Politique de Confidentialité

1.1 Objet. La présente Politique de Confidentialité décrit la manière dont Milextravel collecte, utilise, conserve, partage et protège les données à caractère personnel des personnes qui utilisent la Plateforme accessible aux adresses https://milextravel.com et https://milextravel.vercel.app. Elle vise à fournir, dans un langage clair et accessible, l'ensemble des informations requises par les articles 12, 13 et 14 du Règlement (UE) 2016/679 du 27 avril 2016 (« RGPD ») et par la loi française n° 78-17 du 6 janvier 1978 modifiée, dite « loi Informatique et Libertés ».

1.2 Champ d'application. La présente Politique s'applique à l'ensemble des traitements de données à caractère personnel mis en œuvre par Milextravel dans le cadre de l'exploitation de la Plateforme, en ce compris : (i) les données collectées auprès des Voyageurs lors de la création de leur Compte, de la consultation du Site, de la Réservation d'une Prestation, de l'utilisation de la Messagerie, de la publication d'Avis et de l'exercice de leurs droits ; (ii) les données collectées auprès des Publieurs lors de la création de leur Compte, de l'onboarding KYC, de la publication d'Annonces, de l'exécution des Prestations, des versements et de l'exercice de leurs droits ; (iii) les données collectées auprès des simples visiteurs du Site, en particulier au titre des cookies et traceurs décrits à la Politique Cookies ; (iv) les données collectées auprès de tiers ayant donné lieu à un signalement, à une notification au sens du Règlement (UE) 2022/2065 (« DSA ») ou à une demande d'exercice de droits. Elle ne s'applique pas aux traitements mis en œuvre par les Publieurs dans le cadre de l'exécution de leurs Prestations, lesquels agissent en qualité de responsables de traitement autonomes conformément à la Section 7 et à l'article 9.13 des CGU. Elle ne s'applique pas non plus aux traitements mis en œuvre par les prestataires tiers (notamment Stripe, Vercel, Cloudflare, Supabase, Resend, DeepL) dans le cadre de leurs propres activités relevant de leurs propres politiques, dans la limite des garanties contractuelles décrites à la Section 7.

1.3 Définitions. Les termes commençant par une majuscule non définis dans la présente Politique ont la signification qui leur est donnée dans les CGU. Conformément à l'article 4 du RGPD : (i) une « donnée à caractère personnel » désigne toute information se rapportant à une personne physique identifiée ou identifiable ; (ii) un « traitement » désigne toute opération effectuée sur des données à caractère personnel ; (iii) le « responsable du traitement » désigne la personne qui détermine les finalités et les moyens du traitement ; (iv) un « sous-traitant » désigne la personne qui traite des données à caractère personnel pour le compte du responsable du traitement, conformément à ses instructions ; (v) une « personne concernée » désigne la personne physique identifiable dont les données sont traitées.

1.4 Principes directeurs. Milextravel met en œuvre les principes fondamentaux du RGPD énoncés à son article 5, à savoir : licéité, loyauté et transparence ; limitation des finalités ; minimisation des données ; exactitude ; limitation de la conservation ; intégrité et confidentialité ; responsabilité.

1.5 Engagements de Milextravel. Milextravel s'engage en particulier à : (i) collecter uniquement les données nécessaires aux finalités annoncées ; (ii) informer les personnes concernées de manière claire, concise et accessible, dans les conditions de la présente Politique ; (iii) recueillir le consentement des personnes concernées lorsqu'il constitue la base légale du traitement, notamment pour les données sensibles visées à la Section 6 et pour les cookies non strictement nécessaires visés à la Section 12 ; (iv) ne pas vendre les données à caractère personnel des Utilisateurs à des tiers ; (v) ne pas exposer publiquement les données auto-déclarées de genre et d'auto-identification à la communauté LGBT, dans les conditions de la Section 6 ; (vi) ne pas utiliser les données identifiables des Utilisateurs aux fins d'entraînement de modèles d'intelligence artificielle généralistes destinés à des tiers, sauf consentement spécifique conformément à la Section 13.10 des CGU ; (vii) faciliter l'exercice des droits des personnes concernées, dans les conditions de la Section 11 ; (viii) notifier les violations de données aux autorités compétentes et, le cas échéant, aux personnes concernées, dans les délais et conditions prévus aux articles 33 et 34 du RGPD.

1.6 Articulation avec les autres documents. La présente Politique fait partie intégrante du cadre contractuel défini à l'article 2.2 des CGU. Elle se lit en complément des CGU, de la Politique Cookies et des Mentions Légales. En cas de contradiction portant sur le traitement des données à caractère personnel, la présente Politique prévaut sur les autres documents, sauf disposition impérative contraire.

1.7 Acceptation et opposabilité. La présente Politique est portée à la connaissance des Utilisateurs lors de la création de leur Compte, par la voie d'une case d'acceptation dédiée distincte de l'acceptation des CGU, conformément à l'article 2.4 des CGU. L'utilisation de la Plateforme suppose la prise de connaissance de la présente Politique. Pour les traitements reposant sur le consentement comme base légale, ce consentement est recueilli de manière séparée et spécifique, conformément aux exigences du RGPD.

1.8 Langue. La présente Politique est rédigée en français. Des traductions en anglais, en espagnol et éventuellement dans d'autres langues sont fournies à titre informatif. En cas de divergence, la version française fait foi, sauf disposition impérative contraire de la loi applicable à la personne concernée.

2.1 Identification. Le responsable du traitement des données à caractère personnel collectées dans le cadre de l'exploitation de la Plateforme est : [RAISON SOCIALE], [FORME JURIDIQUE] au capital de [MONTANT] euros, siège social : [ADRESSE], immatriculée au RCS de [VILLE] sous le numéro [SIRET], numéro de TVA intracommunautaire : [TVA], représentée par [NOM ET QUALITÉ DU REPRÉSENTANT LÉGAL], adresse électronique de contact : [EMAIL_CONTACT].

