ACCORD DE TRAITEMENT DES DONNEES (DPA)

1. Parties

2. Objet et duree (art. 28.3 RGPD)

Le Responsable charge le Sous-traitant de traiter des donnees personnelles pour son compte au moyen de la plateforme Vezpa. Le traitement a la duree du contrat d'abonnement entre les parties et cesse a sa resiliation, sous reserve de ce qui est prevu au §14.

3. Nature, finalite et type des donnees traitees

3.1 Finalites

• Gestion des reservations, du sejour et du check-in/check-out
• Accomplissement des obligations legales du Responsable envers les autorites publiques (AlloggiatiWeb, ISTAT, PayTourist, Feratel/Meldeamt, SES.HOSPEDAJES, NTAK, eVisitor, SEF, UbyPort, eTurizem)
• Communication des donnees de reservation aux canaux OTA et au channel manager actives par l'etablissement
• Emission de communications au client hebergement (confirmations, pre-check-in, paiements)
• Traitement des paiements via Booking Engine ou lien Stripe
• Production de rapports et statistiques pour le Responsable

3.2 Categories de personnes concernees

• Clients hebergement des etablissements et leurs accompagnateurs
• Personnes qui reservent pour le compte d'autres
• Contacts d'urgence eventuellement fournis par le client hebergement

3.3 Type de donnees personnelles traitees

• Donnees d'identification et d'etat civil (nom, prenom, date et lieu de naissance, nationalite, genre)
• Documents d'identite (type, numero, date de delivrance, organisme emetteur, image scannee ou photographiee)
• Donnees textuelles extraites du document via OCR automatique
• Donnees de contact (email, telephone, adresse)
• Donnees de reservation et de sejour
• Donnees de paiement (gerees par Stripe, non stockees sur Vezpa)

4. Instructions du Responsable (art. 28.3.a RGPD)

Le Sous-traitant traite les donnees personnelles exclusivement sur la base d'instructions documentees du Responsable. Les instructions generales sont contenues dans le present DPA, dans la Politique de Confidentialite, dans l'Information RGPD et dans les Conditions de Service. Des instructions specifiques peuvent etre donnees par le Responsable via :

• Configurations dans son compte (activation/desactivation des connecteurs gouvernementaux, OTA, retention)
• Communication ecrite a [email protected] ou par PEC a [email protected]

Si le Sous-traitant estime qu'une instruction viole le RGPD ou d'autres dispositions applicables, il en informe immediatement le Responsable.

5. Obligations du Sous-traitant (art. 28.3.b-h RGPD)

Le Sous-traitant s'engage a :

1. Confidentialite : traiter les donnees de maniere confidentielle et s'assurer que les personnes autorisees au traitement soient tenues a une obligation de confidentialite ;
2. Securite : adopter les mesures techniques et organisationnelles visees a l'Annexe B, adaptees au risque ;
3. Sous-traitants ulterieurs : respecter les conditions du §6 ;
4. Assistance au Responsable : assister le Responsable dans l'accomplissement de ses obligations, en particulier :
   • Reponse aux demandes des personnes concernees (artt. 15-22 RGPD) dans des delais permettant au Responsable de repondre dans les 30 jours legaux ;
   • Notification de data breach au Responsable dans un delai de 24 heures a compter de la decouverte (§7) ;
   • Soutien a l'AIPD (art. 35) et consultations prealables (art. 36) ;
   • Demonstration de conformite via documentation et, le cas echeant, audit (§9).
5. Restitution / effacement des donnees au terme, comme prevu au §14 ;
6. Information : mettre a disposition du Responsable toutes les informations necessaires pour demontrer la conformite au present DPA.

6. Sous-traitants ulterieurs (art. 28.2 et 28.4 RGPD)

6.1 Autorisation generale

Le Responsable autorise le Sous-traitant a nommer les sous-traitants ulterieurs enumeres sur vezpa.it/subprocessors et ceux qui seront successivement ajoutes selon la procedure decrite ici.

6.2 Preavis de modification

Le Sous-traitant communique au Responsable son intention d'ajouter ou de remplacer un sous-traitant ulterieur avec un preavis d'au moins 30 jours, par email a l'adresse enregistree et/ou avis dans le tableau de bord. Dans ce delai, le Responsable peut s'y opposer de maniere motivee. En cas d'opposition non resoluble, chaque partie peut resilier le contrat avec cessation du traitement concerne.

6.3 Obligations envers les sous-traitants ulterieurs

Le Sous-traitant impose aux sous-traitants ulterieurs par ecrit des obligations de protection des donnees equivalentes a celles prevues ici, et repond envers le Responsable des operations des sous-traitants ulterieurs.

7. Data breach (art. 33 RGPD)

En cas de violation des donnees personnelles concernant des donnees traitees pour le compte du Responsable, le Sous-traitant :

• Notifie le Responsable sans retard injustifie et au plus tard dans les 24 heures a compter de la decouverte ;
• Fournit les informations de l'art. 33.3 RGPD (nature, categories et nombre approximatif de personnes concernees et de donnees, consequences probables, mesures adoptees ou proposees) ;
• Collabore avec le Responsable dans les communications aux personnes concernees et a l'autorite de controle ;
• Documente l'incident et les actions entreprises.

