Information RGPD - Vezpa PMS

1. Introduction et Champ d'Application

La presente information decrit comment Vezpa di Paolo Vezzola (ci-apres "Vezpa" ou "Nous") traite les donnees personnelles conformement au :

Reglement UE 2016/679 (RGPD)
Decret Legislatif italien 196/2003 (Code Privacy italien) tel que modifie par le D.Lgs. 101/2018
Mesures et Lignes directrices de l'autorite italienne de protection des donnees (Garante)

1.1 A Qui Elle s'Applique

Cette information s'applique a :

👤 Gestionnaires d'etablissements d'hebergement qui utilisent Vezpa (clients directs)
🏨 Clients qui sejournent dans des etablissements utilisant Vezpa
👔 Partenaires commerciaux et fournisseurs
🌐 Visiteurs du site web vezpa.it

1.2 Double Role de Vezpa

Vezpa opere avec deux roles distincts :

RESPONSABLE DU TRAITEMENT Pour les donnees des gestionnaires des etablissements (clients)
SOUS-TRAITANT Pour les donnees des clients (nous traitons les donnees sur instruction du gestionnaire de l'etablissement)

2. Identite et Donnees de Contact du Responsable du traitement

Responsable du traitement :

Vezpa di Paolo Vezzola
Siege legal : Desenzano del Garda (BS), 25015, via San Zeno 67
N. TVA : 04449070988
Code Fiscal : VZZPLA84C10D284C
PEC : [email protected]
Email : [email protected]

3. Categories de Donnees Personnelles Traitees

3.1 Donnees des Gestionnaires (Clients)

Categorie	Type de Donnees	Obligatoire
Donnees d'identification	Nom, prenom, date de naissance, code fiscal	✅ Obligatoires
Donnees de contact	Email, telephone, adresse	✅ Obligatoires
Donnees d'entreprise	Raison sociale, N. TVA, donnees de l'etablissement	✅ Obligatoires
Donnees de paiement	IBAN, carte de credit (via Stripe)	✅ Obligatoires pour l'abonnement
Donnees d'utilisation	Journaux d'acces, IP, activite sur la plateforme	⚙️ Automatiques
Donnees de communications	Email, chat support, tickets	📝 Volontaires

3.2 Donnees des Clients (en tant que Sous-traitant)

Categorie	Type de Donnees	Base Juridique (du Responsable du traitement)
Donnees d'identification	Nom, prenom, date et lieu de naissance, nationalite, genre	Obligation legale (loi italienne TULPS, art. 109 et reglementations equivalentes UE)
Piece d'identite	Type, numero, date de delivrance, autorite, image scannee ou photographique	Obligation legale
Extraction OCR	Donnees textuelles extraites automatiquement du document (nom, date, numero)	Execution contrat (art. 6.1.b) - uniquement pour faciliter la saisie de donnees
Donnees de contact	Email, telephone, adresse	Execution contrat
Donnees de reservation	Dates sejour, nombre de clients, chambre, tarifs, formule	Execution contrat
Donnees de paiement	Transactions, recus (donnees carte gerees par Stripe, non stockees sur Vezpa)	Execution contrat + obligation fiscale

⚠️ Donnees Particulieres (Art. 9 RGPD) :

Les pieces d'identite acquises peuvent contenir des elements qualifiables de "particuliers" au sens de l'art. 9 RGPD, generalement :

Lieu de naissance (pouvant reveler l'origine ethnique)
Image photographique du visage (non utilisee pour reconnaissance biometrique automatisee)

Liceite du traitement : art. 9.2.b (accomplissement d'obligations en matiere de droit du travail, securite et protection sociale), 9.2.g (motifs d'interet public important - enregistrements de securite publique) et 9.2.f (constatation de droits). Finalites limitees aux obligations imposees par la loi envers les autorites publiques.

Mesures supplementaires : acces limite aux seuls roles autorises (directeur, assistant), aucun profilage sur ces donnees, aucune communication a des tiers en dehors des autorites publiques destinataires.

