1. Qui sommes‑nous ?

La présente politique de confidentialité (ci‑après la « Politique ») décrit la manière dont la société :

  • HOXBOOK SAS,

  • Société par actions simplifiée,

  • immatriculée au RCS de Paris sous le numéro [à compléter],

  • dont le siège social est situé [adresse à compléter],

(ci‑après « Hoxbook », « nous ») traite les données à caractère personnel dans le cadre :

  • du site internet public https://www.hoxbook.com (ci‑après le « Site ») ;

  • et de la plateforme logicielle SaaS accessible notamment via https://www.app.hoxbook.com (ci‑après la « Plateforme »).

Pour toute question relative à la protection des données personnelles, vous pouvez nous contacter à :

  • Email : admin@hoxbook.com

  • Adresse postale : HOXBOOK SAS, [adresse à compléter]

2. Rôle de Hoxbook : responsable de traitement / sous‑traitant
2.1 Lorsque Hoxbook agit en responsable de traitement

Hoxbook agit en qualité de responsable de traitement au sens du règlement (UE) 2016/679 du 27 avril 2016 (« RGPD ») et de la loi Informatique et Libertés :

  • pour les traitements mis en œuvre via le Site (gestion des formulaires de contact, demandes d’information, prospection B2B, gestion des comptes de clients professionnels, logs techniques liés à la consultation du Site) ;

  • pour certains traitements mis en œuvre via la Plateforme lorsqu’ils sont nécessaires à la gestion de la relation avec ses Clients professionnels (gestion contractuelle, facturation, support, suivi d’utilisation à des fins de sécurité et de bon fonctionnement).

2.2 Lorsque Hoxbook agit en sous‑traitant

Pour les traitements de données personnelles mis en œuvre via la Plateforme pour le compte des Clients (par exemple, gestion des réservations, gestion de la relation client de l’établissement, communications transactionnelles SMS/email), le Client agit en qualité de responsable de traitement et Hoxbook agit en qualité de sous‑traitant au sens du RGPD.

Dans ce cadre :

  • le Client détermine seul les finalités et les moyens essentiels des traitements (quelles données sont collectées, quels messages sont envoyés, quelles campagnes sont configurées, etc.) ;

  • Hoxbook traite les données personnelles uniquement sur instruction documentée du Client, aux seules fins d’exécution des Services ;

  • les obligations détaillées de Hoxbook en tant que sous‑traitant figurent dans l’Annexe « Contrat de sous‑traitance RGPD » jointe aux CGV et faisant partie intégrante du contrat conclu avec le Client.

3. Quelles données collectons‑nous et pour quelles finalités ?

Les catégories de données collectées dépendent de votre relation avec Hoxbook (visiteur du Site, utilisateur de la Plateforme, client de nos Clients, etc.).

3.1 Données traitées en qualité de responsable de traitement
3.1.1 Visiteurs du Site et prospects B2B

Dans le cadre de la consultation du Site ou de prises de contact (formulaire, email), Hoxbook peut traiter notamment :

  • des données d’identification et de contact : civilité, nom, prénom, adresse email professionnelle, numéro de téléphone, poste, société ;

  • des données relatives à la demande : objet du message, contenu de la demande, date et heure de la prise de contact ;

  • des données techniques de navigation : journaux techniques (logs), adresses IP, métadonnées de connexion, données relatives à l’équipement et au navigateur, à des fins de sécurité et de bon fonctionnement du Site.

Finalités principales :

  • gestion et suivi des demandes de contact et de renseignements ;

  • gestion de la relation commerciale et de la prospection B2B, dans le respect des règles applicables en matière de prospection électronique ;

  • sécurité du Site, prévention des abus et des tentatives d’intrusion, production de statistiques techniques de fréquentation agrégées.

Bases légales :

  • exécution de mesures précontractuelles à la demande de la personne concernée (réponse à une demande d’information) ;

  • intérêt légitime de Hoxbook à développer son activité B2B, sous réserve des droits des personnes concernées ;

  • respect d’obligations légales (sécurité, gestion des éventuels contentieux).

3.1.2 Clients professionnels et Utilisateurs de la Plateforme (côté Hoxbook)

Dans le cadre de la gestion de la relation avec ses Clients professionnels et de l’utilisation de la Plateforme, Hoxbook peut traiter, en tant que responsable de traitement, notamment :

  • des données d’identification et de contact des représentants et Utilisateurs du Client : civilité, nom, prénom, adresse email professionnelle, fonction, données d’identification de compte ;

  • des données contractuelles et de facturation : coordonnées de facturation, informations nécessaires à la gestion du contrat, échéances, historique des échanges contractuels ;

  • des données techniques d’utilisation de la Plateforme à des fins de sécurité et de support : logs de connexion, journaux d’activité, métadonnées de sécurité ;

Finalités principales :

  • gestion de la relation contractuelle avec les Clients (souscription, exécution, suivi et résiliation du contrat) ;

  • gestion des Comptes Utilisateurs, des droits et habilitations ;

  • facturation, comptabilité, gestion des paiements et des impayés ;

  • support, assistance et maintenance de la Plateforme ;

  • sécurité, prévention des fraudes et abus, amélioration de la qualité et du fonctionnement des Services.

