Version 1.1 — En vigueur à compter du 17 avril 2026
Préambule
Le présent accord de traitement des données personnelles (ci-après « DPA ») est conclu entre :
TARVIO, société par actions simplifiée à associé unique au capital de 1 000 euros, immatriculée au Registre du Commerce et des Sociétés de Paris sous le numéro 103 850 137, dont le siège social est situé 25 rue de Ponthieu, 75008 Paris, joignable à l'adresse privacy@usetarvio.com, ci-après désignée « Tarvio » ou « le Sous-traitant »,
et
Toute personne physique ou morale souscrivant au service Tarvio dans le cadre de son activité professionnelle, ci-après désignée « le Client » ou « le Responsable du traitement ».
Le présent DPA complète et fait partie intégrante des Conditions Générales de Vente de Tarvio (ci-après « CGV »). Il est conclu pour assurer la conformité des parties au Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après « RGPD ») ainsi qu'à la loi française n° 78-17 du 6 janvier 1978 modifiée dite « Informatique et Libertés ».
En cas de contradiction entre les CGV et le présent DPA s'agissant des données à caractère personnel, le DPA prévaut.
Article 1 — Définitions
Les termes en lettres capitales non définis ci-après ont le sens qui leur est donné dans le RGPD. Aux fins du présent DPA :
- « Données personnelles » désigne toute information se rapportant à une personne physique identifiée ou identifiable traitée par Tarvio pour le compte du Client dans le cadre du Service.
- « Personnes concernées » désigne les voyageurs du Client et, accessoirement, les collaborateurs du Client dont les données seraient traitées par le Service.
- « Violation de données » désigne toute violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de Données personnelles ou l'accès non autorisé à de telles données, au sens de l'article 4(12) du RGPD.
- « Sous-traitant ultérieur » désigne tout prestataire technique auquel Tarvio fait appel pour exécuter tout ou partie de ses obligations de sous-traitance.
Article 2 — Objet et portée du traitement
2.1 Qualification des parties
Le Client, gestionnaire de locations saisonnières agissant dans un cadre professionnel, détermine les finalités et les moyens du traitement des données de ses voyageurs. Il est à ce titre Responsable du traitement au sens de l'article 4(7) du RGPD.
Tarvio traite les Données personnelles exclusivement sur instruction documentée du Client, dans le cadre et pour les seuls besoins de l'exécution du Service souscrit. Tarvio est à ce titre Sous-traitant au sens de l'article 4(8) du RGPD.
Les instructions documentées du Client résultent de la souscription au Service, du paramétrage de son compte et des configurations par logement qu'il effectue depuis son interface.
2.2 Finalités
Le traitement des Données personnelles par Tarvio a pour finalités :
- la génération et, le cas échéant, l'envoi automatique de réponses aux messages des voyageurs ;
- le traitement contextuel des informations relatives à chaque logement configuré par le Client ;
- l'envoi de messages programmés (pré-arrivée, bienvenue, check-out, demande d'avis) ;
- la transmission et la réception des messages via le channel manager du Client ;
- la fourniture du support technique et la résolution des incidents ;
- la génération de statistiques d'usage à destination du Client.
2.3 Nature du traitement
Les opérations de traitement incluent notamment : la collecte via API, la structuration, le stockage temporaire, l'analyse et la génération de texte par modèle de langage, la transmission via des canaux tiers, et l'effacement ou l'archivage selon les durées prévues à l'article 9.
Article 3 — Catégories de Données personnelles traitées
Les Données personnelles traitées pour le compte du Client incluent, selon les configurations et les intégrations activées :
Données relatives aux voyageurs (traitées pour le compte du Client, Responsable du traitement)
- Nom et prénom
- Identifiant voyageur de la plateforme d'origine (Airbnb, Booking, etc.)
- Adresse email (lorsqu'elle est transmise par le channel manager)
- Numéro de téléphone (lorsqu'il est transmis)
- Dates et détails de la réservation (logement, arrivée, départ, nombre de voyageurs)
- Contenu des messages échangés avec le Client via le Service
- Préférences, demandes et informations exprimées dans les messages
Données relatives aux logements susceptibles d'être qualifiées de Données personnelles lorsqu'elles permettent d'identifier indirectement le Client ou ses collaborateurs
- Adresse postale du logement
- Instructions d'accès, codes, horaires
- Coordonnées de contact d'urgence renseignées par le Client
Données relatives au compte Client (Tarvio agit en qualité de Responsable du traitement pour ces données, hors périmètre du présent DPA, conformément à la politique de confidentialité)
Article 4 — Catégories de Personnes concernées
Les Personnes concernées par le traitement sont :
- les voyageurs et co-voyageurs ayant réservé ou étant sur le point de réserver un des logements gérés par le Client ;
- le cas échéant, les collaborateurs ou prestataires du Client dont les coordonnées seraient renseignées comme contacts opérationnels.
