1. Roles : responsable de traitement et sous-traitant
Pour les donnees de votre compte (identification, facturation, securite), l'editeur du service agit en qualite de responsable de traitement.
Pour les donnees que vous saisissez sur vos clients et voyageurs dans le cadre de vos dossiers, c'est vous, l'agence, qui etes responsable de traitement ; l'editeur n'agit qu'en qualite de sous-traitant qui execute vos instructions, dans les conditions de l'accord de traitement des donnees (art. 28 RGPD).
2. Donnees traitees et finalites
| Finalite | Donnees | Base legale | Conservation |
|---|---|---|---|
| Creation et gestion du compte agence | Adresse e-mail, mot de passe (hache), nom, nom de l'agence, logo | Execution du contrat | Duree du compte, puis suppression sous 3 ans d'inactivite |
| Edition des devis, factures et documents de voyage | Donnees des dossiers, clients et voyageurs saisies par l'agence | Execution du contrat (l'agence est responsable de traitement, nous sommes sous-traitant) | Duree du compte ; obligations comptables et fiscales (jusqu'a 10 ans pour les factures, art. L123-22 du Code de commerce) |
| Facturation de l'abonnement et paiement | Coordonnees de facturation, identifiants Stripe (les numeros de carte ne transitent jamais par nos serveurs) | Execution du contrat et obligation legale | Duree legale de conservation des pieces comptables (10 ans, art. L123-22 du Code de commerce) |
| Securite, prevention de la fraude et journaux d'activite | Adresse IP, horodatages, evenements de connexion et d'action | Interet legitime (securite du service et prevention de la fraude) | 12 mois |
| Support et communication transactionnelle | Adresse e-mail, contenu des echanges de support | Execution du contrat et interet legitime (assistance et amelioration du service) | 3 ans apres le dernier contact |
| Mesure d'audience et statistiques d'usage du service | Evenements d'usage agreges au niveau du compte agence (etapes franchies : inscription, premier devis, premiere signature, premiere facture, abonnement) horodates, sans donnee identifiant directement une personne (ni e-mail, ni adresse IP, ni identifiant de navigateur) | Interet legitime (mesure d'audience de premiere partie et amelioration du service) | 25 mois |
3. Destinataires et sous-traitants
Vos donnees ne sont ni vendues ni cedees a des fins publicitaires. Elles sont accessibles aux personnes habilitees de l'editeur et aux sous-traitants techniques suivants, lies par des engagements de confidentialite et de securite :
| Sous-traitant | Role | Localisation |
|---|---|---|
| Neon | Hebergement de la base de donnees (PostgreSQL) | Union europeenne |
| OVHcloud (Coolify) | Hebergement de l'application et des services (infrastructure et conteneurs) | Union europeenne |
| Stripe | Traitement des paiements et de la facturation de l'abonnement | UE / USA (clauses contractuelles types) |
| Amazon Web Services (S3) | Stockage des fichiers et documents (logos, PDF) | Union europeenne |
| Resend | Envoi des e-mails transactionnels | UE / USA (clauses contractuelles types) |
| Langfuse | Observabilite technique et qualite des traitements IA | Union europeenne (auto-heberge) |
| GlitchTip | Journalisation des erreurs techniques pour la fiabilite du service | Union europeenne (auto-heberge) |
| Vercel AI Gateway | Passerelle d'acces aux modeles d'IA pour la generation de texte | UE / USA (clauses contractuelles types) |
| OpenAI | Generation de texte assistee par IA (contenu marketing, propositions de voyage) | USA (clauses contractuelles types) |
| Anthropic | Generation de texte assistee par IA (contenu marketing, propositions de voyage) | USA (clauses contractuelles types) |
4. Transferts hors Union europeenne
Nous privilegions un hebergement et un traitement dans l'Union europeenne. Lorsqu'un sous-traitant implique un transfert hors UE, celui-ci est encadre par des garanties appropriees (clauses contractuelles types de la Commission europeenne ou mecanisme equivalent).
5. Securite
Nous mettons en oeuvre des mesures techniques et organisationnelles adaptees : chiffrement des echanges (HTTPS), mots de passe haches, cloisonnement des donnees par compte, journaux d'activite, controle des acces et verification des fuites de mot de passe a l'inscription. Les numeros de carte bancaire ne transitent jamais par nos serveurs (ils sont geres par notre prestataire de paiement).
6. Vos droits
Conformement au RGPD, vous disposez des droits d'acces, de rectification, d'effacement, de limitation, d'opposition et de portabilite de vos donnees. Vous pouvez exporter vos donnees a tout moment depuis votre espace (rubrique export de donnees) et exercer vos autres droits en ecrivant a contact@halvane.com. Nous repondons dans un delai d'un mois.
7. Cookies
Le site n'utilise que des cookies strictement necessaires a son fonctionnement et ne pose aucun traceur publicitaire par defaut. Le detail figure dans la politique cookies.
8. Contact et reclamation
Aucun delegue a la protection des donnees n'a ete designe a ce jour ; vos demandes sont traitees directement par le responsable de traitement.
Pour toute question relative a vos donnees, contactez contact@halvane.com. Vous avez egalement le droit d'introduire une reclamation aupres de la Commission nationale de l'informatique et des libertes (CNIL), www.cnil.fr.