2.2 Qualité de responsable du traitement. Milextravel détermine seule les finalités et les moyens des traitements mis en œuvre dans le cadre de l'exploitation de la Plateforme. Elle agit en qualité de responsable du traitement au sens de l'article 4 §7 du RGPD pour l'ensemble de ces traitements. Lorsque les traitements relèvent d'une responsabilité conjointe avec un tiers au sens de l'article 26 du RGPD, les modalités correspondantes sont précisées dans la présente Politique ou dans une convention spécifique tenue à la disposition des personnes concernées sur demande adressée au point de contact défini à la Section 3.

2.3 Responsabilités autonomes du Publieur. Conformément aux articles 9.13 et 15.2 des CGU, le Publieur agit en qualité de responsable de traitement autonome pour les données qu'il collecte et traite dans le cadre de l'exécution de ses Prestations. Milextravel n'est pas responsable des traitements ainsi mis en œuvre par le Publieur, lequel est seul tenu d'informer les personnes concernées dans les conditions du RGPD.

2.4 Sous-traitants techniques. Les prestataires techniques auxquels Milextravel a recours pour le compte du traitement (notamment Vercel, Supabase, Cloudflare, Resend, DeepL) agissent en qualité de sous-traitants au sens de l'article 28 du RGPD, sur instructions de Milextravel et sous son contrôle. La liste de ces sous-traitants, leurs finalités et les garanties applicables figurent à la Section 7.

2.5 Autorité de contrôle. L'autorité de contrôle compétente à l'égard de Milextravel est la Commission nationale de l'informatique et des libertés (CNIL), dont les coordonnées sont rappelées à la Section 11.

3.1 Absence d'obligation de désigner un délégué à la protection des données. Milextravel a procédé à l'analyse prévue par l'article 37 du RGPD et constate qu'elle n'entre pas, à la date de la présente Politique, dans les trois cas rendant obligatoire la désignation d'un délégué à la protection des données (« DPO »). Plus précisément : (i) Milextravel n'est pas une autorité ou un organisme public ; (ii) son activité de base ne consiste pas en un suivi régulier et systématique à grande échelle des personnes concernées au sens de l'article 37 §1 b) ; (iii) son activité de base ne consiste pas en un traitement à grande échelle de catégories particulières de données ou de données relatives à des condamnations pénales au sens de l'article 37 §1 c). Cette analyse fait l'objet d'une réévaluation périodique (au minimum annuelle) et à chaque évolution significative de l'activité, des volumes traités ou de la nature des traitements. En cas d'évolution conduisant à la désignation obligatoire ou souhaitable d'un DPO, la présente Section sera mise à jour dans les conditions de la Section 13.

3.2 Point de contact privacy. Indépendamment de la désignation formelle d'un DPO, Milextravel a mis en place un point de contact dédié chargé du traitement des questions relatives à la protection des données à caractère personnel, joignable par courrier électronique : privacy@milextravel.com — par courrier postal : [RAISON SOCIALE] — Privacy — [ADRESSE SIÈGE SOCIAL]. Toute personne concernée peut adresser à ce point de contact : (i) une demande d'exercice de ses droits au sens de la Section 11 ; (ii) une question relative à la présente Politique ou aux traitements mis en œuvre ; (iii) un signalement d'éventuel manquement à la réglementation applicable.

3.3 Délais et modalités de réponse. Milextravel s'engage à répondre à toute demande dans les conditions et délais précisés à la Section 11, et au minimum à accuser réception sans retard injustifié.

4.1 Données d'identification et de Compte. Milextravel collecte les données suivantes lors de la création et de l'utilisation du Compte : nom, prénom, adresse électronique, mot de passe (sous forme chiffrée), photographie de profil lorsqu'elle est fournie, langue préférée, fuseau horaire et pays de résidence déclaré. Pour les Publieurs, sont en outre collectées les informations professionnelles utiles à l'identification (raison sociale, forme juridique, adresse professionnelle, numéro d'immatriculation, identité du représentant légal).

4.2 Données de Réservation et d'exécution. Sont collectées les données nécessaires à la Réservation et à l'exécution des Prestations : historique des Réservations (statuts successifs, dates, lieux, Annonces concernées), nombre et tranches d'âge des Participants, informations communiquées dans la Réservation (niveau, condition, équipement, langues), échanges via la Messagerie, reçus et factures, statut et résultat des Réclamations.

4.3 Données de paiement. Milextravel ne stocke jamais les numéros de carte bancaire ni les codes de sécurité. Les opérations de paiement sont traitées par Stripe, prestataire de services de paiement certifié PCI-DSS. Milextravel conserve uniquement : (i) l'identifiant technique du moyen de paiement enregistré auprès de Stripe (PaymentMethod ID), nécessaire à l'exécution des opérations prévues à la Section 7 des CGU ; (ii) les derniers chiffres de la carte et la marque (Visa, Mastercard, etc.) à des fins d'affichage à l'Utilisateur ; (iii) les références des opérations (identifiants Stripe des paiements et des remboursements, montants, devises, statuts) à des fins de comptabilité, de réconciliation et de preuve.

4.4 Données techniques et de connexion. Sont collectées les adresses IP, le type et la version du navigateur (agent utilisateur), le type d'appareil, le système d'exploitation, les pages consultées et leur horodatage, les identifiants de session, les logs de connexion et d'opération. Ces données sont utilisées à des fins de sécurité, de lutte contre la fraude, de traçabilité des consentements (Section 2.5 des CGU) et de mesure d'audience dans les conditions de la Politique Cookies.

