TravelSwallow Mentions légales

Accueil / Politique de confidentialité

Politique de confidentialité

Comment TravelSwallow traite les données personnelles — compte, plans de voyage, clés IA BYOK, traitement par l’IA, cookies et vos droits au titre du RGPD et de la loi sur la protection des données.

Nous prenons au sérieux la protection de vos données à caractère personnel. La présente politique de confidentialité vous informe, conformément au Règlement général sur la protection des données (RGPD) et à la loi autrichienne sur la protection des données (DSG), des données que nous traitons lorsque vous utilisez TravelSwallow, à quelle fin et sur quelle base juridique.

1. Responsable du traitement

Le responsable du traitement au sens de l’art. 4(7) RGPD est :

Webagentur Hochmeir e.U.
Jonathan Hochmeir
Moorweg 7, 4845 Rutzenmoos, Österreich
E-Mail: hello@webhoch.com
Tel: +43 680 2208354

Pour toute question relative à la protection des données ainsi que pour l’exercice de vos droits, vous pouvez nous joindre à l’adresse hello@webhoch.com.

2. Généralités

Nous ne traitons les données à caractère personnel que dans la mesure nécessaire. On entend par « données à caractère personnel » toute information se rapportant à une personne physique identifiée ou identifiable. Un traitement n’a lieu que s’il existe une base juridique ou si vous y avez consenti. Dans la mesure où nous recueillons votre consentement pour le traitement, l’art. 6(1)(a) RGPD constitue la base juridique ; pour le traitement nécessaire à l’exécution d’un contrat, l’art. 6(1)(b) RGPD ; pour le respect d’obligations légales, l’art. 6(1)(c) RGPD ; et pour la sauvegarde d’intérêts légitimes, l’art. 6(1)(f) RGPD.

3. Fichiers journaux du serveur

Lorsque vous accédez à notre site web, le serveur (nginx) collecte automatiquement des informations que votre navigateur transmet et les enregistre temporairement dans des fichiers dits journaux du serveur. Sont enregistrés :

  • l’adresse IP anonymisée ou tronquée de l’appareil demandeur,
  • la date et l’heure de l’accès,
  • l’URL ou le fichier appelé,
  • l’URL de référence (la page précédemment visitée),
  • le navigateur utilisé et sa version,
  • le système d’exploitation,
  • le nom d’hôte de l’ordinateur effectuant l’accès.

Ces données servent à la fourniture du site web, à garantir la stabilité et la sécurité, ainsi qu’à l’analyse des erreurs. La base juridique est notre intérêt légitime à une exploitation sécurisée (art. 6(1)(f) RGPD). Les fichiers journaux sont supprimés au bout d’un court délai, sauf s’ils sont nécessaires à l’élucidation d’un incident de sécurité.

4. Hébergement

Notre application et notre base de données sont exploitées sur des serveurs situés en Autriche ou au sein de l’Union européenne. Un contrat de sous-traitance conforme à l’art. 28 RGPD a été conclu avec le prestataire d’hébergement, garantissant que les données sont traitées exclusivement selon nos instructions et dans le respect du RGPD. La base juridique de l’hébergement est l’art. 6(1)(b) et (f) RGPD.

5. Compte / Inscription

Pour publier et enregistrer durablement des plans de voyage, vous pouvez créer un compte. À cette occasion, nous traitons votre adresse électronique ainsi que votre mot de passe, qui est stocké exclusivement sous forme d’un condensé (hash) sécurisé (procédé : scrypt) — nous ne connaissons pas votre mot de passe en clair. La base juridique est l’exécution du contrat d’utilisation (art. 6(1)(b) RGPD). Sans compte, vous pouvez utiliser le constructeur (builder) localement dans votre navigateur.

6. Contenus de plans de voyage et de l’utilisateur

Lorsque vous créez et enregistrez des plans de voyage, nous traitons les contenus que vous saisissez (p. ex. titres, jours, points du programme, lieux, notes) ainsi que les pièces jointes PDF facultatives (par exemple des billets) que vous téléversez vous-même. Nous traitons ces données afin de vous fournir la fonction « créer, enregistrer et partager un plan de voyage ». La base juridique est l’art. 6(1)(b) RGPD. Les contenus des plans publiés sont accessibles via le lien que vous partagez ou — en cas de protection par mot de passe — uniquement après la saisie du mot de passe.

