Annexe 2 — Registre des traitements et coresponsabilités
La présente annexe complète la politique de confidentialité de HEBERGENEVE SAS conformément à l’article 30 du Règlement (UE) 2016/679 (RGPD) — registre des activités de traitement — et à l’article 26 du RGPD — répartition des responsabilités entre responsables conjoints du traitement.
Elle décrit, de manière détaillée et exhaustive, les traitements de données personnelles mis en œuvre dans le cadre de l’activité de HEBERGENEVE SAS (édition du site hebergeneve.com, réservations directes et via plateformes partenaires, exécution des séjours, conciergerie pour le compte de propriétaires-bailleurs, comptabilité). Elle identifie les rôles respectifs (responsable de traitement, responsable conjoint, sous-traitant) et les répartitions opérationnelles entre HEBERGENEVE et ses partenaires.
Cette annexe est tenue à jour et communicable à la CNIL sur demande, conformément à l’article 30.4 RGPD.
1. Identification du responsable de traitement
- HEBERGENEVE SAS
- 248 rue de Genève, 01170 Gex, France
- SIREN 919 295 931 — RCS Bourg-en-Bresse
- Représentant légal : M. ROUSSET Loïc, Président
- Point de contact RGPD : rgpd@hebergeneve.com
Compte tenu de la taille de la société (effectif inférieur à 250 salariés et absence de traitement de catégories particulières au sens de l’art. 9 RGPD à grande échelle), HEBERGENEVE SAS n’est pas tenue de désigner un délégué à la protection des données (DPO). Le Président assume directement la fonction de point de contact RGPD.
2. Registre des traitements (art. 30 RGPD)
Pour chaque traitement, sont précisés : la finalité poursuivie, la base légale au sens de l’article 6 RGPD, les catégories de données traitées, les catégories de personnes concernées, les destinataires, la durée de conservation, les éventuels transferts hors Union européenne, et les mesures de sécurité applicables.
2.1 — Mesure d’audience du site web
| Finalité | Comprendre la fréquentation du site, identifier les pages les plus consultées, suivre les conversions formulaires de contact / demandes de devis, sans identification individuelle. |
|---|---|
| Base légale | Intérêt légitime (art. 6.1.f RGPD) — exemption de consentement CNIL (mesure d’audience anonymisée). |
| Données collectées | Adresse IP tronquée, type de navigateur, OS, résolution d’écran, pages consultées, durée de visite, page de provenance, pays / région approximative, événements de clic agrégés. |
| Personnes concernées | Visiteurs du site hebergeneve.com. |
| Destinataires | HEBERGENEVE SAS (équipe direction et marketing) ; Plausible Insights OÜ (Estonie) — sous-traitant d’analytics, hébergement UE. |
| Durée de conservation | 13 mois maximum, conformément à la recommandation CNIL. |
| Transferts hors UE | Aucun. |
| Mesures de sécurité | TLS 1.3, anonymisation IP en amont, pas de cookie tiers, pas de fingerprinting, code source serveur de Plausible auditable (open source). |
2.2 — Formulaires de contact et demandes voyageurs
| Finalité | Répondre aux demandes d’information générales et aux demandes pré-réservation des voyageurs. |
|---|---|
| Base légale | Mesures précontractuelles à la demande de la personne (art. 6.1.b RGPD). |
| Données collectées | Nom, prénom, adresse email, numéro de téléphone, contenu libre du message, dates de séjour envisagées, capacité, bien d’intérêt (lorsque le formulaire est pré-rempli depuis une fiche). |
| Personnes concernées | Voyageurs prospects. |
| Destinataires | HEBERGENEVE SAS (équipe accueil) ; Brevo SAS (France) — sous-traitant pour la transmission email. |
| Durée de conservation | 3 ans à compter du dernier contact, conformément à la norme CNIL prospection commerciale. |
| Transferts hors UE | Aucun. |
| Mesures de sécurité | TLS 1.3, double authentification administrateur, registres d’accès, contrat de sous-traitance art. 28 RGPD avec Brevo. |