4.5 Données sensibles auto-déclarées. Sur une base strictement volontaire et avec consentement spécifique, le Voyageur peut renseigner : (i) son genre (parmi quatre valeurs proposées par le Voyageur lui-même) ; (ii) son auto-identification à la communauté LGBT. Ces données relèvent des catégories particulières de l'article 9 §1 du RGPD. Leur traitement est strictement encadré et fait l'objet d'une Section dédiée (Section 6).

4.6 Données relatives à la santé. Le champ libre « informations médicales ou restrictions » de la Réservation peut contenir des données concernant la santé au sens de l'article 9 §1 du RGPD (allergies, traitements, conditions physiques). Ces données sont collectées sur une base volontaire, pour la seule finalité de sécurité de la Prestation, et leur traitement est encadré dans les conditions de la Section 6.

4.7 Données de vérification d'identité. Lorsque l'Utilisateur procède à une vérification d'identité volontaire (Voyageur) ou obligatoire (Publieur, dans le cadre du KYC Stripe), sont collectées les données figurant sur la pièce d'identité et, le cas échéant, une photographie de vérification (selfie). Les pièces sont traitées par Stripe pour les besoins du KYC ; Milextravel n'en conserve que le statut (vérifié / non vérifié) et la date de la vérification, sauf nécessité spécifique.

4.8 Données fiscales et professionnelles des Publieurs. Au titre du Règlement (UE) 2021/514 (« DAC 7 ») et de la Section 6.9 des CGU, sont collectées auprès des Publieurs : numéro d'identification fiscale (TIN), numéro de TVA le cas échéant, identifiant national (numéro de registre du commerce ou équivalent), État ou États de résidence fiscale, adresse, date de naissance (personne physique) ou date de constitution (personne morale), numéro IBAN lié au Compte Connecté Stripe (à titre d'identifiant, non utilisé pour des prélèvements). Sont également collectés les justificatifs professionnels (licences, certifications, attestations d'assurance, garanties financières) visés à la Section 9 des CGU.

4.9 Contenus Utilisateur. Sont collectés et hébergés les Annonces (textes, photographies, vidéos), Avis et réponses publiques publiés sur la Plateforme, ainsi que les éléments téléversés dans le cadre des Réclamations ou des notifications.

4.10 Sources des données. Les données sont, en règle générale, collectées directement auprès de la personne concernée. Certaines données peuvent être obtenues indirectement, notamment : (i) les données vérifiées par Stripe dans le cadre du KYC, transmises à Milextravel pour les besoins de l'inscription du Publieur ; (ii) les données issues d'outils de détection automatique mis en œuvre par Milextravel (Sections 9 et 10 ci-après) ; (iii) les données issues de signalements émis par des tiers au sens de l'article 16 du DSA et de la Section 4.6 des CGU.

5.1 Gestion du Compte et exécution des CGU. Données concernées : identification, contact, Compte, langue, fuseau horaire. Finalité : création, gestion et clôture du Compte ; mise à disposition des fonctionnalités de la Plateforme ; communication des informations relatives à la relation contractuelle. Base légale : exécution du contrat (CGU) entre Milextravel et l'Utilisateur (article 6 §1 b RGPD). Durée : pendant toute la durée de la relation contractuelle, prolongée d'une durée de trois (3) ans à compter de la dernière activité du Compte, conformément à la recommandation de la CNIL en matière de gestion de clientèle. À l'issue de cette durée, les données sont supprimées ou archivées à accès restreint à des fins probatoires pour les durées prévues à la Section 5.10.

5.2 Mise en relation et Réservations. Données concernées : Compte ; historique des Réservations ; échanges via la Messagerie ; informations relatives aux Participants ; éventuelles informations volontairement communiquées sur la santé en lien avec la Prestation. Finalité : publication d'Annonces ; recherche et affichage des Prestations ; création, acceptation et exécution des Réservations ; communication entre Voyageurs et Publieurs ; suivi de l'exécution des Prestations. Base légale : exécution du contrat (article 6 §1 b RGPD) ; et, pour les informations relatives à la santé, consentement explicite de la personne concernée (article 9 §2 a RGPD). Durée : pendant la durée nécessaire à l'exécution et au suivi de la Prestation, puis archivage à accès restreint pendant la durée de prescription des actions civiles applicables (5 ans en France, sous réserve des spécificités sectorielles) à des fins probatoires.

5.3 Paiement et flux financiers. Données concernées : identifiant PaymentMethod Stripe ; derniers chiffres et marque de la carte ; références des opérations Stripe ; montants ; devises ; statuts. Finalité : exécution des paiements, des transfers, des remboursements et des opérations off-session prévues aux Sections 6 et 7 des CGU ; comptabilité ; lutte contre la fraude ; gestion des chargebacks ; respect des obligations comptables et fiscales. Base légale : exécution du contrat (article 6 §1 b RGPD) ; respect d'obligations légales (article 6 §1 c) : tenue de la comptabilité, lutte contre le blanchiment et le financement du terrorisme, obligations fiscales. Durée : dix (10) ans à compter de la clôture de l'exercice comptable, conformément à l'article L. 123-22 du Code de commerce français, en archivage à accès restreint après cessation de l'utilité opérationnelle.

5.4 Messagerie et modération. Données concernées : contenus des messages ; horodatages ; identifiants des Utilisateurs ; résultats de la détection automatique (flags) ; décisions de modération. Finalité : communication entre Utilisateurs ; lutte contre le contournement de la Plateforme (Section 10 des CGU) ; détection des contenus illicites ou contraires aux CGU ; preuve des échanges en cas de Réclamation ou de litige. Base légale : exécution du contrat (article 6 §1 b RGPD) ; intérêt légitime de Milextravel (article 6 §1 f) tenant à la défense de son modèle économique, à la sécurité de la Plateforme et à la protection des Utilisateurs ; respect des obligations légales (article 6 §1 c) au titre du DSA et de la LCEN. Durée : trois (3) ans à compter du dernier échange sur la Réservation concernée, puis archivage à accès restreint pendant la durée de prescription applicable.

