Politique de Confidentialité
Dernière mise à jour : 13/04/2026
Politique de Confidentialité
Date de dernière mise à jour : 13 avril 2026
Version : 1.1
1. Responsable du traitement
Karamba Sakho, Entrepreneur Individuel
Email : contact@limaniya.fr
Adresse : 3 Impasse du Général Albert d'Amade, 31200 Toulouse, France
2. Double qualité RGPD
En tant qu'éditeur de Limaniya Host :
- Responsable de traitement pour : les comptes clients (conciergeries), la facturation, les logs applicatifs, les cookies analytics, les logs du co-pilote IA
- Sous-traitant (Art. 28 RGPD) pour : les données voyageurs et propriétaires confiées par les conciergeries clientes
3. Données collectées
3.1 En tant que responsable de traitement
| Catégorie | Données | Finalité | Base légale |
|---|---|---|---|
| Compte utilisateur | Nom, email, hash MDP (bcrypt), rôle | Authentification | Exécution contrat |
| Appareils de confiance | Empreinte appareil (SHA-256), hash PIN (bcrypt), nom appareil | Connexion sécurisée simplifiée | Intérêt légitime |
| Facturation | SIRET, IBAN, factures | Obligations comptables | Obligation légale |
| Logs applicatifs | IP, actions, horodatage | Sécurité, débogage | Intérêt légitime |
| Logs co-pilote IA | Requête utilisateur, réponse IA, outils utilisés, confirmation | Audit, sécurité, amélioration | Intérêt légitime |
| Alertes proactives | Type, sévérité, statut lecture, horodatage | Information gestionnaire | Intérêt légitime |
| Cookies analytics | Données anonymisées | Mesure d'audience | Consentement |
3.2 En tant que sous-traitant
Les données confiées par les conciergeries (voyageurs, propriétaires) sont traitées selon les instructions des clients responsables de traitement.
4. Intelligence artificielle et transparence
Limaniya Host intègre un co-pilote IA ("Jarvis") fonctionnant sur le modèle Groq LLaMA 3.3 70B et utilise OpenAI (reconnaissance vocale Whisper, Vision, Embeddings) avec le mode Zero Data Retention activé.
Concernant l'article 22 RGPD (décision automatisée) : le co-pilote IA n'effectue aucune action à fort impact (modification, suppression, envoi de message) sans validation humaine explicite. L'IA génère des suggestions et alertes proactives, mais la décision finale appartient toujours à l'utilisateur.
Les données transmises à Groq et OpenAI sont limitées au strict nécessaire et ne sont pas conservées par ces prestataires au-delà du traitement immédiat (Zero Data Retention).
5. Durées de conservation
| Données | Durée |
|---|---|
| Données compte actif | Durée du contrat + 3 ans |
| Données facturation | 10 ans (Code général des impôts) |
| Logs sécurité et applicatifs | 6 à 12 mois |
| Logs co-pilote IA (CopilotLog) | 90 jours |
| Alertes proactives lues | 48 heures après lecture |
| Appareils de confiance | Jusqu'à révocation par l'utilisateur |
| Cookies analytics | 13 mois maximum |
6. Destinataires et sous-traitants
| Sous-traitant | Finalité | Localisation | Garanties |
|---|---|---|---|
| Vercel Inc. | Hébergement application | USA | Data Privacy Framework |
| Supabase Inc. | Base de données | eu-west-3 Paris | CCT 2021/914 |
| Resend Inc. | Emails transactionnels | USA | Data Privacy Framework |
| Upstash Inc. | Cache, rate limiting | EU Frankfurt | Données en UE |
| Sentry (Functional Software Inc.) | Monitoring erreurs | EU Frankfurt | Données en UE |
| PostHog Inc. | Analytics | EU | Serveurs UE |
| Groq Inc. | IA générative (co-pilote) | USA | SCCs 2021/914 + Zero Data Retention |
| OpenAI, L.L.C. | STT, Vision, Embeddings | USA | Data Privacy Framework + Zero Data Retention |
| Twilio Inc. | SMS escalade support | USA | Data Privacy Framework |
7. Transferts hors Union Européenne
Vercel, Resend, OpenAI et Twilio sont des entreprises américaines certifiées au titre du EU-U.S. Data Privacy Framework. Supabase est couverte par les Clauses Contractuelles Types (CCT) — décision 2021/914. Groq est encadré par les Clauses Contractuelles Types (CCT) — décision 2021/914.
OpenAI et Groq opèrent avec le mode Zero Data Retention : aucune donnée n'est stockée au-delà du traitement de la requête.
Les données sont physiquement stockées sur des serveurs situés en France (région eu-west-3, Paris).
8. Droits des personnes concernées
Conformément au RGPD, vous disposez des droits suivants :
- Droit d'accès (Art. 15) — obtenir une copie de vos données, y compris les logs du co-pilote IA
- Droit de rectification (Art. 16) — corriger vos données
- Droit à l'effacement (Art. 17) — demander la suppression
- Droit à la limitation (Art. 18) — restreindre le traitement
- Droit à la portabilité (Art. 20) — recevoir vos données en format structuré
- Droit d'opposition (Art. 21) — vous opposer au traitement fondé sur l'intérêt légitime
- Droit de ne pas faire l'objet d'une décision automatisée (Art. 22) — non applicable car toute action IA nécessite confirmation humaine
Pour exercer ces droits : contact@limaniya.fr — réponse sous 30 jours.
9. Droit de réclamation CNIL
Vous avez le droit d'introduire une réclamation auprès de la CNIL :
Commission Nationale de l'Informatique et des Libertés
3 Place de Fontenoy, TSA 80715 — 75334 Paris Cedex 07
Site : https://www.cnil.fr — Tél. : 01 53 73 22 22
10. Cookies
Limaniya Host utilise le gestionnaire de consentement Tarteaucitron conformément aux recommandations CNIL 2024.
| Type | Nom / Service | Finalité | Durée | Consentement |
|---|---|---|---|---|
| Essentiel | Session JWT (localStorage) | Authentification | 4h (auto-expiration) | Non requis |
| Essentiel | selectedProperty (localStorage) | Préférence propriété | Session | Non requis |
| Analytics | PostHog | Mesure d'audience | 13 mois | Requis |
| Analytics | Vercel Analytics | Performance | Session | Requis |
Aucun cookie de ciblage publicitaire n'est utilisé. Vous pouvez gérer vos préférences à tout moment via le bandeau Tarteaucitron (icône en bas de page).
Données stockées localement (localStorage) : la session utilisateur (JWT) expire automatiquement après 4 heures d'inactivité. L'identifiant de propriété sélectionnée est conservé pour améliorer l'expérience utilisateur.
11. Sécurité
Limaniya Host met en œuvre les mesures suivantes :
- Chiffrement TLS en transit (HTTPS obligatoire)
- Chiffrement AES-256 des données au repos
- Row Level Security (RLS) pour l'isolation multi-tenant
- Hash bcrypt pour mots de passe et codes PIN
- Empreinte SHA-256 pour les appareils de confiance
- Journalisation des accès et des actions IA (CopilotLog)
12. Modifications
La présente politique peut être mise à jour. En cas de modification substantielle, les utilisateurs sont notifiés par email avec un délai de préavis de 30 jours.