Politique de Confidentialité

Dernière mise à jour : 12 avril 2026

Conforme au Règlement (UE) 2016/679 (RGPD) et à la loi Informatique et Libertés modifiée.

1. Identité du responsable du traitement

Raphaël HEIRIES, entrepreneur individuel immatriculé au Registre National des Entreprises sous le SIRET 982 627 192 00015, domicilié 50 Clos Saint-Girons, 13290 Aix-en-Provence, France, exploitant sous le nom commercial DirectBookingManager(ci-après « le Prestataire »), est responsable du traitement des données personnelles collectées via la plateforme DirectBookingManager.

Contact DPO / Protection des données : privacy@directbookingmanager.fr

Note : le Prestataire agit en qualité de responsable du traitement pour ses propres données (comptes clients, facturation) et en qualité de sous-traitant (Art. 28 RGPD) pour les données des voyageurs traitées pour le compte de ses clients professionnels.

2. Données collectées

2.1 Clients professionnels (conciergeries, agences)

  • Nom, prénom, adresse email professionnelle
  • Raison sociale, numéro SIRET (le cas échéant)
  • Informations de facturation (nom, adresse de facturation)
  • Données de connexion (adresse IP, navigateur, horodatage)
  • Données d'utilisation du Service (fonctionnalités utilisées, performances)

2.2 Voyageurs (données traitées pour le compte des clients)

  • Nom, prénom, adresse email, numéro de téléphone
  • Dates de séjour, nombre de voyageurs
  • Messages échangés avec le gestionnaire via la plateforme
  • Données relatives aux réservations et paiements (montants, statuts)
  • Données de paiement : traitées exclusivement par Stripe (certifié PCI DSS niveau 1) — le Prestataire ne stocke aucune donnée de carte bancaire

2.3 Données SEO générées

  • Contenus textuels et métadonnées générés par intelligence artificielle (descriptions, titres SEO, pages multilingues)
  • Données de géolocalisation des biens (latitude, longitude) utilisées pour la génération de contenus locaux
  • Statistiques de progression du référencement par bien

Ces données ne constituent pas des données personnelles au sens du RGPD (elles décrivent des biens immobiliers, pas des personnes). Leur régime de conservation est décrit à l'article 5.4.

2.4 Données techniques

  • Adresses IP et identifiants de session (cookies d'authentification)
  • Logs d'accès et d'erreur
  • Données d'analyse anonymisée (Vercel Web Analytics — sans identifiant personnel)

3. Finalités et bases légales du traitement

FinalitéBase légale (RGPD)
Fourniture du Service (compte, réservations, paiements)Art. 6.1.b — Exécution du contrat
Facturation et comptabilitéArt. 6.1.c — Obligation légale
Génération automatique de contenus SEOArt. 6.1.b — Exécution du contrat
Sécurité, prévention de la fraudeArt. 6.1.f — Intérêt légitime
Amélioration du Service (analytics anonymisées)Art. 6.1.f — Intérêt légitime
Envoi d'emails transactionnels (confirmations, alertes)Art. 6.1.b — Exécution du contrat
Communications commerciales (newsletter, nouveautés)Art. 6.1.a — Consentement

4. Destinataires des données

Les données sont accessibles uniquement aux personnes habilitées du Prestataire dans le cadre strict de leurs missions. Elles ne sont pas vendues ni cédées à des tiers à des fins commerciales.

Les données peuvent être transmises aux autorités compétentes sur réquisition judiciaire ou administrative.

5. Durées de conservation

5.1 Données de compte client

Conservées pendant toute la durée de l'abonnement, puis archivées 3 ans après la résiliation (délai de prescription contractuelle).

5.2 Données de facturation

Conservées 10 ans conformément aux obligations comptables et fiscales (Code de Commerce, art. L.123-22).

5.3 Données de réservation et voyageurs

Conservées 5 ans après la date du séjour (prescription de droit commun). Les messages sont conservés 2 ans après la fin du séjour.

5.4 Données SEO (Contenus générés par IA)

Conservées pendant la durée de l'abonnement. Supprimées définitivement 30 jours après la résiliationde l'abonnement. Un email de rappel est envoyé à J-7. Aucune récupération n'est possible au-delà de ce terme. (Voir Article 7 des CGU.)

5.5 Logs techniques

Conservés 12 mois (obligation légale — directive ePrivacy, loi française).

5.6 Données de consentement marketing

Conservées jusqu'au retrait du consentement ou 3 ans après le dernier contact.

