Information RGPD - Vezpa PMS

1. Introduction et champ d'application

La presente information decrit comment Vezpa di Paolo Vezzola (ci-apres "Vezpa" ou "Nous") traite les donnees a caractere personnel en conformite avec :

Reglement UE 2016/679 (RGPD)
Decret Legislatif 196/2003 (Code Privacy italien) tel que modifie par le D.Lgs. 101/2018
Mesures et lignes directrices de l'Autorite italienne de protection des donnees (Garante)

1.1 A qui s'applique-t-il

Cette information s'applique a :

👤 Gestionnaires d'etablissements hoteliers qui utilisent Vezpa (clients directs)
🏨 Clients hebergement qui sejournent dans des etablissements utilisant Vezpa
👔 Partenaires commerciaux et fournisseurs
🌐 Visiteurs du site web vezpa.it

1.2 Double role de Vezpa

Vezpa opere avec deux roles distincts :

RESPONSABLE Pour les donnees des gestionnaires d'etablissements (clients)
SOUS-TRAITANT Pour les donnees des clients hebergement (nous traitons les donnees sur instruction du gestionnaire de l'etablissement)

2. Identite et coordonnees du Responsable du traitement

Responsable du traitement :

Vezpa di Paolo Vezzola
Siege social : Desenzano del Garda (BS), 25015, via San Zeno 67
TVA : 04449070988
Code fiscal : VZZPLA84C10D284C
PEC : [email protected]
Email : [email protected]

3. Categories de donnees a caractere personnel traitees

3.1 Donnees des gestionnaires (clients)

Categorie	Type de donnees	Caractere obligatoire
Donnees d'identification	Nom, prenom, date de naissance, code fiscal	✅ Obligatoires
Donnees de contact	Email, telephone, adresse	✅ Obligatoires
Donnees d'entreprise	Raison sociale, TVA, donnees de l'etablissement	✅ Obligatoires
Donnees de paiement	IBAN, carte de credit (via Stripe)	✅ Obligatoires pour l'abonnement
Donnees d'utilisation	Journaux d'acces, IP, activite sur la plateforme	⚙️ Automatiques
Donnees de communications	Email, chat support, tickets	📝 Volontaires

3.2 Donnees des clients hebergement (en qualite de Sous-traitant)

Categorie	Type de donnees	Base juridique (du Responsable)
Donnees d'identite	Nom, prenom, date et lieu de naissance, nationalite, genre	Obligation legale (loi italienne TULPS, art. 109 et reglementations equivalentes UE)
Document d'identite	Type, numero, date de delivrance, autorite, image scannee ou photographique	Obligation legale
Extraction OCR	Donnees textuelles extraites automatiquement du document (nom, date, numero)	Execution du contrat (art. 6.1.b) - uniquement pour faciliter la saisie
Donnees de contact	Email, telephone, adresse	Execution du contrat
Donnees de reservation	Dates de sejour, nombre de personnes, chambre, tarifs, formule	Execution du contrat
Donnees de paiement	Transactions, recus (donnees de carte gerees par Stripe, non conservees sur Vezpa)	Execution du contrat + obligation fiscale

⚠️ Donnees particulieres (art. 9 RGPD) :

Les documents d'identite acquis peuvent contenir des elements qualifiables de "particuliers" au sens de l'art. 9 RGPD, typiquement :

Lieu de naissance (dont peut etre deduite l'origine ethnique)
Image photographique du visage (non utilisee pour la reconnaissance biometrique automatisee)

Liceite du traitement : art. 9.2.b (execution d'obligations en matiere de droit du travail, securite et protection sociale), 9.2.g (motifs d'interet public important - enregistrements de securite publique) et 9.2.f (constatation de droits). Finalites limitees aux obligations imposees par la loi envers les autorites publiques.

Mesures supplementaires : acces limite aux seuls roles autorises (directeur, assistant), aucun profilage sur ces donnees, aucune communication a des tiers en dehors des autorites publiques destinataires.

