Date d’entrée en vigueur : 2 mars 2026
Dernière mise à jour : 4 mai 2026
Entité : MariqueCalcus Ltd, exerçant sous le nom commercial StayHawk (« la Société », « nous », « notre » ou « nos »)
| Quoi | Détails | Section complète |
|---|---|---|
| Qui sommes-nous | StayHawk, un service de gestion de portefeuille post-réservation | Section 1 |
| Ce que nous collectons | Données de compte, données de réservation, e-mails transférés, données d’utilisation, données de paiement | Section 3 |
| Pourquoi nous les collectons | Pour fournir le suivi des réservations, la surveillance des prix et les services d’alertes | Section 4 |
| Base juridique (RGPD) | Exécution du contrat, intérêt légitime, consentement | Section 5 |
| Avec qui nous partageons | AWS, Stripe, Kinde, SerpApi, Cloudflare | Section 6 |
| Transferts internationaux | Traitement aux États-Unis avec Clauses Contractuelles Types | Section 7 |
| Vos droits | Accès, rectification, effacement, portabilité, opposition | Section 9 |
| Conservation | Compte actif + 90 jours après le check-out pour les données transitoires | Section 8 |
| Contact | privacy@stayhawk.app | Section 13 |
1. Introduction
1.1 Champ d’application
La présente Politique de Confidentialité (« Politique ») décrit comment StayHawk collecte, utilise, stocke, partage et protège vos données personnelles lorsque vous utilisez notre site web, notre application et nos services associés (collectivement, le « Service »). Cette Politique s’applique à tous les Utilisateurs, y compris ceux des offres Free, Pro, Agency et Enterprise.
1.2 Applicabilité
Cette Politique s’applique aux :
(a) Personnes qui créent un compte StayHawk (« Utilisateurs ») ;
(b) Personnes dont les données de réservation sont saisies dans le Service par un Utilisateur de niveau Agency (« Personnes Concernées ») ;
(c) Visiteurs du site web StayHawk qui ne créent pas de compte (« Visiteurs »).
1.3 Informations sur le Responsable du Traitement
Aux fins du Règlement Général sur la Protection des Données de l’UE (« RGPD »), le responsable du traitement est :
MariqueCalcus Ltd (exerçant sous le nom commercial StayHawk)
Londres, Royaume-Uni
E-mail : privacy@stayhawk.app
Pour les Utilisateurs de niveau Agency traitant des données de clients, StayHawk agit en tant que Sous-traitant. L’Utilisateur Agency est le Responsable du Traitement pour les données de ses clients.
2. Définitions
- Données Personnelles : Toute information se rapportant à une personne physique identifiée ou identifiable.
- Traitement : Toute opération effectuée sur des données personnelles (collecte, stockage, utilisation, divulgation, effacement).
- Personne Concernée : La personne physique à laquelle les données personnelles se rapportent.
- Responsable du Traitement : L’entité qui détermine les finalités et les moyens du traitement.
- Sous-traitant : L’entité qui traite les données pour le compte du responsable du traitement.
- Workspace : L’unité organisationnelle au sein de StayHawk à laquelle les données, les limites et les permissions sont rattachées.
