Le présent Accord de traitement des données (« DPA ») complète les Conditions générales d'utilisation et régit le traitement de Données à caractère personnel par Hostik (le « Sous-traitant ») pour le compte du Client (le « Responsable de traitement »).
Il s'applique de plein droit à tout Client utilisant les services Hostik dont l'usage implique le traitement de données personnelles au sens du RGPD (Règlement UE 2016/679).
Hostik traite les données strictement nécessaires à la fourniture du service : identifiants des opérateurs (nom, email, rôle), événements opérationnels (rotations chambres, audits, incidents), métadonnées techniques (logs d'accès, IP, agent), preuves cryptographiques (hashes SHA-256, signatures Ed25519).
Aucun traitement à des fins de publicité, de scoring ou de revente n'est effectué. Aucune donnée n'est utilisée pour entraîner des modèles tiers.
Personnel opérationnel du Client (gouvernantes, techniciens, managers), équipes du Client (administrateurs, propriétaires), et le cas échéant données de contact des invités lorsque le Client active la messagerie unifiée ou le portail QR.
Aucune donnée d'invité n'est conservée au-delà de quatre-vingt-dix jours après le départ, sauf si le Client active explicitement la conservation longue à des fins légales.
Le traitement dure tant que le contrat est en vigueur. À la résiliation, le Client dispose de quatre-vingt-dix jours pour exporter ses données ; passé ce délai, elles sont supprimées définitivement, à l'exception des registres de preuve cryptographique conservés sept ans pour des obligations d'archivage légal (compatible eIDAS).
Hostik recourt aux sous-traitants suivants, exclusivement en région UE : Hetzner (hébergement), Cloudflare R2 (stockage objets, région EU), Stripe Payments Europe (facturation), Resend (transactionnel email), OpenRouter (routing LLM, désactivable par feature flag).
Le Client est informé par email de tout changement de sous-traitant ultérieur au moins trente jours avant sa mise en place et peut s'y opposer pour motif légitime.
Aucun transfert de données personnelles n'est effectué hors de l'Espace économique européen sans Clauses contractuelles types (CCT) et sans évaluation d'impact (TIA) préalable. Les serveurs primaires et de sauvegarde restent en région UE.
Chiffrement au repos (AES-256), en transit (TLS 1.3), authentification multifacteur disponible, gestion des clés via HSM tiers, journalisation immuable des accès, séparation stricte des environnements, sauvegardes chiffrées vérifiées hebdomadairement, audit de sécurité annuel.
En cas de violation de données à caractère personnel, Hostik notifie le Client sans retard injustifié et au plus tard dans les soixante-douze heures suivant la prise de connaissance, en fournissant les informations nécessaires pour permettre au Client de remplir ses obligations de notification à la CNIL.
Hostik fournit au Client les outils nécessaires pour répondre aux demandes d'exercice des droits (accès, rectification, suppression, portabilité, opposition) dans les délais légaux. Les exports JSON et CSV sont disponibles depuis l'interface administrateur sans intervention de Hostik.
Le Client peut demander, une fois par an et avec un préavis de trente jours, un audit documentaire des mesures de sécurité de Hostik. Hostik fournit ses rapports SOC 2 Type II (à venir 2026) et les attestations d'hébergeur.
