Politique de confidentialité

Dernière mise à jour : 10 mai 2026

La présente politique décrit comment Some Nights (« nous », « l'Éditeur ») traite vos données personnelles lorsque vous utilisez le Service : livret d'accueil numérique, mini-site public, espace propriétaire et intégrations associées (collectivement, le « Service »).

Elle est rédigée en application du Règlement général sur la protection des données (RGPD, UE 2016/679) et de la loi française « Informatique et Libertés ». Elle s'adresse à toute personne concernée par un traitement : Voyageurs qui consultent le livret ou y déposent des données, et Exploitants (propriétaires, gestionnaires) qui administrent un hébergement.

Elle complète, sans s'y substituer, les Conditions générales d'utilisation du Service.

1. Responsable de traitement

L'Éditeur du Service Some Nights est responsable du traitement pour les données qu'il collecte directement (Comptes Exploitants, journaux d'accès, communications avec le support).

Pour les données concernant les Voyageurs traitées dans le cadre d'un hébergement particulier, c'est l'Exploitant qui est responsable de traitement ; l'Éditeur agit alors comme sous-traitant au sens de l'article 28 du RGPD (voir § 10).

Pour toute question ou demande, écrivez à contact@somenights.at.

2. Données collectées

Voyageurs

Identité : prénom, nom.
Coordonnées : adresse e-mail, numéro de téléphone.
Réservation : dates de séjour, source, identifiant interne.
Animaux : nom, type, race (lorsque vous les déclarez).
État des lieux : photos des pièces, observations, signature manuscrite, consentement horodaté.
Conciergerie : messages saisis dans l'assistant.
Données techniques : adresse IP, type de navigateur, journaux d'accès limités à des fins de sécurité.

Exploitants / administrateurs

Compte : nom, e-mail, identifiant Google le cas échéant, mot de passe (haché par Firebase Authentication).
Profil : numéro de téléphone, nom de la conciergerie, préférences linguistiques.
Configuration des hébergements et des intégrations (clés API, identifiants externes).

3. Finalités et bases légales

Fournir le livret d'accueil et l'accès au logement — exécution du contrat.
Réaliser l'état des lieux contradictoire — exécution du contrat et intérêt légitime à protéger les biens loués.
Gérer les réservations et la communication associée (e-mails de bienvenue, notifications) — exécution du contrat.
Fournir la conciergerie virtuelle — exécution du contrat ; les messages sont transmis à un fournisseur d'IA pour générer la réponse.
Sécurité, prévention de la fraude, journalisation — intérêt légitime.
Respect d'obligations légales (comptables, fiscales, registre des voyageurs si applicable) — obligation légale.

4. Destinataires et sous-traitants

Vos données peuvent être transmises aux prestataires techniques suivants, agissant en qualité de sous-traitants au sens du RGPD et tenus à des engagements contractuels de confidentialité et de sécurité.

Sous-traitants systématiques

Ces prestataires interviennent dès lors que vous utilisez le Service :

Google / Firebase (Google Ireland Ltd.) — authentification, base de données Firestore, hébergement des photos d'état des lieux.
Netlify — hébergement du site et des fonctions serveur.

Sous-traitants conditionnels (activés à la demande de l'Exploitant)

Ces prestataires n'interviennent que si l'intégration correspondante est activée sur l'hébergement concerné. Lorsqu'elle ne l'est pas, aucune donnée n'est transmise au prestataire :

Anthropic — assistant conversationnel (Claude) ; les messages saisis dans le chat lui sont envoyés pour générer la réponse. Activé lorsque la conciergerie virtuelle est utilisée.
Resend — envoi et réception des e-mails transactionnels (notifications de réservation, transferts d'e-mails de confirmation, demandes). Activé lorsqu'une intégration e-mail est configurée.
Beds24 — synchronisation des calendriers de réservation. Activé lorsque l'intégration Beds24 est connectée.
Casamast — gestion d'accès par clé numérique. Activé lorsque l'intégration Casamast est connectée.
LAI — coordination du ménage et du linge. Activé lorsque l'intégration LAI est connectée.

Nous ne vendons pas vos données et ne les transmettons pas à des tiers à des fins publicitaires.

La liste à jour des sous-traitants ultérieurs est publiée sur la page /subprocessors.html. L'Exploitant, en qualité de responsable de traitement, est invité à la consulter régulièrement. Toute modification y est publiée au moins sept (7) jours avant son entrée en vigueur, sauf urgence motivée. L'Exploitant peut s'y opposer pour motif légitime en écrivant à contact@somenights.at ; à défaut d'opposition à l'échéance du préavis, la modification est réputée acceptée.

5. Transferts hors UE

Les données sont hébergées au sein de l'Espace économique européen ou dans un pays bénéficiant d'une décision d'adéquation de la Commission européenne. Lorsque certains sous-traitants sont situés dans des pays tiers (notamment aux États-Unis), des garanties appropriées sont mises en place : clauses contractuelles types de la Commission européenne, programmes de certification reconnus tels que l'EU-US Data Privacy Framework.