La notification au Responsable a lieu par email a l'adresse enregistree et PEC, si disponible. Le Responsable reste charge des notifications externes (autorite italienne de protection des donnees (Garante), personnes concernees) au sens des artt. 33-34 RGPD.

8. Droits des personnes concernees (art. 28.3.e RGPD)

Si une personne concernee s'adresse directement au Sous-traitant pour exercer des droits relatifs a des donnees traitees pour le compte du Responsable, le Sous-traitant transmet la demande au Responsable sans retard et ne repond pas pour le compte du Responsable, sauf instructions contraires.

Le Sous-traitant met a disposition du Responsable, dans le tableau de bord et via API, des fonctionnalites pour :

• Exportation des donnees d'une personne concernee (acces et portabilite)
• Rectification
• Effacement ou anonymisation
• Limitation du traitement

Pour les demandes qui necessitent une intervention technique manuelle, le Sous-traitant repond dans un delai de 10 jours ouvrables a compter de la reception de l'instruction du Responsable.

9. Audit (art. 28.3.h RGPD)

Le Sous-traitant fournit au Responsable, sur demande, des informations et documentation demontrant la conformite au present DPA, notamment :

• Synthese des mesures de securite mises en oeuvre
• Liste des sous-traitants ulterieurs avec sieges et bases de transfert
• Registre des activites de traitement (extraits pertinents)
• Certifications des sous-traitants ulterieurs (ISO 27001, SOC 2, DPF) lorsque disponibles

Le Responsable peut conduire des audits (directement ou via des tiers independants soumis a confidentialite) avec un preavis d'au moins 30 jours, pendant les heures de travail, sans interrompre les operations et avec une frequence maximale d'une fois par an (sauf data breach). Chaque partie supporte ses propres couts.

10. Transferts hors UE (Chapitre V RGPD)

La liste des sous-traitants ulterieurs avec indication du siege et de la base juridique du transfert est publiee sur vezpa.it/subprocessors. Pour les transferts non couverts par une decision d'adequation, le Sous-traitant adopte :

• Clauses Contractuelles Types 2021/914 et mesures supplementaires si necessaire (Transfer Impact Assessment documente) ;
• Ou d'autres garanties appropriees prevues par l'art. 46 RGPD.

11. Role du Responsable

Le Responsable declare et garantit de :

• Avoir fourni aux personnes concernees l'information prevue par les artt. 13-14 RGPD ;
• Avoir acquis les eventuelles bases juridiques (consentement, contrat, obligation legale) necessaires au traitement ;
• Donner des instructions licites au Sous-traitant ;
• Garantir la conservation et l'effacement corrects des donnees apres le retrait de la plateforme Vezpa.

12. Confidentialite

Chaque partie conserve strictement confidentielles toutes les informations recues de l'autre partie en execution du present DPA, pour toute la duree du contrat et pour les 5 annees successives.

13. Responsabilite

La responsabilite de chaque partie au sens de l'art. 82 RGPD envers les personnes concernees demeure regie par la loi. Dans les rapports entre les parties, le regime de responsabilite contractuelle est celui etabli dans les Conditions de Service (§9-10), sous reserve de la repartition inalienable prevue par l'art. 82 RGPD.

14. Cessation du traitement

A la cessation du contrat pour quelque cause que ce soit, le Sous-traitant :

1. Met a disposition du Responsable les outils pour exporter ses donnees dans un format structure (CSV/JSON) pendant 30 jours a compter de la cessation ;
2. Une fois les 30 jours ecoules, efface ou rend anonymes les donnees traitees pour le compte du Responsable depuis les systemes de production ;
3. Efface les donnees des sauvegardes dans le cycle de rotation suivant (typiquement dans les 90 jours) ;
4. Conserve les donnees que Vezpa est tenue de conserver par la loi (typiquement : donnees de facturation et logs de securite) pour les seuls delais imposes par la reglementation applicable, en maintenant sur elles des mesures de securite adequates.

15. Modifications

Le Sous-traitant peut modifier le present DPA pour integrer des evolutions reglementaires (par ex. nouvelles CCT, mesures de l'autorite italienne de protection des donnees) ou des variations organisationnelles. Les modifications substantielles sont communiquees au Responsable avec un preavis d'au moins 30 jours. Si le Responsable n'accepte pas, il peut resilier sans penalites pour la partie non consommee de l'abonnement.

16. Loi applicable

Le present DPA est regi par la loi italienne. Pour les litiges, le §16 des Conditions de Service s'applique.

© 2022-2026 Vezpa - Tous droits reserves | Politique de Confidentialite | Conditions de Service | Politique Cookies | RGPD | DPA | Sous-traitants ulterieurs