2.3 — Réservation directe (canal hebergeneve.com / Smoobu)
| Finalité | Formation et exécution du contrat de location courte durée : confirmation, gestion du séjour, communication voyageur, ménage, état des lieux, restitution caution. |
|---|---|
| Base légale | Exécution du contrat (art. 6.1.b RGPD). |
| Données collectées | Nom, prénom, email, téléphone, dates de séjour, capacité, montant, statut paiement, identifiant Smoobu, identifiant Stripe (pas de donnée carte), commentaires éventuels. |
| Personnes concernées | Voyageurs ayant réservé. |
| Destinataires | HEBERGENEVE SAS ; le propriétaire-bailleur (en régime conciergerie uniquement, en sa qualité de loueur officiel) ; Smoobu GmbH (Allemagne) — sous-traitant channel manager ; Stripe Payments Europe Ltd (Irlande) — sous-traitant paiement. |
| Durée de conservation | 3 ans à compter de la fin du séjour pour la relation client ; 10 ans pour les pièces comptables (article L.123-22 du Code de commerce). |
| Transferts hors UE | Possibles, encadrés par les Clauses Contractuelles Types (décision 2021/914) et le Data Privacy Framework UE-USA, dans le cadre des opérations Stripe ponctuellement acheminées vers les États-Unis. |
| Mesures de sécurité | TLS 1.3, authentification forte, contrats de sous-traitance art. 28 (Smoobu, Stripe, Brevo), journalisation des accès, sauvegardes chiffrées quotidiennes. |
2.4 — Réservation via plateformes partenaires (Airbnb, Booking.com)
| Finalité | Formation et exécution du contrat lorsque la réservation est passée sur une plateforme tierce. |
|---|---|
| Base légale | Exécution du contrat (art. 6.1.b RGPD). |
| Données collectées | Prénom et premier caractère du nom (Airbnb), email proxy de la plateforme, dates, capacité, montant. Le nom complet et l’email réel sont reçus uniquement à compter du check-in via la fiche de police (cf. 2.6). |
| Personnes concernées | Voyageurs Airbnb / Booking.com. |
| Destinataires | HEBERGENEVE SAS ; le propriétaire-bailleur (en régime conciergerie) ; Smoobu (consolidation calendrier) ; Airbnb Ireland UC ou Booking.com B.V. (Pays-Bas) — responsables conjoints au sens de l’art. 26 RGPD pour la phase de pré-réservation et de paiement. |
| Durée de conservation | 3 ans relation client / 10 ans pièces comptables. |
| Transferts hors UE | Pris en charge par Airbnb et Booking.com selon leurs DPA respectifs (CCT + DPF). |
| Mesures de sécurité | API officielles Airbnb / Booking.com, DPA plateforme accessible, intégration Smoobu certifiée. |
2.5 — Paiement (Stripe — réservations directes ; plateforme — réservations Airbnb/Booking)
| Finalité | Encaisser le prix du séjour, l’éventuel acompte, la taxe de séjour, et procéder à la pré-autorisation de caution. Refacturation entre HEBERGENEVE et le propriétaire-bailleur en régime conciergerie via le mécanisme Stripe Connect (« direct charge » + « application fee »). |
|---|---|
| Base légale | Exécution du contrat (art. 6.1.b RGPD) et obligation légale comptable (art. 6.1.c RGPD). |
| Données collectées | Identifiant transaction, montant, devise, statut, dernière catégorie / pays de la carte (jamais le numéro), nom titulaire, email. Les données sensibles (PAN, CVC) sont collectées et hébergées exclusivement par Stripe (PCI-DSS niveau 1). |
| Personnes concernées | Voyageurs payants ; propriétaires-bailleurs (KYC Stripe Connect). |
| Destinataires | HEBERGENEVE SAS ; en régime conciergerie, le propriétaire-bailleur en qualité de merchant of record ; Stripe Payments Europe Ltd (Irlande) ; expert-comptable. |
| Durée de conservation | 10 ans pour les pièces comptables. |
| Transferts hors UE | Stripe peut transférer ponctuellement vers les États-Unis dans le cadre du DPF et des CCT. |
| Mesures de sécurité | Stripe certifié PCI-DSS niveau 1, 3D-Secure, contrat de sous-traitance art. 28 RGPD signé. |
2.6 — Fiche de police et identification du voyageur (Chekin)