Vezpa ne collecte pas deliberement d'autres donnees particulieres (opinions politiques/religieuses, donnees de sante, donnees genetiques, orientation sexuelle). Si de telles donnees sont saisies par erreur par l'utilisateur, elles doivent etre immediatement supprimees.

4. Finalites et base juridique du traitement

4.1 Pour les gestionnaires (clients)

Finalite	Base juridique (art. 6 RGPD)	Conservation
Fourniture du service PMS	Art. 6.1.b - Execution du contrat	Duree du contrat + 10 ans
Facturation et comptabilite	Art. 6.1.c - Obligation legale	10 ans (obligation fiscale)
Assistance clientele	Art. 6.1.b - Execution du contrat	Duree du contrat + 2 ans
Securite et prevention des fraudes	Art. 6.1.f - Interet legitime	5 ans
Amelioration du service	Art. 6.1.f - Interet legitime	2 ans (donnees agregees anonymes)
Marketing direct	Art. 6.1.a - Consentement	Jusqu'a retrait du consentement
Defense des droits en justice	Art. 6.1.f - Interet legitime	10 ans

4.2 Pour les clients hebergement (sur instruction du gestionnaire)

Finalite	Base juridique	Conservation
Enregistrement des clients et communication Questura	Art. 6.1.c - Obligation legale (loi italienne TULPS, art. 109, D.Lgs. 159/2011)	Minimum 2 ans
Communications ISTAT	Art. 6.1.c - Obligation legale	Selon reglementation ISTAT
Taxe de sejour (Paytourist)	Art. 6.1.c - Obligation legale	Selon reglementation communale
Gestion de la reservation et du sejour	Art. 6.1.b - Execution du contrat	10 ans (finalites fiscales)
Check-in en ligne et communications	Art. 6.1.b - Execution du contrat	Duree du sejour + periode de conservation de l'etablissement

📌 Note sur le consentement :

Pour de nombreuses activites, le consentement N'EST PAS necessaire car elles reposent sur :

✅ Execution du contrat (c'est vous qui avez demande le service)
✅ Obligations legales (communications obligatoires aux autorites)
✅ Interet legitime (securite, amelioration du service)

Le consentement n'est requis QUE pour le marketing et le profilage.

5. Modalites du traitement

5.1 Principes du traitement (art. 5 RGPD)

Vezpa traite les donnees a caractere personnel dans le respect des principes suivants :

✅ Liceite, loyaute, transparence : nous traitons les donnees de maniere licite et vous informons clairement
✅ Limitation de la finalite : nous utilisons les donnees uniquement pour les objectifs declares
✅ Minimisation des donnees : nous collectons uniquement les donnees strictement necessaires
✅ Exactitude : nous maintenons les donnees a jour et exactes
✅ Limitation de la conservation : nous conservons les donnees uniquement pendant le temps necessaire
✅ Integrite et confidentialite : nous protegeons les donnees avec des mesures de securite adequates
✅ Responsabilisation (accountability) : nous pouvons demontrer la conformite au RGPD

5.2 Moyens de traitement

Les donnees sont traitees avec des outils :

💻 Informatiques : serveurs, bases de donnees, applications web/mobiles
📄 Papier : uniquement pour les documents necessaires (contrats, factures)

5.3 Modalites d'acces

Les donnees sont accessibles a :

👥 Personnel autorise de Vezpa (avec identifiants personnels)
🔐 Acces base sur le principe du "need to know" (moindre privilege)
📝 Journaux d'acces traces et surveilles

6. Mesures de securite (art. 32 RGPD)

6.1 Mesures techniques

✅ Chiffrement en transit : HTTPS/TLS 1.2+ pour toutes les connexions, HSTS

✅ Chiffrement at-rest : donnees sensibles specifiques chiffrees via django-cryptography ; volumes et snapshots chiffres cote infrastructure (DigitalOcean)

✅ Hachage des mots de passe : PBKDF2 (defaut Django) avec sel aleatoire

✅ Tokens : JWT access token TTL 15 minutes, refresh avec rotation et blacklist, TTL 180 jours

