Dernière mise à jour : mai 2026
Politique de confidentialité
La présente politique de confidentialité explique comment nous collectons, utilisons, partageons et protégeons les données à caractère personnel lorsque vous utilisez myperfectstay.com et les applications mobiles MyPerfectStay pour iOS et Android (le « Service »). Nous traitons les données à caractère personnel conformément au Règlement général sur la protection des données de l’UE (RGPD), à la loi fédérale allemande sur la protection des données (BDSG) et à la loi allemande sur la protection des données dans les télécommunications et les services numériques (TDDDG).
Cette politique est fournie en plusieurs langues à titre de commodité. La version anglaise fait foi sur le plan juridique et prévaut en cas de divergence.
1. Responsable du traitement
Le responsable du traitement pour le Service au sens de l’art. 4, point 7 du RGPD est :
CloudCops GmbH
Amselweg 20
33758 Schloß Holte-Stukenbrock
Allemagne
E-mail : privacy@myperfectstay.com
Consultez nos Mentions légales pour l’ensemble des coordonnées de la société, y compris le numéro au registre du commerce et le numéro de TVA.
2. Délégué à la protection des données
Nous n’avons pas désigné de délégué à la protection des données, car les seuils légaux prévus à l’art. 37 du RGPD et au § 38 BDSG ne s’appliquent pas actuellement à nous. Vous pouvez adresser toute question relative à la protection des données à privacy@myperfectstay.com et nous la transmettrons à la personne responsable au sein de CloudCops GmbH.
3. Notre entité sœur aux Émirats arabes unis
Les opérations commerciales de MyPerfectStay et les versements aux partenaires B2B dans la région MENA sont traités par Cloud Cops Technology L.L.C aux Émirats arabes unis. Cloud Cops Technology L.L.C n’est ni responsable du traitement, ni responsable conjoint du traitement, ni sous-traitant des données à caractère personnel des utilisateurs de MyPerfectStay. Les données à caractère personnel traitées dans le cadre de la présente politique sont traitées exclusivement par CloudCops GmbH en Allemagne, sur une infrastructure située au sein de l’Union européenne (voir le § 7 ci-dessous). Les versements commerciaux aux partenaires des Émirats arabes unis ne contiennent aucune donnée à caractère personnel des utilisateurs finaux de MyPerfectStay.
4. Catégories de données à caractère personnel que nous traitons
Nous ne traitons que les données nécessaires au fonctionnement du Service. Nous ne vendons jamais de données à caractère personnel et nous ne pratiquons pas de publicité comportementale par des tiers.
- Données de compte — nom, adresse e-mail, empreinte (hash) du mot de passe, photo de profil (facultative), préférences de langue et de devise. Créées lors de votre inscription.
- Données de planification de voyage — destinations, dates, appartenance à un groupe, votes, commentaires, itinéraires enregistrés.
- Données de réservation — noms des voyageurs, coordonnées, composition du groupe, demandes particulières, dates de réservation. Nécessaires à l’exécution des réservations auprès du fournisseur concerné.
- Données de paiement — pour les processus de paiement propres à MyPerfectStay, votre numéro de carte complet, le cryptogramme visuel (CVC) et la date d’expiration sont tokenisés par notre prestataire de paiement et ne sont jamais stockés sur nos serveurs. Pour les réservations en affiliation, le paiement est encaissé directement par le fournisseur (voir le § 6) et nous n’avons aucun accès aux informations de carte.
- Communications — e-mails que vous nous envoyez, échanges avec le support et soumissions de formulaires de contact sur /for-hotels et les pages marketing similaires.
- Données relatives à l’appareil et au diagnostic — rapports de plantage, traces de performance anonymisées et données de rejeu de session avec masquage automatique du texte et des champs de saisie (par ex. les champs e-mail et mot de passe sont enregistrés sous forme de barre noire, et non sous forme de valeurs saisies). Utilisées pour diagnostiquer les anomalies et améliorer la stabilité.
- Données d’utilisation — nombre anonymisé d’interactions avec les pages et les fonctionnalités ; agrégées à des fins d’analyse produit.
- Journaux de serveur — adresse IP, agent utilisateur, URL demandée, horodatage ; conservés à court terme à des fins de sécurité et de prévention de la fraude.
