Avis: Il s'agit d'une traduction de courtoisie de l'original italien. En cas de conflit ou d'ambiguite, la version italienne prevaut.
๐ En resume : Vezpa respecte votre vie privee. Nous collectons uniquement les donnees necessaires a la fourniture du service de gestion hoteliere, nous les protegeons au moyen de mesures de securite adequates et nous ne les vendons jamais a des tiers. Pour le traitement des donnees des
clients hebergement, Vezpa agit en qualite de
Sous-traitant (art. 28 RGPD) : le contrat dedie est le
DPA.
1. Responsable du traitement
Le Responsable du traitement des donnees a caractere personnel est :
Vezpa di Paolo Vezzola
Siege social : Via San Zeno 67, 25015 Desenzano del Garda (BS), Italie
TVA : 04449070988
Code fiscal : VZZPLA84C10D284C
Email : [email protected]
PEC : [email protected]
2. Champ d'application
La presente Politique de confidentialite s'applique a la plateforme Vezpa PMS (web, ordinateur et mobile) ainsi qu'aux pages du site web sur lesquelles elle est publiee.
3. Donnees a caractere personnel collectees
3.1 Donnees des utilisateurs du service (gestionnaires d'etablissements)
Lorsque vous vous inscrivez a Vezpa en tant que gestionnaire d'un etablissement hotelier, nous collectons :
- Donnees d'identite : nom, prenom, adresse electronique, numero de telephone
- Donnees de l'etablissement : nom, adresse, typologie, numero de TVA
- Donnees de facturation : adresse de facturation, code fiscal/TVA, code unique/PEC
- Identifiants d'acces : adresse electronique et mot de passe (chiffre)
- Donnees de paiement : traitees via des prestataires externes certifies PCI-DSS (nous ne conservons pas directement les donnees de cartes de credit)
3.2 Donnees des clients des etablissements
Pour le compte des gestionnaires des etablissements (en qualite de Sous-traitant au sens de l'art. 28 RGPD, reglemente par le DPA), le systeme collecte :
- Donnees d'identification : nom, prenom, lieu et date de naissance, nationalite, genre
- Documents d'identite : type, numero, lieu et date de delivrance, scan ou photographie du document. Ces images peuvent etre traitees par OCR automatique pour l'extraction des donnees textuelles, sans conservation de donnees biometriques derivees.
- Donnees de contact : email, numero de telephone
- Donnees de reservation : dates de sejour, nombre de personnes, tarifs, formule
- Donnees de paiement : uniquement si le paiement est effectue via le booking engine ou le lien Stripe de Vezpa ; les donnees de carte ne sont jamais conservees sur les serveurs Vezpa
โ ๏ธ Documents d'identite et categories particulieres (art. 9 RGPD) : les documents d'identite peuvent contenir des donnees qualifiables de "particulieres" (ex. lieu de naissance permettant de deduire l'origine ethnique). Vezpa ne traite ces donnees que dans la mesure strictement necessaire aux obligations legales du gestionnaire envers les autorites publiques, n'effectue aucun profilage sur ces donnees et ne les communique pas a des personnes autres que les autorites et les sous-traitants ulterieurs enumeres au ยง7.
3.3 Donnees de navigation
- Adresse IP
- Type de navigateur et d'appareil
- Pages consultees et temps passe
- Systeme d'exploitation
- Referrer (provenance)
3.4 Cookies
Nous utilisons des cookies techniques necessaires au fonctionnement du service. Pour plus de details, consultez notre Politique Cookies.
4. Finalites du traitement et base juridique
4.1 Pour les gestionnaires d'etablissements
| Finalite |
Base juridique |
| Fourniture du service PMS |
Execution du contrat (art. 6.1.b RGPD) |
| Facturation et obligations fiscales |
Obligation legale (art. 6.1.c RGPD) |
| Assistance clientele |
Execution du contrat (art. 6.1.b RGPD) |
| Securite, prevention des fraudes, fiabilite du service |
Interet legitime (art. 6.1.f RGPD) |
| Envoi de communications marketing |
Consentement (art. 6.1.a RGPD) - uniquement si autorise |
4.2 Pour les clients des etablissements
Important : Pour les donnees des clients hebergement, le Responsable du traitement est l'etablissement hotelier. Vezpa agit en qualite de Sous-traitant sur instruction documentee du gestionnaire, au sens du Accord de traitement des donnees.