✅ 2FA TOTP disponible sur le compte (django-otp)

✅ Bot blocker et rate limiting : middleware dedie qui bloque les scanners et les paths d'attaque connus

✅ Sauvegardes : snapshots de la base de donnees geres par le fournisseur d'infrastructure, localisation UE

✅ Controle d'acces base sur les roles (RBAC) : directeur, assistant, gouvernante, observateur

✅ Logging applicatif : tracage des acces, actions critiques et anomalies

✅ Mise a jour des dependances : surveillance des vulnerabilites sur les packages Python et Flutter

6.2 Mesures organisationnelles

✅ Acces administratifs limites au Responsable du traitement (Vezpa est actuellement une entreprise individuelle sans salaries) ; les eventuels collaborateurs externes sont designes par ecrit comme Sous-traitants ou Personnes autorisees

✅ Procedure de reponse aux incidents documentee (§9 infra)

✅ Privacy by Design and by Default integree dans les phases de developpement

✅ Registre des activites de traitement (art. 30 RGPD) tenu et mis a jour

✅ DPA souscrit avec tous les sous-traitants ulterieurs principaux

✅ Liste des sous-traitants ulterieurs publique et mise a jour sur vezpa.it/subprocessors

6.3 Normes de reference

🏆 Serveurs UE : infrastructure principale DigitalOcean region Francfort (FRA1)
🏆 PCI-DSS : paiements geres via Stripe, certifie PCI-DSS Level 1 (Vezpa ne conserve pas les donnees de carte)
🏆 Sous-fournisseurs certifies : le cas echeant (ISO 27001, SOC 2, DPF) — voir page sous-traitants ulterieurs

7. Destinataires des donnees (art. 13.1.e RGPD)

7.1 Categories de destinataires

Les donnees peuvent etre communiquees aux categories de destinataires suivantes. La liste nominative et toujours a jour est publiee sur vezpa.it/subprocessors.

Categorie	Destinataires	Role	Finalite
Autorites publiques IT	AlloggiatiWeb (Questura), ISTAT, Communes (PayTourist), Agenzia Entrate	Responsables autonomes	Obligation legale
Autorites publiques UE	Feratel/Meldeamt (AT), SES.HOSPEDAJES (ES), NTAK (HU), eVisitor (HR), SEF (PT), UbyPort (CZ), eTurizem (SI)	Responsables autonomes	Obligation legale du Responsable (etablissement)
Hebergement / Stockage / CDN	DigitalOcean LLC (serveurs Francfort, Spaces, Redis)	Sous-traitant	Infrastructure IT
Paiements	Stripe Payments Europe Ltd / Stripe Inc.	Sous-traitant	Traitement des paiements
Email	IONOS SE (DE)	Sous-traitant	Envoi d'emails transactionnels et PEC
Notifications push mobiles	Google LLC (Firebase Cloud Messaging)	Sous-traitant	Envoi de notifications push aux appareils mobiles
Channel Manager OTA	STAAH Limited (Nouvelle-Zelande)	Sous-traitant	Synchronisation des reservations avec les OTA
Achats in-app — Apple	Apple Distribution International Ltd (IE) / Apple Inc. (USA)	Responsable autonome (store)	Gestion des abonnements App Store. Apple n'adhere pas au DPF : les transferts USA sont regis par SCC 2021/914
Achats in-app — Google / Microsoft	Google Ireland Ltd / Google LLC (USA, DPF), Microsoft Ireland / Microsoft Corp. (USA, DPF)	Responsables autonomes (stores)	Gestion des abonnements Play Store / Microsoft Store
OTA	Booking.com, Airbnb, Expedia, VRBO, Agoda et environ 55 autres canaux	Responsables autonomes	Gestion des reservations envers le voyageur
Serrures connectees (optionnel)	Tuya Smart (CN)	Sous-traitant	Gestion des acces domotiques, uniquement si active par l'etablissement
Professionnels	Experts-comptables, avocats, consultants IT	Sous-traitants / Responsables autonomes	Conseils specialises, uniquement si necessaires

7.2 Liste des Sous-traitants ulterieurs (art. 28.4 RGPD)

La liste mise a jour est publiee et toujours consultable sur vezpa.it/subprocessors. Les eventuelles variations (nouveaux sous-traitants ulterieurs, remplacements) sont communiquees aux Responsables (etablissements) avec un preavis d'au moins 30 jours permettant l'opposition (art. 28.2 RGPD).