5.5 Avis et réponses publiques. Données concernées : identité de l'auteur (prénom, initiale du nom, photographie de profil le cas échéant) ; note ; texte de l'Avis ; éventuelle réponse du Publieur. Finalité : publication des Avis sur la Plateforme aux fins d'information des futurs Voyageurs ; modération. Base légale : exécution du contrat (article 6 §1 b RGPD) ; intérêt légitime de Milextravel et des futurs Utilisateurs à disposer d'informations transparentes sur les Prestations (article 6 §1 f). Durée : publication tant que le Publieur exerce son activité sur la Plateforme. À la clôture du Compte de l'auteur, l'Avis demeure publié avec mention d'anonymisation conformément à la Section 12.10 des CGU. À la demande de l'auteur, l'Avis est anonymisé (suppression du nom, du prénom et de la photographie).

5.6 Réclamations et résolution des litiges internes. Données concernées : éléments transmis par les Parties ; messages échangés ; pièces justificatives ; décisions rendues. Finalité : instruction et résolution des Réclamations (Section 11 des CGU) ; constitution du registre interne ; défense des droits de Milextravel et des Utilisateurs. Base légale : exécution du contrat (article 6 §1 b RGPD) ; intérêt légitime à la défense des droits (article 6 §1 f) ; respect des obligations légales applicables. Durée : cinq (5) ans à compter de la décision rendue, en archivage à accès restreint à des fins probatoires.

5.7 KYC, lutte contre le blanchiment et obligations DAC 7. Données concernées : données d'identification du Publieur ; pièces d'identité ; informations professionnelles ; données fiscales (TIN, IBAN, État de résidence fiscale). Finalité : procédure KYC menée par Stripe ; respect des obligations en matière de lutte contre le blanchiment et le financement du terrorisme ; respect des obligations déclaratives DAC 7. Base légale : respect d'obligations légales (article 6 §1 c RGPD). Durée : durées légales applicables, en règle générale cinq (5) ans à compter de la fin de la relation d'affaires pour les données KYC (article L. 561-12 du Code monétaire et financier), et dix (10) ans pour les éléments comptables et fiscaux liés. Les données DAC 7 sont conservées dix (10) ans à compter de la fin de l'année civile à laquelle elles se rapportent.

5.8 Sécurité, lutte contre la fraude et défense des droits. Données concernées : logs techniques ; adresses IP ; agents utilisateurs ; empreintes (fingerprints) de paiement ; signalements ; résultats de détection. Finalité : détection et prévention de la fraude, des intrusions, des doubles Comptes, du contournement, des comportements abusifs ; défense en justice. Base légale : intérêt légitime de Milextravel et des Utilisateurs à la sécurité de la Plateforme (article 6 §1 f RGPD) ; respect des obligations légales applicables. Durée : un (1) an pour les logs techniques courants ; trois (3) ans pour les éléments associés à un signalement, une enquête ou une procédure ; jusqu'à l'issue des procédures pour les éléments mobilisés en justice.

5.9 Statistiques et amélioration de la Plateforme. Données concernées : données d'usage agrégées et anonymisées. Finalité : production de statistiques ; amélioration des fonctionnalités ; pilotage de la qualité de service. Base légale : intérêt légitime de Milextravel à améliorer ses services (article 6 §1 f RGPD). Durée : durée illimitée pour les données strictement anonymisées et non ré-identifiables.

5.10 Archivage à des fins probatoires et obligations légales. À l'issue des durées actives ci-dessus, certaines données peuvent être placées en archivage à accès restreint pour la durée nécessaire à la défense en justice et à l'exécution des obligations légales, en particulier : (i) comptabilité et fiscalité : 10 ans (article L. 123-22 Code de commerce) ; (ii) traçabilité des consentements et acceptations contractuelles : 5 ans à compter de la fin de la relation, et au moins 1 an au-delà du dernier débit potentiellement contestable ; (iii) éléments de preuve nécessaires à une procédure en cours : durée de la procédure et délais d'appel ; (iv) données soumises à une obligation de conservation spécifique (notamment KYC, DAC 7, articles 6-II LCEN sur les données de connexion) : durée fixée par la loi. Les données placées en archivage à accès restreint ne sont consultables que par les personnes habilitées et pour les seules finalités d'archivage. Elles sont supprimées ou anonymisées au terme de leur durée d'archivage.

6.1 Cadre général. Certaines données collectées par Milextravel relèvent des catégories particulières mentionnées à l'article 9 §1 du RGPD, lequel pose une interdiction de principe de leur traitement, sauf à pouvoir invoquer l'une des exceptions énumérées à l'article 9 §2. Milextravel met en œuvre, pour ces données, un cadre renforcé décrit à la présente Section.