5. Finalités et bases légales (art. 6 du RGPD)
Nous traitons les données à caractère personnel sur les bases légales suivantes :
| Finalité | Base légale |
|---|---|
| Création et exploitation de votre compte ; fonctionnalités de voyage en groupe | Contrat — art. 6, par. 1, point b) du RGPD |
| Traitement des réservations et des paiements ; envoi des confirmations de réservation | Contrat — art. 6, par. 1, point b) du RGPD |
| Documents fiscaux, comptabilité et conservation légale | Obligation légale — art. 6, par. 1, point c) du RGPD ; §§ 147, 257 HGB / § 147 AO |
| Prévention de la fraude, sécurité, enquête sur les abus | Intérêt légitime — art. 6, par. 1, point f) du RGPD |
| Diagnostic, rapports de plantage, rejeu de session masqué | Intérêt légitime — art. 6, par. 1, point f) du RGPD |
| Analyse produit agrégée et anonymisée | Intérêt légitime — art. 6, par. 1, point f) du RGPD |
| E-mails marketing, lettres d’information, réponses aux formulaires de contact | Consentement — art. 6, par. 1, point a) du RGPD ; § 7, par. 2 UWG |
6. Destinataires et sous-traitants
Nous ne partageons les données à caractère personnel qu’avec des sous-traitants soigneusement sélectionnés, dans le cadre d’accords écrits de traitement des données conformément à l’art. 28 du RGPD. Nous faisons actuellement appel à :
| Destinataire | Finalité | Localisation |
|---|---|---|
| Hetzner Online GmbH | Hébergement principal de l’application et de la base de données | Allemagne (UE) |
| Microsoft Azure (Microsoft Deutschland GmbH) | Infrastructure Kubernetes, stockage des secrets | Allemagne / régions UE |
| Cloudflare, Inc. | Diffusion d’images via CDN (imagedelivery.net) | États-Unis — CCT + DPF UE–États-Unis |
| Functional Software, Inc. (Sentry) | Rapports de plantage et rejeu de session masqué | États-Unis — CCT + DPF UE–États-Unis |
| Resend, Inc. | Acheminement des e-mails transactionnels et de réponse aux demandes | États-Unis — CCT + DPF UE–États-Unis |
| Stripe Payments Europe Ltd | Traitement des paiements pour les processus en direct de MyPerfectStay | Irlande (UE) |
| Tripadvisor LLC (Viator) | Fournisseur d’activités — réservation, paiement et exécution pour les ventes d’activités en affiliation. Lorsque vous réservez une activité Viator, nous transférons les informations relatives au voyageur nécessaires à l’exécution de la réservation ; le paiement est encaissé directement par Viator. | États-Unis — CCT + DPF UE–États-Unis |
| Google LLC | Connexion via Google OAuth (uniquement si vous la choisissez) et tuiles Google Maps | États-Unis — CCT + DPF UE–États-Unis |
| Google Ireland Limited (responsable-sous-traitant, UE) et Google LLC (sous-traitant ultérieur, États-Unis) | Google Analytics 4 — mesure d’audience web pour la propriété G-M0JXP157C3. Chargé uniquement avec votre consentement à la mesure d’audience. Configuré avec anonymize_ip et ads_data_redaction ; les fonctionnalités publicitaires (Google Signals, reciblage) sont désactivées. Voir le § 10 pour l’inventaire complet des données et vos droits. | États-Unis — CCT + DPF UE–États-Unis |
| MongoDB, Inc. (Atlas) | Cache des réponses des fournisseurs (aucune donnée à caractère personnel d’utilisateur final n’y est stockée) | Région UE |
| Slack Technologies, LLC | Notifications internes à l’équipe, uniquement pour les soumissions de formulaires de contact B2B | États-Unis — CCT + DPF UE–États-Unis |
La liste ci-dessus est un état actuel. Lorsque cela est requis, les sous-traitants sont liés par les clauses contractuelles types de l’UE (décision d’exécution (UE) 2021/914 de la Commission) et certifiés au titre du cadre de protection des données UE–États-Unis (Data Privacy Framework). Lorsque des garanties supplémentaires s’appliquent (par ex. des mesures techniques complémentaires), nous les mettons en œuvre au cas par cas.
7. Transferts internationaux
Nous hébergeons l’application principale et la base de données au sein de l’Union européenne. Certains sous-traitants énumérés au § 6 sont établis aux États-Unis ; dans ces cas, nous nous fondons sur :
- une décision d’adéquation de l’UE au titre de l’art. 45 du RGPD (cadre de protection des données UE–États-Unis) lorsque le destinataire est autocertifié, et
- les clauses contractuelles types de l’UE (CCT) au titre de l’art. 46, par. 2, point c) du RGPD à titre de garantie secondaire.
