Politique de confidentialité

Dernière mise à jour : 2 juin 2026

La présente Politique de confidentialité explique comment Nowistay collecte, utilise, partage et protège les données à caractère personnel. Elle s'applique à notre site www.nowistay.com, à la plateforme et aux applications Nowistay (notamment l'application destinée aux hôtes et l'application destinée aux voyageurs), ainsi qu'aux intégrations et connecteurs proposés au travers de celles-ci. Nous vous invitons à la lire avec nos conditions d'utilisation.

Nowistay aide les gestionnaires de biens et les hôtes à exploiter des locations de courte durée et à communiquer avec leurs voyageurs. De ce fait, nous traitons des données à la fois en qualité de responsable de traitement (pour nos propres clients et les visiteurs du site) et en qualité de sous-traitant (pour les données de voyageurs que nos clients gèrent via la plateforme). Ce point est précisé à la section 2.

1. Qui sommes-nous

Sauf indication contraire, le responsable du traitement pour les opérations décrites dans la présente politique est :

  • Société : Nowistay, Société par actions simplifiée (SAS)
  • Siège social : 2 Place de la Bourse, 33000 Bordeaux, France
  • Immatriculation : RCS Bordeaux 938 031 838
  • TVA intracommunautaire : FR08938031838
  • Directeur de la publication : Bassel Abedi
  • Contact pour les questions de confidentialité : hello@nowistay.com

2. Notre rôle : responsable de traitement et sous-traitant

Notre rôle dépend des personnes concernées par les données.

  • Nous agissons en qualité de responsable de traitement pour les données personnelles de nos clients (titulaires de compte et personnes qu'ils ajoutent à leur équipe), pour les visiteurs de notre site, ainsi que pour nos propres finalités de facturation, de sécurité et d'amélioration du service.
  • Nous agissons en qualité de sous-traitant pour les données personnelles des voyageurs que nos clients collectent et gèrent via la plateforme. Dans ce cas, le client (l'hôte ou le gestionnaire) est le responsable de traitement et décide des finalités et des moyens du traitement de ces données. Nous les traitons sur ses instructions afin de fournir le service. Si vous êtes voyageur et souhaitez exercer vos droits, veuillez vous adresser à l'hôte ou au gestionnaire responsable de votre réservation. Nous l'assisterons en tant que de besoin.

3. Données personnelles que nous collectons

3.1 Visiteurs du site

  • Les informations que vous transmettez via les formulaires de contact ou d'inscription, telles que nom et adresse e-mail.
  • Les données techniques collectées automatiquement, telles qu'adresse IP, type et langue du navigateur, système d'exploitation, pages d'origine, date et heure d'accès, et interactions avec le site (voir la section 11 sur les cookies).

3.2 Titulaires de compte (hôtes et gestionnaires)

  • Données d'identité et de compte : prénom, nom, adresse e-mail, mot de passe (conservé uniquement sous forme hachée), langue préférée, rôle et statut du compte.
  • Données de contact et professionnelles : nom et numéro de téléphone de l'hôte, et raison sociale lorsqu'elle est fournie.
  • Données relatives aux logements : noms des logements, adresses, géolocalisation, capacité, heures d'arrivée et de départ, tarifs et règles de disponibilité, images et liens d'annonces.
  • Membres de l'équipe : si vous ajoutez des membres d'équipe (par exemple personnel de ménage ou de maintenance), nous traitons leurs prénom, nom, adresse e-mail, numéro de téléphone, rôle, préférences de travail et paramètres de notification. Il vous appartient de les informer et de disposer d'une base légale pour nous communiquer leurs données.
  • Paramètres d'intégration : identifiants et informations d'authentification que vous fournissez pour connecter les services tiers que vous choisissez d'utiliser, tels que systèmes de gestion immobilière, calendriers et services de serrures connectées.
  • Données de facturation : détails de l'abonnement et identifiants émis par notre prestataire de paiement. Nous ne conservons pas les numéros complets de carte ou de compte bancaire.

3.3 Voyageurs

Ces données sont généralement saisies par l'hôte, importées depuis le canal de réservation, ou fournies par le voyageur lors d'une réservation directe. Elles peuvent comprendre :

  • Prénom, nom, adresse e-mail et numéro de téléphone.
  • Adresse postale (ligne, ville, code postal, pays) lorsqu'elle est collectée.
  • Détails de la réservation : dates d'arrivée et de départ, heures d'arrivée et de départ, nombre d'adultes et d'enfants, numéro de réservation, canal de réservation, langue et notes.
  • Détails financiers de la réservation : montants, tarif par nuit, frais de ménage, taxes applicables, commission du canal et devise.
  • Communications avec les voyageurs : le contenu des messages échangés entre le voyageur, l'hôte et notre assistant automatisé, y compris le canal utilisé (par exemple messagerie d'une plateforme de réservation, e-mail ou WhatsApp).