- Enregistrement et check-in des clients : obligation legale (loi italienne TULPS, art. 109, D.Lgs. 159/2011) pour l'Italie ; reglementation equivalente pour les autres Etats pris en charge
- Communications gouvernementales obligatoires : AlloggiatiWeb (IT-Questura), ISTAT (IT), PayTourist (IT-Communes), Feratel/Meldeamt (AT), SES.HOSPEDAJES (ES), NTAK (HU), eVisitor (HR), SEF (PT), UbyPort (CZ), eTurizem (SI) โ chacun est active uniquement si l'etablissement reside dans l'Etat correspondant
- Gestion de la reservation et du sejour : execution du contrat (art. 6.1.b)
- Communications aux OTA et au channel manager : execution du contrat de reservation (art. 6.1.b), uniquement pour les canaux actives par l'etablissement
5. Modalites de traitement
Les donnees a caractere personnel sont traitees par des moyens electroniques, selon des logiques strictement liees aux finalites et au moyen de l'adoption de mesures de securite adequates (art. 32 RGPD) :
- ๐ Chiffrement en transit : toutes les donnees sont transmises via le protocole HTTPS/TLS 1.2+
- ๐ Mots de passe : conserves par des algorithmes de hachage securises (PBKDF2 par defaut Django)
- ๐ Tokens : JWT access 15 minutes, refresh avec rotation et liste de blocage, 2FA TOTP disponible
- ๐ Controle d'acces : autorisations basees sur le role (directeur/assistant/gouvernante/observateur), principe du moindre privilege
- ๐ Sauvegardes : effectuees regulierement par le fournisseur d'infrastructure (DigitalOcean), localisation UE (Francfort)
- ๐ Hebergement : serveurs DigitalOcean situes dans l'Union europeenne (region FRA1), stockage DigitalOcean Spaces Francfort
- ๐ Surveillance : journaux d'acces et applicatifs, detection automatisee des anomalies, blocage des bots et scanners
6. Conservation des donnees
Les donnees a caractere personnel sont conservees pendant la duree strictement necessaire :
- Donnees des gestionnaires (clients) : duree du contrat + 10 ans pour les obligations fiscales et comptables
- Donnees de facturation : 10 ans (art. 2220 c.c. italien, obligation fiscale)
- Donnees des clients hebergement (traitees par Vezpa en qualite de Sous-traitant) :
- Communications AlloggiatiWeb : la periode de conservation est fixee par le Responsable (etablissement) selon la reglementation applicable
- Communications ISTAT : conformement a la reglementation ISTAT
- Autres donnees de reservation : selon les instructions du Responsable dans le DPA (generalement 10 ans pour des finalites fiscales)
- A la cessation du contrat avec le Responsable, Vezpa supprime ou restitue les donnees des clients dans un delai de 30 jours, sous reserve d'obligations de conservation autonomes (ex. facturation)
- Journaux d'acces et applicatifs : jusqu'a 24 mois a des fins de securite et de defense en justice (interet legitime)
- Jetons d'authentification et appareils de confiance : 90 jours apres la derniere utilisation
- Donnees marketing (newsletter, campagnes) : jusqu'a revocation du consentement, avec revision biennale
- Tickets d'assistance : duree du contrat + 2 ans
7. Communication et diffusion des donnees
7.1 Destinataires des donnees
Vos donnees peuvent etre communiquees aux categories de destinataires suivantes. La liste nominative toujours a jour des sous-traitants ulterieurs est publiee a l'adresse vezpa.it/subprocessors.
Autorites publiques (Responsables autonomes, obligation legale)
- Italie : Questura / AlloggiatiWeb, ISTAT, Communes (via PayTourist pour la taxe de sejour), Agenzia delle Entrate
- Autriche : Feratel/Meldeamt
- Espagne : SES.HOSPEDAJES (Ministerio del Interior)
- Hongrie : NTAK
- Croatie : eVisitor
- Portugal : SEF
- Republique tcheque : UbyPort
- Slovenie : eTurizem / AJPES
Chaque connecteur gouvernemental n'est active que si l'etablissement reside dans l'Etat correspondant. Les identifiants sont configures par l'etablissement lui-meme.