7.3 Transferts hors UE

Base juridique des transferts (Chapitre V RGPD) :

USA — EU-U.S. Data Privacy Framework (Decision (UE) 2023/1795) : Stripe Inc., Google LLC (Firebase Cloud Messaging), Microsoft Corp., DigitalOcean LLC — certifications actives au DPF (verification sur dataprivacyframework.gov/list)
USA — Clauses Contractuelles Types (CCT/SCC) 2021/914 : Apple Inc. n'adhere pas au DPF ; la relation contractuelle pour les utilisateurs UE est avec Apple Distribution International Ltd (Irlande) et les eventuels transferts internes au groupe Apple vers les USA sont regis par les SCC et les mecanismes d'adequation internes
Nouvelle-Zelande — Decision d'adequation (Decision 2013/65/UE) : STAAH Limited
Chine (optionnel) : Tuya Smart — Clauses Contractuelles Types (CCT) 2021/914 + mesures supplementaires (minimisation et pseudonymisation). Transfert effectue uniquement pour les etablissements activant les serrures connectees.

Pour chaque sous-traitant ulterieur hors UE, le mecanisme de transfert applicable est documente. Les CCT et les eventuels Transfer Impact Assessments sont disponibles pour le Responsable sur demande.

8. Droits de la personne concernee (art. 15-22 RGPD)

8.1 Droits exercables

Droit	Art. RGPD	Description
Acces	Art. 15	Obtenir confirmation de l'existence de vos donnees et en recevoir une copie
Rectification	Art. 16	Corriger des donnees inexactes ou les completer
Effacement ("oubli")	Art. 17	Obtenir l'effacement des donnees (avec exceptions pour obligations legales)
Limitation	Art. 18	Limiter le traitement dans certaines conditions
Portabilite	Art. 20	Recevoir les donnees dans un format structure (CSV, JSON) et les transferer a un autre responsable
Opposition	Art. 21	S'opposer au traitement fonde sur l'interet legitime
Retrait du consentement	Art. 7.3	Retirer a tout moment le consentement au marketing
Reclamation	Art. 77	Introduire une reclamation aupres du Garante
Pas de profilage automatise	Art. 22	Ne pas faire l'objet de decisions fondees exclusivement sur un traitement automatise

8.2 Comment exercer vos droits

Vous pouvez exercer vos droits par :

📧 Email : [email protected]
📧 PEC : [email protected]
📮 Courrier recommande avec accuse de reception : Vezpa di Paolo Vezzola, Desenzano del Garda in via San Zeno 67
💻 Espace reserve : Section "Privacy et donnees" dans le tableau de bord (pour certains droits)

8.3 Delais de reponse

Vezpa repond aux demandes dans un delai de 30 jours a compter de la reception (prolongeable de 60 jours supplementaires en cas complexes, avec communication motivee).

8.4 Limitations des droits

Certains droits (effacement, limitation) pourraient ne pas etre exerces lorsque :

⚖️ Des obligations legales nous imposent de conserver les donnees
⚖️ Les donnees sont necessaires pour defendre des droits en justice
⚖️ Un interet public prevaut

9. Violation de donnees et notifications (art. 33-34 RGPD)

9.1 Procedure en cas de violation de donnees

En cas de data breach (violation de donnees a caractere personnel), Vezpa :