| Finalité | Établir et conserver la fiche individuelle de police prévue par l’article R.611-42 du CESEDA et l’arrêté du 14 juin 2007, pour les voyageurs étrangers ; vérifier l’identité du voyageur ayant réservé ; signer électroniquement le contrat de location et le règlement intérieur. |
|---|---|
| Base légale | Obligation légale (art. 6.1.c RGPD) pour la fiche de police étrangers ; intérêt légitime (art. 6.1.f RGPD) pour la vérification d’identité des voyageurs nationaux. |
| Données collectées | Nom, prénom, date et lieu de naissance, nationalité, type / numéro / date d’expiration du document d’identité, adresse de domicile, signature électronique du contrat de location. |
| Personnes concernées | Voyageurs séjournant dans un logement géré par HEBERGENEVE. |
| Destinataires | HEBERGENEVE SAS ; le propriétaire-bailleur (régime conciergerie) ; Chekin Applications Ltd (Irlande) — sous-traitant ; autorités de police compétentes sur réquisition légale. |
| Durée de conservation | 6 mois à compter du départ pour la fiche de police étrangers (durée légale) ; 3 ans pour les autres éléments (relation client). |
| Transferts hors UE | Aucun (Chekin Irlande, hébergement UE). |
| Mesures de sécurité | TLS 1.3, ségrégation des données identité dans Chekin, contrat de sous-traitance art. 28 RGPD, registre d’accès. |
2.7 — Caution / dépôt de garantie (Swikly)
| Finalité | Sécuriser le logement par empreinte bancaire pré-autorisée, sans débit effectif sauf incident, et procéder à la levée de la caution dans les 7 jours suivant le départ ou à son utilisation partielle/totale en cas de dommage. |
|---|---|
| Base légale | Intérêt légitime (art. 6.1.f RGPD) — protection contre les dégradations et les pertes. |
| Données collectées | Nom, prénom, email, montant de pré-autorisation, statut caution, identifiant Swikly. Les données carte sont hébergées exclusivement par Swikly (PCI-DSS). |
| Personnes concernées | Voyageurs. |
| Destinataires | HEBERGENEVE SAS ; le propriétaire-bailleur (régime conciergerie) ; Swikly (France) — sous-traitant. |
| Durée de conservation | 7 jours après le départ pour la pré-autorisation ; 2 ans pour les éléments d’incident. |
| Transferts hors UE | Aucun. |
| Mesures de sécurité | Swikly PCI-DSS, TLS, contrat de sous-traitance art. 28 RGPD. |
2.8 — Communications transactionnelles et newsletter (Brevo)
| Finalité | Envoi d’emails transactionnels (confirmation de réservation, instructions check-in, rappels, demandes d’avis) et, le cas échéant, communications marketing (newsletter). |
|---|---|
| Base légale | Exécution du contrat (art. 6.1.b RGPD) pour les emails transactionnels ; consentement explicite préalable (art. 6.1.a RGPD) pour les communications marketing. |
| Données collectées | Email, prénom, segment (voyageur, prospect, propriétaire), historique d’envois, ouvertures, clics. |
| Personnes concernées | Voyageurs, prospects, propriétaires. |
| Destinataires | HEBERGENEVE SAS ; Brevo SAS (France) — sous-traitant. |
| Durée de conservation | 3 ans à compter de la dernière interaction (norme CNIL) ou jusqu’à désinscription pour les communications marketing. |
| Transferts hors UE | Aucun. |
| Mesures de sécurité | Brevo certifié ISO 27001, double opt-in, désinscription un clic, contrat de sous-traitance art. 28 RGPD. |
2.9 — Comptabilité et facturation
| Finalité | Tenue des livres comptables, émission et conservation des factures, déclarations fiscales et sociales. |
|---|---|
| Base légale | Obligation légale (art. 6.1.c RGPD) — articles L.123-12 et suivants du Code de commerce, articles 286 et suivants du Code général des impôts. |
| Données collectées | Identité bénéficiaire, montants, dates, intitulé prestation, références bancaires. |
| Personnes concernées | Voyageurs, propriétaires partenaires, fournisseurs. |
| Destinataires | HEBERGENEVE SAS ; expert-comptable mandaté ; administration fiscale sur réquisition. |