7. Clé d’IA personnelle (BYOK)

TravelSwallow suit le principe « Bring Your Own Key » : pour les fonctions d’IA, vous utilisez votre propre clé API du fournisseur concerné. Par défaut, cette clé est conservée exclusivement localement dans votre navigateur. Si vous décidez d’enregistrer la clé de manière pratique dans votre compte, nous la stockons chiffrée en AES-256-GCM. La clé n’est jamais journalisée (loggée) et n’est jamais renvoyée au côté client. La base juridique est votre consentement ou l’exécution du contrat (art. 6(1)(a) et (b) RGPD). Vous pouvez supprimer à tout moment une clé enregistrée dans les paramètres.

8. Traitement par IA/LLM

Lorsque vous déclenchez une génération par IA, les entrées nécessaires (contenu de l’invite, p. ex. souhaits de voyage) sont transmises au fournisseur d’IA concerné et y sont traitées. Deux situations doivent être distinguées :

  • Générations financées par nous (par défaut) : les générations gratuites de l’offre gratuite ainsi que les générations issues des formules et forfaits payants sont traitées via notre fournisseur d’IA Anthropic (Claude), à nos frais et avec notre clé.
  • Avec votre propre clé (BYOK) : si vous avez enregistré votre propre clé API, le traitement s’effectue via le fournisseur que vous avez choisi (Anthropic, OpenAI ou Google) avec votre clé.

Les dispositions de protection des données du fournisseur utilisé dans chaque cas s’appliquent. Selon le fournisseur, un transfert vers un pays tiers (en particulier les États-Unis) peut avoir lieu ; dans ce cas, les fournisseurs s’appuient sur des garanties appropriées telles que les clauses contractuelles types de l’UE (CCT). Nous ne conservons pas le contenu des invites plus longtemps que nécessaire à la fourniture de la fonction. Veuillez ne pas inclure de données à caractère personnel sensibles de tiers dans les entrées d’IA. La base juridique est l’art. 6(1)(b) RGPD (fourniture de la fonction) ou (a) (consentement).

9. Météo en direct

Les plans de voyage peuvent afficher des données météorologiques actuelles. Cette requête s’effectue côté client (dans votre navigateur) directement auprès de api.open-meteo.com, avec transmission des coordonnées du lieu du plan de voyage concerné. Ce faisant, le fournisseur Open-Meteo peut, pour des raisons techniques, traiter votre adresse IP. Les dispositions de protection des données d’Open-Meteo s’appliquent. La base juridique est l’art. 6(1)(f) RGPD (fourniture de la fonction demandée).

10. Cookies

Nous utilisons exclusivement des cookies techniquement nécessaires. Concrètement, il s’agit :

  • d’un cookie de session qui maintient votre connexion après l’authentification, et
  • de cookies de déverrouillage qui mémorisent que vous avez déjà saisi correctement le mot de passe d’un plan protégé par mot de passe.

Nous n’utilisons aucun cookie d’analyse, de suivi ou de marketing et n’intégrons aucun service de ce type. Étant donné que les cookies mentionnés sont strictement nécessaires au fonctionnement des fonctions que vous demandez, ils ne requièrent pas de consentement ; la base juridique est l’art. 6(1)(f) RGPD.

11. Traitement des paiements

Pour les formules payantes (Plus, Pro), le module complémentaire « +5 plans » et les forfaits ponctuels de générations d’IA, nous traitons les paiements via le prestataire de services de paiement Stripe Payments Europe, Ltd. (1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irlande). Sont notamment traitées les données suivantes :

  • votre nom et votre adresse électronique,
  • les données de paiement (p. ex. coordonnées de carte de crédit ou bancaires) que vous saisissez directement auprès de Stripe et que nous ne pouvons nous-mêmes ni consulter ni stocker,
  • les identifiants client, d’abonnement et de paiement que Stripe nous renvoie pour rattacher votre commande.

La base juridique est l’exécution du contrat relatif à la prestation payante (art. 6(1)(b) RGPD). Stripe traite les données en tant que responsable indépendant selon ses propres conditions ; vous trouverez les détails dans la politique de confidentialité de Stripe à l’adresse stripe.com/privacy. Tant que vous ne commandez pas de prestation payante, aucune donnée n’est traitée via Stripe.

12. Partenaires d’affiliation et liens de réservation

Les plans de voyage peuvent contenir des liens de réservation ou de billetterie vers des fournisseurs tiers (p. ex. GetYourGuide, Tiqets). Il s’agit de liens d’affiliation signalés comme « publicité » (« Anzeige ») : si vous réservez quelque chose via un tel lien, nous pouvons percevoir une commission — sans surcoût pour vous. Lorsque vous cliquez sur un lien d’affiliation ou de réservation, vous êtes redirigé vers le partenaire concerné ; l’accès au site du partenaire est initié par vous-même. Ce faisant, nous ne transmettons activement aucune donnée à caractère personnel au partenaire. Toutefois, sur le site de destination, les cookies ou mécanismes de suivi du partenaire, sur lesquels nous n’avons aucune influence, peuvent s’activer ; les dispositions de protection des données du partenaire concerné s’y appliquent. La base juridique est notre intérêt légitime au financement de l’offre gratuite (art. 6(1)(f) RGPD).