3.4 Données de paiement et de vérification d'identité

  • Paiements : lorsque des paiements, cautions ou versements sont traités, notre prestataire de paiement gère directement les données de carte et bancaires. Nous recevons et conservons des identifiants de transaction, des montants et des statuts, et non les données de carte ou bancaires sous-jacentes.
  • Vérification d'identité : lorsqu'un hôte active la vérification d'identité d'un voyageur, celle-ci est réalisée par un prestataire spécialisé de vérification d'identité. Nous conservons le statut de la vérification et le nom vérifié. Les documents d'identité, la date de naissance et toute vérification biométrique sont traités par ce prestataire conformément à ses propres conditions de confidentialité.

3.5 Données de serrures connectées et d'accès

Si vous connectez un service de serrure connectée, nous générons, transmettons et conservons des codes d'accès temporaires et des identifiants d'appareil associés à un séjour précis, afin de permettre aux voyageurs d'accéder au logement. Les codes d'accès sont révoqués ou supprimés après le séjour concerné.

3.6 Données techniques, journaux et sécurité

  • Les journaux serveur et d'accès, qui peuvent comprendre l'adresse IP, des détails de requête, des horodatages et un identifiant de corrélation de requête, utilisés à des fins de sécurité, de prévention de la fraude et de résolution d'incidents.
  • Un journal d'activité des événements opérationnels (par exemple réservations, missions et événements d'accès) utilisé pour exploiter le service et fournir une piste d'audit.

4. Comment nous utilisons les données et nos bases légales

Nous utilisons les données personnelles pour les finalités suivantes, en nous fondant sur les bases légales indiquées.

  • Fournir et exploiter le service (gestion des comptes, logements, réservations, calendriers, messagerie voyageurs, missions, codes d'accès et intégrations). Base légale : exécution d'un contrat, ou notre intérêt légitime à exploiter le service pour le compte de nos clients.
  • Traiter les paiements, cautions et versements, et réaliser la vérification d'identité lorsqu'elle est activée. Base légale : exécution d'un contrat et respect d'obligations légales.
  • Communiquer avec vous au sujet de votre compte, des demandes d'assistance et des informations importantes relatives au service. Base légale : exécution d'un contrat et notre intérêt légitime à accompagner nos clients.
  • Fournir des fonctionnalités automatisées et assistées par IA (voir la section 5). Base légale : exécution d'un contrat et notre intérêt légitime à proposer de l'automatisation, ou les instructions du client lorsque nous agissons en qualité de sous-traitant.
  • Sécuriser le service, prévenir la fraude et les abus, et préserver l'intégrité de la plateforme. Base légale : notre intérêt légitime et le respect d'obligations légales.
  • Améliorer nos services et développer de nouvelles fonctionnalités, en privilégiant des données agrégées ou réduites au minimum. Base légale : notre intérêt légitime.
  • Envoyer des communications marketing aux clients et prospects qui en ont fait la demande ou lorsque la loi le permet. Base légale : le consentement ou l'intérêt légitime. Vous pouvez vous y opposer à tout moment.
  • Respecter nos obligations légales, comptables et fiscales. Base légale : le respect d'obligations légales.

5. Fonctionnalités automatisées et assistées par IA

La plateforme comprend des fonctionnalités fondées sur l'intelligence artificielle pour aider les hôtes à exploiter leurs locations.

  • Messagerie voyageurs automatisée : les messages des voyageurs et les informations pertinentes sur le logement (telles que le livret d'accueil numérique et les questions fréquentes) sont traités par un prestataire tiers de modèles de langage afin de générer et d'envoyer des réponses aux voyageurs pour le compte de l'hôte.
  • Base de connaissances : les informations sur le logement sont indexées auprès de ce prestataire d'IA afin que l'assistant puisse répondre avec précision aux questions des voyageurs.
  • Analyses et synthèses : nous pouvons générer des synthèses et analyses agrégées (par exemple sentiment des messages et points opérationnels) dérivées des réservations et des messages.