3. Données que nous collectons
3.1 Données que vous fournissez directement
| Catégorie de données | Exemples | Finalité |
|---|---|---|
| Données de compte | Nom, adresse e-mail, préférences de compte | Création de compte, authentification, communication |
| Données de réservation (saisie manuelle) | Nom de l’hôtel, dates d’arrivée/de départ, numéro de confirmation, date limite d’annulation, URL de réservation, prix total, devise | Fourniture du service principal |
| Données de paiement | Adresse de facturation, moyen de paiement (traité par Stripe) | Facturation de l’abonnement |
| Données clients (Agency) | Noms des clients, détails de réservation saisis par les utilisateurs agency | Fourniture du service pour les workspaces agency |
| Communications de support | E-mails, messages envoyés à nos canaux de support | Support client |
3.2 Données collectées automatiquement
| Catégorie de données | Exemples | Finalité |
|---|---|---|
| Contenu des e-mails transférés | Corps complet des e-mails de confirmation de réservation transférés | Extraction automatisée des données de réservation |
| Données d’utilisation | Pages visitées, fonctionnalités utilisées, horodatages, parcours de clics | Amélioration du service, analyses |
| Données d’appareil et de navigateur | Adresse IP, type de navigateur, système d’exploitation, identifiants d’appareil | Sécurité, prévention de la fraude, débogage |
| Données de journalisation | Journaux serveur, journaux d’erreurs, journaux de requêtes API | Fiabilité du système, débogage |
| Contenu de page de l’extension navigateur | HTML nettoyé de l’onglet actif du navigateur (scripts, styles et éléments non pertinents supprimés avant transmission) | Extraction des données de réservation lorsque l’utilisateur clique sur « Importer » |
| Jeton de notification push (application iOS uniquement) | Jeton d’appareil du service Apple Push Notification (APNs), émis par Apple lorsque vous accordez l’autorisation de notification | Diffusion des alertes de date limite d’annulation et de baisse de prix sur votre appareil. Le jeton est associé à votre compte et supprimé lorsque vous vous déconnectez ou révoquez l’autorisation de notification. |
3.3 Données provenant de tiers
| Source | Données | Finalité |
|---|---|---|
| Kinde (Authentification) | Identifiant utilisateur, e-mail, jetons d’authentification, niveau d’offre | Vérification d’identité, contrôle d’accès |
| Stripe (Paiements) | Statut de transaction, statut d’abonnement, échecs de paiement | Gestion de la facturation |
| SerpApi (Données tarifaires) | Informations tarifaires hôtelières (non liées aux utilisateurs individuels) | Fonctionnalité de surveillance des prix |
| Apple Push Notification service (APNs) | Jeton d’appareil push (émis par Apple, identifiant opaque) | Acheminement des notifications vers les appareils iOS |
3.4 Données sensibles
StayHawk ne collecte pas intentionnellement de données personnelles sensibles (origine raciale ou ethnique, opinions politiques, convictions religieuses, données de santé, orientation sexuelle, données biométriques ou casier judiciaire). Si de telles données sont involontairement incluses dans des e-mails transférés, elles sont traitées uniquement aux fins de l’extraction des informations de réservation et ne sont utilisées à aucune autre fin.
4. Comment nous utilisons vos données
4.1 Fourniture du Service
(a) Extraction et affichage des informations de réservation à partir des e-mails transférés ;
(b) Suivi des dates limites d’annulation et envoi d’alertes d’échéance ;
(c) Surveillance des prix hôteliers et envoi d’alertes de baisse de prix ;
(d) Gestion des membres du Workspace, des rôles et des permissions ;
(e) Traitement des paiements d’abonnement via Stripe ;
(f) Authentification des utilisateurs via Kinde.
4.2 Amélioration du Service
(a) Analyse des habitudes d’utilisation pour améliorer les fonctionnalités et l’expérience utilisateur ;
(b) Amélioration de la précision de l’analyse des e-mails ;
(c) Identification et correction des problèmes techniques ;
(d) Analyses agrégées et anonymisées (jamais vendues à des tiers).
4.3 Communication
(a) E-mails transactionnels (alertes de réservation, rappels d’échéance, notifications de baisse de prix) ;
(b) Notifications liées au compte (facturation, sécurité, modifications de politique) ;
(c) Annonces de service et mises à jour produit (avec possibilité de désinscription).
4.4 Obligations légales et sécurité
(a) Respect des lois, réglementations et procédures légales applicables ;
(b) Protection contre la fraude, les abus et les menaces de sécurité ;
(c) Application de nos Conditions Générales d’Utilisation.
