Article 1 — Responsable du traitement

Le responsable du traitement des données à caractère personnel est :

Triptic SAS

Siège social : 57 rue Raspail, 92300 Levallois-Perret, France

SIRET : 889 274 510 00011

Représenté par : Olivier BAILLEUX, Président

Contact DPO / Protection des données :  dpo@triptic.io

Article 2 — Données collectées

Triptic collecte les catégories de données suivantes, selon le rôle de l'Utilisateur et son utilisation de la Plateforme :

2.1 Données d'identification

• nom, prénom, adresse email, numéro de téléphone ;
• adresse postale ;
• date de naissance (facultative) ;
• profession (facultative) ;
• employeur (facultatif) ;
• photo de profil (facultative) ;
• nom d'utilisateur (@username) ;
• pour les Hôtes professionnels et Organisations : raison sociale, numéro SIRET, adresse professionnelle.

2.2 Données de connexion et techniques

• adresse IP, logs de connexion ;
• type de navigateur, système d'exploitation, appareil utilisé ;
• dates et heures de connexion.

2.3 Données relatives aux transactions

• historique des Réservations (dates, montants, statut) ;
• informations de facturation liées aux Abonnements ;
• identifiants Stripe (Stripe Customer ID, Stripe Connected Account ID) ; Triptic ne stocke pas les numéros de carte bancaire, qui sont traités exclusivement par Stripe.

2.4 Données de contenu

• Annonces publiées (descriptions, photos, tarifs, calendriers) ;
• messages échangés via la messagerie interne ;
• avis, commentaires, récits de voyage ;
• résultats du quiz de personnalité voyageur (tags, archétype, scores).

2.5 Données de géolocalisation

Triptic peut collecter des données de localisation approximative (ville, région) sur la base de l'adresse IP. La géolocalisation précise est utilisée uniquement pour l'affichage des cartes (Leaflet/OpenStreetMap) et le géocodage des adresses (Nominatim). Ces services fonctionnent côté client ou en requête anonyme et ne nécessitent pas de consentement spécifique.

Article 3 — Finalités et bases légales du traitement

Les données personnelles sont traitées pour les finalités suivantes :

3.1 Exécution du contrat (article 6.1.b du RGPD)

• gestion du compte utilisateur et authentification ;
• mise en relation entre Hôtes et Voyageurs ;
• traitement des Réservations et des paiements ;
• communication entre Membres via la messagerie ;
• fourniture des outils SaaS de gestion locative ;
• génération du profil voyageur (Portrait Voyageur).

3.2 Obligation légale (article 6.1.c du RGPD)

• conservation des données de facturation (obligations comptables et fiscales) ;
• conservation des données de connexion (obligation de l'hébergeur au titre de la LCEN) ;
• réponse aux réquisitions judiciaires et administratives.

3.3 Intérêt légitime (article 6.1.f du RGPD)

• amélioration de la Plateforme et analyse d'audience (via Umami, sans données personnelles) ;
• prévention de la fraude et sécurité de la Plateforme ;
• support technique et résolution des litiges ;
• envoi de communications relatives au fonctionnement du Service (notifications de Réservation, mises à jour des CGU, alertes de sécurité).

3.4 Consentement (article 6.1.a du RGPD)

• envoi de newsletters et communications marketing ;
• dépôt de cookies non essentiels le cas échéant ;
• géolocalisation précise.

Le consentement peut être retiré à tout moment, sans affecter la licéité du traitement fondé sur le consentement effectué avant le retrait.

Article 4 — Destinataires des données

Les données personnelles peuvent être communiquées aux catégories de destinataires suivantes :

4.1 Sous-traitants techniques

• Stripe (Stripe Payments Europe, Ltd., Irlande) : traitement des paiements et prévention de la fraude ;
• OVH SAS (France) : hébergement de la Plateforme et des données ;
• Brevo / Sendinblue (France) : envoi d'emails transactionnels et de newsletters ;
• OpenStreetMap Foundation (Royaume-Uni) : fonds de carte et géocodage Nominatim (données ouvertes, requêtes anonymes).

Chaque sous-traitant est lié par un accord de traitement des données (DPA) conforme à l'article 28 du RGPD.

4.2 Autres Membres

Certaines données sont visibles par les autres Membres dans le cadre du fonctionnement de la Plateforme : prénom, photo de profil, @username, profil voyageur public, avis publiés, Annonces. Les coordonnées complètes (email, téléphone) ne sont communiquées qu'en cas de Réservation confirmée, dans la mesure nécessaire à l'exécution du contrat de location.