Tarvio ne traite en principe aucune catégorie particulière de données au sens de l'article 9 du RGPD. Le Client s'engage à ne pas transmettre volontairement de telles données via le Service et à veiller à ce que ses voyageurs ne soient pas incités à en communiquer.
Article 5 — Durée du traitement
Le traitement s'exécute pendant toute la durée de l'abonnement du Client, et pendant une période complémentaire de trente (30) jours suivant la cessation de l'abonnement afin de permettre au Client d'exporter ses données.
À l'expiration de cette période, Tarvio supprime ou anonymise les Données personnelles traitées pour le compte du Client, sauf obligation légale de conservation et sous réserve des stipulations de l'article 10 ci-après.
Article 6 — Obligations de Tarvio en qualité de Sous-traitant
Conformément à l'article 28 du RGPD, Tarvio s'engage à :
6.1 Traitement sur instruction
Traiter les Données personnelles uniquement sur instruction documentée du Client, y compris en ce qui concerne les transferts vers un pays tiers, sauf obligation légale contraire ; dans ce dernier cas, Tarvio informera le Client de cette obligation juridique avant le traitement, sauf interdiction légale.
6.2 Confidentialité
Veiller à ce que les personnes autorisées à traiter les Données personnelles soient tenues à une obligation de confidentialité contractuelle ou légale, et soient formées à la protection des données.
6.3 Sécurité
Mettre en œuvre les mesures techniques et organisationnelles appropriées visées à l'article 32 du RGPD, détaillées à l'article 8 du présent DPA, afin de garantir un niveau de sécurité adapté au risque.
6.4 Recours à des Sous-traitants ultérieurs
Ne pas recruter de Sous-traitant ultérieur sans autorisation écrite préalable, générale ou spécifique, du Client, dans les conditions prévues à l'article 7 ci-après.
6.5 Assistance au Responsable du traitement
Aider le Client, par des mesures techniques et organisationnelles appropriées, à s'acquitter de son obligation de donner suite aux demandes d'exercice des droits des Personnes concernées (accès, rectification, effacement, limitation, portabilité, opposition).
Aider le Client à se conformer à ses obligations au titre des articles 32 à 36 du RGPD (sécurité, notification des violations, analyse d'impact, consultation préalable), compte tenu de la nature du traitement et des informations à la disposition de Tarvio.
6.6 Sort des données en fin de traitement
Selon le choix exprimé par le Client, supprimer ou restituer l'ensemble des Données personnelles à la cessation du Service, et détruire les copies existantes, sauf obligation légale de conservation.
6.7 Documentation et audit
Mettre à la disposition du Client toutes les informations nécessaires pour démontrer le respect des obligations du présent DPA et permettre la réalisation d'audits, y compris des inspections, dans les conditions de l'article 11 ci-après.
6.8 Alerte sur les instructions non conformes
Informer immédiatement le Client si, selon son analyse, une instruction constitue une violation du RGPD ou d'autres dispositions de droit de l'Union ou des États membres relatives à la protection des données.
Article 7 — Sous-traitants ultérieurs
7.1 Autorisation générale
Le Client autorise Tarvio à recourir aux Sous-traitants ultérieurs listés à l'Annexe 1 du présent DPA pour l'exécution du Service. Cette autorisation générale couvre l'ensemble des opérations de traitement décrites à l'article 2.
7.2 Obligations contractuelles
Tarvio s'engage à imposer à chaque Sous-traitant ultérieur, par contrat écrit, les mêmes obligations de protection des données que celles figurant au présent DPA, en particulier l'obligation de présenter des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées.
7.3 Information en cas d'évolution
Tarvio informera le Client de tout projet de changement concernant l'ajout ou le remplacement d'un Sous-traitant ultérieur, au moins trente (30) jours avant la mise en œuvre de ce changement, par publication d'une version mise à jour de l'Annexe 1 sur usetarvio.com/dpa et, à défaut, par email. Le Client dispose d'un délai de quinze (15) jours pour faire part de ses objections motivées. En cas d'objection fondée non levée, chaque partie peut résilier l'abonnement sans pénalité.