6.2 Données auto-déclarées de genre et d'auto-identification à la communauté LGBT. Données concernées : genre (parmi quatre valeurs proposées par le Voyageur lui-même) et auto-identification à la communauté LGBT (déclarative). Finalité unique : alimentation du filtre dérivé « recommandé par des personnes LGBT » prévu à la Section 5.7 des CGU et destiné à aider d'autres Voyageurs susceptibles de partager les mêmes attentes en matière d'environnement bienveillant. Base légale : consentement explicite de la personne concernée au sens de l'article 9 §2 a) du RGPD, recueilli sur la base d'une case d'acceptation distincte, non pré-cochée, séparée de l'acceptation des CGU et de la Politique, accompagnée d'une explication claire de la finalité. Modalités de traitement : (i) les données ne sont jamais exposées publiquement à titre individuel : elles ne sont pas accessibles sur le profil du Voyageur, ne sont pas transmises aux Publieurs, et ne sont pas affichées sur la page d'un Avis ; (ii) les données ne sont utilisées qu'au niveau agrégé : le filtre dérivé produit un signal de recommandation sur les Annonces, sur la base d'une agrégation des Voyageurs ayant consenti, et de seuils statistiques empêchant toute ré-identification ; (iii) l'accès interne aux données individuelles est strictement limité au personnel habilité de Milextravel, et toute consultation fait l'objet d'une journalisation immuable ; (iv) les données ne sont pas utilisées à des fins de ciblage publicitaire, de prospection commerciale ou de transmission à un tiers ; (v) le consentement peut être retiré à tout moment depuis les paramètres du Compte. Le retrait entraîne la suppression de l'information correspondante et l'exclusion du Compte du calcul agrégé pour l'avenir. Durée : pendant toute la durée de validité du consentement, et au plus tard jusqu'à la suppression du Compte ou le retrait du consentement.

6.3 Données relatives à la santé en lien avec une Prestation. Données concernées : informations volontairement communiquées par le Voyageur dans le champ libre « informations médicales ou restrictions » de la Réservation, notamment allergies, traitements, conditions physiques, en lien avec la sécurité de l'activité. Finalité unique : information du Publieur aux fins de sécurité d'exécution de la Prestation, en particulier pour les activités à risque (plongée, sports outdoor, etc.). Base légale : consentement explicite du Voyageur au sens de l'article 9 §2 a) du RGPD, matérialisé par la saisie volontaire de l'information et accompagné d'une explication de la finalité au moment de la saisie. À défaut, dans les cas où la communication est requise par la nature de la Prestation et où le Voyageur en a été informé dans l'Annonce, l'intérêt vital ou la nécessité aux fins de la médecine préventive ou de la sécurité de la personne peut, à titre subsidiaire et selon les circonstances, fonder le traitement (article 9 §2 c) et h)). Modalités de traitement : (i) l'information est transmise au Publieur concerné par la Réservation, ce dernier agissant en qualité de responsable autonome au sens de la Section 9.13 des CGU ; (ii) l'information n'est pas exploitée par Milextravel à d'autres fins que sa transmission au Publieur ; (iii) l'information n'est pas indexée, n'est pas affichée publiquement, et n'apparaît pas dans les résultats de recherche. Durée : suppression automatique trente (30) jours après la fin de la Prestation (statut « completed ») ou de l'annulation de la Réservation, sauf nécessité avérée d'une conservation prolongée à des fins probatoires en cas de Réclamation ou de litige, auquel cas la donnée est placée en archivage à accès restreint jusqu'à l'issue de la procédure.

6.4 Données issues de la vérification d'identité. Les pièces d'identité collectées dans le cadre du KYC sont traitées par Stripe dans son propre environnement, sous sa propre responsabilité de traitement pour les besoins du KYC. Milextravel ne conserve que le statut de vérification et la date. La photographie de vérification (selfie) n'est pas conservée par Milextravel. Pour les Voyageurs ayant procédé à une vérification volontaire, les mêmes modalités s'appliquent.

6.5 Engagement renforcé. Milextravel s'engage à : (i) ne jamais vendre, louer, échanger ou céder à des tiers les données sensibles visées à la présente Section ; (ii) ne jamais les utiliser à des fins de profilage publicitaire, de scoring ou de tarification différenciée ; (iii) faire de leur protection une priorité opérationnelle dans l'architecture technique et les contrôles d'accès de la Plateforme ; (iv) procéder, en cas de doute, à une analyse d'impact relative à la protection des données (« AIPD ») au sens de l'article 35 du RGPD, et à informer la CNIL lorsque les circonstances le requièrent.

7.1 Personnel habilité de Milextravel. Les données sont accessibles aux personnels habilités de Milextravel, dans la stricte mesure nécessaire à l'exécution de leurs missions, sur la base de profils d'accès différenciés (notamment support, modération, finance, sécurité, juridique). Les accès sont tracés et font l'objet d'un audit périodique.

7.2 Publieur, en qualité de responsable autonome. Lorsqu'un Voyageur procède à une Réservation, certaines données lui concernant et concernant ses Participants sont transmises au Publieur pour les besoins de l'exécution de la Prestation. Il s'agit notamment : du prénom et de l'initiale du nom, de la photographie de profil le cas échéant, du nombre et des tranches d'âge des Participants, des informations volontairement communiquées sur la santé ou les restrictions (Section 6.3), des éventuels échanges via la Messagerie. Le Publieur est, à l'égard de ces données, responsable de traitement autonome au sens de l'article 9.13 des CGU. Milextravel n'est pas responsable des traitements ultérieurs mis en œuvre par le Publieur.