Vezpa ne collecte pas deliberement d'autres donnees particulieres (opinions politiques/religieuses, donnees de sante, donnees genetiques, orientation sexuelle). Si de telles donnees sont saisies par erreur par l'utilisateur, elles doivent etre immediatement supprimees.

4. Finalites et Base Juridique du Traitement

4.1 Pour les Gestionnaires (Clients)

Finalite	Base Juridique (Art. 6 RGPD)	Conservation
Fourniture du service PMS	Art. 6.1.b - Execution contrat	Duree du contrat + 10 ans
Facturation et comptabilite	Art. 6.1.c - Obligation legale	10 ans (obligation fiscale)
Assistance clients	Art. 6.1.b - Execution contrat	Duree du contrat + 2 ans
Securite et prevention de la fraude	Art. 6.1.f - Interet legitime	5 ans
Amelioration du service	Art. 6.1.f - Interet legitime	2 ans (donnees agregees anonymes)
Marketing direct	Art. 6.1.a - Consentement	Jusqu'a retrait du consentement
Defense de droits en justice	Art. 6.1.f - Interet legitime	10 ans

4.2 Pour les Clients (sur instruction du Gestionnaire)

Finalite	Base Juridique	Conservation
Enregistrement des clients et communication a la Questura	Art. 6.1.c - Obligation legale (loi italienne TULPS, art. 109, D.Lgs. 159/2011)	Minimum 2 ans
Communications ISTAT	Art. 6.1.c - Obligation legale	Selon la reglementation ISTAT
Taxe de sejour (Paytourist)	Art. 6.1.c - Obligation legale	Selon la reglementation communale
Gestion de la reservation et du sejour	Art. 6.1.b - Execution contrat	10 ans (finalites fiscales)
Check-in en ligne et communications	Art. 6.1.b - Execution contrat	Duree du sejour + periode de conservation de l'etablissement

📌 Note sur le Consentement :

Pour de nombreuses activites, le consentement N'est PAS necessaire car elles se fondent sur :

✅ Execution du contrat (c'est vous qui avez demande le service)
✅ Obligations legales (communications obligatoires aux autorites)
✅ Interet legitime (securite, amelioration du service)

Le consentement est requis UNIQUEMENT pour le marketing et le profilage.

5. Modalites du Traitement

5.1 Principes du Traitement (Art. 5 RGPD)

Vezpa traite les donnees personnelles dans le respect des principes suivants :

✅ Liceite, loyaute, transparence : nous traitons les donnees de maniere licite et nous vous informons clairement
✅ Limitation de la finalite : nous n'utilisons les donnees que pour les objectifs declares
✅ Minimisation des donnees : nous ne collectons que les donnees strictement necessaires
✅ Exactitude : nous maintenons les donnees a jour et exactes
✅ Limitation de la conservation : nous conservons les donnees uniquement pour le temps necessaire
✅ Integrite et confidentialite : nous protegeons les donnees par des mesures de securite adequates
✅ Responsabilite (accountability) : nous pouvons demontrer la conformite au RGPD

5.2 Moyens de Traitement

Les donnees sont traitees avec des outils :

💻 Informatiques : serveurs, base de donnees, applications web/mobile
📄 Papier : uniquement pour les documents necessaires (contrats, factures)

5.3 Modalites d'Acces

Les donnees sont accessibles a :

👥 Personnel autorise de Vezpa (avec identifiants personnels)
🔐 Acces base sur le principe du "need to know" (moindre privilege)
📝 Journaux d'acces traces et surveilles

6. Mesures de Securite (Art. 32 RGPD)

6.1 Mesures Techniques

✅ Chiffrement en transit : HTTPS/TLS 1.2+ pour toutes les connexions, HSTS

✅ Chiffrement at-rest : donnees sensibles specifiques chiffrees via django-cryptography ; volumes geres et snapshots chiffres cote infrastructure (DigitalOcean)

✅ Hachage des mots de passe : PBKDF2 (par defaut Django) avec salt aleatoire

✅ Jetons : JWT access token TTL 15 minutes, refresh avec rotation et blacklist, TTL 180 jours

