Politique de Confidentialité

Dernière mise à jour : Mai 2026

⚠️ Brouillon non validé juridiquement. À faire réviser par un DPO ou un avocat spécialisé en données personnelles avant mise en production. Conforme RGPD dans son orientation, mais nécessite validation finale.

---

1. Préambule

BNB 971 (« nous », « notre », « la Plateforme ») accorde une grande importance à la protection de vos données personnelles. Cette Politique de Confidentialité explique comment nous collectons, utilisons, partageons et protégeons vos informations dans le respect du Règlement Général sur la Protection des Données (RGPD) et de la loi française Informatique et Libertés.

2. Responsable du traitement

Responsable : BNB 971 [À compléter avec : raison sociale, adresse, numéro SIREN]

Contact DPO : dpo@bnb971.com

3. Données collectées

3.1 Données fournies directement par vous

Lors de votre inscription et de votre utilisation de la Plateforme, nous collectons :

Informations d'identification

• Prénom et nom
• Adresse email
• Mot de passe (stocké de manière chiffrée bcrypt)
• Numéro de téléphone (optionnel)
• Photo de profil (optionnel)

Informations de réservation

• Dates de séjour souhaitées
• Nombre et identité des voyageurs accompagnants
• Préférences (type d'hébergement, activités, langue)
• Demandes spéciales (régime alimentaire, accessibilité, etc.)

Informations de paiement

• Données de facturation (nom du titulaire, adresse)
• Les données complètes de carte bancaire ne sont jamais stockées par BNB 971 mais sont traitées par notre prestataire Stripe (certifié PCI-DSS niveau 1)

3.2 Données collectées automatiquement

Données de navigation

• Adresse IP
• Type et version du navigateur
• Système d'exploitation
• Pages visitées et durée
• Date et heure de connexion
• Site référent

Cookies et technologies similaires

Voir notre Politique de Cookies (/cookies) pour plus de détails.

3.3 Données issues de tiers

Nous pouvons recevoir des données vous concernant de :

• Stripe (statut des paiements, anonymisé)
• Services d'authentification (lorsque connectés en V2 : Google, Apple)
• Réseaux sociaux (lorsque vous interagissez avec nos comptes)

4. Finalités du traitement

Vos données sont utilisées pour :

| Finalité | Base légale | Durée de conservation | | -------------------------------------- | ------------------------------------ | -------------------------------- | | Création et gestion de votre compte | Exécution du contrat | Durée du compte + 3 ans | | Traitement des réservations | Exécution du contrat | 10 ans (obligation comptable) | | Communications transactionnelles | Exécution du contrat | Durée du compte | | Service client et support | Intérêt légitime | 5 ans après dernière interaction | | Newsletter et communications marketing | Consentement | Jusqu'au retrait du consentement | | Personnalisation de l'expérience | Intérêt légitime | Durée du compte | | Lutte contre la fraude | Intérêt légitime + obligation légale | 10 ans | | Statistiques anonymisées | Intérêt légitime | Données anonymisées sans limite | | Respect des obligations légales | Obligation légale | Selon obligations applicables |

5. Destinataires des données

5.1 En interne

Vos données sont accessibles aux équipes BNB 971 selon le principe du « besoin d'en connaître » :

• Équipe opérations (gestion des réservations)
• Équipe conciergerie (assistance voyageurs)
• Équipe technique (administration de la plateforme)
• Équipe comptabilité (facturation et reporting)

5.2 Sous-traitants

Nous faisons appel à des sous-traitants soumis à des accords de confidentialité stricts :

| Prestataire | Finalité | Localisation | | ------------------------ | ----------------------------------- | -------------------------------- | | Supabase (Stockholm, UE) | Base de données et authentification | UE | | Vercel (UE) | Hébergement de la Plateforme | UE | | Stripe | Traitement des paiements | UE / États-Unis (avec garanties) | | Resend | Envoi d'emails transactionnels | UE | | Sentry | Monitoring d'erreurs (anonymisé) | UE | | Plausible | Analytics anonymes | UE | | Cloudflare | DNS et CDN | UE / États-Unis (avec garanties) |

5.3 Transferts hors UE

Certains prestataires (Stripe, Cloudflare) peuvent transférer des données vers les États-Unis. Ces transferts sont encadrés par :

• Clauses contractuelles types validées par la Commission européenne
• Mesures techniques complémentaires (chiffrement)

5.4 Autorités

Vos données peuvent être transmises aux autorités compétentes :

• Sur réquisition judiciaire
• En cas d'obligation légale (lutte contre le blanchiment, fiscalité, etc.)

