Accord de traitement des données (DPA)

Modèle simplifié destiné à formaliser le rôle de Hostalia comme sous-traitant au sens du RGPD. Les abonnés signent ce DPA à la souscription.

1. Parties

Responsable de traitement : l'hôtel client (« le Client »).
Sous-traitant : Hostalia, édité par Noé Bouchemoua, micro-entreprise basée à Avignon, France.

2. Objet et durée

Hostalia traite, pour le compte du Client, ses avis Google Business Profile, ses emails et ses pages publiques afin de générer des brouillons de réponse, des analyses et des rapports. Durée du traitement : durée de l'abonnement + 30 jours après résiliation pour la suppression effective.

3. Données traitées

• Texte des avis Google (auteur public, note, commentaire)
• Texte des emails Gmail/Outlook (en-têtes, corps, sujet)
• Métadonnées techniques (langue, dates)

4. Sous-traitants ultérieurs

Cloudflare Inc. (hébergement, EEUR), OpenRouter Inc. (passerelle modèles), Resend (envoi mail transactionnel). Le Client autorise expressément ces sous-traitants à la signature.

5. Sécurité

• Chiffrement AES-256-GCM des tokens OAuth en base
• TLS 1.3 en transit
• Logs purgés après 30 jours
• Accès restreint au compte fondateur

6. Aucun entraînement IA

Hostalia n'utilise jamais les données du Client pour entraîner ou affiner un modèle. Les modèles utilisés (Nemotron, Gemma 4) sont des modèles tiers appelés en API stateless.

7. Notification de violation

Hostalia notifie le Client sous 72 h de toute violation de données suspectée ou avérée.

8. Restitution / Suppression

À la fin de l'abonnement, le Client peut demander l'export de ses données ou leur suppression complète sous 30 jours.