7.3 Sous-traitants techniques. Milextravel recourt aux sous-traitants suivants, agissant sous instructions documentées par contrats conformes à l'article 28 du RGPD : Vercel Inc. (hébergement applicatif et exécution serveur — siège : États-Unis — données concernées : ensemble des données techniques d'exécution, en transit) ; Supabase, Inc. (base de données relationnelle et service d'authentification — données hébergées en Union européenne, région Francfort, Allemagne — données concernées : ensemble des données structurées : Comptes, Réservations, messages, Avis, etc.) ; Cloudflare, Inc. (réseau de diffusion de contenu CDN, pare-feu applicatif, stockage de fichiers R2 et diffusion vidéo Stream — siège : États-Unis, infrastructure mondiale — données concernées : photographies, vidéos, fichiers téléversés, logs de sécurité) ; Resend, Inc. (envoi des courriers électroniques transactionnels — siège : États-Unis — données concernées : adresse électronique du destinataire, contenu du courrier, métadonnées d'envoi) ; Stripe Payments Europe, Limited (services de paiement, Stripe Connect Express, KYC — siège : Irlande — données concernées : données de paiement, données KYC, données de transactions) ; DeepL SE (service de traduction automatique des contenus — siège : Allemagne — données concernées : contenus à traduire, Annonces et Avis, à l'exclusion des données d'identification personnelles transmises uniquement de manière incidente). La liste à jour des sous-traitants figure à la présente Section et est actualisée à chaque évolution substantielle. Toute évolution substantielle de cette liste (ajout d'un nouveau sous-traitant, changement de localisation des données) est notifiée aux Utilisateurs dans les conditions de la Section 13.

7.4 Tiers de confiance dans le cadre des paiements. Les émetteurs de moyens de paiement (banques, réseaux Visa, Mastercard, etc.) sont destinataires des informations nécessaires à l'exécution des opérations de paiement, dans les conditions définies par les règles des réseaux et de Stripe.

7.5 Autorités publiques et administratives. Milextravel communique des données aux autorités judiciaires, administratives et de régulation dans le cadre d'obligations légales (notamment réquisitions judiciaires, demandes formelles de la CNIL, des autorités fiscales, des autorités de marché, des coordinateurs pour les services numériques au sens du DSA). Au titre du DAC 7, certaines informations relatives aux Publieurs sont déclarées chaque année à la Direction Générale des Finances Publiques (DGFiP), qui peut les redistribuer aux administrations fiscales des autres États membres conformément au Règlement (UE) 2021/514.

7.6 Conseils, auditeurs et avocats. Les conseils externes de Milextravel (notamment conseils juridiques, experts-comptables, commissaires aux comptes, auditeurs) peuvent être destinataires de données dans la stricte mesure nécessaire à l'accomplissement de leurs missions, sous obligation de confidentialité.

7.7 En cas de cession ou de restructuration. En cas de cession, fusion, scission, apport partiel d'actif ou autre opération de restructuration affectant Milextravel, les données peuvent être transférées à l'entité cessionnaire ou bénéficiaire, sous réserve du respect des dispositions du RGPD et d'une information préalable des personnes concernées dans la mesure et selon les modalités requises par la loi.

7.8 Pas de cession à des tiers à des fins commerciales. Milextravel s'engage à ne pas céder, louer, échanger les données à caractère personnel des Utilisateurs à des tiers à des fins commerciales, en dehors des cas strictement énumérés à la présente Section.

8.1 Principe. Certains sous-traitants techniques visés à la Section 7.3 sont établis hors de l'Espace économique européen, en particulier aux États-Unis (Vercel, Cloudflare, Resend, ainsi que la maison-mère du groupe Stripe). Ces transferts sont encadrés par les garanties appropriées du Chapitre V du RGPD.

8.2 Mécanismes mobilisés. Les transferts sont encadrés, selon les cas, par les mécanismes suivants : (i) Adéquation : pour les transferts vers des entreprises certifiées au titre du EU-US Data Privacy Framework (DPF) adopté par la Commission européenne le 10 juillet 2023, le transfert s'effectue sur la base de la décision d'adéquation 2023/1795, sans formalité supplémentaire ; (ii) Clauses Contractuelles Types (CCT) : pour les transferts non couverts par une décision d'adéquation, Milextravel signe avec le sous-traitant les CCT approuvées par la Commission européenne par décision d'exécution 2021/914 du 4 juin 2021, dans la version modulaire applicable à la relation responsable de traitement / sous-traitant ; (iii) Mesures supplémentaires : conformément à la jurisprudence de la Cour de justice de l'Union européenne (CJUE, Schrems II, C-311/18), Milextravel évalue, pour chaque transfert, le niveau de protection effectif dans le pays de destination et met en œuvre des mesures supplémentaires lorsque cela est nécessaire (notamment chiffrement renforcé en transit et au repos, pseudonymisation, restrictions d'accès, audits des prestataires). Ces évaluations sont documentées dans des Transfer Impact Assessments (TIA) tenus à disposition de l'autorité de contrôle.

8.3 Information sur le statut DPF des sous-traitants. Le statut DPF de chaque sous-traitant établi aux États-Unis est vérifié et mis à jour. La liste consolidée figure à la Section 7.3 de la présente Politique. À défaut de certification DPF d'un sous-traitant, les CCT et les mesures supplémentaires demeurent la base juridique du transfert.

8.4 Droits des personnes concernées. Les personnes concernées peuvent obtenir, sur demande adressée au point de contact défini à la Section 3.2, une copie des garanties applicables aux transferts les concernant, ainsi que des informations complémentaires sur les transferts mis en œuvre.

9.1 Cadre. Conformément à l'article 22 du RGPD, l'Utilisateur a le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, en ce compris le profilage, produisant des effets juridiques le concernant ou l'affectant significativement, sauf exceptions énumérées à l'article 22 §2 du RGPD.

9.2 Traitements automatisés mis en œuvre. Milextravel met en œuvre plusieurs traitements à caractère partiellement ou pleinement automatisé : (i) Détection des tentatives de contournement de la Plateforme dans la Messagerie, conformément à la Section 10 des CGU. Une décision automatisée de suspension du droit d'envoi intervient lorsque le seuil cumulé de messages flaggés est franchi sur une fenêtre glissante. (ii) Détection des anomalies de paiement et de fraude : analyse automatisée des comportements (notamment doubles Comptes, schémas de Réservation suspects, fingerprints), pouvant entraîner une suspension de fonctionnalités ou une demande de vérification complémentaire. (iii) Classement des Annonces dans les résultats de recherche : algorithme prenant en compte des paramètres décrits à la page de transparence prévue à la Section 9.15 des CGU. (iv) Filtrage et recommandations : algorithme de mise en correspondance des Annonces avec les recherches des Voyageurs ; filtre dérivé « recommandé par des personnes LGBT » au niveau agrégé (Section 6.2).