5. Base juridique du traitement (RGPD)
Pour les Utilisateurs situés dans l’Union européenne, l’Espace économique européen et le Royaume-Uni, nous traitons les données personnelles sur les bases juridiques suivantes :
| Base juridique | Activités de traitement |
|---|---|
| Exécution du contrat (Art. 6(1)(b)) | Gestion de compte, suivi des réservations, envoi d’alertes, traitement des paiements |
| Intérêt légitime (Art. 6(1)(f)) | Amélioration du service, sécurité, prévention de la fraude, débogage |
| Consentement (Art. 6(1)(a)) | Communications marketing, cookies non essentiels, analyses optionnelles |
| Obligation légale (Art. 6(1)(c)) | Documents fiscaux, conformité réglementaire, réponse aux procédures légales |
5.1 Évaluation de l’intérêt légitime
Lorsque nous nous appuyons sur l’intérêt légitime, nous avons effectué un test de mise en balance afin de nous assurer que nos intérêts ne prévalent pas sur vos droits et libertés fondamentaux. Nos intérêts légitimes comprennent le maintien de la sécurité et de la fiabilité du Service, l’amélioration de la qualité du service et la prévention des abus. Vous pouvez vous opposer au traitement fondé sur l’intérêt légitime à tout moment (voir Section 9).
6. Partage des données et sous-traitants
6.1 Sous-traitants
Nous partageons des données personnelles avec les catégories suivantes de prestataires de services tiers (« Sous-traitants ») uniquement aux fins décrites :
| Sous-traitant | Finalité | Données partagées | Localisation |
|---|---|---|---|
| Amazon Web Services (AWS) | Infrastructure cloud, stockage des données, calcul, hébergement du frontend et de l’API (ECS Fargate), envoi d’e-mails (SES) | Toutes les données du service | États-Unis (us-east-1) |
| Stripe Payments Europe Ltd | Traitement des paiements (pour le compte de StayHawk Ltd en tant que marchand officiel) | Coordonnées de facturation, données de transaction | Irlande |
| Kinde | Authentification, gestion des identités | E-mail, identifiant utilisateur, niveau d’offre | Variable (voir le DPA de Kinde) |
| SerpApi | Récupération des données tarifaires hôtelières | Requêtes de recherche (nom de l’hôtel, dates — aucune donnée personnelle) | États-Unis |
| Cloudflare | Gestion DNS, protection DDoS, CDN edge | Adresse IP, métadonnées de requête | Mondial |
| Apple Inc. | Diffusion des notifications push (application iOS) | Jeton d’appareil push, contenu du message | États-Unis |
6.2 Aucune vente de données personnelles
StayHawk ne vend, ne loue et n’échange pas vos données personnelles à des tiers. Nous ne partageons pas de données personnelles à des fins publicitaires pour le compte de tiers.
6.3 Restrictions relatives aux données SerpApi
Les données tarifaires obtenues via SerpApi sont utilisées uniquement pour la fourniture interne du service (affichage des comparaisons de prix aux Utilisateurs). Conformément aux Conditions d’Utilisation de SerpApi, ces données ne sont pas revendues, redistribuées publiquement ni incluses dans une réponse API accessible au public.
6.4 Divulgations légales
Nous pouvons divulguer des données personnelles si la loi l’exige ou si nous estimons de bonne foi qu’une telle divulgation est nécessaire pour :
(a) Respecter une obligation légale, une assignation à comparaître ou une décision de justice ;
(b) Protéger et défendre les droits ou la propriété de StayHawk ;
(c) Prévenir ou enquêter sur d’éventuels actes répréhensibles ;
(d) Protéger la sécurité personnelle des Utilisateurs ou du public.
6.5 Transferts d’entreprise
En cas de fusion, acquisition, réorganisation, faillite ou vente d’actifs, vos données personnelles peuvent être transférées dans le cadre de la transaction. Nous vous informerons par e-mail et/ou par un avis visible sur le Service de tout changement de propriété ou d’utilisation de vos données personnelles.
