Protection des données — Conformité RGPD

Section A — Rôle de StayPulses et logique de conformité

1. Contexte

StayPulses est un service SaaS d'analyse et de pilotage destiné aux hôtels indépendants. À ce titre, il traite deux catégories de données distinctes qui obéissent à des régimes juridiques différents :

Les données du Client hôtelier et de ses Utilisateurs — données de compte, de facturation, d'usage — pour lesquelles StayPulses est responsable de traitement.

Les données à caractère personnel des Clients finaux de l'hôtel — voyageurs, hôtes — que le Client hôtelier peut importer sur la Plateforme, et pour lesquelles StayPulses agit en qualité de sous-traitant sur instruction du Client responsable de traitement.

2. Piliers de conformité

La conformité de StayPulses repose sur les principes suivants :

• distinction claire et constante entre les deux rôles définis ci-dessus ;
• encadrement contractuel des traitements effectués en qualité de sous-traitant, formalisé dans l'accord de traitement des données présenté à la Section C ;
• mesures techniques et organisationnelles appropriées pour la protection des données ;
• usage contrôlé de services tiers, notamment le prestataire d'hébergement cloud et le prestataire de services d'intelligence artificielle : ce dernier n'est sollicité que sur déclenchement explicite de l'Utilisateur, avec transmission de données limitée, en principe, au strict nécessaire et à des données non directement identifiantes.

Section B — Engagement de confidentialité et usage des données

StayPulses s'engage de manière ferme envers les Clients hôteliers qui lui confient leurs données opérationnelles et commerciales.

1. Aucune revente de données

Les données du Client — données financières, de performance, de tarification, de réservations et données relatives aux Clients finaux — ne sont ni vendues, ni cédées, ni louées, ni monétisées auprès de tiers, quelles qu'en soient les circonstances.

2. Usage exclusivement limité à la fourniture du Service

Les données du Client sont utilisées exclusivement aux fins suivantes :

• exécution du Service contractuellement souscrit par le Client ;
• sécurité et intégrité de la Plateforme ;
• support technique et résolution d'incidents ;
• amélioration du Service sur la base de données agrégées et anonymisées de manière irréversible, ne permettant pas d'identifier directement ou indirectement un Client, un établissement ou une personne physique.

3. Absence d'usage concurrentiel

StayPulses s'interdit formellement d'utiliser les données de performance, de tarification, de revenus ou de clientèle d'un Client hôtelier pour avantager un concurrent direct, pour constituer des benchmarks à usage commercial envers des tiers opérant dans le même secteur ou marché géographique, ou pour toute finalité susceptible de porter atteinte aux intérêts commerciaux du Client.

4. Accès interne limité

L'accès aux Données Client est restreint aux seuls membres de l'équipe StayPulses dont les fonctions le requièrent strictement, à des fins opérationnelles définies. Ces accès font l'objet d'une traçabilité interne.

5. Données agrégées

StayPulses peut, sans identifier ni réidentifier aucun établissement individuel, utiliser des données statistiques agrégées et anonymisées de manière irréversible, ne permettant pas d'identifier directement ou indirectement un Client, un établissement ou une personne physique, à des fins de recherche produit ou d'analyse sectorielle.

6. Usage contrôlé de services d'intelligence artificielle

Certaines fonctionnalités de la Plateforme font appel à un prestataire externe de services d'intelligence artificielle. StayPulses s'engage à ce que :

• aucune donnée ne soit transmise à ce prestataire en dehors d'une action explicitement initiée par l'Utilisateur ;
• les données transmises soient limitées, autant que possible, à ce qui est strictement nécessaire pour traiter la demande ;
• ces données n'incluent pas, en principe, de données permettant l'identification directe des Clients finaux de l'hôtel ;
• ce prestataire soit soumis à des engagements contractuels de confidentialité et de protection des données appropriés, incluant des clauses contractuelles types lorsque ce prestataire est établi hors de l'Union européenne.

Section C — Accord de traitement des données (Data Processing Agreement)

Le présent accord de traitement des données (ci-après « DPA ») est intégré aux conditions contractuelles liant StayPulses et le Client hôtelier. Il est conclu en application de l'article 28 du Règlement (UE) 2016/679 (RGPD) et entre en vigueur à la date de souscription de l'Abonnement.

