ACCORD DE TRAITEMENT DES DONNEES (DPA)

1. Parties

2. Objet et duree (art. 28.3 RGPD)

Le Responsable charge le Sous-traitant de traiter des donnees a caractere personnel pour son propre compte au moyen de la plateforme Vezpa. Le traitement a la duree du contrat d'abonnement entre les parties et cesse avec sa resiliation, sous reserve des dispositions du §14.

3. Nature, finalites et type de donnees traitees

3.1 Finalites

• Gestion des reservations, du sejour et du check-in/check-out
• Execution des obligations legales du Responsable envers les autorites publiques (AlloggiatiWeb, ISTAT, PayTourist, Feratel/Meldeamt, SES.HOSPEDAJES, NTAK, eVisitor, SEF, UbyPort, eTurizem)
• Communication des donnees de reservation aux canaux OTA et au channel manager actives par l'etablissement
• Emission de communications au client hebergement (confirmations, pre-check-in, paiements)
• Traitement des paiements via Booking Engine ou lien Stripe
• Production de rapports et statistiques pour le Responsable

3.2 Categories de personnes concernees

• Clients hebergement des etablissements et leurs accompagnants
• Personnes qui reservent pour le compte d'autrui
• Contacts d'urgence eventuellement fournis par le client

3.3 Type de donnees a caractere personnel traitees

• Donnees d'identification et d'identite (nom, prenom, date et lieu de naissance, nationalite, genre)
• Documents d'identite (type, numero, date de delivrance, autorite emettrice, image scannee ou photographiee)
• Donnees textuelles extraites du document par OCR automatique
• Donnees de contact (email, telephone, adresse)
• Donnees de reservation et de sejour
• Donnees de paiement (gerees par Stripe, non conservees sur Vezpa)

4. Instructions du Responsable (art. 28.3.a RGPD)

Le Sous-traitant traite les donnees a caractere personnel exclusivement sur la base d'instructions documentees du Responsable. Les instructions generales sont contenues dans le present DPA, dans la Politique de confidentialite, dans l'Information RGPD et dans les Conditions de service. Des instructions specifiques peuvent etre donnees par le Responsable par :

• Configurations dans son compte (activation/desactivation des connecteurs gouvernementaux, OTA, retention)
• Communication ecrite a [email protected] ou par PEC a [email protected]

Si le Sous-traitant estime qu'une instruction viole le RGPD ou d'autres dispositions applicables, il en informe immediatement le Responsable.

5. Obligations du Sous-traitant (art. 28.3.b-h RGPD)

Le Sous-traitant s'engage a :

1. Confidentialite : traiter les donnees de maniere confidentielle et s'assurer que les personnes autorisees au traitement sont tenues a une obligation de confidentialite ;
2. Securite : adopter les mesures techniques et organisationnelles visees a l'Annexe B, adequates au risque ;
3. Sous-traitants ulterieurs : respecter les conditions du §6 ;
4. Assistance au Responsable : assister le Responsable dans l'execution de ses obligations, notamment :
   • Reponse aux demandes des personnes concernees (art. 15-22 RGPD) dans des delais permettant au Responsable de repondre dans les 30 jours legaux ;
   • Notification des violations de donnees au Responsable dans les 24 heures suivant la decouverte (§7) ;
   • Soutien a la DPIA (art. 35) et aux consultations prealables (art. 36) ;
   • Demonstration de conformite via documentation et, sur demande, audit (§9).
5. Restitution / effacement des donnees a la fin, comme prevu au §14 ;
6. Information : mettre a la disposition du Responsable toutes les informations necessaires pour demontrer la conformite au present DPA.

6. Sous-traitants ulterieurs (art. 28.2 et 28.4 RGPD)

6.1 Autorisation generale

Le Responsable autorise le Sous-traitant a designer les sous-traitants ulterieurs enumeres sur vezpa.it/subprocessors et ceux qui seront ulterieurement ajoutes selon la procedure decrite ici.

6.2 Preavis de modification

Le Sous-traitant communique au Responsable son intention d'ajouter ou de remplacer un sous-traitant ulterieur avec un preavis d'au moins 30 jours, par email a l'adresse enregistree et/ou avis dans le tableau de bord. Dans ce delai, le Responsable peut s'y opposer de maniere motivee. En cas d'opposition non resoluble, chaque partie peut resilier le contrat avec cessation du traitement concerne.

6.3 Obligations envers les sous-traitants ulterieurs

Le Sous-traitant impose par ecrit aux sous-traitants ulterieurs des obligations de protection des donnees equivalentes a celles prevues ici, et repond envers le Responsable des actes des sous-traitants ulterieurs.