7. Transferts internationaux de données
7.1 Mécanismes de transfert
StayHawk traite les données principalement aux États-Unis (région AWS us-east-1). Pour les transferts de données personnelles depuis l’UE/EEE/Royaume-Uni vers les États-Unis, nous nous appuyons sur :
(a) Cadre de Protection des Données UE-États-Unis (le cas échéant et sous réserve de certification) ;
(b) Clauses Contractuelles Types (CCT) approuvées par la Commission européenne ;
(c) Tout autre mécanisme de transfert licite requis.
7.2 Garanties
Nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour protéger les données personnelles lors des transferts internationaux, notamment le chiffrement en transit (TLS 1.2+), le chiffrement au repos (AES-256) et les contrôles d’accès.
8. Conservation des données
8.1 Durées de conservation
| Type de données | Durée de conservation | Base |
|---|---|---|
| Données de compte | Durée du compte + 30 jours après la demande de suppression | Exécution du contrat |
| Données de réservation | Durée du compte ou jusqu’à suppression manuelle par l’Utilisateur | Exécution du contrat |
| Résultats de vérification de prix | 90 jours après la date de check-out de la réservation (suppression automatique via TTL) | Intérêt légitime |
| Enregistrements d’alertes | 90 jours après la date de check-out de la réservation (suppression automatique via TTL) | Intérêt légitime |
| Contenu des e-mails transférés | Traité et analysé immédiatement ; e-mail brut conservé 30 jours pour le débogage, puis supprimé | Intérêt légitime |
| HTML de page de l’extension | 7 jours (stocké dans S3 pour le débogage, puis supprimé automatiquement via la politique de cycle de vie) | Intérêt légitime |
| Documents de paiement | 7 ans (conformité fiscale et réglementaire) | Obligation légale |
| Journaux serveur | 90 jours | Intérêt légitime |
| Données d’analyse | Agrégées et anonymisées après 12 mois | Intérêt légitime |
8.2 Suppression
Sur demande de suppression de compte, nous supprimerons ou anonymiserons vos données personnelles dans un délai de trente (30) jours, sauf lorsque la conservation est requise par la loi (par exemple, les documents de paiement pour la conformité fiscale). Les copies de sauvegarde peuvent persister jusqu’à soixante (60) jours supplémentaires dans les systèmes de sauvegarde automatisés avant d’être purgées.
9. Vos droits
9.1 Droits au titre du RGPD (Utilisateurs UE/EEE/Royaume-Uni)
Vous disposez des droits suivants concernant vos données personnelles :
| Droit | Description |
|---|---|
| Accès (Art. 15) | Demander une copie des données personnelles que nous détenons à votre sujet |
| Rectification (Art. 16) | Demander la correction de données personnelles inexactes ou incomplètes |
| Effacement (Art. 17) | Demander la suppression de vos données personnelles (« droit à l’oubli ») |
| Limitation (Art. 18) | Demander la limitation du traitement dans certaines circonstances |
| Portabilité des données (Art. 20) | Recevoir vos données dans un format structuré et lisible par machine |
| Opposition (Art. 21) | S’opposer au traitement fondé sur l’intérêt légitime ou le marketing direct |
| Retrait du consentement (Art. 7(3)) | Retirer votre consentement à tout moment lorsque le traitement est fondé sur le consentement |
| Réclamation | Déposer une réclamation auprès de votre Autorité de Protection des Données locale |
9.2 Droits au titre du CCPA/CPRA (Résidents de Californie)
Les résidents de Californie disposent des droits suivants en vertu du California Consumer Privacy Act tel que modifié par le California Privacy Rights Act :
(a) Droit à l’information : Demander la divulgation des catégories et des éléments spécifiques d’informations personnelles collectées ;
(b) Droit à la suppression : Demander la suppression des informations personnelles ;
(c) Droit à la correction : Demander la correction d’informations personnelles inexactes ;
(d) Droit de refuser la vente/le partage : StayHawk ne vend ni ne partage d’informations personnelles à des fins de publicité comportementale inter-contextes ;
(e) Droit à la non-discrimination : Nous ne vous discriminerons pas pour l’exercice de vos droits en matière de vie privée.