9.3 Bases légales applicables. Ces traitements reposent sur : (i) la nécessité contractuelle au sens de l'article 22 §2 b) du RGPD : la lutte contre le contournement et la sécurité de la Plateforme sont nécessaires à l'exécution du contrat d'intermédiation entre Milextravel et ses Utilisateurs ; (ii) le respect d'obligations légales au titre du DSA (modération), de la LCEN (lutte contre les contenus illicites), de la réglementation anti-blanchiment et de la directive PSD2 (sécurité des paiements) ; (iii) l'intérêt légitime de Milextravel et des autres Utilisateurs à la sécurité, à la prévention de la fraude et à la qualité de la Plateforme ; (iv) pour les recommandations agrégées exploitant les données sensibles visées à la Section 6.2, le consentement explicite du Voyageur.

9.4 Garanties. Conformément à l'article 22 §3 du RGPD et à la Section 10.7 des CGU, Milextravel met en œuvre les garanties suivantes : (i) droit d'obtenir une intervention humaine de la part de Milextravel sur toute décision automatisée affectant significativement l'Utilisateur ; (ii) droit d'exprimer son point de vue sur la décision ; (iii) droit de contester la décision au moyen du système interne prévu à la Section 11.C des CGU ; (iv) information préalable au déclenchement d'une mesure automatisée significative, lorsque cela est techniquement possible et compatible avec la finalité de la mesure.

9.5 Pas de profilage à des fins de prospection commerciale. Milextravel ne met pas en œuvre de profilage à des fins de prospection commerciale ou de publicité ciblée. Aucune décision automatisée n'est prise à l'égard de l'Utilisateur sur la base de ses données sensibles (Section 6) à des fins étrangères à celles strictement décrites à la Section 6.2.

10.1 Principes. Milextravel met en œuvre les mesures techniques et organisationnelles appropriées au sens de l'article 32 du RGPD pour garantir un niveau de sécurité adapté aux risques que présentent les traitements pour les droits et libertés des personnes concernées.

10.2 Mesures techniques. Ces mesures comprennent notamment : (i) le chiffrement des communications en transit par TLS (version 1.3 lorsqu'elle est supportée) entre les terminaux des Utilisateurs et la Plateforme, et entre la Plateforme et ses sous-traitants ; (ii) le chiffrement des données au repos dans les bases de données et les stockages de fichiers ; (iii) le hachage des mots de passe au moyen d'algorithmes robustes (notamment bcrypt ou équivalent), avec sel unique par compte ; (iv) la séparation des environnements de développement, de test et de production ; (v) la gestion centralisée des secrets et des clés de chiffrement, avec rotation périodique ; (vi) les sauvegardes chiffrées régulières, avec tests de restauration ; (vii) la surveillance des accès, des opérations sensibles et des anomalies, par voie de journalisation et d'outils de détection ; (viii) le filtrage et la protection contre les attaques applicatives courantes (pare-feu applicatif, limitation du débit, protection anti-bot).

10.3 Mesures organisationnelles. Ces mesures comprennent notamment : (i) la limitation des accès aux données aux seuls personnels habilités, sur la base de profils différenciés et du principe du moindre privilège ; (ii) la revue périodique des habilitations ; (iii) la sensibilisation et la formation régulières des personnels à la protection des données et à la sécurité ; (iv) la mise en œuvre de clauses de confidentialité contractuelles avec les personnels et les sous-traitants ; (v) la gestion documentée des incidents de sécurité et des violations de données, incluant une procédure de notification interne et externe.

10.4 Violations de données. En cas de violation de données à caractère personnel au sens de l'article 4 §12 du RGPD, Milextravel met en œuvre la procédure suivante : (i) détection, qualification et confinement de la violation ; (ii) notification à la CNIL dans un délai de soixante-douze (72) heures à compter de la prise de connaissance, dans les conditions de l'article 33 du RGPD, lorsque la violation est susceptible d'engendrer un risque pour les droits et libertés des personnes concernées ; (iii) communication aux personnes concernées sans retard injustifié, conformément à l'article 34 du RGPD, lorsque la violation est susceptible d'engendrer un risque élevé pour leurs droits et libertés ; (iv) documentation interne de la violation, des mesures prises et des conclusions tirées, conservée à des fins de démonstration de conformité.

10.5 Sous-traitants et sécurité. Milextravel s'assure, par voie contractuelle et par évaluations périodiques, que ses sous-traitants mettent en œuvre des mesures de sécurité au moins équivalentes à celles de Milextravel et qu'ils l'informent sans retard de toute violation de données les concernant.

11.1 Droits. Conformément aux articles 15 à 22 du RGPD et à la loi française n° 78-17 modifiée, toute personne concernée dispose des droits suivants : (i) droit d'accès (article 15 RGPD) ; (ii) droit de rectification (article 16) ; (iii) droit à l'effacement (article 17, dit « droit à l'oubli ») ; (iv) droit à la limitation du traitement (article 18) ; (v) droit d'opposition (article 21) ; (vi) droit à la portabilité (article 20) ; (vii) droit de retirer son consentement à tout moment, pour les traitements fondés sur le consentement (notamment données sensibles, Section 6, et cookies non essentiels, Politique Cookies), sans que ce retrait affecte la licéité du traitement antérieur ; (viii) droit de ne pas faire l'objet d'une décision exclusivement automatisée dans les conditions de la Section 9 ; (ix) droit de définir des directives post-mortem quant au sort des données, en application de l'article 85 de la loi n° 78-17 modifiée.

