Politique de confidentialite

1. Responsable du traitement

Vezpa di Paolo Vezzola
Siege social : Via San Zeno 67, 25015 Desenzano del Garda (BS), Italie
TVA : 04449070988 · Code fiscal : VZZPLA84C10D284C
Email : [email protected] · PEC : [email protected]

2. Champ d'application

La presente information s'applique a l'App Vezpa distribuee via :

Apple App Store (iOS, macOS) — Bundle ID : it.vezpa.pms
Google Play Store (Android) — flavour googleplay
Microsoft Store (Windows) — MSIX
Sideload direct (APK Android, installeur Windows signe) pour usage distribue directement par le Responsable du traitement

L'utilisation de l'app requiert la creation d'un compte dedie a l'etablissement hotelier. L'app est destinee a des utilisateurs professionnels majeurs (plus de 18 ans) (gestionnaires d'etablissements hoteliers et leur personnel autorise).

3. Donnees collectees par l'App

3.1 Donnees des utilisateurs (gestionnaires et personnel)

Donnees d'identite : nom, prenom, email, numero de telephone
Donnees de l'etablissement hotelier
Identifiants (mot de passe hache cote backend, jamais transmis en clair)
Identifiants de compte (User ID)
Role assigne (directeur, assistant, gouvernante, observateur)

3.2 Donnees des clients hebergement (Vezpa agit en qualite de Sous-traitant)

Important : les donnees des clients hebergement sont sous la responsabilite de l'etablissement. Vezpa agit en qualite de Sous-traitant au sens de l'art. 28 RGPD, reglemente par le DPA.

Donnees d'identite et de contact
Documents d'identite scannes ou photographies au moyen de l'appareil photo de l'appareil, avec extraction OCR des donnees textuelles pour faciliter l'enregistrement
Donnees de sejour et de reservation

3.3 Donnees techniques et d'utilisation

Identifiants de l'appareil : modele, systeme d'exploitation, version de l'app
Jeton de notifications push (FCM) : identifiant unique gere par Google Firebase pour l'envoi de notifications
Hachage SHA-256 de l'appareil de confiance : genere localement pour permettre un acces biometrique ulterieur, expiration 90 jours apres la derniere utilisation
Journaux applicatifs et de diagnostic : transmis par lot au backend via RemoteLogger a des fins de stabilite et de securite ; ils ne contiennent pas de contenu personnel sensible
Adresse IP : collectee par le backend a des fins de securite

4. Permissions demandees par l'App

Permission	Finalite	Obligatoire
Appareil photo	Acquisition des images des documents d'identite des clients pour OCR et envoi aux autorites	Optionnel (alternative : saisie manuelle)
Notifications push	Reception de notifications sur les nouvelles reservations, check-in, demandes des clients	Optionnel (l'app fonctionne sans)
Authentification biometrique (Face ID / Touch ID / empreinte / Windows Hello)	Connexion rapide apres la premiere authentification par mot de passe. Les donnees biometriques ne quittent jamais l'appareil et ne sont pas communiquees a Vezpa.	Optionnel
Archivage / Fichiers	Sauvegarde locale de rapports PDF, factures, fiches Alloggiati generees par l'app	Optionnel
Internet	Communication avec les serveurs Vezpa	Obligatoire
REQUEST_INSTALL_PACKAGES (uniquement Android sideload)	Installation automatique des mises a jour via APK telecharge depuis les serveurs Vezpa. Non present dans la version Google Play.	Requis uniquement pour le flavour sideload

5. SDK et services integres dans l'App

SDK / Service	Fournisseur	Finalite	Donnees traitees
Firebase Cloud Messaging (FCM)	Google LLC / Google Ireland Ltd	Envoi de notifications push	Jeton de l'appareil, identifiants techniques
StoreKit / Google Play Billing / Microsoft Store	Apple Inc. / Google LLC / Microsoft Corp.	Gestion des achats et abonnements in-app	Jeton d'achat, statut de l'abonnement, ID compte store
Stripe SDK (uniquement paiements page client)	Stripe Payments Europe Ltd	Traitement des paiements par carte	Donnees de carte gerees par Stripe, non transmises a Vezpa
local_auth (biometrie)	Systeme d'exploitation (Apple / Google / Microsoft)	Deverrouillage biometrique local	Aucune donnee biometrique transmise a Vezpa
Flutter Secure Storage	Plateforme (Keychain iOS/macOS, EncryptedSharedPreferences Android, DPAPI Windows)	Conservation locale des jetons JWT et des identifiants	Refresh tokens, chiffres par le systeme d'exploitation
share_plus	Open Source	Partage de fichiers (PDF, rapports) avec les apps du systeme	Fichiers choisis par l'utilisateur