6. Vos droits

Conformément au RGPD, vous disposez des droits suivants :

6.1 Droit d'accès

Vous pouvez demander une copie de vos données personnelles que nous détenons.

6.2 Droit de rectification

Vous pouvez corriger toute donnée inexacte directement depuis votre espace personnel ou nous contacter.

6.3 Droit à l'effacement (« droit à l'oubli »)

Vous pouvez demander la suppression de votre compte et de vos données. Certaines données pourront être conservées pour respecter nos obligations légales (notamment comptables et fiscales pendant 10 ans).

6.4 Droit à la limitation

Vous pouvez demander la limitation du traitement dans certaines situations.

6.5 Droit à la portabilité

Vous pouvez recevoir vos données dans un format structuré (JSON ou CSV) ou demander leur transfert vers un autre service.

6.6 Droit d'opposition

Vous pouvez vous opposer au traitement de vos données pour des raisons tenant à votre situation particulière. Vous pouvez également vous opposer à tout moment au traitement à des fins de prospection.

6.7 Droit de retirer votre consentement

Lorsque le traitement est basé sur votre consentement, vous pouvez le retirer à tout moment.

6.8 Comment exercer vos droits

Pour exercer vos droits :

• Depuis votre espace personnel : /account/privacy
• Par email : dpo@bnb971.com
• Par courrier : [À compléter avec adresse postale]

Nous répondons dans un délai d'un mois (extensible à trois mois en cas de complexité).

6.9 Droit de réclamation

Vous pouvez également déposer une réclamation auprès de la CNIL :

• En ligne : www.cnil.fr/plaintes
• Par courrier : 3 Place de Fontenoy - TSA 80715 - 75334 PARIS CEDEX 07

7. Sécurité

Nous mettons en œuvre des mesures techniques et organisationnelles pour protéger vos données :

7.1 Mesures techniques

• Chiffrement TLS 1.3 pour toutes les communications
• Mots de passe stockés de manière chiffrée (bcrypt 12 rounds)
• Authentification à deux facteurs (2FA) disponible pour tous les utilisateurs, obligatoire pour les administrateurs
• Vérification contre les bases de mots de passe compromis (HaveIBeenPwned)
• Sessions sécurisées (cookies HttpOnly, SameSite=Lax)
• Politique stricte de mots de passe (12 caractères minimum)
• Limitation des tentatives de connexion (rate limiting)
• Audit logs systématiques
• Sauvegardes régulières et chiffrées

7.2 Mesures organisationnelles

• Accès aux données limité au strict nécessaire
• Formation de nos équipes à la protection des données
• Accords de confidentialité avec tous nos sous-traitants
• Procédure de gestion des incidents de sécurité

8. Conservation des données

Les durées de conservation sont indiquées dans le tableau de la section 4. À l'issue de ces durées, vos données sont :

• Soit supprimées définitivement
• Soit anonymisées de manière irréversible pour des fins statistiques

9. Mineurs

La Plateforme n'est pas destinée aux personnes de moins de 18 ans. Nous ne collectons sciemment aucune donnée concernant des mineurs. Si vous pensez qu'un mineur nous a transmis des données, contactez-nous immédiatement à dpo@bnb971.com.

10. Notification de violation de données

En cas de violation de données présentant un risque élevé pour vos droits et libertés, nous vous en informerons dans les meilleurs délais et nous le notifierons à la CNIL conformément au RGPD.

11. Modifications de la Politique

Cette Politique peut être mise à jour pour refléter des évolutions légales ou techniques. Toute modification substantielle vous sera notifiée par email et/ou notification dans la Plateforme.

12. Contact

Pour toute question sur cette Politique de Confidentialité :

• Email : dpo@bnb971.com
• Formulaire de contact : /contact
• Courrier : [À compléter]