Cette politique explique comment TARVIO (SASU au capital de 1 000 €, RCS Paris 103 850 137) traite vos données personnelles lorsque vous visitez usetarvio.com ou utilisez le service Tarvio (l'« Application »). Pour les Clients professionnels souscrivant au Service, un Accord de traitement des données (DPA) détaillé s'applique également au titre de l'article 28 du RGPD.
Responsable du traitement
Le responsable du traitement est la SASU TARVIO, 25 rue de Ponthieu, 75008 Paris. Pour toute question relative au traitement de vos données ou pour exercer vos droits : privacy@usetarvio.com.
Quelles données collectons-nous ?
1. Données que vous nous fournissez directement
- Compte client : nom, prénom, email, numéro de téléphone, mot de passe (chiffré), nom de société, fonction.
- Paiement : informations de carte bancaire (collectées et conservées exclusivement par notre prestataire Stripe — nous ne stockons jamais votre CB).
- Contenu opérationnel : logements gérés, identifiants de connexion à vos plateformes (Hospitable, Smoobu, Airbnb, Booking via OAuth ou tokens chiffrés), messages voyageurs traités par l'IA, notes internes.
- Communications : messages envoyés via le chat de support (Crisp), emails échangés.
2. Données collectées automatiquement
- Logs techniques : adresse IP, user-agent, horodatage des requêtes, pages visitées (durée de conservation : 12 mois).
- Cookies de session : maintien de votre connexion et préférences (strictement nécessaires).
- Mesure d'audience : Meta Pixel et Google Analytics, soumis à votre consentement explicite.
Pourquoi traitons-nous vos données ?
| Finalité | Base légale (RGPD) | Durée de conservation |
|---|---|---|
| Fourniture du Service Tarvio (compte, IA, automatisations) | Exécution du contrat (art. 6.1.b) | Durée du contrat + 1 an |
| Facturation et obligations comptables | Obligation légale (art. 6.1.c) | 10 ans (Code de commerce) |
| Support client | Exécution du contrat | 3 ans après dernier contact |
| Mesure d'audience (Meta Pixel, GA) | Consentement (art. 6.1.a) | 13 mois maximum |
| Prospection commerciale (BtoB uniquement) | Intérêt légitime (art. 6.1.f) | 3 ans à compter du dernier contact |
| Sécurité, prévention de la fraude, logs | Intérêt légitime | 12 mois |
Avec qui partageons-nous vos données ?
Nous faisons appel aux sous-traitants suivants, tous engagés contractuellement à respecter le RGPD :
| Sous-traitant | Finalité | Localisation |
|---|---|---|
| Anthropic, PBC | API IA Claude (génération réponses voyageurs) | États-Unis (Data Privacy Framework) |
| Stripe Payments Europe Ltd | Paiements et facturation | Irlande (UE) |
| Railway Corp. | Hébergement application | États-Unis (DPF) |
| Netlify, Inc. | Hébergement landing | États-Unis (DPF) |
| Brevo SAS (ex-Sendinblue) | Emails transactionnels et marketing | France (UE) |
| Crisp IM SAS | Chat de support | France (UE) |
| Twilio Ireland Ltd | Envoi de SMS | Irlande (UE) — relais États-Unis |
| Cloudflare, Inc. | CDN et DNS | États-Unis (DPF) |
Nous ne vendons ni ne louons jamais vos données à des tiers à des fins commerciales.
Transferts hors UE
Certains sous-traitants sont situés hors de l'Union européenne. Les transferts sont encadrés soit par une décision d'adéquation (Data Privacy Framework pour les États-Unis), soit par les Clauses Contractuelles Types (CCT) approuvées par la Commission européenne.
Vos droits
Conformément au RGPD, vous disposez à tout moment des droits suivants sur vos données :
- Accès : obtenir une copie de vos données.
- Rectification : corriger des données inexactes.
- Effacement (« droit à l'oubli ») : suppression sous 30 jours, sauf obligation légale de conservation.
- Limitation du traitement.
- Portabilité : récupérer vos données dans un format structuré.
- Opposition au traitement, notamment à la prospection commerciale.
- Définition de directives relatives au sort de vos données après votre décès (article 85 LIL).
- Retrait du consentement à tout moment pour les traitements fondés sur celui-ci (cookies de mesure d'audience).
Pour exercer vos droits : privacy@usetarvio.com. Nous répondons sous 30 jours maximum. En cas de litige, vous avez le droit d'introduire une réclamation auprès de la CNIL (3 place de Fontenoy, 75007 Paris — cnil.fr).
Cookies et traceurs
Nous utilisons trois catégories de cookies :
- Strictement nécessaires : session, authentification, sécurité (consentement non requis).
- Mesure d'audience : Google Analytics — durée 13 mois maximum, soumis à consentement.
- Marketing : Meta Pixel pour le retargeting publicitaire — durée 13 mois maximum, soumis à consentement.
Vous pouvez modifier vos choix à tout moment via le bandeau de gestion des cookies en bas de page.
Sécurité
Nous mettons en œuvre des mesures techniques et organisationnelles pour protéger vos données : chiffrement TLS 1.3 sur toutes les communications, chiffrement au repos des données sensibles (tokens OAuth, mots de passe via bcrypt), authentification à deux facteurs disponible côté Client, accès restreint aux données sur la base du moindre privilège, journalisation des accès, sauvegardes quotidiennes chiffrées.
Modification de cette politique
Cette politique peut être mise à jour pour refléter une évolution légale, technique ou des sous-traitants. Toute modification substantielle vous sera notifiée par email au moins 30 jours avant son entrée en vigueur. La version en vigueur est toujours accessible à l'adresse usetarvio.com/politique-confidentialite.