Article C.1 — Objet

Le présent DPA définit les conditions dans lesquelles StayPulses, en qualité de sous-traitant, traite des données à caractère personnel pour le compte du Client, en qualité de responsable de traitement, dans le cadre de la fourniture du Service StayPulses.

Article C.2 — Durée

Le présent DPA entre en vigueur à la date de souscription de l'Abonnement et prend fin à la date d'effet de la résiliation. Les obligations relatives à la suppression ou à la restitution des données s'appliquent dans le délai défini à l'Article C.10.

Article C.3 — Nature, finalité et périmètre du traitement

Nature : collecte, stockage, structuration, organisation, consultation, utilisation, calcul, analyse et suppression.

Finalités : fourniture du Service StayPulses au Client — centralisation des données opérationnelles, calcul d'indicateurs de performance, production d'analyses et génération de Recommandations.

Périmètre : données à caractère personnel des Clients finaux de l'hôtel importées par le Client sur la Plateforme. Les données purement opérationnelles et financières ne comportant aucune donnée personnelle de Clients finaux sont en dehors du périmètre du présent DPA.

Article C.4 — Catégories de données traitées

Les catégories de données susceptibles d'être traitées incluent :

• données d'identification : nom, prénom ;
• coordonnées : adresse email, numéro de téléphone ;
• données de séjour : dates d'arrivée et de départ, type de chambre, durée de séjour ;
• données financières liées au séjour : montants de réservation, extras, statut de paiement ;
• données de segmentation : nationalité, type de clientèle, canal de réservation.

Le Client s'engage à n'importer que les catégories nécessaires à la fourniture du Service. StayPulses ne traite pas de données sensibles au sens de l'article 9 du RGPD. Le Client s'assure de ne pas en importer.

Article C.5 — Catégories de personnes concernées

Les personnes concernées sont les Clients finaux du Client hôtelier — voyageurs, hôtes et résidents ayant effectué ou envisagé un séjour dans l'établissement du Client.

Article C.6 — Obligations de StayPulses en qualité de sous-traitant

StayPulses s'engage à :

(a) Agir exclusivement sur instruction du Client. StayPulses ne traite les données que sur instruction documentée du Client. Les CGU et le présent DPA constituent les instructions initiales. Si une instruction est susceptible de constituer une violation du RGPD, StayPulses en informe le Client sans délai.

(b) Limiter l'usage à la fourniture du Service. StayPulses n'utilise pas les données traitées dans le cadre du présent DPA à des fins propres, concurrentielles ou commerciales autres que l'exécution du Service.

(c) Ne pas transférer les données à des tiers non autorisés. StayPulses ne transfère les données à des tiers que dans les cas expressément prévus au présent DPA ou imposés par obligation légale.

(d) Informer le Client en cas d'obligation légale de divulgation. Si StayPulses est légalement contraint de divulguer des données à une autorité compétente, il en informe le Client préalablement dans toute la mesure permise par la loi.

Article C.7 — Confidentialité

StayPulses s'assure que les personnes autorisées à traiter les données sont soumises à une obligation de confidentialité contractuelle ou légale. L'accès est limité aux personnes pour lesquelles il est strictement nécessaire.

Article C.8 — Mesures de sécurité

StayPulses met en œuvre des mesures techniques et organisationnelles appropriées, compte tenu de la nature des données et des risques identifiés, pour assurer un niveau de sécurité adapté. Ces mesures sont révisées régulièrement.

Article C.9 — Sous-traitants ultérieurs

C.9.1 Autorisation générale. Le Client autorise StayPulses à recourir à des sous-traitants ultérieurs. StayPulses informe le Client de tout changement envisagé concernant l'ajout ou le remplacement d'un sous-traitant ultérieur dans un délai raisonnable, permettant au Client d'exercer son droit d'opposition.

C.9.2 Obligations transmises. StayPulses impose à ses sous-traitants ultérieurs les mêmes obligations de protection des données que celles définies dans le présent DPA. StayPulses demeure responsable envers le Client du respect de ces obligations.

C.9.3 Catégories de sous-traitants ultérieurs autorisés. Les catégories susceptibles d'intervenir sont les suivantes :

• prestataire d'hébergement cloud ;
• prestataire de gestion des bases de données ;
• prestataire d'envoi d'emails transactionnels ;
• prestataire de services d'intelligence artificielle.

La liste des sous-traitants ultérieurs en vigueur est disponible sur demande à l'adresse support@staypulses.com.