Vezpa n'integre pas de SDK d'analytics comportementaux (ex. AppsFlyer, Mixpanel, Facebook SDK), SDK publicitaires ni SDK de profilage. Aucun tracage cross-app au sens de l'Apple App Tracking Transparency (ATT).

6. Finalites du traitement

Fourniture des fonctionnalites de l'App Vezpa (art. 6.1.b RGPD)
Obligations legales relatives a l'enregistrement des clients, deleguees par l'etablissement (art. 6.1.c)
Securite, prevention des fraudes, stabilite du service (art. 6.1.f, interet legitime)
Gestion des abonnements et paiements (art. 6.1.b et 6.1.c)

Les donnees ne sont pas utilisees a des fins publicitaires, de profilage ou de tracage.

7. Modalites de traitement et securite

Transmission via HTTPS/TLS 1.2+
Authentification avec JWT a rotation (access 15 min, refresh 180 jours avec blacklist)
Secure Storage du systeme (Keychain / EncryptedSharedPreferences / DPAPI)
2FA TOTP optionnel
Serveurs backend situes dans l'UE (Francfort) sur DigitalOcean
Journaux applicatifs surveilles pour detecter les acces anormaux

8. Conservation et effacement

Les donnees des utilisateurs sont conservees pendant la duree du contrat + obligations fiscales (10 ans pour la facturation).

L'utilisateur peut demander la suppression du compte au moyen de la fonction dediee dans l'app ou en ecrivant au Responsable du traitement. Certaines donnees pourraient etre conservees en raison d'obligations legales (facturation, journaux de securite).

Les donnees des clients hebergement (dont Vezpa est Sous-traitant) suivent les instructions du Responsable selon les modalites regies par le DPA.

9. Communication des donnees

Les donnees ne sont ni vendues ni diffusees. Elles peuvent etre communiquees aux sous-traitants ulterieurs enumeres sur vezpa.it/subprocessors et, dans la limite des donnees de reservation, aux canaux OTA actives par l'etablissement.

Pour les donnees transmises aux autorites publiques (Questura, ISTAT, Feratel, SES, NTAK, eVisitor, SEF, UbyPort, eTurizem), veuillez consulter la Politique de confidentialite generale.

10. Transferts hors UE

Les communications avec les fournisseurs americains certifies DPF (Google/Firebase, Stripe, Microsoft, DigitalOcean) ont lieu sur la base de l'EU-U.S. Data Privacy Framework (Decision (UE) 2023/1795). Apple n'adhere pas au DPF : la relation contractuelle pour les utilisateurs UE est avec Apple Distribution International Ltd (Irlande) et les eventuels transferts vers Apple Inc. (USA) sont regis par les SCC 2021/914. Les communications avec STAAH (channel manager) ont lieu sur la base de la Decision d'adequation UE pour la Nouvelle-Zelande (2013/65/UE). Tuya (Chine, optionnel) est regi par les SCC 2021/914.

11. Droits de l'utilisateur

Au sens des art. 15 a 22 RGPD, l'utilisateur peut exercer les droits d'acces, de rectification, d'effacement, de limitation, de portabilite et d'opposition. Les demandes peuvent etre soumises via l'app, ou a [email protected].

Reclamations aupres de l'autorite de controle : Autorite italienne de protection des donnees (Garante). Les utilisateurs en Belgique peuvent egalement saisir l'Autorite de protection des donnees (APD/GBA).

12. Mineurs

L'App est destinee exclusivement a des utilisateurs majeurs (gestionnaires professionnels). Elle ne collecte pas sciemment de donnees de mineurs.

13. Modifications de la Politique de confidentialite

La presente information peut etre mise a jour. Les modifications seront publiees sur cette page et, si elles sont substantielles, communiquees par email et dans le tableau de bord avec un preavis d'au moins 15 jours.

POLITIQUE DE CONFIDENTIALITE – APP VEZPA