✅ 2FA TOTP disponible sur compte (django-otp)

✅ Bot blocker et rate limiting : middleware dedie qui bloque scanners et chemins d'attaque connus

✅ Sauvegardes : snapshots de la base de donnees geres par le fournisseur d'infrastructure, localisation UE

✅ Controle d'acces base sur les roles (RBAC) : directeur, assistant, gouvernante, observateur

✅ Logging applicatif : tracage des acces, actions critiques et anomalies

✅ Mise a jour des dependances : surveillance des vulnerabilites sur les paquets Python et Flutter

6.2 Mesures Organisationnelles

✅ Acces administratifs limites au Responsable du traitement (Vezpa est actuellement une entreprise individuelle sans employes) ; les eventuels collaborateurs externes sont designes par ecrit comme Sous-traitants ou Personnes autorisees

✅ Procedure incident response documentee (§9 infra)

✅ Privacy by Design and by Default integree dans les phases de developpement

✅ Registre des traitements (art. 30 RGPD) maintenu et mis a jour

✅ DPA signe avec tous les sous-traitants ulterieurs principaux

✅ Liste des sous-traitants ulterieurs publique et mise a jour sur vezpa.it/subprocessors

6.3 Standards de reference

🏆 Serveurs UE : infrastructure principale DigitalOcean region Francfort (FRA1)
🏆 PCI-DSS : paiements geres via Stripe, certifie PCI-DSS Level 1 (Vezpa ne stocke pas de donnees de carte)
🏆 Sous-fournisseurs certifies : le cas echeant (ISO 27001, SOC 2, DPF) — voir page sous-traitants ulterieurs

7. Destinataires des Donnees (Art. 13.1.e RGPD)

7.1 Categories de Destinataires

Les donnees peuvent etre communiquees aux categories de destinataires suivantes. La liste nominative et toujours a jour est publiee sur vezpa.it/subprocessors.

Categorie	Destinataires	Role	Finalite
Autorites publiques IT	AlloggiatiWeb (Questura), ISTAT, Communes (PayTourist), Agenzia Entrate	Responsables autonomes	Obligation legale
Autorites publiques UE	Feratel/Meldeamt (AT), SES.HOSPEDAJES (ES), NTAK (HU), eVisitor (HR), SEF (PT), UbyPort (CZ), eTurizem (SI)	Responsables autonomes	Obligation legale du Responsable du traitement (etablissement)
Hosting / Storage / CDN	DigitalOcean LLC (serveurs Francfort, Spaces, Redis)	Sous-traitant	Infrastructure IT
Paiements	Stripe Payments Europe Ltd / Stripe Inc.	Sous-traitant	Traitement des paiements
Email	IONOS SE (DE)	Sous-traitant	Envoi d'emails transactionnels et PEC
Notifications push mobile	Google LLC (Firebase Cloud Messaging)	Sous-traitant	Envoi de notifications push aux appareils mobiles
Channel Manager OTA	STAAH Limited (Nouvelle-Zelande)	Sous-traitant	Synchronisation des reservations avec OTA
Achats in-app — Apple	Apple Distribution International Ltd (IE) / Apple Inc. (USA)	Responsable autonome (store)	Gestion des abonnements App Store. Apple n'adhere pas au DPF : les transferts USA sont regis par SCC 2021/914
Achats in-app — Google / Microsoft	Google Ireland Ltd / Google LLC (USA, DPF), Microsoft Ireland / Microsoft Corp. (USA, DPF)	Responsables autonomes (stores)	Gestion des abonnements Play Store / Microsoft Store
OTA	Booking.com, Airbnb, Expedia, VRBO, Agoda et environ 55 autres canaux	Responsables autonomes	Gestion des reservations envers le voyageur
Serrures connectees (facultatif)	Tuya Smart (CN)	Sous-traitant	Gestion des acces domotiques, uniquement si active par l'etablissement
Professionnels	Experts-comptables, avocats, consultants IT	Sous-traitants / Responsables autonomes	Consultations specialisees, uniquement lorsque necessaires

7.2 Liste des Sous-traitants ulterieurs (art. 28.4 RGPD)

La liste mise a jour est publiee et toujours consultable sur vezpa.it/subprocessors. Les eventuelles variations (nouveaux sous-traitants ulterieurs, remplacements) sont communiquees aux Responsables du traitement (etablissements) avec un preavis d'au moins 30 jours pour permettre opposition (art. 28.2 RGPD).