Ces fonctionnalités reposent sur un prestataire tiers de modèles de langage qui agit comme notre sous-traitant ultérieur à cette fin. Nous n'utilisons pas vos données personnelles pour des décisions automatisées produisant des effets juridiques ou vous affectant de manière significative de façon similaire.

6. Connexion d'assistants IA tiers (connecteur MCP)

Les hôtes disposant d'un abonnement payant éligible peuvent connecter une application d'assistant IA tierce à leur compte Nowistay au moyen d'un connecteur sécurisé fondé sur le protocole Model Context Protocol (MCP). Cela permet à l'assistant connecté de lire des informations dans le compte de l'hôte et d'y effectuer des actions, pour le compte de l'hôte. La présente section décrit cette intégration, y compris les entrées que l'assistant connecté peut transmettre et les sorties qu'il peut recevoir.

6.1 Comment la connexion est autorisée

  • La connexion utilise un protocole d'autorisation standard du secteur (OAuth 2.1 avec PKCE). L'hôte doit être connecté à son compte Nowistay et doit approuver explicitement la connexion sur un écran de consentement.
  • L'écran de consentement indique quelle application demande l'accès, les autorisations précises demandées et le compte concerné par la connexion.
  • L'accès est accordé au moyen d'autorisations granulaires de lecture et d'écriture (couvrant logements, calendrier, réservations, missions, messages et livrets), et est limité aux logements détenus par l'hôte qui autorise et éligibles à la fonctionnalité.
  • L'hôte peut révoquer l'accès à tout moment depuis son compte. Chaque action réalisée via le connecteur est soumise à une limitation de débit et enregistrée dans un journal d'audit.

6.2 Ce à quoi un assistant connecté peut accéder (entrées et sorties)

Une fois connecté, et dans la limite des autorisations accordées, l'assistant peut effectuer des actions de lecture (qui renvoient des données à l'application connectée) et des actions d'écriture (qui créent ou modifient des données dans le compte, chacune soumise à une étape de prévisualisation et de confirmation). Les données concernées, par domaine, sont les suivantes :

Logements

  • Entrées : un identifiant de logement ou un terme de recherche, et les champs à mettre à jour (tels que nom, nom et téléphone de contact de l'hôte, capacité, heures d'arrivée et de départ, tarifs et adresse).
  • Sorties : détails du logement, paramètres d'exploitation et adresse.

Calendrier, disponibilités et tarifs

  • Entrées : identifiant de logement, plage de dates, et valeurs à appliquer (disponibilité, prix, durées de séjour minimale et maximale, et restrictions de séjour).
  • Sorties : disponibilité, tarification et règles de séjour pour les dates demandées.

Réservations

  • Entrées : filtres (logement, statut, canal, dates), ou, lors de la création ou de la mise à jour d'une réservation directe, les coordonnées du voyageur telles que nom, e-mail, téléphone, adresse, nombre de voyageurs, dates, montants et notes.
  • Sorties : détails de la réservation, pouvant comprendre le nom, l'e-mail, le téléphone et l'adresse du voyageur, les dates de séjour et le détail financier, ainsi que le contexte de conversation et opérationnel associé.

Missions opérationnelles et équipe

  • Entrées : filtres, ou les détails d'une tâche à créer ou à mettre à jour (type, planification, attribution et notes).
  • Sorties : détails des tâches et comptes rendus d'exécution, pouvant comprendre le nom du membre d'équipe assigné, le planning, des commentaires et des photos.

Messagerie voyageurs

  • Entrées : une référence de conversation ou de réservation, et le contenu d'un message à envoyer à un voyageur.
  • Sorties : les conversations avec les voyageurs et le contenu des messages, y compris les noms des expéditeurs, les horodatages et le canal utilisé. Une action d'écriture peut envoyer un message à un voyageur via son canal de messagerie, pour le compte de l'hôte.

Livret d'accueil numérique

  • Entrées : identifiants de logement ou de page, et contenu ou images du livret à créer ou à mettre à jour. Lorsqu'une image est fournie sous forme de lien public, seule l'image expressément fournie est téléchargée, validée et stockée. Nous ne parcourons pas le web et ne recherchons pas d'images pour votre compte.
  • Sorties : contenu et images du livret d'accueil.

