Accord de Traitement des Données (DPA)

1. Parties

Sous-traitant des données :

Stellar Tourism Innovations GmbH
Torstrasse 105-107
10119 Berlin, Germany
Email: hello@myxentra.com
Commercial Register: HRB 259754 B (Amtsgericht Charlottenburg)

Responsable du traitement des données : Le client qui a conclu un accord de service avec le Sous-traitant pour l'utilisation de Xentra.

2. Objet et Durée

2.1 Le Sous-traitant traite les données personnelles pour le compte du Responsable du traitement dans le cadre de la fourniture de la plateforme de gestion de locations de vacances Xentra ("les Services").

2.2 La durée du présent ATD correspond à la durée de l'accord de service sous-jacent. Le traitement commence à l'activation des Services et se termine à la résiliation de l'accord de service et à la suppression ou au retour de toutes les données personnelles.

2.3 L'objet du traitement comprend l'exploitation de la plateforme SaaS Xentra, y compris, mais sans s'y limiter, la gestion immobilière, la communication avec les clients, la gestion des réservations, le contrôle d'accès, les services d'enregistrement et les rapports financiers.

3. Type et Finalité du Traitement

Le Sous-traitant traite les données personnelles uniquement dans le but de fournir les Services tels que décrits dans l'accord de service. Cela inclut :

• Stockage et gestion des données de réservation
• Communication avec les clients (email, SMS, WhatsApp) via des services de messagerie intégrés
• Enregistrement des clients et traitement de l'arrivée, y compris la vérification d'identité
• Synchronisation des données avec les systèmes de gestion immobilière (PMS) connectés
• Génération et transmission de codes d'accès pour les serrures intelligentes
• Rapports financiers, facturation et comptabilité
• Conformité aux obligations légales d'enregistrement des clients (par exemple, déclarations à la police)
• Optimisation dynamique des prix

4. Catégories de Personnes Concernées

Les catégories de personnes concernées suivantes sont affectées par le traitement :

• Clients des propriétés de location de vacances gérées par le Responsable du traitement
• Employés et personnel du Responsable du traitement
• Contacts commerciaux du Responsable du traitement (propriétaires, prestataires de services)

5. Types de Données Personnelles

Les types de données personnelles suivants peuvent être traités :

• Nom, date de naissance, nationalité
• Coordonnées (email, numéro de téléphone, adresse)
• Données du document d'identité (numéro de passeport/carte d'identité, date de délivrance, autorité de délivrance)
• Données de réservation (dates d'arrivée/de départ, nombre d'hôtes, tarifs)
• Données de paiement (traitées via Stripe - non stockées par le Sous-traitant)
• Données de communication (messages, horodatages)
• Journaux d'accès (événements d'accès aux serrures intelligentes, codes PIN)
• Données biométriques pour la vérification d'identité (traitées via Stripe Identity)
• Adresses IP et données d'utilisation (analyses de plateforme)

6. Obligations du Sous-traitant

6.1 Le Sous-traitant ne traitera les données personnelles que sur instruction documentée du Responsable du traitement, à moins d'y être tenu par le droit de l'Union ou le droit de l'État membre applicable.

6.2 Le Sous-traitant garantit que les personnes autorisées à traiter les données personnelles se sont engagées à respecter la confidentialité ou sont soumises à une obligation légale de confidentialité appropriée.

6.3 Le Sous-traitant mettra en œuvre des mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adapté au risque, y compris :

• Chiffrement des données personnelles en transit (TLS) et au repos
• Contrôle d'accès basé sur les rôles avec le principe du moindre privilège
• Évaluations de sécurité régulières et tests de vulnérabilité
• Sauvegardes automatisées avec stockage chiffré
• Journalisation et surveillance de l'accès aux données
• Procédures de réponse aux incidents

6.4 Le Sous-traitant aide le Responsable du traitement à assurer le respect des obligations découlant des Art. 32-36 du RGPD, compte tenu de la nature du traitement et des informations dont dispose le Sous-traitant.

6.5 Au choix du Responsable du traitement, le Sous-traitant supprimera ou renverra toutes les données personnelles après la fin de la prestation des Services et supprimera les copies existantes à moins que le droit applicable n'exige un stockage ultérieur.

6.6 Le Sous-traitant mettra à la disposition du Responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations énoncées à l'Art. 28 du RGPD et permettra et contribuera aux audits et inspections.

7. Sous-traitants Ultérieurs

7.1 Le Responsable du traitement donne une autorisation générale pour l'engagement de sous-traitants ultérieurs. Le Sous-traitant informera le Responsable du traitement de tout changement envisagé concernant l'ajout ou le remplacement de sous-traitants, donnant au Responsable du traitement la possibilité de s'y opposer.

