Dernière mise à jour : avril 2026
1. Responsable du traitement
LMT Labs, SAS
RCS Nice 103 510 186
3e 17 Rue Gounod, 06000 Nice
Email : contact@stayful.fr
2. Données collectées
Dans le cadre de l'utilisation de la plateforme Stayful, nous collectons les catégories de données suivantes :
| Catégorie | Données |
|---|---|
| Identité | Nom, prénom |
| Contact | Email, numéro de téléphone, identifiant Instagram/Messenger |
| Réservation | Dates de séjour, type de chambre, nombre de personnes, montant |
| Check-in digital | Pièce d'identité (chiffrée AES-256), signature électronique (chiffrée), heure d'arrivée |
| Conversations | Contenu des échanges via WhatsApp, Instagram, Messenger, webchat |
| Préférences | Allergies, régime alimentaire, préférences chambre (oreiller, étage, lit) |
| Historique | Séjours passés, points de fidélité, palier, tags CRM |
| Paiement | Montant, statut (les données bancaires sont traitées exclusivement par Stripe) |
| Technique | Adresse IP (masquée dans les logs), langue, canal de communication |
3. Finalités et bases légales
| Finalité | Base légale |
|---|---|
| Gestion des réservations et du séjour | Exécution du contrat (Art. 6.1.b) |
| Concierge IA conversationnel | Intérêt légitime — amélioration du service client (Art. 6.1.f) |
| Check-in digital et pièce d'identité | Obligation légale — Art. R611-42 du CESEDA (Art. 6.1.c) |
| Paiement des services (upsells) | Exécution du contrat (Art. 6.1.b) |
| Collecte d'avis post-séjour | Consentement (Art. 6.1.a) |
| Communications marketing | Consentement (Art. 6.1.a) |
| Segmentation CRM et fidélité | Intérêt légitime (Art. 6.1.f) |
| Sécurité et audit | Intérêt légitime et obligation légale (Art. 6.1.c/f) |
4. Sous-traitants et transferts hors UE
| Sous-traitant | Service | Localisation | Garanties |
|---|---|---|---|
| Anthropic, Inc. | IA Claude | USA | DPA signé avec clauses contractuelles types (SCCs) |
| Railway Corporation | Hébergement | USA (serveurs EU) | DPA signé (DocuSign Envelope 72A4AD1F) avec EU SCCs |
| Stripe, Inc. | Paiement | USA / Irlande | DPA signé — PCI DSS Level 1 — DPF |
| Meta Platforms | WhatsApp Business API, Instagram, Messenger | USA / Irlande | DPA Business Terms — SCCs |
5. Durée de conservation
Pour plus de détails, consultez notre page de politique de conservation des données.
| Données | Durée |
|---|---|
| Données clients (hôteliers) | Durée du contrat + 3 ans après résiliation |
| Données guests (voyageurs) | Durée du séjour + 1 an |
| Fiches de police | 6 ans (obligation légale CESEDA) |
| Conversations IA | 90 jours (puis anonymisées) |
| Audit logs | 5 ans |
| Données de paiement | 10 ans (obligations fiscales) |
| Cookies | Selon consentement, max 13 mois (recommandation CNIL) |
| Consentements | 5 ans (preuve) |
6. Droits des personnes
Conformément au RGPD, vous disposez des droits suivants :
- Droit d'accès : obtenir une copie de vos données
- Droit de rectification : corriger des données inexactes
- Droit à l'effacement : demander la suppression de vos données
- Droit à la portabilité : recevoir vos données dans un format structuré
- Droit d'opposition : vous opposer au traitement fondé sur l'intérêt légitime
- Droit à la limitation : restreindre le traitement de vos données
Pour exercer vos droits :
- Email : contact@stayful.fr
- API d'export :
/api/gdpr/export/:email - API de suppression :
/api/gdpr/delete
Délai de réponse : 30 jours maximum.
Vous pouvez vous désabonner à tout moment via le tableau de bord ou par email à contact@stayful.fr.
7. Cookies
Le site utilise des cookies techniques nécessaires à son fonctionnement (session, préférences de langue) ainsi que des cookies analytiques soumis à consentement. Le bandeau de gestion des cookies est fourni par tarteaucitron.js et vous permet de configurer vos préférences à tout moment.
Les cookies soumis à consentement ont une durée de vie maximale de 13 mois, conformément aux recommandations de la CNIL. Aucun cookie publicitaire ou de traçage tiers n'est déposé sans votre accord.
8. Sécurité
Stayful met en œuvre les mesures de sécurité suivantes :
- Chiffrement AES-256-CBC des données sensibles (pièces d'identité, signatures)
- HTTPS/TLS sur toutes les communications
- Mots de passe hashés via bcrypt (coût 12)
- Sessions sécurisées en PostgreSQL avec rotation toutes les 15 minutes
- Authentification à deux facteurs (2FA/TOTP) optionnelle
- Rate limiting à 3 paliers (global, API, login)
- Headers de sécurité (CSP, HSTS)
- Validation des entrées (express-validator, détection XSS)
- Vérification des signatures webhook (HMAC-SHA256)
- Logs d'audit avec IPs et emails masqués
- Procédure de notification d'incident sous 72h
9. Autorité de contrôle
Vous avez le droit d'introduire une réclamation auprès de l'autorité de protection des données compétente :
Commission Nationale de l'Informatique et des Libertés (CNIL)
3 Place de Fontenoy, TSA 80715
75334 Paris Cedex 07
www.cnil.fr
10. Modifications
La présente politique peut être mise à jour. En cas de modification substantielle, les utilisateurs seront informés par email. La date de dernière mise à jour est indiquée en haut de cette page.