7. Violation de donnees (art. 33 RGPD)

En cas de violation de donnees a caractere personnel concernant des donnees traitees pour le compte du Responsable, le Sous-traitant :

• Notifie le Responsable sans retard injustifie et en tout etat de cause dans les 24 heures suivant la decouverte ;
• Fournit les informations de l'art. 33.3 RGPD (nature, categories et nombre approximatif des personnes concernees et des donnees, consequences probables, mesures adoptees ou proposees) ;
• Collabore avec le Responsable pour les communications aux personnes concernees et a l'Autorite de controle ;
• Documente l'incident et les actions entreprises.

La notification au Responsable a lieu par email a l'adresse enregistree et PEC, si disponible. Le Responsable demeure responsable des notifications externes (Garante, personnes concernees) au sens des art. 33-34 RGPD.

8. Droits des personnes concernees (art. 28.3.e RGPD)

Si une personne concernee s'adresse directement au Sous-traitant pour exercer des droits relatifs a des donnees traitees pour le compte du Responsable, le Sous-traitant transmet la demande au Responsable sans delai et ne repond pas pour le compte du Responsable, sauf instructions contraires.

Le Sous-traitant met a la disposition du Responsable, dans le tableau de bord et via API, des fonctionnalites pour :

• Exportation des donnees d'une personne concernee (acces et portabilite)
• Rectification
• Effacement ou anonymisation
• Limitation du traitement

Pour les demandes necessitant une intervention technique manuelle, le Sous-traitant repond dans les 10 jours ouvres suivant la reception de l'instruction du Responsable.

9. Audit (art. 28.3.h RGPD)

Le Sous-traitant fournit au Responsable, sur demande, des informations et de la documentation demontrant la conformite au present DPA, notamment :

• Synthese des mesures de securite mises en oeuvre
• Liste des sous-traitants ulterieurs avec sieges et bases de transfert
• Registre des activites de traitement (extraits pertinents)
• Certifications des sous-traitants ulterieurs (ISO 27001, SOC 2, DPF) le cas echeant

Le Responsable peut mener des audits (directement ou par l'intermediaire de tiers independants soumis a confidentialite) avec un preavis d'au moins 30 jours, pendant les heures ouvrees, sans interrompre les operations et avec une frequence n'excedant pas une fois par an (sauf violation de donnees). Chaque partie supporte ses propres couts.

10. Transferts hors UE (Chapitre V RGPD)

La liste des sous-traitants ulterieurs avec indication du siege et de la base juridique du transfert est publiee sur vezpa.it/subprocessors. Pour les transferts non couverts par une decision d'adequation, le Sous-traitant adopte :

• Clauses Contractuelles Types 2021/914 et mesures supplementaires le cas echeant (Transfer Impact Assessment documente) ;
• Ou d'autres garanties appropriees prevues par l'art. 46 RGPD.

11. Role du Responsable

Le Responsable declare et garantit :

• Avoir fourni aux personnes concernees l'information prevue par les art. 13-14 RGPD ;
• Avoir acquis les eventuelles bases juridiques (consentement, contrat, obligation legale) necessaires au traitement ;
• Donner des instructions licites au Sous-traitant ;
• Garantir la conservation et l'effacement corrects des donnees apres le retrait de la plateforme Vezpa.

12. Confidentialite

Chaque partie maintient strictement confidentielles toutes les informations recues de l'autre partie en execution du present DPA, pour toute la duree du contrat et pour les 5 annees suivantes.

13. Responsabilite

La responsabilite de chaque partie ex art. 82 RGPD envers les personnes concernees reste regie par la loi. Dans les rapports entre les parties, le regime de responsabilite contractuelle est celui etabli dans les Conditions de service (§9-10), sans prejudice de la repartition imperative prevue par l'art. 82 RGPD.

14. Cessation du traitement

A la cessation du contrat pour quelque cause que ce soit, le Sous-traitant :

1. Met a la disposition du Responsable les outils pour exporter ses donnees dans un format structure (CSV/JSON) pendant 30 jours apres la cessation ;
2. Apres 30 jours, efface ou rend anonymes les donnees traitees pour le compte du Responsable dans les systemes de production ;
3. Efface les donnees des sauvegardes dans le cycle de rotation suivant (generalement dans un delai de 90 jours) ;
4. Conserve les donnees que Vezpa est tenue de conserver par la loi (typiquement : donnees de facturation et journaux de securite) uniquement pour les delais imposes par la reglementation applicable, en maintenant sur celles-ci des mesures de securite adequates.

15. Modifications

Le Sous-traitant peut modifier le present DPA pour tenir compte d'evolutions reglementaires (ex. nouvelles CCT, mesures du Garante) ou de variations organisationnelles. Les modifications substantielles sont communiquees au Responsable avec un preavis d'au moins 30 jours. Si le Responsable n'accepte pas, il peut resilier sans penalite pour la partie non utilisee de l'abonnement.

16. Droit applicable

Le present DPA est regi par la loi italienne. Pour les litiges, le §16 des Conditions de service s'applique.

© 2022-2026 Vezpa - Tous droits reserves | Politique de confidentialite | Conditions de service | Politique Cookies | RGPD | DPA | Sous-traitants ulterieurs