13. Courriels transactionnels

Dans le cadre de l’exécution du contrat, nous envoyons à l’adresse électronique que vous avez indiquée les courriels transactionnels nécessaires (p. ex. confirmations relatives aux commandes, aux abonnements ou aux opérations de compte). L’envoi s’effectue via notre propre serveur de messagerie. La base juridique est l’art. 6(1)(b) RGPD (exécution du contrat) ou l’art. 6(1)(f) RGPD (intérêt légitime à vous informer des opérations pertinentes pour le service).

14. Durée de conservation

Nous conservons les données de compte et de plan jusqu’à la fin de la relation d’utilisation ou jusqu’à la suppression de votre compte. Vous pouvez supprimer vous-même votre compte et toutes les données associées à tout moment dans les paramètres ; les données sont alors supprimées. Les données relatives aux commandes payantes sont conservées pendant la durée prescrite afin de satisfaire aux obligations légales de conservation (en particulier en matière fiscale et commerciale). Les fichiers journaux du serveur sont supprimés à brève échéance, comme décrit au point 3.

15. Destinataires / catégories de destinataires

Vos données ne sont communiquées qu’aux destinataires nécessaires à l’exploitation, en particulier :

  • le prestataire d’hébergement (sous-traitant, serveurs en Autriche/UE),
  • notre fournisseur d’IA Anthropic (pour les générations financées par nous) ou le fournisseur d’IA que vous avez choisi (Anthropic, OpenAI ou Google) en cas d’utilisation de votre propre clé,
  • le prestataire de services de paiement Stripe (uniquement pour les commandes payantes, voir le point 11),
  • les partenaires d’affiliation — uniquement par votre propre clic sur un lien de réservation (voir le point 12),
  • Open-Meteo (requête météo côté client),
  • les autorités, dans la mesure où nous y sommes légalement tenus.

Nous excluons toute vente de vos données ou toute communication à des fins publicitaires.

16. Transfert de données vers des pays tiers

Un transfert vers des pays tiers a lieu en particulier en lien avec le traitement par IA (voir le point 8), lorsque le fournisseur utilisé y traite les données, ainsi que, le cas échéant, dans le cadre du traitement des paiements via Stripe. Ce transfert repose sur des garanties appropriées (en particulier les clauses contractuelles types de l’UE) ou sur une décision d’adéquation, lorsqu’une telle décision existe.

17. Mesures techniques et organisationnelles (MTO)

Nous prenons des mesures techniques et organisationnelles appropriées pour protéger vos données, notamment le chiffrement du transport (TLS/HTTPS), le stockage des mots de passe sous forme de condensé (scrypt), le chiffrement AES-256-GCM des clés d’IA enregistrées, des restrictions d’accès ainsi que la mise à jour régulière des logiciels utilisés.

18. Vos droits

En tant que personne concernée, vous disposez des droits suivants :

  • droit d’accès (art. 15 RGPD),
  • droit de rectification (art. 16 RGPD),
  • droit à l’effacement (art. 17 RGPD),
  • droit à la limitation du traitement (art. 18 RGPD),
  • droit à la portabilité des données (art. 20 RGPD),
  • droit d’opposition au traitement (art. 21 RGPD),
  • droit de retirer un consentement donné avec effet pour l’avenir (art. 7(3) RGPD).

Pour exercer vos droits, un simple message à hello@webhoch.com suffit.

19. Droit de réclamation

Sans préjudice de tout autre recours, vous avez le droit d’introduire une réclamation auprès d’une autorité de contrôle. Pour l’Autriche, il s’agit de l’Autorité autrichienne de protection des données, Barichgasse 40–42, 1030 Vienne (www.dsb.gv.at).

20. Absence de décision automatisée

Aucune décision automatisée, y compris le profilage au sens de l’art. 22 RGPD, n’a lieu. Les résultats des fonctions d’IA sont de simples suggestions et ne produisent aucun effet juridique à votre égard.

21. Modifications de la présente politique de confidentialité

Nous nous réservons le droit d’adapter la présente politique de confidentialité afin qu’elle soit à tout moment conforme aux exigences légales en vigueur ou pour mettre en œuvre des modifications de nos prestations. Pour votre prochaine visite, c’est la version alors en vigueur qui s’appliquera.