Bases légales :

  • exécution du contrat conclu avec le Client ;

  • respect d’obligations légales (notamment en matière de facturation et de comptabilité) ;

  • intérêt légitime de Hoxbook à assurer la sécurité et le bon fonctionnement de la Plateforme et à améliorer ses Services, sous réserve des droits des personnes concernées.

3.2 Données traitées en qualité de sous‑traitant pour le compte des Clients

Dans le cadre de l’utilisation de la Plateforme par les Clients (hôtels, résidences, établissements d’hébergement), Hoxbook traite, pour leur compte, les données personnelles suivantes, telles que définies dans les CGV et leur annexe RGPD :

  • Données des clients des établissements :

    • données d’identification et de contact (civilité, nom, prénom, coordonnées, etc.) ;

    • données relatives aux réservations et séjours (dates, type de chambre, prestations, préférences, historique) ;

    • données relatives à la relation client (communications, demandes particulières, etc.).

  • Données internes du Client :

    • données relatives aux salariés, collaborateurs, prestataires et fournisseurs du Client ;

    • données relatives aux Utilisateurs du Client (comptes, habilitations, journaux d’activité, logs de connexion) ;

  • Données techniques et de sécurité :

    • logs, journaux techniques, métadonnées de connexion, traces d’activité et données de sécurité nécessaires au fonctionnement et à la sécurisation de la Plateforme.

  • Contenu des communications transactionnelles :

    • contenus de messages transactionnels (emails et SMS) envoyés via la Plateforme pour le compte du Client (confirmations de réservation, informations de séjour, etc.).

Aucune donnée de carte bancaire n’est stockée par Hoxbook dans le cadre des Services décrits dans les CGV.

Les finalités de ces traitements (gestion des réservations, communication clients, gestion opérationnelle interne de l’établissement, etc.) sont déterminées par chaque Client, en sa qualité de responsable de traitement, et détaillées dans la documentation qu’il fournit à ses propres clients, salariés et partenaires.

Dans ce cadre, Hoxbook n’utilise pas les données traitées pour le compte du Client à d’autres fins que l’exécution des Services, sauf obligation légale contraire ou accord spécifique du Client.

4. Sous‑traitants, hébergement et transferts de données
4.1 Hébergement principal de la Plateforme

Les données applicatives principales traitées via la Plateforme Hoxbook, incluant notamment les données hébergées dans l’application et la base de données principale, sont hébergées par Supabase sur une infrastructure située en France métropolitaine, conformément au paramétrage principal retenu par Hoxbook.

Hoxbook n’organise pas, pour l’hébergement principal de l’application et de la base de données, de transfert volontaire de ces données hors de la France ni hors de l’Espace économique européen.

4.2 Sous‑traitants techniques et prestataires de communication

Hoxbook peut recourir à des sous‑traitants ultérieurs pour des finalités limitées, notamment :

  • Supabase : hébergement principal et base de données ;

  • Cloudflare : services de DNS, de sécurité réseau et, le cas échéant, de diffusion de contenu ;

  • SendGrid : envoi d’emails transactionnels ;

  • Twilio : envoi de SMS transactionnels.

Les traitements liés aux emails transactionnels et aux SMS sont réalisés via des prestataires situés en Irlande, au sein de l’Union européenne, conformément au paramétrage retenu par Hoxbook.

Les données transmises à ces prestataires sont strictement limitées à ce qui est nécessaire :

  • pour l’hébergement et l’exécution de la Plateforme ;

  • pour l’envoi, la délivrabilité, la sécurité et le suivi des communications (adresse email et/ou numéro de téléphone, éléments nécessaires à la personnalisation, contenu du message, métadonnées techniques).

Sauf contrainte légale, probatoire ou de sécurité dûment justifiée, les données relatives aux communications transactionnelles sont conservées pour la durée strictement nécessaire au traitement, puis supprimées dans un délai maximal de trente (30) jours.

4.3 Information des Clients sur les sous‑traitants

Les sous‑traitants ultérieurs auxquels Hoxbook peut faire appel dans le cadre des traitements réalisés pour le compte des Clients (en qualité de sous‑traitant au sens du RGPD) sont listés et encadrés dans l’Annexe « Contrat de sous‑traitance RGPD » jointe aux CGV. Hoxbook informe les Clients de tout projet d’ajout ou de remplacement d’un sous‑traitant ultérieur dans les conditions prévues au contrat.

5. Durées de conservation

Hoxbook conserve les données personnelles pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées, et en tout état de cause dans le respect des durées prévues dans les CGV, l’annexe RGPD et la réglementation applicable.