| Durée de conservation | 10 ans (art. L.123-22 C. com.). |
| Transferts hors UE | Aucun. |
| Mesures de sécurité | Archivage chiffré, accès cabinet comptable sécurisé, double authentification. |
2.10 — Demande de devis conciergerie (propriétaires)
| Finalité | Évaluer un projet de prise en gestion d’un logement par HEBERGENEVE, formaliser une proposition commerciale, signer le cas échéant un contrat de prestation de services de conciergerie ou un bail commercial. |
|---|---|
| Base légale | Mesures précontractuelles à la demande de la personne (art. 6.1.b RGPD). |
| Données collectées | Nom, prénom, email, téléphone, adresse du bien, type, surface, nombre de chambres, photos éventuelles, contenu libre. |
| Personnes concernées | Propriétaires prospects. |
| Destinataires | HEBERGENEVE SAS. |
| Durée de conservation | 3 ans en cas de devis non donné suite ; durée du contrat + 10 ans après son terme en cas de signature. |
| Transferts hors UE | Aucun. |
| Mesures de sécurité | TLS 1.3, ségrégation logique propriétaires / voyageurs, accès restreint. |
2.11 — Lutte contre la fraude et les impayés
| Finalité | Prévenir les fraudes (faux moyens de paiement, identités falsifiées, sur-réservations) et gérer les impayés et incidents de séjour. |
|---|---|
| Base légale | Intérêt légitime (art. 6.1.f RGPD) — protection des intérêts économiques de HEBERGENEVE et des propriétaires partenaires. |
| Données collectées | Identité, transactions, motif d’incident, échanges écrits, photos d’état des lieux. |
| Personnes concernées | Voyageurs concernés par un incident. |
| Destinataires | HEBERGENEVE SAS ; le cas échéant, l’avocat ou le médiateur saisi. |
| Durée de conservation | 2 ans à compter de l’incident, sauf contentieux ouvert. |
| Transferts hors UE | Aucun. |
| Mesures de sécurité | Registre interne, accès restreint au seul Président et à la direction commerciale. |
3. Coresponsabilités du traitement (art. 26 RGPD)
Lorsque plusieurs entités déterminent conjointement les finalités et les moyens d’un traitement, elles sont qualifiées de responsables conjoints au sens de l’article 26 RGPD. La présente section formalise les arrangements applicables aux principaux canaux d’activité de HEBERGENEVE SAS.
3.1 — Coresponsabilité avec le propriétaire-bailleur (régime conciergerie v3.1)
Périmètre. Pour les biens exploités sous contrat de prestation de services de conciergerie v3.1, HEBERGENEVE SAS et le propriétaire-bailleur exercent une coresponsabilité limitée et clairement répartie pour les traitements liés à la réservation, l’exécution du séjour et la facturation au voyageur.
Répartition opérationnelle.
| Traitement / activité | Responsable opérationnel | Co-décideur |
|---|---|---|
| Annonce du logement et tarification | HEBERGENEVE | Propriétaire (validation tarif plancher) |
| Réception et qualification des demandes voyageurs | HEBERGENEVE | — |
| Encaissement et facturation au voyageur (Stripe Connect direct charge) | Propriétaire (merchant of record) | — |
| Communication voyageur, instructions check-in | HEBERGENEVE | — |
| Fiche de police étrangers (CESEDA) | Propriétaire (logeur officiel L.2333-33 CGCT) | HEBERGENEVE (mise en œuvre via Chekin) |
| Collecte et reversement de la taxe de séjour | Propriétaire | — |
| Réponse aux demandes d’exercice de droits RGPD | HEBERGENEVE (point de contact unique) | Propriétaire (relais opérationnel) |
| Notification de violation de données | HEBERGENEVE (centralise et notifie CNIL) | Propriétaire (notifie HEBERGENEVE sans délai) |
Point de contact unique. Conformément à l’article 26.3 RGPD, le voyageur peut exercer ses droits indifféremment auprès de HEBERGENEVE ou du propriétaire-bailleur. HEBERGENEVE SAS centralise les demandes à l’adresse rgpd@hebergeneve.com et coordonne la réponse, dans le délai d’un mois à compter de la réception de la demande (art. 12.3 RGPD).