Nous ne transférons pas les données à caractère personnel des utilisateurs de MyPerfectStay à notre entité sœur des Émirats arabes unis, Cloud Cops Technology L.L.C, ni à aucun autre destinataire situé en dehors de l’UE/EEE sans une garantie au titre de l’art. 45 ou de l’art. 46.
8. Conservation
| Catégorie | Durée de conservation |
|---|---|
| Données de compte, de profil et de planification de voyage | Tant que votre compte est actif + 90 jours après la suppression |
| Dossiers de réservation et factures | 10 ans (§ 147 AO, §§ 257, 238 HGB) |
| Reçus de paiement et métadonnées de paiement pertinentes sur le plan fiscal | 10 ans (§ 147 AO) |
| Rapports de plantage et rejeu de session (masqué) | 90 jours |
| Journaux d’accès au serveur | 14 jours |
| Données utilisateur / événements de Google Analytics 4 (consentement requis) | 14 mois côté serveur (configuré dans l’administration de GA4) ; les cookies expirent entre 24 heures et 2 ans sur votre appareil. Voir le § 10 pour l’inventaire complet. |
| Liste de diffusion marketing | Jusqu’à ce que vous retiriez votre consentement ou vous désabonniez |
| E-mails du support | 3 ans après le dernier contact |
9. Vos droits
Vous disposez des droits suivants au titre du RGPD :
- Accès — art. 15 du RGPD — confirmation du traitement et copie des données que nous détenons à votre sujet.
- Rectification — art. 16 du RGPD — correction des données inexactes.
- Effacement — art. 17 du RGPD — suppression lorsqu’un des motifs énumérés s’applique. Vous pouvez supprimer votre compte à tout moment depuis les paramètres de l’application.
- Limitation — art. 18 du RGPD — limitation du traitement pendant un litige.
- Portabilité — art. 20 du RGPD — réception de vos données dans un format structuré et lisible par machine.
- Opposition — art. 21 du RGPD — opposition au traitement fondé sur l’intérêt légitime, y compris la prospection directe à tout moment.
- Retrait du consentement — art. 7, par. 3 du RGPD — pour tout traitement fondé sur le consentement, sans porter atteinte au traitement déjà effectué.
- Réclamation auprès d’une autorité de contrôle — art. 77 du RGPD. Notre autorité de contrôle chef de file est la Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW), Kavalleriestraße 2–4, 40213 Düsseldorf, Allemagne.
Pour exercer l’un de ces droits, écrivez à privacy@myperfectstay.com. Nous répondons dans un délai de 30 jours (prorogeable de deux mois supplémentaires au maximum au titre de l’art. 12, par. 3 du RGPD pour les demandes complexes).
10. Cookies, technologies de suivi et Google Analytics
Lorsque vous visitez notre site, nous stockons de petits fichiers de données sur votre appareil et lisons des données depuis celui-ci. En application du § 25 TDDDG, tout stockage ou accès à des informations sur votre appareil requiert votre consentement préalable, à moins que ce stockage ou cet accès ne soit strictement nécessaire à la fourniture d’un service que vous avez demandé. Nous traitons tout ce qui n’est pas strictement nécessaire comme soumis à consentement, qu’il s’agisse techniquement d’un cookie, d’une entrée localStorage, d’un pixel, d’une empreinte numérique ou de toute autre forme d’identifiant lié à l’appareil.
10.1 Comment vous gardez le contrôle
Lors de votre première visite sur notre site, une bannière vous invite à choisir : Tout accepter, Tout refuser ou Personnaliser. Les boutons Accepter et Refuser sont d’égale importance visuelle. Tant que vous n’avez pas fait de choix, aucune technologie de mesure d’audience ou de marketing n’est chargée pour stocker des données sur votre appareil ou en lire, au-delà de ce qui est strictement nécessaire. Vous pouvez modifier votre choix à tout moment en cliquant sur « Paramètres des cookies » dans le pied de page du site. Le retrait ne porte pas atteinte à la licéité du traitement effectué avant le retrait (art. 7, par. 3 du RGPD).
