Aller au contenu principal

02 · Confidentialité

Vos données.
Nos engagements.

Ce qu’on collecte, pourquoi, combien de temps, et avec qui. Sans l’omerta des conditions classiques.

Dernière mise à jour · 2 avril 2026

La présente politique de confidentialité décrit comment Société Dubai (ci-après « MyKonci », « nous ») collecte, utilise et protège vos données personnelles dans le cadre de son service de conciergerie virtuelle pour propriétaires de locations courte durée (chatbot WhatsApp/SMS et agent vocal).

01Responsable du traitement

Le responsable du traitement des données personnelles est Société Dubai.

Représentant dans l'Union européenne (article 27 du RGPD) : Nicolas Moussa, privacy@mykonci.com.

Délégué à la protection des données (DPO) : Nicolas Moussa, joignable à privacy@mykonci.compour toute question relative à la protection de vos données personnelles et à l'exercice de vos droits RGPD.

02Rôles : responsable et sous-traitant

MyKonci intervient selon deux rôles distincts au sens du RGPD, en fonction du type de données traitées :

  • MyKonci est responsable du traitementpour les données propres de ses clients (compte utilisateur, email, facturation, logs d'utilisation, données de prospects) et pour les données de visiteurs du site mykonci.com.
  • MyKonci est sous-traitant(article 28 du RGPD) pour toutes les données des voyageurs finaux (locataires, guests) traitées via la plateforme pour le compte du client professionnel ou particulier. Dans ce cas, le client MyKonci est le responsable du traitement vis-à-vis de ses voyageurs et doit les informer conformément aux articles 13 et 14 du RGPD. MyKonci fournit un modèle de mention d'information à intégrer par le client sur ses canaux de communication.

Un accord de traitement des données (DPA) au sens de l'article 28 RGPD est signé à la souscription et encadre l'ensemble de la relation sous-traitance. Il est disponible sur demande à privacy@mykonci.com.

03Données collectées

Nous traitons les catégories de données suivantes :

  • Données d'identification client : nom, prénom, adresse email, numéro de téléphone.
  • Données professionnelles : nombre de logements, type de location, channel manager utilisé, activité.
  • Données de connexion : adresse IP, navigateur, pages visitées, horodatage.
  • Données voyageurs (traitées en qualité de sous-traitant) : nom, prénom, numéro de téléphone, langue, dates de séjour, messages échangés via WhatsApp et SMS, enregistrements audio et transcriptions horodatées des appels vocaux.
  • Données analytiques dérivées (offres professionnelles avec Cortex, traitées en qualité de sous-traitant) : scores de satisfaction, profils émotionnels, signaux extraits, prédictions comportementales, embeddings vectoriels, historique cross-séjour par voyageur.
  • Logs techniques : appels aux modèles d'IA, latences, erreurs, utilisés pour l'amélioration du service.

Les enregistrements audio et transcriptions sont accessibles au client via son dashboard et peuvent être fournis ou supprimés sur demande à privacy@mykonci.com.

04Finalités du traitement

  • Fourniture du service de conciergerie virtuelle (chatbot WhatsApp/SMS et agent vocal)
  • Traitement des demandes de contact et de démonstration
  • Gestion de la relation client et facturation
  • Amélioration du service et analyse d'usage
  • Envoi d'informations commerciales (avec votre consentement)
  • Respect de nos obligations légales

05Cortex — traitements spécifiques aux offres professionnelles

Les offres professionnelles incluent Cortex, un moteur d'intelligence conversationnelle qui analyse les conversations entre voyageurs et équipes du client afin d'améliorer la qualité de service. Cortex effectue du profilage au sens de l'article 4.4 du RGPD. Ces traitements spécifiques sont détaillés ci-dessous.

Nature des traitements Cortex :

  • Analyse émotionnelle en temps réel (score de satisfaction sur 100, détection de frustration, etc.)
  • Profil psychologique du voyageur (assertif, passif, émotionnel, sensible au prix, etc.)
  • Détection et classification de problèmes par gravité (accès, équipement, propreté, bruit, etc.)
  • Prédiction de review (positive, négative, risque d'escalade, probabilité de rebooking)
  • Détection d'opportunités d'upsell (late checkout, early check-in, services additionnels)
  • Maintenance préventive (détection de problèmes récurrents sur les équipements)
  • Coaching en temps réel des équipes du client (recommandations d'action)
  • Mémoire cross-séjour par voyageur (historique de satisfaction, préférences, problèmes passés)

Bases légales :

  • Exécution du contrat (art. 6.1.b RGPD) : analyse émotionnelle, prédictions de review, maintenance préventive, coaching, mémoire cross-séjour.
  • Intérêt légitime du client professionnel (art. 6.1.f RGPD) : profil psychologique, détection d'upsell. Cet intérêt légitime est mis en balance avec les droits des voyageurs et n'est appliqué que lorsque cet équilibre est respecté.

