Cette politique décrit comment AP Vosges Conciergerie collecte, utilise et protège les données personnelles des utilisateurs du site et de l'application Vosges Grandeur Nature, conformément au Règlement Général sur la Protection des Données (RGPD).
1. Responsable du traitement
- Dénomination
- AP Vosges Conciergerie
- Siège social
- 46 rue Georges Colnot, 88220 Xertigny
- SIREN
- 889 157 327
- E-mail dédié
- contact@ap-vosges-conciergerie.com
Pour toute question relative à la protection de vos données personnelles ou à l'exercice de vos droits, vous pouvez nous écrire à l'adresse e-mail ci-dessus.
2. Données collectées et finalités
Nous collectons uniquement les données strictement nécessaires à la fourniture du service :
2.1 — Lors de l'achat d'un Pass VGN
- Identité : prénom, nom (pour personnaliser le Pass et identifier le porteur auprès des partenaires) ;
- E-mail : pour transmettre le Pass, créer le compte vacancier et envoyer les liens de connexion ;
- Données de séjour : nombre de personnes, dates de début et de fin (pour calculer le tarif et établir la période de validité du Pass) ;
- Données de paiement : aucune donnée bancaire n'est stockée sur nos serveurs. Le traitement du paiement est délégué à Stripe (cf. section 4).
2.2 — Lors de l'utilisation de l'application
- Mot de passe : haché de manière irréversible (bcrypt), jamais stocké en clair ;
- Préférences de séjour : envies enregistrées localement sur votre appareil et synchronisées avec votre compte ;
- Historique des passages partenaires : date, partenaire, montant économisé (pour calculer vos économies cumulées et historique sur votre profil) ;
- Adresse IP : enregistrée à la consommation des liens magiques (sécurité, anti-fraude) ;
- Géolocalisation : uniquement avec votre consentement explicite, pour suggérer des points d'intérêt à proximité.
2.3 — Lors de la création d'une fiche partenaire ou propriétaire
- Identité professionnelle : nom commercial, contact, adresse ;
- Coordonnées bancaires : pour le versement des commissions (transmises directement à Stripe Connect, jamais stockées chez nous) ;
- Données contractuelles : signatures de contrat, mandats SEPA (conservés sous forme PDF chiffré).
3. Bases légales du traitement
Conformément à l'article 6 du RGPD, nos traitements reposent sur :
- L'exécution du contrat (art. 6.1.b) — pour la création, la livraison et l'utilisation du Pass ainsi que la gestion de la relation commerciale ;
- L'obligation légale (art. 6.1.c) — pour la conservation des justificatifs de transactions et la facturation ;
- L'intérêt légitime (art. 6.1.f) — pour la lutte contre la fraude, l'amélioration du service et la sécurité de l'application ;
- Le consentement (art. 6.1.a) — pour la géolocalisation, l'envoi de communications marketing facultatives et l'usage de cookies non essentiels.
4. Sous-traitants et destinataires des données
Les données ne sont jamais cédées ni revendues à des tiers à des fins commerciales. Elles sont accessibles aux seuls collaborateurs et sous-traitants ayant un besoin opérationnel justifié :
- Stripe Payments Europe Ltd.
- Traitement des paiements, gestion des comptes connectés (Stripe Connect). Données traitées en Irlande, conformes RGPD.
- Scaleway SAS
- Hébergement de l'application, base de données. Centres de données en France (Paris).
- Hostinger International Ltd.
- Hébergement du site WordPress vitrine. Centres de données en Europe.
- Hostaway OÜ
- Channel manager pour les logements VGN Premium. Données limitées au strict nécessaire pour la gestion des réservations.
- Mailjet SAS (groupe Sinch)
- Envoi des e-mails transactionnels (confirmations, liens magiques, factures). Reçoit le nom et l'adresse e-mail du destinataire. Données traitées dans l'Union européenne.
- OpenRouteService (HeiGIT gGmbH)
- Calcul des temps de trajet entre points d'intérêt. Reçoit des coordonnées géographiques. Service hébergé en Allemagne (Union européenne).
- Anthropic PBC
- API d'intelligence artificielle utilisée pour l'assistance à la rédaction de contenus éditoriaux (fiches lieux, logements et partenaires), côté administration uniquement. Aucune donnée personnelle de visiteur n'est transmise. La fonctionnalité « Mon Séjour de Rêve », elle, est 100 % algorithmique et n'utilise aucune IA.
5. Durée de conservation
- Compte vacancier actif : tant que le compte est actif et au-delà 3 ans après la dernière utilisation, puis archivage anonymisé ;
- Pass expirés : conservation 3 ans après la fin de validité (durée légale de prescription des actions commerciales) ;
- Justificatifs de transaction : 10 ans (obligation comptable et fiscale) ;
- Logs techniques (IP, sessions) : 1 an maximum ;
- Données partenaires/propriétaires sous contrat : pendant toute la durée du contrat + 5 ans après la résiliation.
6. Vos droits
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :
- Droit d'accès — obtenir une copie des données vous concernant ;
- Droit de rectification — corriger des données inexactes ;
- Droit à l'effacement (« droit à l'oubli ») — demander la suppression dans les conditions prévues par la loi ;
- Droit à la portabilité — recevoir vos données dans un format structuré et lisible par machine ;
- Droit d'opposition — refuser certains traitements (notamment le marketing direct) ;
- Droit à la limitation — bloquer temporairement le traitement en cas de contestation.
Pour exercer ces droits, écrivez-nous à contact@ap-vosges-conciergerie.com en précisant l'objet de votre demande. Une réponse vous sera apportée dans un délai maximal de 30 jours.
En cas de désaccord persistant, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) — www.cnil.fr.
7. Cookies et traceurs
L'application utilise un nombre minimal de cookies et de traceurs, exclusivement à des fins techniques nécessaires à son fonctionnement :
- Cookie de session — authentification, durée 1 an renouvelable ;
- Cookie de panier (
vgn_panier_sejour) — sauvegarde locale de vos envies, conservé sur votre appareil ; - Cookie de parrainage (
vgn_ref) — capture du code partenaire si vous arrivez via un lien de parrainage, durée 30 jours ; - Stripe Checkout — cookies techniques nécessaires à la sécurisation du paiement, gérés par Stripe.
Aucun cookie publicitaire ni outil de pistage à des fins marketing n'est utilisé.
8. Sécurité
Nous mettons en œuvre des mesures techniques et organisationnelles adaptées pour protéger vos données :
- Chiffrement TLS 1.3 sur toutes les communications ;
- Mots de passe hachés (bcrypt, coût 10) ;
- Authentification par lien magique (single-use, expiration 30 minutes, hash SHA-256 stocké côté serveur) ;
- Sauvegardes chiffrées quotidiennes ;
- Restriction d'accès aux bases de données aux seuls collaborateurs autorisés.
9. Transferts hors Union européenne
Aucun transfert systématique de données hors de l'Union européenne n'est effectué. Stripe et Anthropic peuvent traiter ponctuellement certaines données en dehors de l'UE dans le cadre de leurs propres opérations, sous l'encadrement des Clauses Contractuelles Types de la Commission européenne.
10. Modifications de la présente politique
La présente politique peut être modifiée pour refléter une évolution du service, de la réglementation ou de nos sous-traitants. La date de dernière mise à jour figure en haut de cette page. En cas de modification substantielle, les utilisateurs concernés seront informés par e-mail.