10.2 Catégories
| Catégorie | Rôle | Consentement ? | Base légale |
|---|---|---|---|
| Strictement nécessaires | Session, authentification, protection CSRF, répartition de charge, enregistrement de votre choix de consentement. | Non requis | Art. 6, par. 1, point b) du RGPD + § 25, par. 2 TDDDG |
| Préférences / fonctionnalité | Mémorise votre langue, votre thème et d’autres paramètres d’interface. | Requis | Art. 6, par. 1, point a) du RGPD + § 25, par. 1 TDDDG |
| Mesure d’audience | Google Analytics 4 — mesure l’utilisation globale du site. | Requis | Art. 6, par. 1, point a) du RGPD + § 25, par. 1 TDDDG |
| Marketing | Inactif pour le moment. Réservé à un usage futur (par ex. pixels de reciblage). | Requis | Art. 6, par. 1, point a) du RGPD + § 25, par. 1 TDDDG |
10.3 Inventaire des cookies et du stockage
| Nom | Type | Finalité | Catégorie | Durée de conservation | Défini par |
|---|---|---|---|---|---|
| Cookies de session / d’authentification | Propriétaire | Vous maintient connecté | Nécessaire | Session | MyPerfectStay |
| Jeton CSRF | Propriétaire | Protège contre la falsification de requête intersites | Nécessaire | Session | MyPerfectStay |
mps_consent_v1 | localStorage | Enregistre vos préférences de cookies | Nécessaire | Jusqu’à effacement ou modification | MyPerfectStay |
_ga | Propriétaire (défini par la bibliothèque Google, limité à notre domaine) | Distingue les utilisateurs uniques (identifiant client pseudonyme) | Mesure d’audience | 2 ans à compter de la dernière visite | |
_ga_M0JXP157C3 | Propriétaire | Maintient l’état de session pour notre propriété GA4 | Mesure d’audience | 2 ans à compter de la dernière visite | |
_gid | Propriétaire | Distingue les utilisateurs (fenêtre de 24 heures) | Mesure d’audience | 24 heures |
10.4 Données collectées par Google Analytics 4
Si vous accordez votre consentement à la mesure d’audience, la bibliothèque Google Analytics 4 (gtag.js) collecte et transmet à Google les données suivantes, à des fins de traitement pour notre compte :
- Un identifiant client pseudonyme (la valeur du cookie
_ga), que Google utilise pour reconnaître votre navigateur d’une visite à l’autre. - Des informations sur l’appareil, le navigateur et le système d’exploitation (par ex. nom et version du navigateur, catégorie d’appareil, résolution d’écran, système d’exploitation, langue définie).
- Une localisation géographique approximative dérivée de l’adresse IP (pays et, le cas échéant, région ou ville). L’adresse IP elle-même est anonymisée avant d’être stockée (nous avons activé
anonymize_ip) et n’est pas conservée par Google sous une forme identifiable. - Les pages et écrans consultés, les titres de page, les chemins de page, l’URL de provenance, le temps passé sur la page et le comportement de défilement.
- Les événements d’interaction automatiquement capturés par la mesure améliorée de GA4 (clics sur les liens sortants, téléchargements de fichiers, engagement vidéo, recherche sur le site le cas échéant).
- Les métadonnées de session — début de session, durée de session, source / support / campagne de la session (provenance de votre arrivée).
- Un horodatage pour chaque événement.
Nous avons désactivé Google Signals ainsi que toute fonctionnalité publicitaire dans GA4. Nous n’activons ni le reciblage Google Ads, ni les données démographiques, ni les centres d’intérêt. Aucune donnée issue de Google Analytics n’est utilisée pour constituer des audiences publicitaires.
10.5 Comment et où ces données sont stockées
- Les données sont transmises depuis votre navigateur directement vers les serveurs de Google (acheminées par région par Google ; la région de traitement principale est les États-Unis).
- Google agit en tant que notre sous-traitant dans le cadre d’un avenant relatif au traitement des données (Google Ads Data Processing Terms).
- Transfert transfrontalier : les données à caractère personnel sont transférées de l’UE vers les États-Unis. Le transfert est couvert par (a) les clauses contractuelles types de l’UE dans leur version en vigueur (décision d’exécution (UE) 2021/914 de la Commission) et (b) la certification active de Google LLC au titre du cadre de protection des données UE–États-Unis (décision d’adéquation, décision d’exécution (UE) 2023/1795 du 10 juillet 2023). Chacun de ces mécanismes suffit à lui seul au titre du chapitre V du RGPD ; nous nous fondons sur les deux à titre de précaution supplémentaire.
