ACCORD DE TRAITEMENT DES DONNEES (DPA)

Vezpa - Property Management System

Contrat ex art. 28 Reglement UE 2016/679 (RGPD)

Version 1.0 - En vigueur a partir du 19 avril 2026

📌 Prééminence juridique : ce document est une traduction de courtoisie de l'original italien. En cas de divergence entre cette traduction et la version italienne, la version italienne prévaut en tant que référence juridiquement contraignante. Original italien disponible ici : https://vezpa.it/dpa/.
📌 Objet du present document : le present Accord de traitement des donnees (DPA) regit le traitement des donnees a caractere personnel des clients hebergement des etablissements hoteliers utilisant la plateforme Vezpa. L'etablissement (Responsable du traitement) confie a Vezpa (Sous-traitant) le traitement de ces donnees. Le DPA fait partie integrante des Conditions de service et est accepte simultanement a l'inscription de l'etablissement.
A qui il s'applique : ce DPA s'applique chaque fois que l'etablissement utilise Vezpa pour traiter les donnees a caractere personnel de personnes autres que l'etablissement lui-meme (typiquement : clients, leurs accompagnants, contacts de reservation). Il ne s'applique pas au traitement des donnees des utilisateurs professionnels de l'etablissement, pour lequel Vezpa opere en qualite de Responsable autonome (voir Politique de confidentialite).

1. Parties

Responsable du traitement ("Responsable") L'etablissement hotelier qui souscrit l'abonnement Vezpa, tel qu'identifie dans son compte (raison sociale, TVA, siege, representant legal).
Sous-traitant ("Sous-traitant" / "Vezpa") Vezpa di Paolo Vezzola, TVA 04449070988, siege en via San Zeno 67, 25015 Desenzano del Garda (BS), Italie. PEC : [email protected] · Email : [email protected]

2. Objet et duree (art. 28.3 RGPD)

Le Responsable charge le Sous-traitant de traiter des donnees a caractere personnel pour son propre compte au moyen de la plateforme Vezpa. Le traitement a la duree du contrat d'abonnement entre les parties et cesse avec sa resiliation, sous reserve des dispositions du §14.

3. Nature, finalites et type de donnees traitees

3.1 Finalites

3.2 Categories de personnes concernees

3.3 Type de donnees a caractere personnel traitees

⚠️ Donnees particulieres (art. 9 RGPD) : le document d'identite peut contenir des donnees particulieres (ex. lieu de naissance). Le Responsable declare disposer d'une base juridique appropriee ex art. 9.2 RGPD (typiquement lettres b, f ou g) et charge le Sous-traitant de limiter le traitement de ces donnees aux communications requises par la loi envers les autorites publiques et a la conservation dans les delais prevus.

4. Instructions du Responsable (art. 28.3.a RGPD)

Le Sous-traitant traite les donnees a caractere personnel exclusivement sur la base d'instructions documentees du Responsable. Les instructions generales sont contenues dans le present DPA, dans la Politique de confidentialite, dans l'Information RGPD et dans les Conditions de service. Des instructions specifiques peuvent etre donnees par le Responsable par :

Si le Sous-traitant estime qu'une instruction viole le RGPD ou d'autres dispositions applicables, il en informe immediatement le Responsable.

5. Obligations du Sous-traitant (art. 28.3.b-h RGPD)

Le Sous-traitant s'engage a :

  1. Confidentialite : traiter les donnees de maniere confidentielle et s'assurer que les personnes autorisees au traitement sont tenues a une obligation de confidentialite ;
  2. Securite : adopter les mesures techniques et organisationnelles visees a l'Annexe B, adequates au risque ;
  3. Sous-traitants ulterieurs : respecter les conditions du §6 ;
  4. Assistance au Responsable : assister le Responsable dans l'execution de ses obligations, notamment :
  5. Restitution / effacement des donnees a la fin, comme prevu au §14 ;
  6. Information : mettre a la disposition du Responsable toutes les informations necessaires pour demontrer la conformite au present DPA.

6. Sous-traitants ulterieurs (art. 28.2 et 28.4 RGPD)

6.1 Autorisation generale

Le Responsable autorise le Sous-traitant a designer les sous-traitants ulterieurs enumeres sur vezpa.it/subprocessors et ceux qui seront ulterieurement ajoutes selon la procedure decrite ici.

6.2 Preavis de modification

Le Sous-traitant communique au Responsable son intention d'ajouter ou de remplacer un sous-traitant ulterieur avec un preavis d'au moins 30 jours, par email a l'adresse enregistree et/ou avis dans le tableau de bord. Dans ce delai, le Responsable peut s'y opposer de maniere motivee. En cas d'opposition non resoluble, chaque partie peut resilier le contrat avec cessation du traitement concerne.

6.3 Obligations envers les sous-traitants ulterieurs

Le Sous-traitant impose par ecrit aux sous-traitants ulterieurs des obligations de protection des donnees equivalentes a celles prevues ici, et repond envers le Responsable des actes des sous-traitants ulterieurs.