À titre indicatif :

  • les données de communication transactionnelle envoyées via SendGrid et Twilio sont conservées pour la durée strictement nécessaire à l’acheminement, la délivrabilité et la sécurité, puis supprimées dans un délai maximal de trente (30) jours, sauf contrainte légale ou probatoire dûment justifiée ;

  • les logs, journaux techniques et données de sécurité sont conservés pour une durée raisonnablement nécessaire à la sécurité de la Plateforme, à la détection des incidents et à la constitution de preuves en cas de litige ;

  • les données de gestion contractuelle et de facturation sont conservées pendant la durée de la relation contractuelle, puis archivées pour la durée de prescription légale applicable.

Pour les traitements réalisés en tant que sous‑traitant, les durées de conservation sont déterminées par le Client, responsable de traitement ; Hoxbook restitue et/ou supprime les données à l’issue du contrat, dans les conditions prévues aux CGV et à l’annexe RGPD.

6. Sécurité des données

Hoxbook met en œuvre des mesures techniques et organisationnelles appropriées au regard de l’état de l’art, des coûts de mise en œuvre, de la nature, de la portée, du contexte et des finalités du traitement, ainsi que des risques pour les personnes concernées.

Ces mesures comprennent notamment, selon les environnements concernés :

  • le chiffrement des données en transit ;

  • la protection cryptographique des sauvegardes et, lorsque pertinent, des données au repos ;

  • la gestion des habilitations et contrôles d’accès ;

  • l’authentification des utilisateurs et administrateurs ;

  • la journalisation des accès et actions pertinentes ;

  • des sauvegardes régulières ;

  • des contrôles ou audits de sécurité à périodicité raisonnable ;

  • des mesures de continuité, de restauration et de résilience.

Hoxbook met en œuvre des mesures de sécurité raisonnables mais ne peut garantir l’absence absolue d’incident, d’intrusion, de corruption, de perte, d’altération ou d’indisponibilité de données, notamment lorsque l’origine de l’incident est externe à sa sphère de contrôle.

7. Vos droits (RGPD) et comment les exercer

Conformément à la réglementation applicable, vous disposez, dans les conditions prévues par celle‑ci, des droits suivants sur vos données personnelles :

  • droit d’accès ;

  • droit de rectification ;

  • droit d’effacement (droit à l’oubli) ;

  • droit à la limitation du traitement ;

  • droit d’opposition, notamment en matière de prospection ;

  • droit à la portabilité des données lorsque applicable ;

  • droit de définir des directives relatives au sort de vos données après votre décès.

7.1 Lorsque Hoxbook est responsable de traitement

Pour les traitements dont Hoxbook est responsable de traitement (Site, gestion de la relation avec les Clients, utilisation de la Plateforme par les Utilisateurs du Client côté Hoxbook), vous pouvez exercer vos droits en nous contactant à :

  • Email : [adresse de contact RGPD à compléter]

  • Adresse postale : HOXBOOK SAS, [adresse à compléter]

Nous pourrons, le cas échéant, vous demander tout justificatif d’identité approprié.

7.2 Lorsque Hoxbook agit pour le compte d’un Client

Pour les traitements réalisés par Hoxbook pour le compte d’un Client (données des clients de l’établissement, données internes du Client, etc.), il appartient à ce Client, en sa qualité de responsable de traitement, de gérer vos demandes d’exercice de droits.

Dans ce cas, nous invitons les personnes concernées à s’adresser directement à l’établissement (hôtel, résidence, etc.) concerné. Si Hoxbook reçoit une demande relative à de telles données, elle la transmettra au Client responsable de traitement sans y répondre directement, sauf instruction contraire de ce dernier ou obligation légale.

7.3 Réclamation auprès de l’autorité de contrôle

Vous disposez également du droit d’introduire une réclamation auprès de l’autorité de contrôle compétente, et notamment en France auprès de la CNIL (www.cnil.fr).

8. Cookies et traceurs

Le Site et la Plateforme peuvent utiliser des cookies ou technologies similaires, notamment pour :

  • permettre le bon fonctionnement technique des Services en ligne (authentification, maintien de session, sécurité) ;

  • améliorer le confort de navigation ;

  • produire des mesures d’audience agrégées.

Les cookies strictement nécessaires au fonctionnement des Services sont déposés sans consentement préalable, dans les limites admises par la réglementation. Les autres cookies, lorsqu’ils sont utilisés, sont mis en œuvre conformément aux règles applicables, et le cas échéant soumis à votre consentement à travers un bandeau ou un module de paramétrage dédié.

Des informations complémentaires peuvent être fournies dans un bandeau cookies ou une politique cookies spécifique accessible depuis le Site.

9. Mise à jour de la présente Politique

La présente Politique peut être amenée à évoluer, notamment pour tenir compte :

  • d’éventuelles évolutions législatives ou réglementaires ;

  • de changements portant sur les traitements mis en œuvre par Hoxbook ;

  • de l’ajout ou du remplacement de sous‑traitants ultérieurs dans les conditions prévues avec les Clients.