HubBook

Politique de confidentialité

HubBook

Dernière mise à jour : Avril 2026

1. Présentation et périmètre

La présente politique de confidentialité régit spécifiquement l'utilisation de HubBook, service de prise de rendez-vous en ligne pour prestataires professionnels, édité par HubSuite SAS.

HubBook fait partie de l'écosystème HubSuite. Pour les traitements transversaux (identité utilisateur, sécurité des comptes, durées de conservation détaillées, liste complète des sous-traitants), Vous êtes expressément renvoyé vers la politique centrale HubSuite.

Éditeur : HubSuite SAS (en cours d'immatriculation). Siège social : 29 rue de Menin, 59700 Marcq-en-Baroeul, France. Représentant légal : Thomas Huyghe, Président.

Contact RGPD centralisé : privacy@hubsuite.fr.

2. Traitements opérés par HubBook

HubBook opère cinq traitements spécifiques. Chaque traitement est détaillé ci-dessous avec sa finalité, sa base légale, les données concernées, la durée de conservation et les destinataires.

2.1 Gestion des réservations en ligne

  • Finalité : Enregistrer et gérer les réservations effectuées par les clients des prestataires utilisateurs de HubBook.
  • Base légale : La base légale de ce traitement relève de la responsabilité du prestataire, qui détermine les finalités de la collecte des données de ses clients. HubSuite SAS agit en qualité de sous-traitant au sens de l'article 28 du RGPD (voir section 3).
  • Données : Prénom, nom, adresse email, numéro de téléphone (selon configuration), date et heure du rendez-vous, service réservé, statut de paiement, lien de visioconférence. Un champ de notes libres peut être activé par le prestataire ; son contenu est déterminé par le prestataire ou le client et relève de la responsabilité du prestataire. HubSuite SAS recommande à ses utilisateurs prestataires de ne pas y faire figurer de données sensibles au sens de l'article 9 du RGPD.
  • Durée : Durée de la relation prestataire-client + 3 ans après la dernière réservation.
  • Destinataires : Prestataire (propriétaire et équipe). Sous-traitants : MongoDB Atlas, Vercel, Stripe (si paiement), Gmail SMTP et Resend (notifications), Google Calendar (si synchronisation activée).

2.2 Synchronisation calendrier (Google Calendar et Outlook)

  • Finalité : Synchroniser le calendrier du prestataire avec un service de calendrier externe afin d'éviter les doubles réservations et de centraliser la gestion des rendez-vous.
  • Base légale : Consentement explicite (art. 6.1.a du RGPD). Le prestataire autorise expressément l'accès à son calendrier lors de la connexion du service.
  • Données : Jetons d'authentification OAuth chiffrés (AES-256-GCM), identifiant de calendrier, événements externes (titre, dates de début et de fin). Le titre des événements importés depuis le calendrier du prestataire peut contenir des informations relatives à des tiers ; ces données relèvent de la responsabilité du prestataire qui a choisi de connecter son calendrier externe à HubBook.
  • Durée : Jetons : durée de la connexion active, révocation immédiate sur déconnexion. Événements importés : 90 jours après la date de fin de l'événement.
  • Destinataires : HubBook. Sous-traitants : Google LLC (Calendar API), Microsoft Corporation (Outlook API, à venir), MongoDB Atlas.

2.3 Envoi de confirmations et rappels

  • Finalité : Envoyer aux clients des prestataires les confirmations de réservation, les rappels de rendez-vous et les notifications d'annulation ou de modification.
  • Base légale : Exécution du contrat (art. 6.1.b du RGPD). Ces communications sont nécessaires à la gestion de la réservation.
  • Données : Adresse email ou numéro de téléphone du client, contenu de la notification, horodatage d'envoi, statut de livraison.
  • Durée : Contenu des emails : 1 an maximum. Journal d'envoi (statut) : 3 ans.
  • Destinataires : Client final (par email ou SMS). Sous-traitants : Gmail SMTP, Resend (email), Twilio (SMS, à venir).

