé illimité · individuel 30 jours
Chatbot IA (Léo)Exécution du contrat (art. 6-1-b)Non conservé au-delà de la session
Traduction automatique (Google)Intérêt légitime (art. 6-1-f)Non conservé
Emails transactionnels (vérif, facture)Exécution du contrat (art. 6-1-b)Durée du compte
Communications marketingConsentement (art. 6-1-a)Jusqu'à retrait du consentement
État des lieux voyageurIntérêt légitime hôte + ServiceJusqu'à suppression livret ou 30 j post check-out
Compte inactifIntérêt légitimeSuppression automatique après 3 ans sans connexion

Durées techniques spécifiques

  • Jetons JWT d'authentification : 7 jours.
  • Codes de vérification email : 30 minutes.
  • Jetons de réinitialisation de mot de passe : 30 minutes.
  • Codes SMS de vérification : 10 minutes.
  • Session voyageur (localStorage) : 30 jours.

4. Sous-traitants et destinataires

Les données sont traitées par les sous-traitants suivants, chacun soumis à un accord de traitement conforme au RGPD :

  • Stripe Payments Europe Ltd. (Irlande, contractant UE) — paiements, facturation. stripe.com/privacy
  • Cloudinary Ltd. (USA — CCT + Data Privacy Framework) — stockage des images (logos, couvertures, photos d'état des lieux).
  • Railway Corp. (USA — CCT) — hébergement des serveurs applicatifs et de la base de données.
  • Google LLC (USA — Data Privacy Framework) — service Google Translate (contenu du livret), OAuth Google.
  • Meta Platforms Ireland Ltd. (Irlande) — authentification OAuth Facebook.
  • Groq Inc. (USA — CCT) — inférence IA du chatbot Léo. Les requêtes peuvent contenir des extraits du livret. Groq ne conserve pas les prompts au-delà de la session selon son DPA.
  • Twilio Inc. (USA — Data Privacy Framework + CCT) — envoi des SMS de vérification.
  • Resend Inc. (USA — CCT) — envoi des emails transactionnels (vérification, réinitialisation, factures, notifications).
  • OpenStreetMap Foundation / Nominatim (Royaume-Uni — décision d'adéquation UE) — géocodage d'adresses.
  • Overpass API (Allemagne) — recherche d'informations de transport à proximité (coordonnées GPS transmises).
  • Pexels GmbH (Allemagne) / Unsplash Inc. (Canada — décision d'adéquation UE) — API de recherche de photos de couverture.

Les transferts hors Union Européenne sont encadrés par les Clauses Contractuelles Types (CCT) de la Commission européenne, par l'EU-US Data Privacy Framework lorsque le destinataire y est certifié, ou par une décision d'adéquation. La liste actualisée des garanties appropriées par sous-traitant est disponible sur demande à privacy@mon-livretdaccueil.fr.

5. Cookies et stockage local

Le Site utilise uniquement des cookies et des technologies de stockage local strictement nécessaires :

  • Authentification : jeton JWT stocké en localStorage (expiration 7 jours).
  • Préférences : langue du site, session voyageur (localStorage, 30 jours).
  • Sécurité : détection de comportements frauduleux (IP, user-agent hashés).

Ces cookies et stockages relèvent de l'exception « strictement nécessaires » de l'article 82 II° de la loi Informatique et Libertés et ne nécessitent pas de consentement préalable. Aucun cookie publicitaire, de traçage tiers ou de profilage n'est déposé.

6. Intelligence artificielle et décisions automatisées

Le Service met en œuvre des fonctionnalités d'IA (assistant Léo, génération de contenus assistée). Conformément à l'article 50 du Règlement européen sur l'intelligence artificielle (AI Act, Règlement UE 2024/1689), l'utilisateur est informé qu'il interagit avec un système d'intelligence artificielle.

Aucune décision automatisée produisant des effets juridiques ou affectant significativement l'utilisateur n'est mise en œuvre (article 22 RGPD). Les suggestions de l'IA sont purement indicatives et l'utilisateur garde le contrôle des publications.

7. Vos droits

Conformément au RGPD, vous disposez des droits suivants :

  • Droit d'accès — consulter les données que nous détenons sur vous.
  • Droit de rectification — corriger des données inexactes ou incomplètes.
  • Droit à l'effacement (« droit à l'oubli ») — supprimer votre compte et vos données depuis « Mon compte ».
  • Droit à la limitation — suspendre temporairement le traitement.
  • Droit à la portabilité — récupérer vos données dans un format structuré (JSON) sur demande.
  • Droit d'opposition — s'opposer au traitement pour motifs légitimes.
  • Droit d'opposition à la prospection commerciale — à tout moment, sans justification, via le lien de désinscription présent dans chaque email ou par demande écrite.
  • Droit de retirer votre consentement à tout moment lorsque le traitement repose sur le consentement.
  • Droit de définir des directives post-mortem relatives à la conservation, l'effacement et la communication de vos données après votre décès (art. 85 loi Inf. Lib.).

Pour exercer ces droits, écrivez à privacy@mon-livretdaccueil.fr en joignant une preuve d'identité. Réponse sous 30 jours maximum (prolongeable de 2 mois si demande complexe, art. 12-3 RGPD).

8. Sécurité

Mesures techniques et organisationnelles mises en œuvre :

  • chiffrement des communications TLS/HTTPS ;
  • hachage des mots de passe (bcrypt) ;
  • accès aux bases de données restreint et authentifié ;
  • sauvegardes régulières et chiffrées ;
  • journalisation des accès et surveillance des anomalies ;
  • authentification à deux facteurs pour les accès administrateur ;
  • audits réguliers des sous-traitants.

9. Violation de données

En cas de violation de données susceptible d'engendrer un risque élevé pour vos droits et libertés, vous serez notifié dans les 72 heures et la CNIL sera informée conformément aux articles 33 et 34 du RGPD.

10. Réclamation auprès de la CNIL

Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la CNIL :

Commission Nationale de l'Informatique et des Libertés (CNIL)
3 Place de Fontenoy — TSA 80715 — 75334 Paris Cedex 07
Tél : 01 53 73 22 22
Site : www.cnil.fr/fr/plaintes

11. Évolution de la politique

Cette politique peut être mise à jour. Les modifications substantielles seront notifiées par email aux utilisateurs inscrits au moins 30 jours avant leur entrée en vigueur.

12. Contact

Données personnelles : privacy@mon-livretdaccueil.fr · Signalement de contenu illicite : abuse@mon-livretdaccueil.fr · Support : contact@mon-livretdaccueil.fr.