9.3 Droits au titre de la LGPD (Utilisateurs brésiliens)
Les utilisateurs au Brésil disposent de droits en vertu de la Lei Geral de Protecao de Dados, notamment la confirmation du traitement, l’accès, la correction, l’anonymisation, la portabilité, la suppression et l’information sur le partage.
9.4 Exercice de vos droits
Pour exercer l’un de ces droits, contactez-nous à l’adresse privacy@stayhawk.app. Nous répondrons dans un délai de trente (30) jours (ou dans le délai requis par la loi applicable). Nous pouvons demander une vérification d’identité avant de traiter votre demande.
9.5 Export des données
Les Utilisateurs peuvent exporter leurs données de réservation à tout moment via le tableau de bord du Service au format JSON ou CSV structuré. Cela satisfait le droit à la portabilité des données prévu par l’article 20 du RGPD.
10. Sécurité des données
10.1 Mesures techniques
Nous mettons en œuvre les mesures de sécurité techniques suivantes :
(a) Chiffrement en transit via TLS 1.2 ou supérieur pour toutes les transmissions de données ;
(b) Chiffrement au repos via AES-256 pour les données stockées dans DynamoDB et S3 ;
(c) Gestion des secrets via AWS Secrets Manager (aucune identification codée en dur) ;
(d) Contrôles d’accès IAM au moindre privilège pour toutes les ressources cloud ;
(e) Authentification basée sur JWT avec validation du jeton à chaque requête API ;
(f) Isolation des données par Workspace garantissant que les Utilisateurs ne peuvent accéder aux données d’autres Workspaces.
10.2 Mesures organisationnelles
(a) L’accès aux données personnelles est limité au personnel qui en a besoin pour la fourniture du service ;
(b) Les sous-traitants sont liés par des Accords de Traitement des Données ;
(c) Des procédures de réponse aux incidents de sécurité sont maintenues et testées.
10.3 Notification de violation
En cas de violation de données personnelles présentant un risque pour vos droits et libertés, nous devrons :
(a) Notifier l’Autorité de Protection des Données compétente dans les soixante-douze (72) heures suivant la découverte de la violation (lorsque le RGPD l’exige) ;
(b) Notifier les Utilisateurs concernés dans les meilleurs délais lorsque la violation présente un risque élevé ;
(c) Documenter toutes les violations et les mesures correctives prises.
11. Protection des mineurs
Le Service n’est pas destiné aux personnes de moins de 18 ans (ou l’âge de la majorité applicable). Nous ne collectons pas sciemment de données personnelles auprès de mineurs. Si nous apprenons que nous avons collecté des données personnelles d’un mineur sans le consentement parental, nous supprimerons ces données dans les meilleurs délais. Si vous pensez qu’un mineur nous a fourni des données personnelles, contactez-nous à l’adresse privacy@stayhawk.app.
12. Modifications de cette Politique
Nous pouvons mettre à jour cette Politique de Confidentialité de temps à autre. Les modifications importantes seront communiquées via :
(a) Notification par e-mail à l’adresse associée à votre compte ;
(b) Avis visible sur le Service (par exemple, bannière de notification) ;
(c) Au moins trente (30) jours avant l’entrée en vigueur des modifications.
Votre utilisation continue du Service après la date d’entrée en vigueur des modifications vaut acceptation. La date de « Dernière mise à jour » en haut de cette Politique indique la révision la plus récente.