7. Violation de donnees (art. 33 RGPD)

En cas de violation de donnees a caractere personnel concernant des donnees traitees pour le compte du Responsable, le Sous-traitant :

La notification au Responsable a lieu par email a l'adresse enregistree et PEC, si disponible. Le Responsable demeure responsable des notifications externes (Garante, personnes concernees) au sens des art. 33-34 RGPD.

8. Droits des personnes concernees (art. 28.3.e RGPD)

Si une personne concernee s'adresse directement au Sous-traitant pour exercer des droits relatifs a des donnees traitees pour le compte du Responsable, le Sous-traitant transmet la demande au Responsable sans delai et ne repond pas pour le compte du Responsable, sauf instructions contraires.

Le Sous-traitant met a la disposition du Responsable, dans le tableau de bord et via API, des fonctionnalites pour :

Pour les demandes necessitant une intervention technique manuelle, le Sous-traitant repond dans les 10 jours ouvres suivant la reception de l'instruction du Responsable.

9. Audit (art. 28.3.h RGPD)

Le Sous-traitant fournit au Responsable, sur demande, des informations et de la documentation demontrant la conformite au present DPA, notamment :

Le Responsable peut mener des audits (directement ou par l'intermediaire de tiers independants soumis a confidentialite) avec un preavis d'au moins 30 jours, pendant les heures ouvrees, sans interrompre les operations et avec une frequence n'excedant pas une fois par an (sauf violation de donnees). Chaque partie supporte ses propres couts.

10. Transferts hors UE (Chapitre V RGPD)

La liste des sous-traitants ulterieurs avec indication du siege et de la base juridique du transfert est publiee sur vezpa.it/subprocessors. Pour les transferts non couverts par une decision d'adequation, le Sous-traitant adopte :

11. Role du Responsable

Le Responsable declare et garantit :

12. Confidentialite

Chaque partie maintient strictement confidentielles toutes les informations recues de l'autre partie en execution du present DPA, pour toute la duree du contrat et pour les 5 annees suivantes.

13. Responsabilite

La responsabilite de chaque partie ex art. 82 RGPD envers les personnes concernees reste regie par la loi. Dans les rapports entre les parties, le regime de responsabilite contractuelle est celui etabli dans les Conditions de service (§9-10), sans prejudice de la repartition imperative prevue par l'art. 82 RGPD.

14. Cessation du traitement

A la cessation du contrat pour quelque cause que ce soit, le Sous-traitant :

  1. Met a la disposition du Responsable les outils pour exporter ses donnees dans un format structure (CSV/JSON) pendant 30 jours apres la cessation ;
  2. Apres 30 jours, efface ou rend anonymes les donnees traitees pour le compte du Responsable dans les systemes de production ;
  3. Efface les donnees des sauvegardes dans le cycle de rotation suivant (generalement dans un delai de 90 jours) ;
  4. Conserve les donnees que Vezpa est tenue de conserver par la loi (typiquement : donnees de facturation et journaux de securite) uniquement pour les delais imposes par la reglementation applicable, en maintenant sur celles-ci des mesures de securite adequates.

15. Modifications

Le Sous-traitant peut modifier le present DPA pour tenir compte d'evolutions reglementaires (ex. nouvelles CCT, mesures du Garante) ou de variations organisationnelles. Les modifications substantielles sont communiquees au Responsable avec un preavis d'au moins 30 jours. Si le Responsable n'accepte pas, il peut resilier sans penalite pour la partie non utilisee de l'abonnement.

16. Droit applicable

Le present DPA est regi par la loi italienne. Pour les litiges, le §16 des Conditions de service s'applique.

Annexe A - Description synthetique du traitement

Poste Description
Nature du traitement Collecte, enregistrement, organisation, structuration, conservation, adaptation, extraction, consultation, utilisation, communication, transmission aux canaux OTA et aux autorites publiques, effacement
Finalites Voir §3.1
Categories de personnes concernees Voir §3.2
Categories de donnees Voir §3.3
Duree Pendant toute la duree du contrat. Retention specifique par categories de donnees selon Politique de confidentialite §6

Annexe B - Mesures techniques et organisationnelles de securite (art. 32 RGPD)

Mesures techniques

Mesures organisationnelles

Annexe C - Sous-traitants ulterieurs autorises

La liste en vigueur est publiee et tenue a jour sur vezpa.it/subprocessors. Au moment de l'entree dans le contrat, la liste comprend (entre autres) :

📞 Contacts pour questions DPA

Sous-traitant :
Vezpa di Paolo Vezzola
📧 Email : [email protected]
📧 PEC : [email protected]
📮 Desenzano del Garda, via San Zeno 67


© 2022-2026 Vezpa - Tous droits reserves | Politique de confidentialite | Conditions de service | Politique Cookies | RGPD | DPA | Sous-traitants ulterieurs