2.4 Gestion des disponibilités et services des prestataires

  • Finalité : Créer et gérer le compte professionnel du prestataire, configurer ses services, ses disponibilités, son équipe et ses paramètres de réservation.
  • Base légale : Exécution du contrat (art. 6.1.b du RGPD).
  • Données : Adresse email professionnelle, nom du business, téléphone professionnel, horaires d'ouverture, configuration des services (durée, tarif, description), rôle et plan d'abonnement.
  • Durée : Durée de l'abonnement actif + 3 ans après résiliation.
  • Destinataires : HubBook. Sous-traitants : MongoDB Atlas, Vercel, Stripe (gestion de l'abonnement).

2.5 Paiements des abonnements prestataires

  • Finalité : Traiter les paiements des abonnements souscrits par les prestataires pour l'utilisation de HubBook.
  • Base légale : Exécution du contrat (art. 6.1.b du RGPD).
  • Données : Identifiant de paiement Stripe, statut du paiement. Les données de carte bancaire sont collectées et stockées exclusivement par Stripe.
  • Durée : 10 ans pour les données comptables (obligation légale, art. L123-22 du Code de commerce). Traces de paiement : 15 mois maximum.
  • Destinataires : Stripe (traitement des paiements), MongoDB Atlas.

3. Cas particuliers : réservations et données sensibles

Réservations : responsabilité du prestataire

Lorsqu'un client effectue une réservation auprès d'un prestataire via HubBook, ses données sont collectées pour le compte du prestataire. Le prestataire est responsable de traitement au sens de l'article 4.7 du RGPD. HubSuite SAS agit en qualité de sous-traitant au sens de l'article 28 du RGPD et ne traite les données que sur instructions documentées du prestataire (art. 28.3.a du RGPD).

Données de santé : attention renforcée

HubSuite SAS attire spécifiquement l'attention de ses utilisateurs prestataires sur le cas où leur activité implique la collecte de données de santé (médecins, kinésithérapeutes, psychologues, ostéopathes et toute autre profession de santé au sens du Code de la santé publique). Les données de réservation dans ce contexte peuvent être qualifiées de données concernant la santé au sens de l'article 9 du RGPD, dont le traitement est strictement encadré.

Il appartient au prestataire d'évaluer si son activité relève de cette qualification et, le cas échéant :

  • De disposer d'une base légale conforme à l'article 9.2 du RGPD (notamment consentement explicite ou nécessité de la médecine)
  • De réaliser une analyse d'impact sur la protection des données (AIPD) si les critères de l'article 35 sont réunis
  • De mettre en oeuvre des mesures de sécurité renforcées

HubSuite SAS fournit les mesures de sécurité techniques décrites à la section 5 du présent document. Il appartient au prestataire de santé d'évaluer si ces mesures sont suffisantes au regard de ses obligations spécifiques et, dans le cas contraire, de recourir à une solution disposant de garanties supplémentaires (hébergement HDS notamment).

Par l'acceptation des conditions générales d'utilisation de HubBook, le prestataire reconnaît avoir pris connaissance de cet avertissement et assume la responsabilité de la qualification juridique des données qu'il collecte via le service.

4. Cookies spécifiques HubBook

HubBook dépose uniquement les cookies strictement nécessaires à son fonctionnement :

  • Cookies de session d'authentification hubsuite_session et hubsuite_refresh (gérés par HubConnect, système SSO de l'écosystème HubSuite)
  • Cookies Stripe sur les pages de paiement (prévention de la fraude, strictement nécessaires)

Ces cookies sont exemptés du recueil de consentement préalable conformément à l'article 82 de la loi Informatique et Libertés.

Aucun cookie analytique (Google Analytics, Hotjar, Mixpanel ou équivalent) ni aucun cookie marketing (Facebook Pixel, LinkedIn Insight ou équivalent) n'est déposé à la date de publication de la présente politique.

Une bannière de gestion des cookies est en cours de déploiement sur l'ensemble des sites de l'écosystème HubSuite. Pour plus de détails sur la typologie complète des cookies, consultez la section 7 de la politique centrale HubSuite.