Sous-traitants ulterieurs (art. 28.4 RGPD)
- Infrastructure : DigitalOcean LLC (serveurs Francfort, bases de donnees, Spaces/CDN, Redis) โ USA/UE avec DPF et CCT
- Paiements : Stripe Payments Europe Ltd (UE) / Stripe Inc. (USA) โ PCI-DSS, certifie DPF
- Email transactionnel et PEC : IONOS SE (DE)
- Notifications push mobiles : Google LLC โ Firebase Cloud Messaging (USA, certifie DPF)
- Channel Manager OTA : STAAH Limited (Nouvelle-Zelande) โ pays beneficiant d'une decision d'adequation UE (2012)
- Achats in-app et abonnements :
- Apple Distribution International Ltd (IE) โ entite UE ; les eventuels transferts vers Apple Inc. (USA) sont regis par les SCC 2021/914 (Apple n'adhere pas au DPF)
- Google Ireland Ltd / Google LLC (USA, certification DPF active)
- Microsoft Ireland / Microsoft Corp. (USA, certification DPF active)
- Serrures connectees (optionnel, si activees) : Tuya Smart (CN) โ CCT UE et mesures complementaires
- Conseillers professionnels : expert-comptable, avocat, consultants IT, designes comme Sous-traitants ou Responsables autonomes selon les necessites
OTA (Responsables autonomes pour la relation avec le voyageur)
- Booking.com, Airbnb, Expedia, VRBO, Agoda et environ 55 autres canaux connectes via STAAH : les donnees de reservation transitent sur la base du contrat entre l'etablissement et l'OTA
7.2 Transferts de donnees hors UE
Certains traitements impliquent des transferts de donnees a caractere personnel en dehors de l'Union europeenne. Dans tous les cas, des garanties sont adoptees au sens du Chapitre V RGPD :
- USA โ EU-U.S. Data Privacy Framework (Decision (UE) 2023/1795) : Stripe Inc., Google LLC (Firebase Cloud Messaging), Microsoft Corp., DigitalOcean LLC, certifications actives dans le Framework (verification sur dataprivacyframework.gov/list)
- USA โ Clauses Contractuelles Types (CCT/SCC) 2021/914 : Apple Inc. โ Apple n'adhere pas au DPF ; la relation contractuelle pour les utilisateurs UE est avec Apple Distribution International Ltd (Irlande), et les eventuels transferts vers Apple Inc. (USA) s'effectuent au moyen des SCC et des mecanismes internes Apple
- Nouvelle-Zelande โ Decision d'adequation (Decision (UE) 2013/65) : STAAH Limited
- Chine (optionnel) โ Clauses Contractuelles Types (CCT) 2021/914 + mesures supplementaires : Tuya Smart, uniquement pour les etablissements activant les serrures connectees
- Pour tout transfert en l'absence de DPF actif ou d'adequation, Vezpa adopte les CCT UE 2021/914 et, le cas echeant, un Transfer Impact Assessment (TIA) documente
7.3 Diffusion
Les donnees a caractere personnel ne font pas l'objet de diffusion (communication a des destinataires indetermines) et ne sont pas vendues.
8. Droits de la personne concernee
Aux termes des articles 15 a 22 du RGPD, vous avez le droit de :
- ๐ง Acces (art. 15) : obtenir confirmation de l'existence de vos donnees et en recevoir une copie
- โ๏ธ Rectification (art. 16) : corriger des donnees inexactes ou incompletes
- ๐๏ธ Effacement (art. 17) : obtenir l'effacement des donnees (droit a l'oubli) lorsque les conditions sont reunies
- โธ๏ธ Limitation (art. 18) : limiter le traitement dans certaines conditions
- ๐ค Portabilite (art. 20) : recevoir les donnees dans un format structure et les transmettre a un autre responsable
- ๐ซ Opposition (art. 21) : vous opposer au traitement pour des motifs legitimes
- โ Retrait du consentement : retirer a tout moment le consentement au marketing
โ ๏ธ Note importante : Pour les donnees des clients hebergement, ces droits doivent etre exerces aupres de l'etablissement (qui est le Responsable du traitement), et non directement aupres de Vezpa. Vezpa, en qualite de Sous-traitant, assiste le Responsable dans le traitement des demandes au sens de l'art. 28.3.e RGPD.
Marketing et newsletter
L'inscription a des communications commerciales requiert un consentement explicite avec double opt-in (confirmation via lien email). Chaque communication comporte un lien de desabonnement immediat. Pour les clients existants, Vezpa peut envoyer des communications sur des produits et services similaires au sens de l'art. 130.4 D.Lgs. 196/2003 ("soft opt-in"), avec possibilite permanente de s'y opposer.
Comment exercer vos droits
Vous pouvez exercer vos droits en ecrivant a :
Nous vous repondrons dans un delai de 30 jours a compter de la demande.
Droit d'introduire une reclamation
Si vous estimez que le traitement de vos donnees viole le RGPD, vous avez le droit d'introduire une reclamation aupres de l'autorite de controle :
Autorite italienne de protection des donnees (Garante)
Piazza Venezia, 11 - 00187 Rome
Email : [email protected]
PEC : [email protected]
Tel : +39 06.696771
Web : www.garanteprivacy.it
Les utilisateurs en Belgique peuvent egalement saisir l'Autorite de protection des donnees (APD/GBA), Rue de la Presse 35, 1000 Bruxelles โ www.dataprotectionauthority.be.
9. Mineurs
Le service Vezpa PMS est destine exclusivement a des personnes majeures (plus de 18 ans). Nous ne collectons pas sciemment de donnees de mineurs. Si un parent ou tuteur estime qu'un mineur a fourni des donnees a caractere personnel, il peut nous contacter pour leur suppression immediate.
10. Modifications de la Politique de confidentialite
Cette Politique de confidentialite peut etre modifiee dans le temps. Toute modification substantielle sera communiquee avec un preavis approprie via :
- Publication de la nouvelle version sur le site web
- Notification par email aux utilisateurs enregistres
- Banniere informative dans l'espace reserve
La date de derniere mise a jour est toujours indiquee en haut du document.
ยฉ 2022-2026 Vezpa - Tous droits reserves |
Politique de confidentialite |
Conditions de service |
Politique Cookies |
RGPD |
DPA |
Sous-traitants ulterieurs