Politique de confidentialité

Bruno SEITE — ManaProcess, éditeur de manapension.com, est responsable du traitement des données collectées via le service.

Contact : direction@manaprocess.com

Selon votre statut, ManaPension collecte :

Si vous êtes propriétaire ou gestionnaire de pension

• Identification : nom, prénom, email, mot de passe (hashé)
• Pension : nom, adresse, île, commune, téléphone, identifiants fiscaux (N° Tahiti, RCS)
• Facturation : Stripe customer ID (le moyen de paiement n'est jamais stocké chez nous)
• Usage : dernière connexion, logs techniques (IP, user-agent) pour la sécurité

Si vous êtes voyageur (client de la pension)

• Identité : nom, prénom, email, téléphone, pays, ville
• Pièce d'identité (uniquement si vous fournissez une photo) : type, numéro, date de naissance, lieu, nationalité — uniquement à des fins de fiche police obligatoire
• Préférences : régime alimentaire, allergies, demandes spéciales
• Réservation : dates, montants, paiements

Aucune donnée bancaire (numéro de carte) n'est stockée par ManaPension. Les paiements sont gérés exclusivement par Stripe.

• Fournir le service (gestion des réservations, factures, etc.) — base légale : exécution du contrat
• Facturation et paiement — exécution du contrat
• Sécurité du service (logs techniques, anti-fraude) — intérêt légitime
• Fiche police hébergeur (données voyageurs) — obligation légale (Code du tourisme, réglementation PF)
• Communications transactionnelles (confirmation de résa, rappel J-3) — exécution du contrat
• Communications commerciales (ManaPension → propriétaires) — consentement, retrait possible à tout moment

• Compte propriétaire actif : tant que l'abonnement est actif, puis 30 jours après résiliation, puis suppression complète sauf obligations légales (factures conservées 10 ans)
• Données voyageurs : conservées tant qu'utiles à la pension (fiche police obligatoire, suivi commercial), avec un maximum de 5 ans après la dernière interaction
• Logs techniques : 90 jours
• Données de facturation : 10 ans (obligation comptable et fiscale)

Vos données peuvent être transmises aux sous-traitants suivants, choisis pour leur conformité :

• Stripe Inc. (paiements) — Privacy — sous-processeur certifié
• Anthropic PBC (intelligence artificielle pour OCR, génération de contenu) — Privacy — les données envoyées à l'IA ne sont pas utilisées pour entraîner les modèles
• Brevo (envoi d'emails transactionnels, le cas échéant) — Privacy
• Hostinger (hébergement du site et de la base de données) — Privacy — serveurs en Europe
• Google (Search Console pour le référencement, statistiques anonymes) — Privacy

Aucune donnée n'est vendue ou cédée à des fins publicitaires.

Les serveurs principaux sont en Europe (Hostinger). Certains sous-traitants (Stripe, Anthropic, Google) peuvent traiter des données aux États-Unis sous Clauses Contractuelles Types et/ou Data Privacy Framework.

Conformément au RGPD, vous disposez des droits suivants :

• Accès : obtenir une copie de vos données
• Rectification : corriger les données inexactes
• Effacement : suppression de vos données (sauf obligations légales contraires)
• Limitation : suspendre temporairement le traitement
• Portabilité : récupérer vos données dans un format structuré
• Opposition : refuser un traitement (notamment les communications commerciales)
• Retrait du consentement : à tout moment pour les traitements basés sur le consentement

Pour exercer vos droits : direction@manaprocess.com. Réponse sous 30 jours.

Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la CNIL.

Mesures techniques et organisationnelles mises en œuvre :

• Chiffrement en transit (HTTPS/TLS 1.3 sur tout le site)
• Mots de passe hashés (bcrypt 10 rounds)
• Authentification multi-facteurs disponible (à venir)
• Isolation multi-tenant stricte (chaque pension ne voit que ses propres données)
• Sauvegardes régulières de la base de données
• Mises à jour de sécurité régulières
• Limitation des accès au minimum nécessaire

ManaPension utilise uniquement des cookies strictement nécessaires au fonctionnement du service :

• __Host-authjs.csrf-token — protection CSRF (session)
• __Secure-authjs.session-token — votre session de connexion (30 jours)
• __Secure-authjs.callback-url — redirection après connexion (session)
• manapension_welcome_played — pour ne pas rejouer l'animation à chaque page (session)

Aucun cookie de tracking publicitaire ou d'analytics tiers n'est déposé sans votre consentement explicite. Vous pouvez bloquer les cookies dans votre navigateur, mais le service ne fonctionnera plus correctement.

Le service n'est pas destiné aux mineurs de moins de 16 ans. Si vous identifiez un compte créé par un mineur, contactez-nous pour suppression.

Nous pouvons modifier cette politique. La date de mise à jour est indiquée en haut. Les modifications substantielles vous seront notifiées par email avec un préavis de 30 jours.

Pour toute question sur la confidentialité ou pour exercer vos droits : direction@manaprocess.com