🔒 Protection des données

Politique RGPD
& Data Processing Agreement

Conforme au Règlement UE 2016/679 (RGPD). Détaille comment vos données et celles de vos clients hôteliers sont traitées, protégées et hébergées.

Version du 30 avril 2026
Conforme RGPD Art. 28
Données hébergées en UE
🇪🇺
Hébergement UE
Serveurs Hetzner, Allemagne
🔐
Isolation totale
Docker dédié par client
100% RGPD
CCT pour transferts hors UE

📋 Sommaire

Partie I — Identification des Parties

Le Responsable du Traitement (RT)

Le client souscripteur (établissement hôtelier), en qualité d'exploitant, agit comme Responsable du Traitement (art. 4(7) RGPD) pour les données personnelles de ses propres clients.

Le Sous-Traitant (ST)

Raison socialeDigiweave Crew
SiègeParis, France
Contact RGPDdigiweavecrew@gmail.com
Sitehttps://digiweave.fr

Digiweave agit en qualité de sous-traitant (art. 4(8) et art. 28 RGPD), traitant des données pour le compte et sur instruction du Responsable du Traitement.

Partie II — Objet et durée du traitement

Le présent DPA régit les conditions dans lesquelles Digiweave traite des données personnelles pour fournir le service :

  • Analyse et classification automatique des emails professionnels entrants
  • Génération de brouillons de réponse par intelligence artificielle
  • Stockage temporaire des emails pour traitement
  • Génération de rapports de suivi et statistiques d'utilisation

Ce DPA est valide pendant toute la durée de l'abonnement et expire à la date de résiliation effective.

Partie III — Nature des données traitées

Personnes concernées

  • Clients de l'établissement hôtelier (particuliers et professionnels)
  • Fournisseurs et partenaires de l'établissement
  • Toute personne entrant en contact par email avec l'établissement

Catégories de données

CatégorieExemples
Données d'identificationNom, prénom du correspondant
CoordonnéesAdresse email, téléphone (si présent dans l'email)
Données de réservationDates de séjour, type de chambre, nombre de personnes
Données de communicationContenu des emails entrants et sortants
Données comportementalesCatégorie d'email, niveau d'urgence détecté

🚫 Digiweave NE traite PAS de données sensibles (art. 9 RGPD : santé, religion, origine ethnique…). Si de telles données apparaissaient dans des emails, elles seraient ignorées et non stockées.

Partie IV — Infrastructure technique et localisation des données

ComposantDétail technique et localisation
Serveur d'hébergementHetzner Online GmbH — Datacenter EU (Falkenstein / Nuremberg, Allemagne)
Isolation clientConteneur Docker dédié par client — isolation complète
Moteur d'automatisationn8n (open-source, auto-hébergé sur Hetzner)
Modèle IA (LLM)OpenAI GPT via API — CCT UE — pas d'entraînement sur les données API
Intégration emailGmail via OAuth2 (Google) / Outlook via OAuth2 (Microsoft)
ReportingGoogle Sheets — données agrégées uniquement

Transferts hors UE

Les transferts vers OpenAI (USA), Google (USA) et Microsoft (USA) sont encadrés par les Clauses Contractuelles Types (CCT) approuvées par la Commission Européenne. OpenAI s'engage contractuellement à ne pas utiliser les données API pour entraîner ses modèles.

Partie V — Mesures de sécurité techniques et organisationnelles

Mesures techniques

  • Chiffrement en transit : HTTPS/TLS 1.3 pour toutes les communications
  • Chiffrement au repos : volumes de stockage Hetzner chiffrés
  • Isolation : conteneur Docker dédié par client — aucune donnée partagée entre clients
  • Accès restreints : accès serveur limité aux administrateurs Digiweave via SSH + clé cryptographique
  • Tokens OAuth2 : stockés de manière chiffrée, révocables à tout moment par le client

Mesures organisationnelles

  • Principe de minimisation : seules les données strictement nécessaires sont traitées
  • Principe du moindre privilège : accès aux données clients limité au personnel strictement nécessaire
  • Notification des violations de données dans les 72h (art. 33 RGPD)
  • Sous-traitants contrôlés : Hetzner, OpenAI, Google, Microsoft présentent des garanties suffisantes

Partie VI — Droits des personnes concernées

Le Responsable du Traitement (l'établissement hôtelier) répond aux demandes de ses propres clients. Digiweave assiste le RT dans l'exercice de ces droits.