13. Coordonnées
Pour toute question relative à la confidentialité, demande de personne concernée ou réclamation :
MariqueCalcus Ltd (exerçant sous le nom commercial StayHawk)
Londres, Royaume-Uni
E-mail : privacy@stayhawk.app
Représentant dans l’UE (le cas échéant) : [À DÉSIGNER en cas de traitement significatif de données européennes]
Délégué à la Protection des Données (le cas échéant) : [À DÉSIGNER si requis en vertu de l’Art. 37 du RGPD]
14. Avis complémentaires
14.1 « Do Not Track » en Californie
StayHawk ne répond pas actuellement aux signaux de navigateur « Do Not Track ». Notre Politique en matière de Cookies (voir document séparé) fournit des contrôles pour gérer les préférences de suivi.
14.2 Résidents du Nevada
StayHawk ne vend pas vos données personnelles au sens des Nevada Revised Statutes Chapter 603A.
14.3 Virginie, Colorado, Connecticut et autres lois américaines sur la vie privée
Les résidents des États disposant de lois complètes sur la protection de la vie privée (VCDPA, CPA, CTDPA et similaires) disposent de droits analogues à ceux décrits à la Section 9.2. Pour exercer ces droits, contactez privacy@stayhawk.app.
14.4 Extension Chrome (« StayHawk — Booking Import »)
L’extension Chrome StayHawk permet aux utilisateurs d’importer des réservations hôtelières directement depuis les pages de confirmation de réservation. Cette section décrit comment l’extension traite vos données.
Données collectées. Lorsque vous cliquez sur « Importer cette réservation », l’extension lit le contenu HTML de l’onglet actif du navigateur. Avant la transmission, l’extension supprime les scripts, feuilles de style, éléments SVG, iframes, éléments média, gestionnaires d’événements en ligne et attributs data du contenu de la page. Le HTML nettoyé est envoyé à notre API via HTTPS pour l’extraction des champs de réservation. L’extension ne lit aucun onglet sauf si vous cliquez explicitement sur le bouton d’importation (permission activeTab).
Traitement côté serveur. Le HTML est analysé pour extraire les champs de réservation structurés (nom de l’établissement, dates, prix, etc.) et est immédiatement supprimé de la mémoire après extraction. Seuls les champs de réservation extraits sont stockés dans votre compte StayHawk.
Archive de débogage. Une copie du HTML nettoyé est enregistrée dans un bucket S3 privé pour vérifier la précision de l’extraction. Ces données sont automatiquement supprimées après sept (7) jours via une politique de cycle de vie S3. Les archives de débogage ne sont accessibles à aucun tiers.
Jetons d’authentification. L’extension stocke les jetons d’authentification dans chrome.storage.session uniquement. Le stockage de session est effacé automatiquement à la fermeture du navigateur. Les jetons ne sont jamais écrits dans un stockage persistant sur disque (chrome.storage.local n’est pas utilisé).
Aucune collecte de données en arrière-plan. L’extension n’exécute pas de scripts de contenu, ne surveille pas l’activité de navigation et ne collecte pas de données en arrière-plan. Elle ne s’active que lorsque vous ouvrez la fenêtre contextuelle de l’extension et cliquez sur le bouton d’importation.
Aucune analyse ni suivi. L’extension ne contient aucun SDK d’analyse, pixel de suivi ou télémétrie. Aucune donnée d’utilisation n’est collectée par l’extension elle-même.
Permissions utilisées.
- activeTab : Lit le HTML de l’onglet courant uniquement lorsque vous cliquez sur l’icône de l’extension et lancez une importation.
- storage : Stocke les jetons d’authentification dans la mémoire de session du navigateur (effacée à la fermeture du navigateur).
- scripting : Injecte une fonction pour lire et nettoyer le contenu de la page lorsque vous cliquez sur « Importer cette réservation ». Remplace les scripts de contenu persistants pour éviter une exécution à chaque chargement de page.
Cette Politique de Confidentialité a été révisée pour la dernière fois le 4 mai 2026.