Data Processing Agreement

Le présent accord (« DPA ») précise les conditions dans lesquelles Noctelo SAS (« le Sous-traitant ») traite les données personnelles pour le compte du client hôtelier (« le Responsable de traitement »), conformément à l'article 28 du RGPD.

Le Client agit en qualité de responsable de traitement des données relatives à ses propres clients finaux (réservations, fiches guests, historique des séjours). Noctelo agit en qualité de sous-traitant et ne traite ces données que sur instruction documentée du Client.

– Nature : hébergement, stockage et mise à disposition des données via le Service Noctelo ; envoi d'e-mails transactionnels au nom du Client ; édition de factures ; calcul de statistiques d'activité.
– Finalité : permettre au Client la gestion opérationnelle de son activité hôtelière.
– Durée : pour la durée du contrat principal, sauf obligations légales de conservation.

– Personnes concernées : clients de l'hôtel, employés du Client ayant accès au Service.
– Données : identification (nom, e-mail, téléphone), données de séjour, données de facturation, préférences éventuelles.

Noctelo s'engage à :

– Traiter les données uniquement sur instruction documentée du Client.
– Garantir la confidentialité des personnes habilitées à traiter les données.
– Mettre en œuvre des mesures techniques et organisationnelles appropriées (voir Annexe).
– Notifier toute violation de données au Client sans retard injustifié (au plus tard sous 72 heures).
– Assister le Client dans la réponse aux demandes d'exercice de droits et dans la réalisation d'analyses d'impact (PIA).
– Supprimer ou restituer les données à la fin du contrat, selon le choix du Client.

Le Client autorise Noctelo à recourir aux sous-traitants ultérieurs listés dans la Politique de confidentialité (Vercel, Supabase, Stripe, Resend, Sentry). Tout changement substantiel sera notifié préalablement et le Client pourra s'y opposer pour motif légitime.

– Chiffrement TLS 1.2+ en transit et AES-256 au repos.
– Authentification multi-facteurs pour les comptes administrateurs.
– Isolation multi-tenant au niveau base de données (RLS PostgreSQL).
– Journalisation infalsifiable des actions sensibles (audit log).
– Sauvegardes chiffrées et testées régulièrement.
– Politique de mots de passe robuste et rotation des secrets.
– Tests de sécurité et review OWASP périodiques.

Les transferts éventuels hors UE sont encadrés par les clauses contractuelles types de la Commission européenne. Les données de production restent hébergées en région européenne (Supabase eu-west-1, Vercel cdg1 Paris).

Le Client peut, après préavis raisonnable et au plus une fois par an, demander à Noctelo de fournir les informations nécessaires permettant de démontrer le respect des obligations de l'article 28 du RGPD, ou désigner un auditeur tiers indépendant à ses frais.

Le DPA prend effet à la date de souscription au Service et reste en vigueur pendant toute la durée du contrat principal. À sa cessation, Noctelo supprime ou restitue les données selon les instructions du Client, sous réserve des obligations légales de conservation.