- Conservation côté serveur : 14 mois à compter de la collecte, après quoi Google supprime automatiquement les données au niveau de l’utilisateur et de l’événement. Cela est configuré dans notre administration GA4 et nous ne le prolongeons pas.
- Aucun profilage intersites : nous ne lions pas votre identifiant client GA4 à votre compte MyPerfectStay, à des données de courtiers en données tiers, ni à des données provenant d’un autre site ou d’une autre application.
10.6 Vos droits concernant la mesure d’audience
Outre les droits décrits au § 9 (« Vos droits »), vous disposez en particulier du droit de :
- Retirer votre consentement à tout moment en cliquant sur « Paramètres des cookies » dans le pied de page. Le retrait met fin à toute collecte ultérieure de données et indique à la bibliothèque Google Analytics de cesser d’utiliser des cookies sur votre appareil.
- Installer le module complémentaire de navigateur officiel de désactivation de Google Analytics à l’adresse tools.google.com/dlpage/gaoptout, qui bloque GA4 sur tous les sites que vous visitez.
- Effacer les cookies et le localStorage dans les paramètres de votre navigateur, ce qui supprimera les entrées
_ga,_ga_M0JXP157C3,_gidetmps_consent_v1et vous présentera de nouveau la bannière de consentement lors de votre prochaine visite. - Demander l’accès, la correction ou la suppression de vos données GA4 via privacy@myperfectstay.com. Les données GA4 étant pseudonymes, nous aurons besoin d’informations supplémentaires de votre part (par ex. les dates approximatives de visite) pour les localiser. Nous transmettrons les demandes de suppression valables à Google.
10.7 Sentry (base distincte)
Nous utilisons Sentry pour la surveillance des erreurs applicatives et un rejeu de session de courte durée. Sentry fonctionne sur la base de notre intérêt légitime à la sécurité, à l’intégrité et à la fiabilité du service (art. 6, par. 1, point f) du RGPD) et n’est pas conditionné au consentement à la mesure d’audience. Le rejeu de session masque par défaut tous les champs de saisie et le contenu textuel ; seules les données structurelles et les événements de clic sont enregistrés. Les données Sentry sont hébergées dans l’UE et conservées pendant 90 jours. Vous pouvez vous opposer au traitement fondé sur l’intérêt légitime à l’adresse privacy@myperfectstay.com ; nous évaluerons si vos intérêts prévalent sur les nôtres.
11. Communications marketing
Nous n’envoyons d’e-mails marketing (par ex. actualités produit, lettres d’information B2B) qu’avec votre consentement préalable (opt-in). Chaque e-mail marketing comporte un lien de désabonnement en un clic. Si vous soumettez un formulaire de contact B2B (par ex. le calculateur de revenus sur /for-hotels), nous utilisons l’adresse e-mail que vous indiquez pour vous envoyer le rapport demandé et pour donner suite à votre demande ; vous pouvez retirer votre consentement à tout moment en répondant avec le mot « unsubscribe ».
12. Enfants
Le Service ne s’adresse pas aux enfants de moins de 16 ans. Nous ne traitons pas sciemment de données à caractère personnel d’enfants. Si vous pensez qu’un enfant nous a communiqué des données à caractère personnel, veuillez nous contacter et nous les supprimerons.
13. Décision automatisée
Nous n’avons recours à aucune décision automatisée ni à aucun profilage produisant des effets juridiques vous concernant au sens de l’art. 22 du RGPD.
14. Modifications de la présente politique
Nous mettrons à jour la présente politique à mesure que nos traitements évoluent ou que la législation change. Les modifications substantielles seront annoncées au sein du Service et par e-mail aux utilisateurs actifs au moins 30 jours avant leur entrée en vigueur. La version en vigueur est toujours disponible à l’adresse myperfectstay.com/privacy ; la date de « Dernière mise à jour » en haut de cette page reflète la révision la plus récente.
15. Avis de confidentialité de la société mère
CloudCops GmbH exploite également une activité de conseil sous cloudcops.com. L’avis de confidentialité de cette activité est disponible à l’adresse cloudcops.com/en/privacy-policy. Cet avis régit les visites du site cloudcops.com et ne s’applique pas au Service MyPerfectStay.
16. Contact
CloudCops GmbH, Amselweg 20, 33758 Schloß Holte-Stukenbrock, Allemagne
privacy@myperfectstay.com