7.3 Transferts Hors UE

Base juridique des transferts (Chapitre V RGPD) :

USA — EU-U.S. Data Privacy Framework (Decision (UE) 2023/1795) : Stripe Inc., Google LLC (Firebase Cloud Messaging), Microsoft Corp., DigitalOcean LLC — certifications actives au DPF (verification sur dataprivacyframework.gov/list)
USA — Clauses Contractuelles Types (CCT/SCC) 2021/914 : Apple Inc. n'adhere pas au DPF ; la relation contractuelle pour les utilisateurs UE est avec Apple Distribution International Ltd (Irlande) et les eventuels transferts internes au groupe Apple vers les USA sont regis par les SCC et les mecanismes d'adequation internes
Nouvelle-Zelande — Decision d'adequation (Decision 2013/65/UE) : STAAH Limited
Chine (facultatif) : Tuya Smart — Clauses Contractuelles Types (CCT) 2021/914 + mesures supplementaires (minimisation et pseudonymisation). Transfert effectue uniquement pour les etablissements qui activent les serrures connectees.

Pour chaque sous-traitant ulterieur hors UE, le mecanisme de transfert applicable est documente. Les CCT et les eventuels Transfer Impact Assessment sont disponibles pour le Responsable du traitement sur demande.

8. Droits de la personne concernee (Art. 15-22 RGPD)

8.1 Droits Exercables

Droit	Art. RGPD	Description
Acces	Art. 15	Obtenir confirmation de l'existence de vos donnees et en recevoir une copie
Rectification	Art. 16	Corriger les donnees inexactes ou les completer
Effacement ("oubli")	Art. 17	Obtenir l'effacement des donnees (avec exceptions pour obligations legales)
Limitation	Art. 18	Limiter le traitement dans certaines conditions
Portabilite	Art. 20	Recevoir les donnees dans un format structure (CSV, JSON) et les transferer a un autre responsable
Opposition	Art. 21	S'opposer au traitement fonde sur interet legitime
Retrait du consentement	Art. 7.3	Retirer le consentement au marketing a tout moment
Reclamation	Art. 77	Introduire une reclamation aupres de l'autorite italienne de protection des donnees (Garante)
Non profilage automatise	Art. 22	Ne pas etre soumis a des decisions fondees uniquement sur un traitement automatise

8.2 Comment Exercer les Droits

Vous pouvez exercer vos droits via :

📧 Email : [email protected]
📧 PEC : [email protected]
📮 Lettre recommandee avec accuse de reception : Vezpa di Paolo Vezzola, Desenzano del Garda, via San Zeno 67
💻 Espace reserve : Section "Confidentialite et Donnees" dans le tableau de bord (pour certains droits)

8.3 Delais de Reponse

Vezpa repond aux demandes sous 30 jours a compter de la reception (prolongeables de 60 jours supplementaires dans les cas complexes, avec communication motivee).

8.4 Limitations aux Droits

Certains droits (effacement, limitation) pourraient ne pas etre exercables lorsque :

⚖️ Il existe des obligations legales qui nous imposent de conserver les donnees
⚖️ Les donnees sont necessaires pour defendre des droits en justice
⚖️ Un interet public prevaut

9. Data Breach et Notifications (Art. 33-34 RGPD)

9.1 Procedure en Cas de Violation de Donnees

En cas de data breach (violation de donnees personnelles), Vezpa :