6. Durées de conservation

Données de réservation et d'identité du Voyageur : pendant la durée du séjour puis jusqu'à 3 ans après la fin du séjour, à des fins de preuve.
État des lieux signé (photos, signature) : jusqu'à 3 ans, conformément au délai de prescription applicable aux litiges locatifs courants.
Conversations avec la conciergerie virtuelle : 12 mois maximum.
Comptes Exploitants : pendant toute la durée d'utilisation du Service, puis 12 mois après désactivation.
Journaux techniques : 12 mois maximum.
Données de connexion conservées au titre de l'article 6-II de la LCEN : dans les conditions et durées prévues par la loi.

7. Vos droits

Conformément au RGPD, vous disposez des droits suivants :

Droit d'accès à vos données.
Droit de rectification des données inexactes.
Droit à l'effacement (« droit à l'oubli »), sous réserve des obligations légales de conservation.
Droit à la limitation et à la portabilité (export en JSON ou CSV).
Droit d'opposition pour des motifs légitimes.
Droit de définir des directives relatives au sort de vos données après votre décès.

Pour exercer ces droits, écrivez-nous à contact@somenights.at. Nous répondons dans un délai d'un mois.

Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) : www.cnil.fr.

8. Cookies et stockage local

Le Service utilise le stockage local du navigateur (localStorage) pour mémoriser votre langue préférée et conserver votre session d'authentification. Aucun traceur publicitaire ou de mesure d'audience tiers n'est déposé sans votre consentement préalable. Firebase Authentication peut déposer un cookie technique strictement nécessaire à votre connexion.

9. Sécurité

Les communications sont chiffrées (HTTPS). Les mots de passe sont hachés. Les accès aux espaces d'administration sont restreints par authentification. Les sauvegardes et les contrôles d'accès sont assurés par nos hébergeurs.

En cas de violation de données à caractère personnel, l'Éditeur le notifie à l'Exploitant concerné dans les meilleurs délais et au plus tard soixante-douze (72) heures après en avoir pris connaissance, et lui fournit les informations utiles pour permettre, le cas échéant, la notification à la CNIL et la communication aux personnes concernées prévues par les articles 33 et 34 du RGPD.

10. Article 28 du RGPD — convention de sous-traitance

Lorsque l'Exploitant est responsable de traitement des données qu'il fait traiter par le Service, les Conditions générales d'utilisation et la présente Politique de confidentialité constituent ensemble la convention de sous-traitance prévue à l'article 28 du RGPD. L'acceptation des CGU vaut signature de cette convention.

Sur demande raisonnable, l'Éditeur met à la disposition de l'Exploitant la documentation utile à la démonstration du respect de l'article 28 : description des mesures techniques et organisationnelles, liste à jour des sous-traitants ultérieurs, registre des traitements concernés.

L'Éditeur n'utilise pas les Contenus de l'Exploitant ni les échanges des Voyageurs pour entraîner ses propres modèles d'intelligence artificielle, et n'autorise pas ses sous-traitants à le faire au-delà de la stricte fourniture du Service.

11. Modifications

La présente politique peut être mise à jour. La date de dernière modification est indiquée en tête de page. Pour les évolutions substantielles (ajout d'un sous-traitant ultérieur, changement de finalité), vous serez informé par e-mail ou par un message dans le Service avec un préavis raisonnable.

Privacy policy

Last updated: 10 May 2026

This policy describes how Some Nights ("we", "the Publisher") processes your personal data when you use the Service: digital welcome booklet, public minisite, owner area and connected integrations (together, the "Service").

It is provided in accordance with the EU General Data Protection Regulation (GDPR, 2016/679) and the French Informatique et Libertés Act. It addresses everyone concerned by a processing activity: Travelers who view the booklet or submit data through it, and Operators (owners, managers) who administer a property.

It complements, without replacing, the Terms of Use of the Service.

1. Data controller

The Publisher of the Some Nights Service is the data controller for the data it collects directly (Operator Accounts, access logs, support communications).

For Traveler-related data processed in connection with a specific property, the Operator is the data controller; the Publisher then acts as a data processor within the meaning of article 28 GDPR (see § 10).

For any question or request, write to contact@somenights.at.

2. Data we collect

Travelers

Identity: first name, last name.
Contact details: e-mail address, phone number.
Booking: stay dates, booking source, internal identifier.
Pets: name, type, breed (when you declare them).
Property inspection: room photos, comments, handwritten signature, time-stamped consent.
Concierge chat: messages typed into the assistant.
Technical data: IP address, browser type, access logs limited to security purposes.