📊 Evalue l'incident dans les 24 heures suivant la decouverte
📢 Notifie le Garante dans les 72 heures (s'il y a un risque pour les droits des personnes concernees)
📧 Communique aux personnes concernees sans retard injustifie (s'il y a un risque eleve)
📝 Documente l'incident dans le registre des violations
🔧 Adopte des mesures correctives pour prevenir de futures violations

9.2 Transparence

En cas de data breach vous concernant, vous recevrez une communication contenant :

Nature de la violation
Donnees impliquees
Consequences possibles
Mesures adoptees et recommandees
Contacts du Bureau Privacy

10. Data Protection Impact Assessment (DPIA)

Vezpa a engage la Analyse d'Impact relative a la Protection des Donnees (DPIA) au sens de l'art. 35 RGPD, compte tenu du traitement systematique de documents d'identite de personnes concernees de plusieurs Etats membres UE et des transferts vers des sous-traitants ulterieurs hors UE.

Perimetre de la DPIA :

Traitement de donnees d'identite et de documents d'identite des clients hebergement via plusieurs connecteurs gouvernementaux
Flux vers channel managers OTA et transferts hors UE
OCR automatique sur images de documents
Integration avec des services d'authentification biometrique au niveau de l'appareil

La DPIA et les eventuelles mesures de mitigation supplementaires sont mises a jour periodiquement. En cas de risque residuel eleve, Vezpa procedera a la consultation prealable aupres du Garante au sens de l'art. 36 RGPD. Le Responsable (etablissement) peut demander un resume de la DPIA en ecrivant a [email protected].

11. Sous-traitant (art. 28 RGPD)

11.1 Accords avec les clients (pour les donnees des clients hebergement)

Lorsque le gestionnaire de l'etablissement utilise Vezpa pour traiter les donnees des clients hebergement :

Le gestionnaire est le Responsable du traitement
Vezpa est le Sous-traitant du traitement
Un Accord de traitement des donnees (DPA) est conclu au sens de l'art. 28 RGPD

11.2 Contenu du DPA

L'Accord de traitement des donnees contient, au sens de l'art. 28.3 RGPD :

📋 Objet et duree du traitement
📋 Nature et finalites du traitement
📋 Type de donnees a caractere personnel et categories de personnes concernees
📋 Obligations et droits du Responsable
📋 Instructions documentees sur le traitement
📋 Mesures de securite mises en oeuvre
📋 Sous-traitants ulterieurs autorises avec preavis de remplacement
📋 Assistance au Responsable pour les droits des personnes concernees, DPIA et data breach
📋 Obligations d'effacement ou de restitution a la fin

Le DPA fait partie integrante des Conditions de service et est accepte lors de l'inscription de l'etablissement.

12. Privacy by Design et by Default (art. 25 RGPD)

12.1 Privacy by Design

Vezpa integre la protection des donnees des la conception :

🔒 Chiffrement natif dans toutes les communications
🔒 Pseudonymisation lorsque c'est possible
🔒 Minimisation des donnees collectees
🔒 Controles d'acces granulaires
🔒 Audit trail complet de toutes les operations

12.2 Privacy by Default

Les parametres par defaut maximisent la vie privee :

✅ Seules les donnees strictement necessaires sont obligatoires
✅ Conservation automatique pour la periode minimale legale
✅ Marketing opt-in (pas opt-out)
✅ Visibilite des donnees limitee au minimum necessaire

13. Registre des activites de traitement (art. 30 RGPD)

Vezpa tient un registre complet de toutes les activites de traitement, contenant :

Nom et coordonnees du Responsable et du DPO
Finalites du traitement
Description des categories de personnes concernees et des donnees
Categories de destinataires
Transferts vers des pays tiers
Delais de conservation prevus
Description des mesures de securite

Le registre est disponible sur demande du Garante.

14. Modifications de l'information

Cette information peut etre modifiee pour :

Evolutions reglementaires
Nouvelles fonctionnalites du service
Changements organisationnels

Les modifications substantielles seront communiquees par email avec un preavis d'au moins 30 jours.

La date de derniere mise a jour est toujours indiquee en haut du document.