📊 Evalue l'incident sous 24 heures a compter de la decouverte
📢 Notifie l'autorite italienne de protection des donnees (Garante) sous 72 heures (en cas de risque pour les droits des personnes concernees)
📧 Communique aux personnes concernees sans retard injustifie (en cas de risque eleve)
📝 Documente l'incident dans le registre des violations
🔧 Adopte des mesures correctives pour prevenir de futures violations

9.2 Transparence

En cas de data breach vous concernant, vous recevrez une communication contenant :

Nature de la violation
Donnees concernees
Consequences possibles
Mesures adoptees et recommandees
Contacts du Bureau Privacy

10. Data Protection Impact Assessment (DPIA)

Vezpa a initie l'Analyse d'Impact relative a la Protection des Donnees (DPIA) au sens de l'art. 35 RGPD, compte tenu du traitement systematique de pieces d'identite de personnes concernees de plusieurs Etats UE et des transferts vers des sous-traitants ulterieurs hors UE.

Champ de la DPIA :

Traitement de donnees d'identification et pieces d'identite des clients via plusieurs connecteurs gouvernementaux
Flux vers channel manager OTA et transferts hors UE
OCR automatique sur images de documents
Integration avec services d'authentification biometrique cote appareil

La DPIA et les eventuelles mesures d'attenuation supplementaires sont mises a jour periodiquement. En cas de risque residuel eleve, Vezpa procedera a la consultation prealable aupres de l'autorite italienne de protection des donnees (Garante) au sens de l'art. 36 RGPD. Le Responsable du traitement (etablissement) peut demander une synthese de la DPIA en ecrivant a [email protected].

11. Sous-traitant (Art. 28 RGPD)

11.1 Accords avec les Clients (pour les donnees des clients finaux)

Lorsque le gestionnaire de l'etablissement utilise Vezpa pour traiter les donnees des clients :

Le gestionnaire est le Responsable du traitement
Vezpa est le Sous-traitant
Un Accord de traitement des donnees (DPA) est conclu au sens de l'art. 28 RGPD

11.2 Contenu du DPA

L'Accord de traitement des donnees contient, au sens de l'art. 28.3 RGPD :

📋 Objet et duree du traitement
📋 Nature et finalites du traitement
📋 Type de donnees personnelles et categories de personnes concernees
📋 Obligations et droits du Responsable du traitement
📋 Instructions documentees sur le traitement
📋 Mesures de securite mises en oeuvre
📋 Sous-traitants ulterieurs autorises avec preavis de remplacement
📋 Assistance au Responsable du traitement pour les droits des personnes concernees, DPIA et data breach
📋 Obligations d'effacement ou de restitution au terme

Le DPA fait partie integrante des Conditions de Service et est accepte lors de l'enregistrement de l'etablissement.

12. Privacy by Design et by Default (Art. 25 RGPD)

12.1 Privacy by Design

Vezpa integre la protection des donnees des la conception :

🔒 Chiffrement natif dans toutes les communications
🔒 Pseudonymisation lorsque possible
🔒 Minimisation des donnees collectees
🔒 Controles d'acces granulaires
🔒 Audit trail complet de toutes les operations

12.2 Privacy by Default

Les parametres par defaut maximisent la confidentialite :

✅ Seules les donnees strictement necessaires sont obligatoires
✅ Conservation automatique pour la periode legale minimale
✅ Marketing opt-in (non opt-out)
✅ Visibilite des donnees limitee au minimum necessaire

13. Registre des Activites de Traitement (Art. 30 RGPD)

Vezpa maintient un registre complet de toutes les activites de traitement, contenant :

Nom et donnees de contact du responsable du traitement et du DPO
Finalites du traitement
Description des categories de personnes concernees et de donnees
Categories de destinataires
Transferts vers pays tiers
Delais de conservation prevus
Description des mesures de securite

Le registre est disponible sur demande de l'autorite italienne de protection des donnees (Garante).

14. Modifications de l'Information

Cette information peut etre modifiee pour :

Evolutions reglementaires
Nouvelles fonctionnalites du service
Changements organisationnels

Les modifications substantielles seront communiquees par email avec au moins 30 jours de preavis.

La date de derniere mise a jour est toujours indiquee en haut du document.