Droit RGPDModalités d'exercice
Accès (Art. 15)Demande écrite à digiweavecrew@gmail.com — réponse sous 30 jours
Rectification (Art. 16)Correction des données inexactes sur demande
Effacement (Art. 17)Suppression sous 30 jours, sauf obligation légale de conservation
Portabilité (Art. 20)Export des données au format CSV/JSON sur demande
Opposition (Art. 21)Opposition au traitement pour motif légitime
Limitation (Art. 18)Limitation pendant la durée d'examen d'une contestation

📧 Pour toute question RGPD : digiweavecrew@gmail.com — Objet : [RGPD] — Réponse sous 30 jours

Partie VII — Durée de conservation des données

Type de donnéesDurée de conservation
Emails traités (contenu)Durée du contrat + 30 jours après résiliation
Brouillons générésDurée du contrat — supprimés après validation ou rejet
Logs techniques90 jours glissants
Données de facturation10 ans (obligation légale comptable)
Rapports Google SheetsDurée du contrat + 30 jours après résiliation
Données après résiliationSuppression complète dans les 30 jours suivant la fin du contrat

À l'expiration des délais, les données sont supprimées de manière sécurisée et définitive. Sur demande écrite dans les 30 jours suivant la résiliation, le client peut obtenir une exportation de ses données.

Partie VIII — Obligations de Digiweave en tant que Sous-Traitant

Conformément à l'article 28 du RGPD, Digiweave s'engage à :

  • Ne traiter les données que sur instruction documentée du Responsable du Traitement
  • Veiller à ce que les personnes autorisées soient soumises à une obligation de confidentialité
  • Mettre en œuvre toutes les mesures de sécurité requises par l'article 32 du RGPD
  • Aider le RT à répondre aux demandes d'exercice des droits RGPD
  • Notifier le RT dans les 24h de toute violation de données dont Digiweave aurait connaissance
  • Supprimer ou restituer l'ensemble des données à l'issue de la prestation

Partie IX — Gestion des violations de données

En cas de violation (accès non autorisé, perte, destruction, altération), Digiweave s'engage à :

  • Notifier le Responsable du Traitement dans les 24 heures suivant la prise de connaissance
  • Fournir les informations permettant au RT de notifier la CNIL dans le délai de 72h (art. 33 RGPD)
  • Documenter l'incident, ses causes, ses effets et les mesures correctives
  • Collaborer pleinement avec le RT et les autorités compétentes

Partie X — Sous-traitants ultérieurs

Le Responsable du Traitement autorise Digiweave à faire appel aux sous-traitants suivants :

Sous-traitantLocalisationFinalité & Garanties
Hetzner Online GmbHAllemagne (UE)Hébergement serveur — ISO 27001 — Données UE
OpenAI, Inc.USA (hors UE)Inférence LLM — CCT UE — API: pas d'entraînement sur les données
Google LLCUSA (hors UE)Gmail OAuth2 + Google Sheets — CCT UE — Google Cloud DPA
Microsoft Corp.USA (hors UE)Outlook OAuth2 — CCT UE — Microsoft Data Protection Addendum
Stripe, Inc.USA / EUPaiement — PCI-DSS — CCT UE

Digiweave notifie le RT de tout changement concernant ses sous-traitants avec un préavis de 30 jours, laissant la possibilité de s'y opposer.

📧 Pour toute question RGPD : digiweavecrew@gmail.com — Objet : [RGPD] — Réponse sous 30 jours