C.9.4 Conditions spécifiques applicables au prestataire de services d'intelligence artificielle. Le recours au prestataire de services d'intelligence artificielle est soumis aux conditions cumulatives suivantes :

• ce prestataire n'intervient que lorsqu'une fonctionnalité d'analyse assistée ou de copilote est explicitement déclenchée par le Client ou un Utilisateur — par une question posée, une analyse demandée ou une fonctionnalité volontairement activée. Aucune donnée n'est transmise à ce prestataire de manière silencieuse, permanente ou en dehors de ces interactions ;
• les données transmises sont limitées, autant que possible, à ce qui est nécessaire pour traiter l'action ou la demande initiée. Elles consistent, en principe, en données opérationnelles, indicateurs de performance et libellés techniques non directement identifiants ;
• ces données n'incluent pas, en principe, sauf cas exceptionnel documenté et justifié par la nature de la demande, de données permettant l'identification directe des Clients finaux de l'hôtel ;
• ce prestataire est soumis à des engagements contractuels de confidentialité, de sécurité et de protection des données appropriés. Lorsqu'il est établi hors de l'Union européenne, les transferts sont encadrés par des clauses contractuelles types ou toute autre garantie appropriée au sens du Chapitre V du RGPD.

Article C.10 — Sort des données en fin de contrat

À la date d'effet de la résiliation de l'Abonnement :

• le Client dispose d'un délai de trente (30) jours pour demander l'export de ses données dans un format structuré et lisible, par email à support@staypulses.com ;
• à l'issue de ce délai, en l'absence de demande d'export, les données à caractère personnel des Clients finaux sont supprimées des systèmes de StayPulses ;
• les données de facturation sont conservées conformément aux obligations légales applicables.

Sur demande du Client formulée avant la suppression, StayPulses peut attester par écrit de la destruction des données.

Article C.11 — Assistance au Client pour les droits des personnes

StayPulses prête assistance au Client, dans la mesure du raisonnablement possible et compte tenu de la nature des traitements, pour lui permettre de s'acquitter de son obligation de donner suite aux demandes d'exercice des droits des personnes concernées.

Lorsqu'un Client final adresse directement à StayPulses une demande relative à ses données, StayPulses en informe le Client sans délai et ne donne pas suite sans instruction de sa part, sauf obligation légale.

Article C.12 — Notification des violations de données

En cas de violation de données à caractère personnel au sens de l'article 4(12) du RGPD affectant les données traitées dans le cadre du présent DPA, StayPulses notifie le Client par email à l'adresse renseignée dans son compte, dans les meilleurs délais après en avoir pris connaissance.

Cette notification contient, dans la mesure du possible : la nature de la violation, les catégories et le volume approximatif de données et de personnes concernées, les conséquences probables, et les mesures prises ou envisagées. Elle permet au Client de remplir ses propres obligations de notification à la CNIL et, le cas échéant, aux personnes concernées.

Article C.13 — Audit et demandes d'information

C.13.1 Informations disponibles. StayPulses met à disposition du Client les informations nécessaires pour démontrer le respect de ses obligations au titre du présent DPA, à première demande écrite adressée à support@staypulses.com.

C.13.2 Audit. Le Client peut demander la réalisation d'un audit portant sur les traitements effectués dans le cadre du présent DPA, dans les conditions suivantes :

• demande formulée par écrit avec un préavis minimum de trente (30) jours calendaires ;
• réalisation aux heures ouvrées, sans perturber le fonctionnement du Service ;
• frais à la charge du Client, sauf si l'audit révèle un manquement substantiel de StayPulses ;
• auditeur soumis à une obligation de confidentialité préalable à sa mission ;
• StayPulses peut, en lieu et place d'un audit sur site, fournir une attestation ou un rapport établi par un tiers qualifié et indépendant couvrant les mesures de conformité pertinentes.

Article C.14 — Hiérarchie contractuelle

Le présent DPA fait partie intégrante des conditions contractuelles applicables entre StayPulses et le Client. En cas de contradiction entre le présent DPA et les CGU sur les questions de traitement des données à caractère personnel couvertes par le DPA, les stipulations du présent DPA prévalent.

Section D — Contact

Pour toute question relative à la protection des données, à l'exercice des droits ou à l'application du présent DPA :

Email : support@staypulses.com

Pour toute réclamation non résolue : Commission Nationale de l'Informatique et des Libertés (CNIL) — www.cnil.fr.