11.2 Modalités d'exercice. Toute demande d'exercice de l'un de ces droits peut être adressée par courrier électronique à privacy@milextravel.com ou par courrier postal : [RAISON SOCIALE] — Privacy — [ADRESSE SIÈGE SOCIAL]. La demande doit comporter les éléments permettant d'identifier la personne concernée et de préciser le ou les droits exercés. Milextravel peut, en cas de doute raisonnable sur l'identité du demandeur, solliciter la communication d'éléments complémentaires permettant cette identification, sans pour autant exiger de manière disproportionnée la production d'une pièce d'identité.

11.3 Délai de réponse. Milextravel s'engage à répondre dans un délai d'un (1) mois à compter de la réception de la demande, conformément à l'article 12 §3 du RGPD. Ce délai peut être prolongé de deux (2) mois en cas de complexité de la demande ou de pluralité de demandes, l'auteur de la demande étant alors informé de la prolongation et de ses motifs dans le délai initial d'un mois.

11.4 Gratuité. L'exercice des droits est gratuit. Toutefois, en cas de demande manifestement infondée ou excessive, en particulier en raison de son caractère répétitif, Milextravel peut, conformément à l'article 12 §5 du RGPD, soit exiger le paiement de frais raisonnables, soit refuser de donner suite à la demande.

11.5 Limites et exceptions. Certaines demandes peuvent ne pas pouvoir être pleinement satisfaites, en particulier : (i) l'effacement des données dont la conservation est imposée par une obligation légale (notamment données comptables, KYC, données déclarées DAC 7) ne peut être obtenu avant l'expiration de la durée légale ; (ii) l'effacement des données nécessaires à la défense de droits de Milextravel ou d'un tiers en justice peut être différé jusqu'à l'issue des procédures concernées ; (iii) l'effacement d'un Avis publié, s'il porte une atteinte excessive aux intérêts légitimes des futurs Utilisateurs à disposer d'informations transparentes, peut être substitué par une anonymisation au sens de la Section 12.10 des CGU et de la Section 5.5 de la présente Politique. Dans tous les cas, Milextravel motive la décision et indique les voies de recours disponibles.

11.6 Réclamation auprès de la CNIL. Indépendamment de tout autre recours, la personne concernée a le droit d'introduire une réclamation auprès de la Commission nationale de l'informatique et des libertés (CNIL) : 3, place de Fontenoy — TSA 80715 — 75334 Paris cedex 07 — Site Internet : https://www.cnil.fr. Les personnes concernées résidant dans un autre État membre de l'Union européenne peuvent également saisir l'autorité de contrôle compétente de leur État de résidence.

11.7 Directives post-mortem. Conformément à l'article 85 de la loi n° 78-17 modifiée, toute personne peut définir des directives relatives à la conservation, à l'effacement et à la communication de ses données à caractère personnel après son décès, soit générales (auprès d'un tiers de confiance certifié par la CNIL), soit spécifiques (auprès de Milextravel pour les seules données qu'elle traite). À défaut de directives, les héritiers de la personne décédée peuvent exercer, dans la mesure nécessaire, certains droits prévus par l'article 85 II.

12.1 Renvoi à la Politique Cookies. Les cookies et autres traceurs mis en œuvre sur le Site, leur finalité, leur durée, leur éditeur, la distinction entre traceurs strictement nécessaires et traceurs soumis au consentement, et les modalités de recueil et de retrait du consentement sont décrits dans la Politique Cookies accessible à l'adresse [URL_POLITIQUE_COOKIES].

12.2 Principes. La distinction est rappelée comme suit : (i) les traceurs strictement nécessaires au fonctionnement du Site et à la fourniture du service expressément demandé par l'Utilisateur (notamment cookies de session, cookies de sécurité, cookies de gestion du consentement) ne nécessitent pas de consentement préalable ; (ii) les autres traceurs (notamment mesure d'audience non strictement nécessaire, cookies tiers à finalité fonctionnelle non essentielle) sont soumis au consentement préalable, libre, spécifique, éclairé et univoque de l'Utilisateur, recueilli au moyen d'un module dédié, dont le refus est aussi facile que l'acceptation.

12.3 Modification des préférences. L'Utilisateur peut, à tout moment, modifier ses préférences de cookies depuis le module de gestion accessible sur le Site (généralement dans le pied de page sous l'intitulé « Gérer mes cookies » ou équivalent).

13.1 Modifications. Milextravel peut faire évoluer la présente Politique pour tenir compte des évolutions de la Plateforme, des sous-traitants, du cadre réglementaire et des recommandations de la CNIL. Toute modification est portée à la connaissance des Utilisateurs : (i) par mise à jour de la présente Politique sur le Site, avec actualisation de la date d'entrée en vigueur figurant en tête de document ; (ii) par notification individuelle par courrier électronique aux Utilisateurs disposant d'un Compte actif, lorsque la modification est substantielle, en particulier lorsqu'elle affecte les finalités, les bases légales, les sous-traitants, les durées de conservation ou les droits des personnes ; (iii) le cas échéant, par recueil d'un nouveau consentement lorsque le traitement repose sur cette base légale et que la modification l'exige.

13.2 Historique. Milextravel conserve un historique des versions successives de la Politique de Confidentialité, accessible sur demande adressée au point de contact défini à la Section 3.2 et, le cas échéant, depuis une page dédiée du Site.

13.3 Contact. Toute question relative à la présente Politique ou à la protection des données peut être adressée par courrier électronique à privacy@milextravel.com ou par courrier postal : [RAISON SOCIALE] — Privacy — [ADRESSE SIÈGE SOCIAL].