Engagements RGPD
Dernière mise à jour : 23 mars 2026
Le présent document décrit les engagements de Phareme en matière de protection des données personnelles, conformément au Règlement Général sur la Protection des Données (UE) 2016/679 (« RGPD ») et à la loi n° 78-17 du 6 janvier 1978 modifiée (loi Informatique et Libertés).
1. Rôles et responsabilités
| Acteur | Rôle RGPD | Périmètre |
|---|---|---|
| Hôtelier | Responsable de traitement | Données de ses Guests et de son Staff |
| Phareme | Sous-traitant (art. 28 RGPD) | Traitement des données pour le compte de l’Hôtelier |
| Phareme | Responsable de traitement | Données des Hôteliers (compte, facturation, abonnement) |
2. Engagements de Phareme en tant que sous-traitant
Conformément à l’article 28 du RGPD, Phareme s’engage à :
- Ne traiter les données personnelles que sur instruction documentée de l’Hôtelier
- Garantir la confidentialité des données traitées (engagement de confidentialité du personnel)
- Mettre en œuvre les mesures techniques et organisationnelles appropriate pour assurer la sécurité du traitement
- Ne pas faire appel à un sous-traitant ultérieur sans l’autorisation préalable écrite de l’Hôtelier (voir liste des sous-traitants en section 5)
- Aider l’Hôtelier à répondre aux demandes d’exercice des droits des personnes concernées
- Restituer ou supprimer les données à l’issue de la prestation, au choix de l’Hôtelier
- Mettre à disposition de l’Hôtelier les informations nécessaires pour démontrer le respect de ses obligations
3. Mesures techniques et organisationnelles
Phareme met en œuvre les mesures suivantes pour garantir la sécurité des données :
3.1 Chiffrement
- En transit : toutes les communications utilisent TLS 1.2 minimum (HTTPS)
- Au repos : chiffrement AES-256 des bases de données (Supabase)
- Mots de passe : hashés avec bcrypt (coût factor 10+)
3.2 Contrôle d’accès
- Multi-tenant : isolation stricte des données par hôtel via Row Level Security (RLS) PostgreSQL
- RBAC : contrôle d’accès basé sur les rôles (owner, manager, reception, waiter, housekeeping, technician, spa, concierge)
- Authentification : gestion via Supabase Auth avec tokens JWT
3.3 Monitoring et audit
- Logs d’accès et d’activité conservés 12 mois
- Suivi des modifications sensibles (audit trail via la table audit_logs)
- Alertes en cas de comportement anormal
3.4 Sauvegardes
- Sauvegardes automatiques quotidiennes (Supabase)
- Point-in-time recovery disponible
- Réplication géographique des données
4. Notification des violations
En cas de violation de données personnelles au sens de l’article 33 du RGPD, Phareme s’engage à :
- Notifier l’Hôtelier dans un délai de 48 heures après en avoir pris connaissance
- Fournir les informations suivantes : nature de la violation, catégories de données concernées, nombre approximatif de personnes concernées, conséquences probables, mesures prises pour y remédier
- Collaborer avec l’Hôtelier pour la notification à la CNIL (dans les 72 heures) et aux personnes concernées si nécessaire
5. Sous-traitants ultérieurs
Phareme fait appel aux sous-traitants ultérieurs suivants, autorisés par défaut dans le cadre du Service :
| Sous-traitant | Traitement | Localisation | Garanties |
|---|---|---|---|
| Supabase Inc. | BDD, Auth, Realtime | UE (Francfort) | SOC 2 Type II |
| Stripe Payments Europe | Paiements | UE / US | PCI-DSS, CCT |
| Vercel Inc. | Hébergement | US | SOC 2 Type II, CCT |
| Resend Inc. | Emails transactionnels | US | CCT |
| Cloudflare Inc. | CDN, Stream (vidéo) | Global | CCT, ISO 27001 |
L’Hôtelier sera notifié de tout ajout ou remplacement de sous-traitant avec un préavis de 30 jours. Il dispose d’un droit d’opposition.
6. Registre des traitements
Phareme tient un registre des activités de traitement conformément à l’article 30 du RGPD. Ce registre est disponible sur demande auprès de notre DPO.
Principaux traitements
| Traitement | Finalité | Base légale | Durée |
|---|---|---|---|
| Gestion des commandes | Exécution du service | Contrat | Séjour + 12 mois |
| Authentification Staff | Sécurité d’accès | Intérêt légitime | Durée contrat + 90j |
| Facturation Hôtelier | Obligation comptable | Obligation légale | 10 ans |
| Statistiques d’usage | Amélioration du service | Intérêt légitime | Agrégées, anonymisées |
| Logs de sécurité | Détection d’intrusions | Intérêt légitime | 12 mois |
7. Analyse d’impact (AIPD)
Phareme réalise des analyses d’impact relatives à la protection des données (AIPD / DPIA) lorsque le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées, conformément à l’article 35 du RGPD.
8. Délégué à la protection des données (DPO)
Pour toute question relative à la protection de vos données personnelles :
- DPO Phareme : [NOM DU DPO]
- Email : dpo@phareme.com
- Adresse : [ADRESSE DU SIÈGE SOCIAL]
9. Autorité de contrôle
L’autorité de contrôle compétente est la Commission Nationale de l’Informatique et des Libertés (CNIL) :
- Site : www.cnil.fr
- Adresse : 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
Voir aussi : Conditions Générales d’Utilisation · Politique de confidentialité