Aucune décision automatisée au sens de l'article 22 RGPD.Cortex produit des recommandations, mais aucune décision produisant des effets juridiques ou significatifs à l'égard du voyageur n'est prise de manière entièrement automatisée. Un opérateur humain (concierge, manager du client) conserve la supervision et la validation finale de toute action. Si le client active à l'avenir une fonctionnalité d'automatisation (envoi automatique de message par exemple), il devient responsable de cette décision automatisée et doit prévoir un mécanisme d'opposition pour le voyageur.

Droit d'opposition au profilage (Art. 21 RGPD). Tout voyageur peut s'opposer au profilage Cortex. Sur demande écrite à privacy@mykonci.comou via le client professionnel, l'identifiant du voyageur est marqué en opt-out sous 7 jours : les futurs messages sont toujours conservés (légitimement échangés avec les équipes du client) mais exclus de toute analyse, scoring et profilage.

Apprentissage par tenant, pas d'apprentissage global.Les calibrations et analyses propres à un client ne sont jamais utilisées pour améliorer le service d'un autre client. Les données utilisées pour l'amélioration interne du service sont pseudonymisées (identifiants voyageur et conversation remplacés par des hashs SHA-256). Aucune donnée client n'est utilisée pour entraîner, affiner ou évaluer des modèles d'IA externes (OpenAI, Azure OpenAI ou tout autre fournisseur).

06Base légale

Les traitements sont fondés sur :

  • L'exécution d'un contrat (fourniture du service)
  • Votre consentement (prospection commerciale)
  • Notre intérêt légitime (amélioration du service, sécurité)
  • Le respect d'obligations légales

07Durée de conservation

Les données sont conservées pendant la durée strictement nécessaire aux finalités pour lesquelles elles ont été collectées, conformément aux recommandations de la CNIL :

  • Données de compte utilisateur (nom, email, profil) : pendant toute la durée du contrat, puis 3 ans après le dernier contact en base active pour gestion commerciale (prescription commerciale).
  • Conversations chatbot (WhatsApp & SMS) : pendant la durée du contrat, puis 13 mois au-delà à des fins de preuve et d'amélioration du service, sauf demande de suppression anticipée.
  • Enregistrements vocaux et transcriptions d'appels : pendant la durée du contrat, puis 13 mois au-delà, sauf demande de suppression anticipée par le client ou le voyageur concerné.
  • Scores Cortex, profils et analyses dérivées : même durée que les conversations sources (13 mois après fin de contrat).
  • Mémoire cross-séjour voyageur : 13 mois après le dernier séjour, puis purge automatique.
  • Logs techniques d'amélioration produit (pseudonymisés) : 12 mois maximum.
  • Données de facturation et pièces comptables : 10 ans à compter de la clôture de l'exercice concerné (article L.123-22 du Code de commerce).
  • Logs de connexion et de sécurité : 12 mois (recommandation CNIL et obligations LCEN).
  • Données de prospects (formulaires de contact sans souscription) : 3 ans à compter du dernier contact émis par le prospect.
  • Cookies : 13 mois maximum (recommandation CNIL).
  • Données archivées pour contentieux éventuel : durée de la prescription légale applicable.

À l'issue de ces durées, les données sont soit supprimées définitivement, soit anonymisées de manière irréversible à des fins statistiques. Le client peut demander à tout moment une durée de conservation plus courte via le paramétrage de son compte ou sur demande écrite.

08Hébergement et sécurité

Les données sont hébergées au sein de l'Union européenne, chez Hetzner Online GmbH (Allemagne, sites de Gunzenhausen et Falkenstein). Hetzner est un hébergeur européen conforme au RGPD.

Mesures techniques et organisationnelles :

  • Chiffrement au repos (AES-256) sur les bases de données et les systèmes de stockage.
  • Chiffrement en transit (TLS 1.3) sur toutes les communications (API, dashboard, intégrations).
  • Gestion centralisée des clés et secrets, rotation annuelle, accès loggé.
  • Backups chiffrés avec réplication géographique dans l'UE.
  • Isolation tenant stricte : chaque client dispose d'un identifiant propre ; toutes les requêtes sont filtrées au niveau applicatif et par Row-Level Security PostgreSQL. Dans le cadre du fonctionnement nominal du Service, aucun client ne peut accéder aux données d'un autre client.
  • Logs d'accès aux données : chaque accès aux conversations (opérateur du client ou employé MyKonci en support autorisé) est loggé (identité, date, ressource, adresse IP). Ces logs sont conservés 12 mois et consultables par le client administrateur sur demande.

Notification de violation de données(art. 33-34 RGPD) : en cas d'incident affectant les données personnelles, MyKonci s'engage à notifier le client concerné dans les 48 heures suivant la détection, avec un premier rapport préliminaire. Un rapport complet est fourni sous 7 jours.