Notification de violation. En cas de violation de données concernant un séjour en régime conciergerie, le propriétaire-bailleur informe HEBERGENEVE SAS sans délai injustifié et au plus tard 24 heures après en avoir pris connaissance. HEBERGENEVE SAS, en tant que point de contact unique, notifie la violation à la CNIL dans les conditions de l’art. 33 RGPD et, le cas échéant, aux personnes concernées au titre de l’art. 34 RGPD.
Cet arrangement de coresponsabilité est documenté dans une clause spécifique du contrat de prestation de services de conciergerie v3.1 (annexe RGPD), signé par les deux parties.
3.2 — Coresponsabilité avec Airbnb Ireland UC
Périmètre. Pour les réservations effectuées via Airbnb, Airbnb Ireland UC et le Loueur (HEBERGENEVE en sous-location, ou propriétaire en conciergerie) sont responsables conjoints au sens de l’art. 26 RGPD pour les traitements jusqu’à la confirmation de la réservation et le paiement sur Airbnb. À compter du check-in, HEBERGENEVE (ou le propriétaire selon le régime) devient responsable autonome pour la fiche de police, l’exécution du séjour et la facturation finale.
Arrangement. Airbnb publie son arrangement de coresponsabilité dans son centre de confidentialité (article 3175). HEBERGENEVE adhère à cet arrangement par l’utilisation de l’API et du compte Hôte. Les voyageurs Airbnb peuvent exercer leurs droits indifféremment auprès d’Airbnb ou de HEBERGENEVE.
3.3 — Coresponsabilité avec Booking.com B.V.
Périmètre et arrangement équivalents au point 3.2, par adhésion à l’arrangement publié par Booking.com B.V. (centre de confidentialité Booking.com). Le voyageur Booking.com peut exercer ses droits auprès de Booking.com ou de HEBERGENEVE.
4. Sous-traitants au sens de l’art. 28 RGPD
Les entités suivantes interviennent comme sous-traitants de HEBERGENEVE SAS, c’est-à-dire qu’elles traitent les données personnelles uniquement sur instructions documentées du responsable de traitement, dans le cadre d’un contrat de sous-traitance conforme à l’art. 28 RGPD.
| Sous-traitant | Finalité | Pays d’établissement | Hébergement des données |
|---|---|---|---|
| Smoobu GmbH | Channel manager, gestion locative | Allemagne | UE |
| Stripe Payments Europe Ltd | Paiement carte, Stripe Connect | Irlande | UE / transferts USA encadrés (DPF + CCT) |
| Chekin Applications Ltd | Check-in en ligne, fiche police | Irlande | UE |
| Swikly SAS | Empreinte bancaire / caution | France | UE |
| Brevo SAS | Envoi emails transactionnels et newsletter | France | UE |
| Plausible Insights OÜ | Mesure d’audience anonymisée | Estonie | UE |
| IONOS SARL | Hébergement web et nom de domaine | France / Allemagne | UE |
| Cabinet d’expertise comptable | Tenue de comptabilité, déclarations fiscales | France | UE |
HEBERGENEVE SAS publie la liste à jour de ses sous-traitants et notifie tout changement substantiel sur la présente page.
5. Exercice des droits — modalités
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits d’accès, de rectification, d’effacement, de limitation, de portabilité, d’opposition, et du droit de définir des directives post-mortem. Pour exercer ces droits, écrivez à rgpd@hebergeneve.com en précisant l’objet de votre demande et en joignant, si nécessaire à votre identification, la copie d’une pièce d’identité (article 12.6 RGPD).
HEBERGENEVE SAS s’engage à répondre dans le délai d’un mois à compter de la réception de la demande (art. 12.3 RGPD), prolongeable de deux mois en cas de complexité, après information de la personne.
Vous disposez par ailleurs du droit d’introduire une réclamation auprès de la Commission Nationale de l’Informatique et des Libertés (CNIL), 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07, www.cnil.fr.
6. Mises à jour de la présente annexe
La présente annexe est mise à jour à chaque évolution substantielle des traitements (ajout d’un sous-traitant, modification d’une finalité, changement de durée de conservation, modification d’arrangement de coresponsabilité). La date de dernière mise à jour figure en pied de page. Les modifications ayant un impact sur les personnes concernées font l’objet d’une information individuelle par email lorsque cela est techniquement possible.
Dernière mise à jour : 25 avril 2026 — version v1