7.4 Responsabilité
Lorsqu'un Sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données, Tarvio demeure pleinement responsable devant le Client de l'exécution par ce Sous-traitant ultérieur de ses obligations.
Article 8 — Mesures techniques et organisationnelles de sécurité
Tarvio met en œuvre les mesures suivantes, proportionnées à la nature et au volume des traitements réalisés :
Mesures techniques
- Chiffrement des communications en transit (TLS 1.2 minimum) entre les clients, les serveurs et les Sous-traitants ultérieurs.
- Chiffrement au repos des données sensibles lorsque l'architecture de stockage le permet.
- Authentification forte par lien magique (magic link) pour l'accès au Service, avec jetons de session signés et expirants.
- Isolation logique des données entre clients (multi-tenant) et prévention des fuites inter-comptes.
- Journalisation des accès et des opérations sensibles, avec conservation à des fins d'audit.
- Sauvegardes régulières et tests de restauration.
- Protections contre les attaques courantes (injection, CSRF, brute-force, déni de service applicatif).
Mesures organisationnelles
- Accès aux Données personnelles limité au strict besoin d'en connaître.
- Engagement de confidentialité contractuel pour toute personne habilitée à accéder aux systèmes.
- Séparation des environnements (production, test, développement) et absence de données réelles dans les environnements non-productifs.
- Procédure documentée de réponse aux violations de données, incluant les délais de notification RGPD.
- Politique de gestion des clés et secrets (clé API Anthropic, tokens, variables d'environnement) non stockés en clair dans les dépôts de code.
- Revue régulière des accès et désactivation des comptes inactifs.
Ces mesures peuvent évoluer en fonction de l'état de l'art, du coût de mise en œuvre et des risques identifiés. Tarvio s'engage à maintenir un niveau de sécurité au moins équivalent à celui décrit ci-dessus pendant toute la durée du contrat.
Article 9 — Violation de Données personnelles
En cas de Violation de données, Tarvio s'engage à notifier le Client par email à l'adresse renseignée dans son compte, dans un délai maximal de soixante-douze (72) heures à compter du moment où Tarvio en prend connaissance.
Cette notification contient, dans la mesure du possible, les éléments suivants :
- la description de la nature de la violation, incluant si possible les catégories et le nombre approximatif de Personnes concernées et d'enregistrements concernés ;
- les conséquences probables de la violation ;
- les mesures prises ou envisagées pour y remédier et en atténuer les effets ;
- le nom et les coordonnées du point de contact au sein de Tarvio pour toute information complémentaire.
Tarvio assiste le Client, à sa demande et à ses frais raisonnables, dans la notification de la violation à l'autorité de contrôle compétente (la CNIL pour la France) et, le cas échéant, aux Personnes concernées, conformément aux articles 33 et 34 du RGPD. Le Client demeure seul responsable du déclenchement de ces notifications auprès des autorités et des Personnes concernées en sa qualité de Responsable du traitement.
Article 10 — Sort des données à la fin du Service
À la cessation du contrat, quelle qu'en soit la cause, Tarvio s'engage, au choix du Client exprimé dans un délai de trente (30) jours suivant la date d'effet de la résiliation :
- à restituer au Client, par export structuré (JSON ou CSV), l'ensemble des Données personnelles traitées pour son compte ;
- à supprimer ou anonymiser l'ensemble des Données personnelles et à détruire les copies existantes.
À défaut d'instruction du Client dans le délai de trente (30) jours, Tarvio procédera à la suppression par défaut, sous réserve des obligations légales de conservation, notamment en matière comptable (dix ans pour les factures conformément à l'article L. 123-22 du Code de commerce) et en matière de preuve.
Les journaux de sécurité et d'audit anonymisés peuvent être conservés pendant une durée maximale de douze (12) mois à des fins de sécurité et de traçabilité.
Article 11 — Audit
Le Client dispose du droit de vérifier, une (1) fois par année civile au maximum, le respect par Tarvio de ses obligations au titre du présent DPA. Cette vérification peut prendre la forme :
- d'un questionnaire adressé à Tarvio, auquel Tarvio s'engage à répondre dans un délai raisonnable ne pouvant excéder trente (30) jours ;
- de la fourniture, à la demande écrite du Client, des certifications ou rapports d'audit de Sous-traitants ultérieurs lorsque ceux-ci sont disponibles (par exemple, rapports SOC 2 de Stripe, Railway ou d'Anthropic, dans la mesure où ces documents sont communicables).
