Politique de Confidentialité
Dernière mise à jour : 1er mars 2026
1. Responsable du traitement
Le responsable du traitement des données personnelles est la société éditrice de WonderGuest, accessible à l'adresse wonderguest.app.
Contact : support@wonderguest.app
2. Données collectées
Dans le cadre de l'utilisation du Service, nous collectons les catégories de données suivantes :
2.1 Données d'inscription et de profil
- Adresse email
- Nom et prénom (via saisie manuelle ou récupérés automatiquement lors de la connexion via Google ou Apple)
- Langue et thème préférés
- Données d'authentification : nous ne stockons aucun mot de passe ; l'authentification repose sur un code à usage unique (OTP) envoyé par email, ou sur les protocoles OAuth de Google et Apple
2.2 Données d'utilisation
- Informations sur vos logements (adresse, description, photos, coordonnées GPS)
- Contenus des livrets d'accueil (textes, images, liens, blocs personnalisés)
- Statistiques de consultation des livrets (nombre de vues, scans de QR codes)
- Événements d'interaction dans l'application (navigation, actions utilisateur) collectés via notre outil d'analyse produit
- Logs techniques et données de diagnostic en cas d'erreur (stack traces, appareil, version de l'application)
2.3 Données de paiement
Les informations de paiement (numéro de carte bancaire) sont traitées directement par Stripe, notre prestataire de paiement certifié PCI-DSS. WonderGuest ne stocke aucune donnée bancaire. Nous conservons uniquement les identifiants client et abonnement Stripe nécessaires à la gestion de votre compte.
2.4 Données des voyageurs (visiteurs de livrets)
Lorsqu'un voyageur consulte un livret d'accueil publié, les données suivantes peuvent être collectées :
- Adresse email (si le voyageur la fournit volontairement via un formulaire intégré au livret)
- Données de navigation anonymisées (scan de QR code, consultation du livret)
3. Finalités du traitement
Vos données sont traitées pour les finalités suivantes :
| Finalité | Base légale |
|---|---|
| Gestion de votre compte et fourniture du Service | Exécution du contrat (CGU) |
| Authentification (OTP email, Google, Apple) | Exécution du contrat |
| Facturation et gestion des abonnements via Stripe | Exécution du contrat |
| Amélioration du Service et analyse d'usage | Intérêt légitime |
| Détection et correction des erreurs techniques | Intérêt légitime |
| Communication relative au Service (emails transactionnels) | Exécution du contrat |
| Programme de parrainage | Exécution du contrat |
| Respect de nos obligations légales (facturation, conservation) | Obligation légale |
4. Durée de conservation
| Catégorie de données | Durée de conservation |
|---|---|
| Données de compte et de profil | Durée de l'abonnement + 30 jours après suppression du compte |
| Contenus des livrets d'accueil | Durée de l'abonnement + 30 jours après suppression du compte |
| Données de facturation | 10 ans (obligation légale) |
| Données d'analyse (PostHog) | 24 mois |
| Logs d'erreurs (Sentry) | 90 jours |
| Données de stockage local (session, préférences) | Jusqu'à déconnexion ou suppression par l'utilisateur |
5. Sous-traitants et services tiers
Nous faisons appel aux sous-traitants suivants pour le fonctionnement du Service :
| Service | Fonction | Données traitées | Localisation |
|---|---|---|---|
| Supabase | Hébergement, base de données, authentification, stockage de fichiers | Toutes les données du Service | Union Européenne |
| Stripe | Paiement et gestion des abonnements | Email, nom, données de paiement | Union Européenne / États-Unis (certifié) |
| PostHog | Analyse produit et événements d'usage | Identifiant utilisateur, email, événements d'interaction, données d'appareil | Union Européenne |
| Sentry | Monitoring d'erreurs et diagnostic | Données techniques, adresse IP, identifiant utilisateur | Union Européenne (région DE) |
| Authentification OAuth, résolution d'URLs Google Maps | Données du profil Google (email, nom) | États-Unis (clauses contractuelles types) | |
| Apple | Authentification Sign In with Apple | Données du profil Apple (email, nom) | États-Unis (clauses contractuelles types) |
6. Stockage local
L'application utilise un stockage local sur votre appareil (AsyncStorage sur mobile, localStorage sur le web) pour les éléments suivants :
- Session d'authentification (tokens Supabase)
- Préférences utilisateur (langue, thème, progression de l'onboarding)
- Code de parrainage en attente
Ces données ne sont pas transmises à des tiers et restent sur votre appareil. Elles sont supprimées lors de la déconnexion ou de la désinstallation de l'application.
7. Données rendues publiques
Lorsque vous publiez un livret d'accueil, les informations suivantes deviennent accessibles publiquement via une URL unique :
- Le contenu du livret (textes, images, informations sur le logement)
- L'URL du livret (wonderguest.app/l/[token])
- Les QR codes associés (wonderguest.app/q/[token])
Aucune donnée personnelle de l'hôte (email, nom, informations de compte) n'est exposée publiquement via ces URLs.
8. Vos droits
Conformément au Règlement Général sur la Protection des Données (RGPD), vous disposez des droits suivants :
- Droit d'accès : obtenir une copie de vos données personnelles
- Droit de rectification : corriger des données inexactes ou incomplètes
- Droit à l'effacement : demander la suppression de vos données
- Droit à la portabilité : recevoir vos données dans un format structuré et lisible par machine
- Droit d'opposition : vous opposer au traitement de vos données fondé sur l'intérêt légitime
- Droit à la limitation : demander la limitation du traitement dans certains cas
Pour exercer ces droits, contactez-nous à support@wonderguest.app. Nous répondrons dans un délai de 30 jours.
Vous pouvez également introduire une réclamation auprès de la CNIL : www.cnil.fr
9. Sécurité
Nous mettons en œuvre les mesures techniques et organisationnelles suivantes pour protéger vos données :
- Chiffrement en transit (TLS/HTTPS) pour toutes les communications
- Chiffrement au repos des données stockées dans Supabase
- Authentification sans mot de passe (OTP, OAuth) réduisant les risques liés aux credentials
- Politiques de sécurité Row Level Security (RLS) au niveau de la base de données, garantissant que chaque utilisateur n'accède qu'à ses propres données
- Séparation stricte des environnements de production et de développement
- Clés API et secrets gérés via des variables d'environnement sécurisées
10. Transferts de données hors UE
Certains de nos sous-traitants (Google, Apple, Stripe) peuvent traiter des données aux États-Unis. Ces transferts sont encadrés par :
- Les clauses contractuelles types (CCT) adoptées par la Commission européenne
- Les certifications et engagements contractuels de chaque prestataire
Nos principaux sous-traitants techniques (Supabase, PostHog, Sentry) sont hébergés dans l'Union Européenne.
11. Modifications
Cette politique peut être mise à jour. Toute modification significative sera notifiée par email ou via le Service au moins 15 jours avant son entrée en vigueur. La date de dernière mise à jour est indiquée en haut de ce document.
12. Contact
Pour toute question relative à la protection de vos données personnelles, vous pouvez nous contacter à l'adresse : support@wonderguest.app