6.3 Données que nous traitons pour faire fonctionner le connecteur

Pour faire fonctionner le connecteur de manière sécurisée, nous traitons également : le nom et l'adresse de redirection de l'application connectée, les autorisations que vous avez approuvées, les enregistrements d'autorisation et de jetons (les jetons d'accès et de rafraîchissement ne sont conservés que sous forme de condensats sécurisés, jamais en clair), les jetons d'approbation temporaires utilisés pour confirmer les actions d'écriture, les requêtes et réponses d'outils échangées, et des journaux d'audit incluant le compte, l'application connectée, un identifiant de requête et l'adresse IP. Les codes d'autorisation et les jetons d'accès ont une durée de vie courte. Les jetons de rafraîchissement font l'objet d'une rotation et peuvent être révoqués à tout moment.

6.4 Information importante sur les assistants connectés

Lorsqu'un hôte connecte une application d'assistant IA tierce, les données récupérées via le connecteur sont transmises au fournisseur de cette application et sont alors régies par la politique de confidentialité et les conditions propres à ce fournisseur. Nowistay ne contrôle pas la manière dont ce fournisseur traite les données une fois reçues. L'hôte qui connecte une telle application est responsable de s'assurer qu'il dispose d'une base légale pour partager les données concernées (y compris les données des voyageurs) avec ce fournisseur, et il lui appartient de prendre connaissance des conditions de confidentialité de ce dernier avant la connexion. Si vous ne souhaitez partager aucune donnée de cette manière, ne connectez pas d'assistant tiers, ou révoquez une connexion existante.

7. Avec qui nous partageons les données personnelles

Nous ne vendons pas de données personnelles. Nous ne les partageons que dans la mesure nécessaire à la fourniture du service, avec les catégories de destinataires suivantes, qui agissent comme nos prestataires de services (sous-traitants ultérieurs) ou comme destinataires indépendants lorsque cela est indiqué :

  • Des prestataires d'hébergement et de stockage cloud qui hébergent la plateforme, stockent les fichiers téléversés et conservent les journaux système.
  • Un prestataire d'hébergement de site web pour notre site public.
  • Un prestataire de services de paiement pour la facturation, les paiements des voyageurs, les cautions, les versements et la vérification d'identité.
  • Un prestataire de modèles de langage (IA) pour notre assistant automatisé et les fonctionnalités associées (voir la section 5).
  • Un prestataire de messagerie e-mail pour les e-mails transactionnels et marketing, et pour le traitement des e-mails entrants transmis à des fins d'analyse.
  • Un prestataire de messagerie pour WhatsApp et services de messagerie similaires.
  • Des prestataires de cartographie, de géolocalisation et d'analyse d'audience pour la recherche d'adresses, les fonctionnalités de localisation et la compréhension de l'usage du site.
  • Un prestataire de connectivité de gestion des canaux de distribution (qui opère la connexion Nowistay PMS) reliant votre compte aux plateformes de réservation en ligne et synchronisant les réservations, les tarifs et les disponibilités.
  • Les systèmes de gestion immobilière et les services de serrures connectées que vous choisissez de connecter. Il s'agit de vos propres comptes tiers ; les données partagées avec eux sont régies par leurs propres conditions.
  • Les applications d'assistant IA tierces que vous choisissez de connecter via le connecteur décrit à la section 6.
  • Des conseils professionnels et les autorités compétentes, lorsque la loi l'exige ou pour protéger nos droits.
  • Une entité repreneuse dans le cadre d'une fusion, d'une acquisition ou d'une réorganisation, sous réserve de la présente politique.

8. Transferts de données hors de l'Espace économique européen

Certains de nos prestataires sont situés en dehors de l'Espace économique européen, en particulier aux États-Unis. Lorsque des données personnelles sont transférées hors de l'Espace économique européen, nous mettons en place les garanties appropriées exigées par le Règlement général sur la protection des données, telles que les clauses contractuelles types de la Commission européenne, accompagnées de mesures complémentaires lorsque cela est nécessaire. Vous pouvez nous contacter pour obtenir davantage d'informations sur ces garanties.

9. Durées de conservation des données

  • Données de compte et de profil : conservées tant que votre compte est actif, puis pendant une durée raisonnable, avant suppression ou anonymisation.
  • Données de réservation, de voyageurs et de communication : conservées le temps nécessaire à la fourniture du service et tant que le compte associé est actif. Elles sont supprimées ou anonymisées à la clôture du compte, ou plus tôt sur demande, sauf si nous devons les conserver plus longtemps pour respecter une obligation légale.
  • Documents comptables et fiscaux : conservés pendant la durée requise par la loi (jusqu'à dix ans en droit français).
  • Résultats de vérification d'identité : conservés pendant la durée nécessaire pour justifier de la vérification et respecter les obligations légales.
  • Codes d'accès des serrures connectées : supprimés ou révoqués après le séjour concerné.
  • Journaux d'activité opérationnelle : conservés pendant une durée limitée (actuellement jusqu'à 90 jours).
  • Données d'autorisation du connecteur : les codes d'autorisation et les jetons d'accès ont une durée de vie courte ; les jetons de rafraîchissement restent valides jusqu'à leur révocation ou leur expiration.
  • Journaux serveur, de sécurité et d'audit : conservés pendant une durée limitée nécessaire à la sécurité et à la résolution d'incidents.