Tout audit sur site est subordonné à un accord écrit préalable de Tarvio précisant le périmètre, le calendrier et les modalités pratiques. Les frais éventuels liés à un audit sur site sont supportés par le Client, sauf si l'audit révèle un manquement grave de Tarvio à ses obligations contractuelles.
Ces dispositions s'appliquent sans préjudice des pouvoirs de contrôle de la CNIL et des autres autorités de contrôle compétentes.
Article 12 — Transferts hors de l'Union européenne
Le Client reconnaît et accepte que certains Sous-traitants ultérieurs, notamment Anthropic, Stripe, Railway et Netlify, ont leur siège aux États-Unis ou traitent des données depuis des infrastructures situées hors de l'Espace économique européen.
Tarvio s'engage à n'avoir recours qu'à des Sous-traitants ultérieurs présentant des garanties suffisantes pour encadrer ces transferts, notamment par la conclusion de Clauses Contractuelles Types (CCT) adoptées par la Commission européenne conformément à l'article 46(2)(c) du RGPD, ou par la certification à un mécanisme reconnu tel que le Data Privacy Framework pour les transferts vers les États-Unis.
Tarvio peut communiquer au Client, sur demande écrite, la liste des mécanismes de transfert applicables à chaque Sous-traitant ultérieur.
Article 13 — Responsabilité
La responsabilité de chaque partie au titre du présent DPA est encadrée, dans toute la mesure permise par la loi applicable, par les stipulations de l'article 10 (Limitation de responsabilité) des CGV.
Il est toutefois expressément convenu que les plafonds de responsabilité prévus aux CGV ne s'appliquent pas aux amendes administratives prononcées par une autorité de contrôle à l'encontre d'une partie en raison d'un manquement exclusivement imputable à l'autre partie. Dans ce cas, la partie défaillante indemnise l'autre partie à hauteur de la fraction de l'amende directement imputable à son manquement.
Article 14 — Durée et cessation
Le présent DPA entre en vigueur à la date de souscription du Client au Service et demeure en vigueur pendant toute la durée de l'abonnement, ainsi que pendant la période de conservation des Données personnelles prévue à l'article 10.
La cessation du présent DPA, pour quelque cause que ce soit, entraîne la cessation de l'ensemble des traitements réalisés par Tarvio pour le compte du Client, sous réserve des opérations nécessaires à la restitution ou à la suppression des Données personnelles.
Annexe 1 — Liste des Sous-traitants ultérieurs autorisés
La liste ci-dessous est à jour à la date d'entrée en vigueur du présent DPA. Elle est susceptible d'évolution dans les conditions de l'article 7.3.
| Sous-traitant ultérieur | Rôle | Localisation du traitement | Encadrement du transfert |
|---|---|---|---|
| Anthropic PBC | Fournisseur du modèle de langage Claude utilisé pour la génération des réponses | États-Unis | Clauses Contractuelles Types + mesures techniques supplémentaires ; données traitées sans entraînement sur les contenus clients |
| Stripe Payments Europe, Ltd. | Prestataire de paiement et de facturation | Irlande (UE) avec support infrastructure États-Unis | Établissement UE ; CCT pour les transferts résiduels ; certification Data Privacy Framework |
| Railway Corporation | Hébergement du backend du Service | États-Unis | Clauses Contractuelles Types |
| Netlify, Inc. | Hébergement du site et des pages statiques | États-Unis | Clauses Contractuelles Types |
| Brevo (Sendinblue SAS) | Envoi des emails transactionnels (authentification, notifications) | France (UE) | Pas de transfert hors UE |
| Airtable, Inc. | Stockage structuré des données d'onboarding et configuration | États-Unis | Clauses Contractuelles Types ; données pseudonymisées dans la mesure du possible |
Historique des versions
- v1.1 — 2026-04-17 — Mise à jour du préambule suite à l'immatriculation effective de TARVIO au RCS de Paris le 17/04/2026 (n° 103 850 137). Suppression de la mention « en cours d'immatriculation ». Ajout du capital social.
- v1.0 — 2026-04-11 — Version initiale. Rédaction par Tarvio pour le lancement commercial. À faire relire par un avocat spécialisé RGPD avant mise en production publique. Les certifications Data Privacy Framework des sous-traitants ultérieurs doivent être vérifiées individuellement avant publication.