Politique de confidentialité

Chaque logement géré par un hébergeur dispose d'un QR code unique généré par Trustio. Lorsque le voyageur scanne ce QR code, il est dirigé vers un portail Wi-Fi sécurisé propre au logement.

Pour accéder au Wi-Fi, le voyageur doit :

• renseigner son identité (nom, email, téléphone, dates de séjour) ;
• vérifier son adresse email par OTP (code à 6 chiffres envoyé par email, expirant en 10 minutes, limité à 5 tentatives) ;
• accepter explicitement les conditions d'accès au Wi-Fi.

Une fois le consentement validé, les identifiants Wi-Fi sont affichés et un PDF de preuve juridique est généré et archivé pour l'hébergeur.

Pour les hébergeurs (clients Trustio) :

• identité, email, mot de passe haché (bcrypt) ;
• informations de l'établissement (nom, adresse) ;
• données de facturation (gérées par Stripe).

Pour les voyageurs (formulaire de portail Wi-Fi) :

• nom complet, adresse email, numéro de téléphone ;
• dates de séjour, nombre d'occupants, référence de réservation (optionnelle) ;
• adresse IP publique (mesurée côté serveur, non communiquée par le client) ;
• User-Agent du navigateur ayant validé le consentement ;
• identifiant de session (UUID lié au formulaire) ;
• code OTP (jamais stocké en clair — uniquement son empreinte SHA-256) ;
• horodatages UTC (envoi OTP, vérification, consentement, affichage des identifiants Wi-Fi).

Le PDF est généré côté serveur, dans le bucket sécurisé Supabaseconsent-pdfs. Il contient :

• l'identifiant unique du consentement et de la session ;
• l'identité du voyageur et de l'hébergeur ;
• l'historique horodaté des événements (OTP, consentement, remise du Wi-Fi) ;
• la version exacte et le hash SHA-256 des CGU acceptées ;
• l'empreinte SHA-256 du document (scellement), permettant de démontrer qu'il n'a pas été modifié.

Le PDF n'est jamais accessible au voyageur. Il est mis à disposition uniquement de l'hébergeur (responsable du traitement) via un lien signé à durée limitée.

Pour chaque consentement, Trustio journalise trois événements probants côté serveur :

• email_verified — vérification de l'adresse email par OTP ;
• consent_created — acceptation des conditions et création du consentement ;
• wifi_credentials_displayed — affichage effectif des identifiants Wi-Fi au voyageur.

Chaque événement enregistre l'horodatage UTC, l'adresse IP serveur, le User-Agent et l'identifiant de session.

• Hébergement Supabase (Union Européenne).
• Chiffrement en transit (TLS 1.2+) et au repos.
• Row-Level Security activé : chaque hébergeur n'accède qu'à ses propres données.
• Codes OTP : SHA-256, jamais stockés en clair, supprimés au-delà de 24 h après expiration.
• PDF stockés dans un bucket privé ; accès via URL signée à durée limitée.
• Vérification de session côté serveur : session_id + slug + email + IP + OTP doivent tous concorder.

• Preuves de consentement (PDF + métadonnées + activity_logs) : 5 ans à compter du séjour, à des fins probatoires.
• Codes OTP : 24 h maximum après expiration.
• Compte hébergeur : durée de l'abonnement + 3 ans après résiliation.
• Logs techniques (erreurs, accès) : 12 mois maximum.

Trustio / Trustio agit comme sous-traitant au sens de l'article 28 du RGPD : nous mettons à disposition l'infrastructure technique, sécurisons les données et générons les preuves, sans les exploiter à d'autres fins.

L'hébergeur est responsable du traitement des données de ses voyageurs : il détermine la finalité (mise à disposition d'un accès Wi-Fi conforme aux obligations légales applicables à son activité d'hébergement) et répond aux demandes d'exercice de droits émanant des voyageurs.

La collecte du consentement a pour finalité de constituer une preuve opposable de l'acceptation, par le voyageur, des conditions d'accès au réseau Wi-Fi de l'hébergement. Cette preuve peut être produite à la demande d'une autorité légalement compétente (police, justice) ou en cas de litige.

Les bases légales mobilisées sont :

• le consentement explicite du voyageur (art. 6.1.a RGPD), recueilli via OTP et cases à cocher ;
• l'intérêt légitime de l'hébergeur à se prémunir contre une utilisation frauduleuse de son réseau (art. 6.1.f RGPD) ;
• l'obligation légale de coopération en cas de réquisition (art. 6.1.c RGPD).

• Supabase — base de données PostgreSQL + stockage des PDF (UE).
• Brevo — envoi des emails transactionnels (OTP, bienvenue).
• Stripe — gestion des abonnements et paiements hébergeur.
• Cloudflare Workers — exécution applicative (edge).

Aucune donnée n'est revendue, ni utilisée à des fins publicitaires, ni soumise à du profilage.

Conformément au RGPD, toute personne dispose des droits suivants :

• droit d'accès, de rectification et d'effacement ;
• droit à la limitation et à l'opposition au traitement ;
• droit à la portabilité ;
• droit de définir des directives post-mortem ;
• droit d'introduire une réclamation auprès de la CNIL (www.cnil.fr).

Voyageur : adressez votre demande à l'hébergeur dont vous avez utilisé le portail Wi-Fi (responsable du traitement). À défaut, écrivez-nous à quiwificontact@gmail.com et nous relayerons votre demande.

Hébergeur : quiwificontact@gmail.com.

Trustio n'utilise que des cookies strictement nécessaires (session, préférence de langue). Aucun cookie publicitaire, analytique tiers ou de suivi comportemental n'est déposé.

La présente politique peut évoluer. La date de dernière mise à jour figure en haut de cette page. Les modifications substantielles seront notifiées aux hébergeurs par email.