Operators / administrators

Account: name, e-mail, Google identifier where applicable, password (hashed by Firebase Authentication).
Profile: phone number, concierge name, language preference.
Listing and integration configuration (API keys, external identifiers).

3. Purposes and legal bases

Provide the welcome booklet and access to the property — performance of the contract.
Carry out the contradictory property inspection — performance of the contract and legitimate interest in protecting the rented property.
Manage bookings and related communications (welcome e-mails, notifications) — performance of the contract.
Provide the virtual concierge — performance of the contract; messages are sent to an AI provider to generate the response.
Security, fraud prevention, logging — legitimate interest.
Compliance with legal obligations (accounting, tax, traveller register where applicable) — legal obligation.

4. Recipients and sub-processors

Your data may be shared with the following technical providers, acting as processors under GDPR and bound by contractual confidentiality and security obligations.

Always-on sub-processors

These providers are involved as soon as you use the Service:

Google / Firebase (Google Ireland Ltd.) — authentication, Firestore database, storage of inspection photos.
Netlify — site and serverless function hosting.

Conditional sub-processors (enabled by the Operator)

These providers are only involved when the corresponding integration is enabled on the relevant property. When the integration is not enabled, no data is sent to the provider:

Anthropic — conversational assistant (Claude); messages typed into the chat are sent to it to generate the response. Enabled when the virtual concierge is used.
Resend — sending and receiving transactional e-mails (booking notifications, forwarded confirmation emails, inquiries). Enabled when an e-mail integration is configured.
Beds24 — booking calendar synchronization. Enabled when the Beds24 integration is connected.
Casamast — digital key access. Enabled when the Casamast integration is connected.
LAI — cleaning and linen coordination. Enabled when the LAI integration is connected.

We do not sell your data and do not share it with third parties for advertising purposes.

The up-to-date list of sub-processors is published at /subprocessors.html. Operators, acting as data controllers, are invited to check it regularly. Any change is published at least seven (7) days before it takes effect, save for justified urgency. The Operator may object on legitimate grounds by writing to contact@somenights.at; absent an objection by the end of the notice period, the change is deemed accepted.

5. Transfers outside the EU

Data is hosted within the European Economic Area or in a country covered by a European Commission adequacy decision. Where some sub-processors are located in third countries (notably the United States), appropriate safeguards are in place: European Commission Standard Contractual Clauses, and recognized certification schemes such as the EU-US Data Privacy Framework.

6. Retention periods

Traveler booking and identity data: for the duration of the stay and up to 3 years after the end of the stay, for evidentiary purposes.
Signed property inspection (photos, signature): up to 3 years, in line with the limitation period for ordinary rental disputes.
Concierge conversations: up to 12 months.
Operator accounts: for as long as you use the Service, then 12 months after deactivation.
Technical logs: up to 12 months.
Connection data retained under article 6-II LCEN: in the conditions and for the periods set by law.

7. Your rights

Under the GDPR, you have the following rights:

Right of access to your data.
Right to rectify inaccurate data.
Right to erasure ("right to be forgotten"), subject to legal retention obligations.
Right to restrict processing and to data portability (export in JSON or CSV).
Right to object on legitimate grounds.
Right to issue directives about the fate of your data after your death.

To exercise these rights, write to contact@somenights.at. We respond within one month.

If you believe your rights are not being respected, you may lodge a complaint with the French data-protection authority, the Commission nationale de l'informatique et des libertés (CNIL): www.cnil.fr/en.

8. Cookies and local storage

The Service uses the browser's localStorage to remember your preferred language and keep you signed in. We do not place any third-party advertising or analytics cookies without your prior consent. Firebase Authentication may set a technical cookie strictly necessary for your sign-in.

9. Security

Communications are encrypted (HTTPS). Passwords are hashed. Admin areas are gated by authentication. Backups and access controls are provided by our hosting partners.

In the event of a personal-data breach, the Publisher will notify the affected Operator without undue delay and no later than seventy-two (72) hours after becoming aware of it, and will provide the information needed to enable, where applicable, notification to the CNIL and communication to the data subjects under articles 33 and 34 GDPR.

10. Article 28 GDPR — data-processing agreement

Where the Operator is the data controller for data processed through the Service on their behalf, the Terms of Use and this Privacy policy together constitute the data-processing agreement required by article 28 GDPR. Acceptance of the Terms of Use stands as signature of that agreement.

Upon reasonable request, the Publisher will make available to the Operator the documentation needed to demonstrate compliance with article 28: description of technical and organisational measures, up-to-date list of further sub-processors, register of relevant processing activities.

The Publisher does not use Operator Content or Traveler exchanges to train its own artificial-intelligence models, and does not allow its sub-processors to do so beyond what is strictly required to deliver the Service.

11. Changes

This policy may be updated. The last-updated date is shown at the top of the page. For substantial changes (addition of a further sub-processor, change of purpose), you will be notified by e-mail or through an in-product message with reasonable advance notice.