4.3 Autorités publiques

Triptic peut être amené à communiquer des données personnelles aux autorités judiciaires, administratives ou fiscales en réponse à une réquisition légale.

Article 5 — Transferts hors UE

Les données sont hébergées en France (OVH). Le sous-traitant Stripe peut transférer des données vers des pays situés hors de l'Espace économique européen (EEE), notamment les États-Unis. Les services de cartographie (OpenStreetMap, Nominatim) fonctionnent par requêtes anonymes sans transfert de données personnelles.

Ces transferts sont encadrés par les garanties prévues par le RGPD :

• décision d'adéquation de la Commission européenne (EU-US Data Privacy Framework pour les États-Unis, le cas échéant) ;
• clauses contractuelles types (SCC) adoptées par la Commission européenne ;
• mesures techniques supplémentaires (chiffrement, pseudonymisation) lorsqu'elles s'avèrent nécessaires.

Article 6 — Durée de conservation

Les données personnelles sont conservées pour les durées suivantes :

• Données du compte (identification, profil) : pendant toute la durée de l'inscription, puis supprimées dans un délai de trente (30) jours après la clôture du compte, sous réserve des obligations d'archivage légal.
• Données de facturation : dix (10) ans à compter de la clôture de l'exercice comptable (obligation comptable).
• Données de connexion (logs, IP) : un (1) an à compter de la création de la donnée (obligation LCEN).
• Messages échangés : pendant toute la durée du compte, puis anonymisés ou supprimés à la clôture.
• Données de Réservation : cinq (5) ans après la fin du séjour (délai de prescription civile).
• Données de consentement (newsletter) : trois (3) ans à compter du dernier contact ou de la collecte du consentement.
• Données d'Abonnement après résiliation : six (6) mois (période de réactivation), puis supprimées ou anonymisées.

Article 7 — Droits des personnes concernées

Conformément au RGPD (articles 15 à 22) et à la loi Informatique et Libertés, tout Utilisateur dispose des droits suivants :

• Droit d'accès (art. 15) : obtenir la confirmation que des données le concernant sont traitées et en recevoir une copie.
• Droit de rectification (art. 16) : demander la correction des données inexactes ou incomplètes.
• Droit à l'effacement (art. 17) : demander la suppression de ses données, sous réserve des obligations légales de conservation.
• Droit à la limitation du traitement (art. 18) : demander la suspension du traitement dans les cas prévus par le RGPD.
• Droit à la portabilité (art. 20) : recevoir ses données dans un format structuré, couramment utilisé et lisible par machine, et les transmettre à un autre responsable de traitement.
• Droit d'opposition (art. 21) : s'opposer au traitement de ses données fondé sur l'intérêt légitime ou la prospection commerciale.
• Droit de retrait du consentement : retirer son consentement à tout moment pour les traitements fondés sur le consentement, sans affecter la licéité du traitement antérieur.
• Directives post-mortem : définir des directives relatives au sort de ses données après son décès (droit spécifique français, art. 85 de la loi Informatique et Libertés).

Pour exercer ces droits, l'Utilisateur peut adresser sa demande :

• par email :  dpo@triptic.io ;
• par courrier : Triptic SAS — DPO — 57 rue Raspail, 92300 Levallois-Perret, France.

Triptic s'engage à répondre dans un délai d'un (1) mois à compter de la réception de la demande, prorogeable de deux (2) mois en cas de complexité.

En cas de difficulté, l'Utilisateur peut introduire une réclamation auprès de la Commission nationale de l'informatique et des libertés (CNIL) : https://www.cnil.fr.

Article 8 — Sécurité des données

Triptic met en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, conformément à l'article 32 du RGPD, et notamment :

• chiffrement des communications en transit (HTTPS/TLS) ;
• chiffrement des données sensibles au repos ;
• contrôle d'accès strict aux serveurs et aux données ;
• surveillance des accès et détection d'intrusion (fail2ban, journaux d'audit) ;
• sauvegardes régulières et plan de reprise d'activité ;
• mise à jour régulière des systèmes et dépendances logicielles.

En cas de violation de données à caractère personnel présentant un risque pour les droits et libertés des personnes concernées, Triptic notifiera la CNIL dans les soixante-douze (72) heures et informera les personnes concernées dans les meilleurs délais, conformément aux articles 33 et 34 du RGPD.

Article 9 — Mineurs

La Plateforme n'est pas destinée aux personnes âgées de moins de dix-huit (18) ans. Triptic ne collecte pas sciemment de données personnelles de mineurs. Si Triptic découvrait avoir collecté des données d'un mineur sans le consentement de son représentant légal, ces données seraient supprimées sans délai.