7.2 Le Sous-traitant engage actuellement les sous-traitants ultérieurs suivants :

• Twilio Inc. (San Francisco, USA) - SMS, WhatsApp, and voice messaging
• Stripe Inc. (San Francisco, USA) - Payment processing and identity verification
• Chekin Soluciones Digitales S.L. (Sevilla, Spain) - Guest registration and online check-in
• Smoobu GmbH (Berlin, Germany) - PMS synchronization
• Guesty Inc. (New York, USA) - PMS synchronization
• Hostaway Oy (Helsinki, Finland) - PMS synchronization
• Beds24 GmbH (Fürstenberg, Germany) - PMS synchronization
• Octorate S.r.l. (Rome, Italy) - PMS synchronization
• Lodgify S.L. (Barcelona, Spain) - PMS synchronization
• Hostfully Inc. (San Francisco, USA) - PMS synchronization
• Nuki Home Solutions GmbH (Graz, Austria) - Smart lock access control
• igloohome Pte. Ltd. (Singapore) - Smart lock access control
• SALTO Systems S.L. (Oiartzun, Spain) - Access control
• Ring LLC (Amazon) (Santa Monica, USA) - Intercom access control
• PriceLabs Inc. (Chicago, USA) - Dynamic pricing optimization
• Google LLC (Mountain View, USA) - AI language model processing (Gemini API) for guest messaging, content generation, invoice scanning, and natural language queries

7.3 Le Sous-traitant imposera aux sous-traitants ultérieurs les mêmes obligations de protection des données que celles énoncées dans le présent ATD par contrat ou autre instrument juridique.

7.4 Une liste à jour des sous-traitants ultérieurs et de leurs politiques de confidentialité est disponible dans notre Politique de confidentialité (Section 10).

8. Transferts de Données vers des Pays Tiers

8.1 Lorsque des données personnelles sont transférées vers des pays en dehors de l'Espace Économique Européen (EEE), le Sous-traitant veille à ce que des garanties appropriées soient en place conformément au Chapitre V du RGPD.

8.2 Pour les transferts vers les États-Unis, le Sous-traitant s'appuie sur le Cadre de Confidentialité des Données UE-États-Unis (DPF), le cas échéant, ou sur les Clauses Contractuelles Types (CCT) adoptées par la Commission européenne.

8.3 Les transferts vers des sous-traitants ultérieurs dans des pays tiers s'appliquent actuellement à : Twilio Inc., Stripe Inc., Guesty Inc., Hostfully Inc., Ring LLC, PriceLabs Inc., Google LLC (tous des États-Unis), et igloohome Pte. Ltd. (Singapour).

9. Notification d'une Violation de Données

9.1 Le Sous-traitant informera le Responsable du traitement sans délai indu après avoir pris connaissance d'une violation de données personnelles.

9.2 La notification devra inclure :

• Une description de la nature de la violation de données personnelles
• Les catégories et le nombre approximatif de personnes concernées et d'enregistrements concernés
• Les conséquences probables de la violation
• Les mesures prises ou proposées pour remédier à la violation

9.3 Le Sous-traitant coopérera avec le Responsable du traitement et prendra des mesures commerciales raisonnables pour l'aider dans l'enquête, l'atténuation et la correction de la violation.

10. Droits des Personnes Concernées

10.1 Le Sous-traitant assistera le Responsable du traitement pour l'exécution de son obligation de répondre aux demandes des personnes concernées exerçant leurs droits en vertu du Chapitre III du RGPD (accès, rectification, effacement, limitation, portabilité, opposition).

10.2 Si une personne concernée contacte directement le Sous-traitant, le Sous-traitant transmettra rapidement la demande au Responsable du traitement.

11. Droits d'Audit

11.1 Le Responsable du traitement a le droit de mener des audits, y compris des inspections, pour vérifier la conformité du Sous-traitant avec le présent APD. Les audits peuvent être menés par le Responsable du traitement ou un auditeur indépendant mandaté par le Responsable du traitement.

11.2 Le Sous-traitant fournira une assistance raisonnable et un accès aux informations, locaux et systèmes pertinents lors de ces audits.

11.3 Les audits seront effectués pendant les heures normales de bureau avec un préavis raisonnable (au moins 14 jours) et ne devront pas interférer de manière déraisonnable avec les opérations du Sous-traitant.

12. Responsabilité

12.1 La responsabilité de chaque partie en vertu du présent APD est soumise aux limitations et exclusions de responsabilité énoncées dans le contrat de service sous-jacent.

12.2 Le Sous-traitant est responsable des dommages causés par un traitement qui viole les obligations spécifiquement imposées aux sous-traitants en vertu du RGPD ou qui s'écarte des instructions légitimes du Responsable du traitement.

13. Durée et Résiliation

13.1 Le présent APD restera en vigueur pendant toute la durée du contrat de service sous-jacent.

13.2 À la résiliation, le Sous-traitant devra, au choix du Responsable du traitement, retourner ou supprimer toutes les données personnelles dans les 30 jours, à moins que la conservation ne soit requise par la loi applicable.

13.3 Le Sous-traitant fournira au Responsable du traitement une confirmation écrite de la suppression sur demande.

14. Dispositions Finales

14.1 Le présent APD est régi par les lois de la République fédérale d'Allemagne.

14.2 Le lieu de juridiction est Berlin, Allemagne.

14.3 Si une disposition du présent APD est jugée invalide, les autres dispositions resteront pleinement en vigueur.

14.4 Le présent APD peut être mis à jour de temps à autre afin de refléter les changements dans la législation applicable en matière de protection des données ou nos activités de traitement. Nous informerons les Responsables du traitement actifs des modifications importantes.