La présente politique décrit comment Revy collecte, utilise et protège les données personnelles, conformément au Règlement Général sur la Protection des Données (RGPD, règlement UE 2016/679) et à la loi Informatique et Libertés du 6 janvier 1978 modifiée.
1. Responsable du traitement
Le responsable de traitement des données collectées via revy.fr est Ryan Messaoudi, micro-entrepreneur, 50 boulevard Napoléon III, 06000 Nice. Contact : contact@revy.fr
Pour les données traitées au nom et pour le compte du Client (ses propres clients propriétaires, voyageurs, équipes), Revy agit en qualité de sous-traitantau sens de l'article 28 du RGPD ; le Client est alors le responsable de traitement.
1.bis Localisation des données
Nos données sont actuellement hébergées sur Neon (région US-East-1, USA), avec un transfert encadré par les Clauses Contractuelles Types de la Commission européenne. Une migration vers la région EU est prévue Q3 2026 pour les Clients Pro et Enterprise qui le demandent.
2. Données collectées et finalités
| Catégorie | Données | Finalité | Base légale |
|---|---|---|---|
| Compte utilisateur | Email, nom, mot de passe (haché), photo de profil | Authentification, gestion du compte | Exécution du contrat |
| Agence (Client) | Raison sociale, adresse, téléphone, logo | Personnalisation des PDF et du portail propriétaire | Exécution du contrat |
| Propriétaires | Nom, email, téléphone, IBAN (chiffré) | Génération des reversements et envoi des décomptes | Sous-traitance pour le Client |
| Réservations | Nom voyageur, dates, plateforme, montants, taxes de séjour | Calcul automatique des reversements | Sous-traitance pour le Client |
| Paiement | Identifiant Stripe Customer/Subscription (pas le numéro de carte, qui reste chez Stripe) | Facturation de l'abonnement | Exécution du contrat |
| Logs techniques | IP, user-agent, horodatage, événements d'authentification | Sécurité, détection d'abus, support | Intérêt légitime |
| Analytics produit | Événements d'usage anonymisés (PostHog EU) | Amélioration du Service (uniquement avec consentement cookie) | Consentement |
3. Sous-traitants et hébergement
Revy s'appuie sur les sous-traitants suivants :
- Vercel Inc. (USA) — hébergement applicatif. Transfert encadré par les clauses contractuelles types (CCT) de la Commission européenne.
- Neon Inc. (USA — région US-East-1) — base de données PostgreSQL. Transfert encadré par les Clauses Contractuelles Types (CCT) de la Commission européenne. Migration UE prévue Q3 2026.
- Stripe Payments Europe Ltd (Irlande) — traitement des paiements.
- Resend(USA) — envoi d'emails transactionnels. CCT en place.
- Sentry(USA) — monitoring d'erreurs (avec masquage des données sensibles).
- PostHog (UE — Frankfurt) — analytics produit, après consentement uniquement.
- Upstash (UE) — cache Redis pour rate limiting.
- Vercel Blob (UE) — stockage des PDF de reversement et photos.
4. Sécurité
- Communication chiffrée (HTTPS/TLS).
- Mots de passe hachés avec algorithme robuste (bcrypt/argon2).
- IBAN propriétaires chiffrés au niveau applicatif (jamais stockés en clair).
- Multi-tenant strict : chaque agence ne voit que ses propres données.
- Backups quotidiens de la base de données.
- Sauvegardes journalisées des accès et événements sensibles.
5. Durée de conservation
- Compte actif: tant que l'abonnement est actif.
- Compte clôturé : suppression sous 30 jours, sauf obligations légales (factures conservées 10 ans, art. L102 LPF).
- Logs techniques : 12 mois maximum.
- Backups BDD : 30 jours en rolling.
6. Vos droits RGPD
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :
- Accès : obtenir copie de vos données.
- Rectification : corriger des données inexactes.
- Effacement(« droit à l'oubli ») : demander la suppression.
- Portabilité : récupérer vos données dans un format structuré.
- Limitation et opposition au traitement.
- Retrait du consentement à tout moment (cookies analytics).
Pour exercer ces droits : contact@revy.fr. Délai de réponse : sous 30 jours. Vous pouvez également déposer une réclamation auprès de la CNIL (cnil.fr).
7. Cookies
Le Service utilise les types de cookies suivants :
- Cookies strictement nécessaires(session d'authentification, panier de réservation) — exemptés de consentement.
- Cookies de mesure d'audience (PostHog) — déposés uniquement après consentement, configurés en mode IP anonymisée.
- Cookies de monitoring(Sentry) — strictement nécessaires pour le bon fonctionnement (détection d'erreurs).
Le bandeau de consentement présent à votre première visite vous permet d'accepter ou de refuser les cookies non essentiels. Vous pouvez modifier vos préférences à tout moment via le lien en pied de page.
8. Modifications
La présente politique peut être mise à jour. La date de dernière mise à jour figure en haut du document. Les modifications substantielles seront notifiées par email aux Clients actifs.
Contact
Pour toute question relative à vos données : contact@revy.fr