5. Sécurité technique

HubSuite SAS met en oeuvre les mesures techniques suivantes pour protéger Vos données au sein de HubBook :

  • Chiffrement HTTPS (TLS) sur l'ensemble du site et des API
  • Authentification centralisée via HubConnect (mots de passe stockés sous forme hachée, bcrypt 12 rounds, conforme OWASP)
  • Chiffrement AES-256-GCM des tokens OAuth de calendrier stockés en base de données
  • Validation et assainissement des entrées utilisateur (librairie Zod)
  • Cloisonnement de la base de données HubBook
  • Journalisation des événements de sécurité avec durée de conservation limitée

Aucune mesure de sécurité ne peut toutefois garantir une protection absolue contre l'ensemble des risques inhérents à internet. HubSuite SAS invite ses utilisateurs prestataires à adopter également de bonnes pratiques de sécurité, notamment en matière de choix de mot de passe et de confidentialité de leurs identifiants.

Point important pour les prestataires de santé : les mesures ci-dessus constituent les garanties standard de HubBook. Si Votre activité implique le traitement de données de santé au sens de l'article 9 du RGPD, il Vous appartient d'évaluer si ces garanties sont suffisantes ou si le recours à une solution certifiée Hébergeur de Données de Santé (HDS) est nécessaire.

6. Destinataires et sous-traitants spécifiques HubBook

Dans le cadre de l'exploitation de HubBook, HubSuite SAS fait appel aux sous-traitants suivants :

Sous-traitantFinalitéLocalisationGaranties
MongoDB AtlasStockage de la base de données HubBookUSA ou UE selon région du clusterDPA + SCC 2021
VercelHébergement de l'application Next.jsUSADPA + SCC 2021
StripeTraitement des paiements (abonnements prestataires, réservations)Irlande (Stripe Payments Europe)DPA, entité européenne
Google LLCAPI Google Calendar (synchronisation), Gmail SMTP (emails)Irlande (Google Ireland)DPA + EU-US DPF
ResendEmails transactionnels (confirmations, rappels)USADPA + SCC 2021
Twilio (à venir)Envoi de SMS (rappels de réservation)USADPA + SCC 2021 (à signer avant mise en production)
Microsoft (à venir)Synchronisation calendrier OutlookUSADPA + EU-US DPF (à signer avant mise en production)

Pour la liste complète et à jour des sous-traitants de l'ensemble de l'écosystème HubSuite, consultez la section 5 de la politique centrale HubSuite.

7. Renvoi vers la politique centrale HubSuite

Pour aller plus loin

HubBook est un produit de l'écosystème HubSuite et non l'écosystème lui-même. Pour tout ce qui ne relève pas spécifiquement de HubBook, Vous devez consulter la politique centrale HubSuite. Vous y trouverez les informations concernant :

  • Les durées de conservation détaillées applicables à chaque catégorie de données
  • La liste complète et exhaustive des sous-traitants de l'écosystème
  • L'encadrement juridique des transferts de données hors Union Européenne
  • Les modalités pour l'exercice complet des droits RGPD (accès, rectification, effacement, portabilité, opposition, limitation, directives post-mortem)
  • Les autres cas particuliers (formulaires de leads HubCard, responsabilité conjointe au sein de l'écosystème)

Lien vers la politique centrale : https://www.hubsuite.fr/legal/confidentialite.

8. Contact et réclamations

Pour toute question relative à la présente politique de confidentialité ou pour exercer Vos droits RGPD, Vous pouvez nous contacter :

  • Par email : privacy@hubsuite.fr
  • Par courrier postal : HubSuite SAS, 29 rue de Menin, 59700 Marcq-en-Baroeul, France

Pour l'exercice complet de Vos droits, une page dédiée est disponible sur le site HubSuite : https://www.hubsuite.fr/legal/rgpd.

Si Vous estimez que vos droits ne sont pas respectés ou que le traitement de vos données n'est pas conforme au RGPD, Vous pouvez à tout moment introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :

  • En ligne : www.cnil.fr/plaintes
  • Par courrier : CNIL, 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07