09Vos droits

Conformément au RGPD, vous disposez des droits suivants :

  • Droit d'accès à vos données
  • Droit de rectification
  • Droit à l'effacement
  • Droit à la limitation du traitement
  • Droit à la portabilité
  • Droit d'opposition, y compris au profilage effectué par Cortex
  • Droit de retirer votre consentement à tout moment

Droit d'accès voyageur : tout voyageur peut demander un export complet de ses données (messages, enregistrements, scores, profils, prédictions le concernant) sous 30 jours, au format JSON ou PDF lisible. Demande écrite à privacy@mykonci.comavec preuve d'identité, ou via le client professionnel responsable du traitement.

Cheminement des demandes voyageurs.Pour les données voyageurs, MyKonci agit en qualité de sous-traitant du client professionnel ou particulier (responsable du traitement). Les demandes voyageurs sont en principe adressées au responsable du traitement. Lorsqu'une demande est reçue directement par MyKonci, elle est traitée dans les délais RGPD et le responsable du traitement est informé. MyKonci peut, selon la nature de la demande, transmettre celle-ci au responsable du traitement, qui reste le décideur final.

Pour exercer ces droits, contactez notre DPO à privacy@mykonci.com. Nous répondons à toute demande dans un délai maximal d'un mois (Art. 12 RGPD). Vous pouvez également introduire une réclamation auprès de la CNIL (France) ou de toute autorité de contrôle compétente.

10Sous-traitants

Pour assurer le fonctionnement de nos services, nous faisons appel aux sous-traitants ultérieurs suivants. La liste à jour est annexée au DPA remis à chaque client.

  • Hetzner Online GmbH (Allemagne) — Hébergement des serveurs et des données. Transfert : aucun, données dans l'UE.
  • OpenAI Ireland Ltd / OpenAI, L.L.C. (Irlande / États-Unis) — Traitement du langage naturel (analyse de messages, scoring Cortex, génération de réponses). DPA signé. Engagement no-training sur les données clients. Transferts hors UE encadrés par les Standard Contractual Clauses (SCC) et le Data Privacy Framework (DPF) UE-USA. Une bascule vers Azure OpenAI Service région Europe (France Central ou Sweden Central, traitement 100% UE) est possible sur demande du client professionnel.
  • Modèles d'embeddings (sentence-transformers, exécution locale sur serveurs MyKonci en UE) — Aucun transfert externe.
  • Stripe Payments Europe, Ltd. (Irlande) — Traitement des paiements clients. DPA en place.
  • Twilio Ireland Limited (Irlande / États-Unis) — Transport SMS, WhatsApp Business et téléphonie vocale. DPA en place, SCC et DPF.
  • Retell AI ou équivalent — Plateforme de voix conversationnelle pour l'agent vocal (en cas d'activation). DPA en place.
  • Migadu Mail Services (SA) (Suisse) — Service d'emails transactionnels. La Suisse bénéficie d'une décision d'adéquation de la Commission européenne (pas de SCC nécessaires).

Chaque sous-traitant est lié par un accord de traitement des données (DPA) conforme à l'article 28 du RGPD. Toute modification de la liste des sous-traitants ultérieurs fait l'objet d'une information préalable du client, avec droit d'opposition motivé sous 30 jours conformément à l'article 28.2 du RGPD.

11Transferts de données hors UE

Certaines données peuvent être transférées hors de l'Union européenne via les sous-traitants mentionnés ci-dessus (OpenAI, Twilio, Stripe). Ces transferts sont encadrés par :

  • Le Data Privacy Framework (DPF) UE-USA pour les sous-traitants certifiés ;
  • Les clauses contractuelles types (Standard Contractual Clauses) de la Commission européenne ;
  • Des mesures supplémentaires (chiffrement, pseudonymisation) lorsque nécessaires.

Pour les clients souhaitant un traitement 100% UE, la bascule vers Azure OpenAI Europe est possible sur demande.

12Fin de contrat et réversibilité

À l'issue du contrat, le client peut choisir (conformément au DPA) :

  • L'export complet de ses données (format JSON et dump SQL) sous 30 jours ;
  • Ou la suppression définitive sous 30 jours ;
  • La purge des sauvegardes contenant les données client sous 90 jours maximum.

Un certificat de suppression peut être fourni sur demande.

13Audits (clients professionnels)

Les clients professionnels peuvent auditer la conformité RGPD de MyKonci, à raison d'une fois par an maximum, avec un préavis de 30 jours. L'audit est réalisé au choix par questionnaire écrit standard ou par visite / visioconférence sur demande motivée. Les frais d'un audit sur site sont à la charge du client. MyKonci pourra fournir à terme un rapport d'audit indépendant pouvant être utilisé en lieu et place d'un audit individuel.

14Modification de la présente politique

La présente politique de confidentialité peut être mise à jour pour refléter des évolutions légales, réglementaires, techniques ou organisationnelles. Toute modification substantielle est notifiée aux clients par email et/ou via le dashboard au moins 30 jours avant son entrée en vigueur. La date de dernière mise à jour est indiquée en tête de la présente page. Les versions antérieures sont archivées et disponibles sur demande à privacy@mykonci.com.

15Contact

Pour toute question relative à la présente politique de confidentialité, contactez notre DPO à privacy@mykonci.com. Pour toute question générale, contact@mykonci.com.