6. Sous-traitants et transferts hors UE

Nous faisons appel aux sous-traitants suivants pour fournir le Service :

Sous-traitantRôleLocalisationGaranties
Supabase (AWS eu-west-1)Base de données, authentificationUE (Irlande)DPA disponible
VercelHébergement application webUSA / UESCC Commission UE
StripeTraitement des paiementsUSA / UEPCI DSS L1, SCC, Privacy Shield successeur
ResendEmails transactionnelsUSASCC Commission UE
OpenRouter / DeepSeekGénération de contenus IA (SEO, concierge)USASCC — aucune donnée personnelle transmise

Note importante :Les requêtes envoyées aux services d'intelligence artificielle pour la génération SEO ne contiennent pas de données personnelles identifiantes. Elles contiennent uniquement des descriptions de biens immobiliers (adresse générale, équipements, caractéristiques).

7. Mesures de sécurité

Le Prestataire met en œuvre les mesures techniques et organisationnelles suivantes :

  • Chiffrement TLS 1.3 pour toutes les communications
  • Authentification JWT avec cookies HttpOnly et SameSite (protection XSS/CSRF)
  • Isolation multi-tenant stricte via Row Level Security (RLS) Supabase
  • Hachage des données sensibles (photos d'états des lieux — SHA-256)
  • Sauvegardes automatiques chiffrées quotidiennes
  • Monitoring et alertes en temps réel sur les anomalies d'accès
  • Accès administrateur restreint par authentification forte
  • Politique de mot de passe robuste et sessions avec expiration automatique

En cas de violation de données personnelles au sens de l'article 4(12) du RGPD, le Prestataire notifie la CNIL dans les 72 heures et, si nécessaire, les personnes concernées dans les meilleurs délais.

8. Vos droits

Conformément au RGPD, vous disposez des droits suivants :

  • Droit d'accès (Art. 15) : obtenir une copie de vos données personnelles
  • Droit de rectification (Art. 16) : corriger des données inexactes ou incomplètes
  • Droit à l'effacement (Art. 17) : demander la suppression de vos données, sous réserve des obligations légales de conservation
  • Droit à la portabilité (Art. 20) : recevoir vos données dans un format structuré et lisible par machine
  • Droit d'opposition (Art. 21) : vous opposer au traitement fondé sur l'intérêt légitime
  • Droit à la limitation (Art. 18) : restreindre temporairement le traitement
  • Droit de retrait du consentement : à tout moment, sans effet sur les traitements antérieurs

Pour exercer vos droits, adressez votre demande à : privacy@directbookingmanager.fr — Réponse sous 30 jours.

Vous pouvez également introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés) si vous estimez que vos droits ne sont pas respectés.

9. Cookies et traceurs

La Plateforme utilise les catégories de cookies suivantes :

  • Cookies strictement nécessaires (aucun consentement requis, Art. 82 Loi 78-17 / Art. 5(3) Directive ePrivacy) : authentification (JWT session admin/voyageur/prestataire), préférences de langue (dbm-locale), choix de consentement (dbm-cc), anti-CSRF.
  • Cookies fonctionnels (consentement requis) : préférences UI mémorisées (devise affichée, dark mode).
  • Cookies de mesure d'audience (consentement requis) :
    • Vercel Web Analytics (mesure d'audience interne, US — clauses contractuelles types)
    • Vercel Speed Insights (mesure de performance, US — CCT)
    • Sentry session replay (10% des sessions, 100% en cas d'erreur, US — CCT) pour debug technique
    • Google Analytics 4 (uniquement si configuré par un client professionnel pour son sous-site, US — CCT) avec anonymize_ip:true
  • Cookies de personnalisation IA (consentement requis) : mémorisation des préférences pour le concierge IA et les recommandations.
  • Cookies marketing / publicité : non utilisés actuellement par DBM. Si introduits ultérieurement, ils seront soumis à votre consentement explicite.

Conservation de votre choix : 13 mois (recommandation CNIL délibération 2020-091). Reprompt automatique à expiration ou si nous ajoutons une nouvelle catégorie.

10. Accord de sous-traitance (Art. 28 RGPD)

Pour les données des voyageurs traitées pour le compte de clients professionnels, le Prestataire agit en qualité de sous-traitantau sens de l'article 28 du RGPD. Le client professionnel (conciergerie, agence) est le responsable du traitement.

Un Accord de Traitement des Données (ATD / DPA) standardisé est disponible sur demande à : privacy@directbookingmanager.fr. Cet accord précise notamment les instructions documentées, les mesures de sécurité, les conditions de sous-traitance ultérieure et les droits d'audit.

11. Modification de la présente politique

Toute modification substantielle de cette politique est notifiée aux utilisateurs par email au moins quinze (15) jours avant son entrée en vigueur. La version en vigueur est accessible en permanence à l'adresse directbookingmanager.fr/legal/confidentialite.

12. Contact

Pour toute question relative à la protection de vos données :
Raphaël HEIRIES — entrepreneur individuel
Adresse : 50 Clos Saint-Girons, 13290 Aix-en-Provence, France
Email : privacy@directbookingmanager.fr

← Retour à l'accueilCGU