10. Vos droits

Conformément à la loi Informatique et Libertés du 6 janvier 1978 modifiée et au Règlement général sur la protection des données, vous disposez des droits suivants sur vos données personnelles :

  • Droit d'accès : obtenir la confirmation que vos données sont traitées et en recevoir une copie.
  • Droit de rectification : faire corriger des données inexactes ou incomplètes.
  • Droit à l'effacement : demander la suppression de vos données dans certaines situations.
  • Droit à la limitation : demander que nous limitions le traitement de vos données.
  • Droit d'opposition : vous opposer aux traitements fondés sur notre intérêt légitime, et vous opposer à tout moment à la prospection commerciale.
  • Droit à la portabilité : recevoir les données que vous avez fournies dans un format structuré, couramment utilisé et lisible par machine.
  • Retrait du consentement : lorsque le traitement repose sur le consentement, le retirer à tout moment, sans remettre en cause les traitements antérieurs.
  • Directives relatives au sort de vos données après votre décès.

Pour exercer ces droits, contactez-nous à l'adresse hello@nowistay.com. Nous pourrons être amenés à vérifier votre identité avant de répondre. Si vous êtes voyageur, veuillez adresser votre demande à l'hôte ou au gestionnaire responsable de votre réservation, qui est le responsable de traitement de ces données. Vous avez également le droit d'introduire une réclamation auprès de la Commission nationale de l'informatique et des libertés (CNIL, www.cnil.fr).

11. Cookies et technologies similaires

Nous utilisons des cookies et des technologies similaires sur notre site et notre plateforme.

  • Cookies strictement nécessaires : indispensables pour vous maintenir connecté et faire fonctionner les fonctionnalités essentielles. Ils ne peuvent pas être désactivés.
  • Cookies de fonctionnalité : mémorisent vos préférences.
  • Cookies de mesure d'audience : nous aident à comprendre l'usage du site et à l'améliorer. Ils reposent sur un prestataire de mesure d'audience et de gestion de balises.

Vous pouvez gérer les cookies via les paramètres de votre navigateur, notamment les bloquer ou les supprimer. La désactivation de certains cookies peut affecter le fonctionnement du site et de la plateforme. Lorsque la loi l'exige, nous recueillons votre consentement avant de déposer des cookies non essentiels.

12. Comment nous protégeons les données personnelles

Nous appliquons des mesures techniques et organisationnelles appropriées pour protéger les données personnelles, notamment le chiffrement des données en transit (HTTPS), le hachage des mots de passe, des contrôles d'accès fondés sur les rôles, un accès restreint au propriétaire de la ressource, des webhooks signés et vérifiés, des secrets conservés dans une configuration protégée, ainsi que des dispositifs de surveillance et de journalisation. Aucune méthode de transmission ou de stockage n'est totalement sûre, mais nous nous efforçons de protéger vos données et de traiter les incidents de manière appropriée.

13. Mineurs

La plateforme est destinée à un usage professionnel et adulte. Elle ne s'adresse pas aux enfants et nous ne collectons pas sciemment de données personnelles directement auprès d'enfants. Lorsque des informations de voyageurs concernent des mineurs voyageant avec des adultes, elles sont fournies et gérées par l'hôte sous sa responsabilité.

14. Modifications de la présente politique

Nous pouvons mettre à jour la présente Politique de confidentialité de temps à autre. En cas de modification substantielle, nous mettrons à jour la date en haut de page et, le cas échéant, vous en informerons. Nous vous invitons à consulter cette page régulièrement.

15. Contact

Pour toute question ou demande concernant la présente Politique de confidentialité ou vos données personnelles, contactez-nous :

16. Droit applicable

La présente Politique de confidentialité est régie par le droit français. Tout litige qui ne pourrait être résolu à l'amiable sera soumis à la compétence des tribunaux français compétents.

Nowistay logo
linkedinyoutubefacebook
© 2026 Nowistay
AideRessourcesCGUVie privéeNous contacterA propos