Politique de Confidentialite - Application Vezpa

1. Responsable du traitement

Vezpa di Paolo Vezzola
Siege legal : Via San Zeno 67, 25015 Desenzano del Garda (BS), Italie
N. TVA : 04449070988 · Code fiscal : VZZPLA84C10D284C
Email : [email protected] · PEC : [email protected]

2. Champ d'Application

La presente information s'applique a l'application Vezpa distribuee via :

Apple App Store (iOS, macOS) — Bundle ID : it.vezpa.pms
Google Play Store (Android) — flavour googleplay
Microsoft Store (Windows) — MSIX
Sideload direct (APK Android, installateur Windows signe) pour un usage distribue directement par le Responsable du traitement

L'utilisation de l'application requiert la creation d'un compte dedie a l'etablissement d'hebergement. L'application est destinee a des utilisateurs professionnels majeurs de plus de 18 ans (gestionnaires d'etablissements d'hebergement et leur personnel autorise).

3. Donnees collectees par l'Application

3.1 Donnees des utilisateurs (Gestionnaires et personnel)

Donnees d'identification : nom, prenom, email, numero de telephone
Donnees de l'etablissement d'hebergement
Identifiants (mot de passe hashed cote backend, jamais transmis en clair)
Identifiants de compte (User ID)
Role attribue (directeur, assistant, gouvernante, observateur)

3.2 Donnees des clients (Vezpa agit en tant que Sous-traitant)

Important : les donnees des clients appartiennent a l'etablissement. Vezpa agit en tant que Sous-traitant au sens de l'art. 28 RGPD, regi par le DPA.

Donnees d'identification et de contact
Pieces d'identite scannees ou photographiees via la camera de l'appareil, avec extraction OCR des donnees textuelles pour faciliter l'enregistrement
Donnees de sejour et de reservation

3.3 Donnees techniques et d'utilisation

Identifiants de l'appareil : modele, systeme d'exploitation, version de l'application
Jeton de notifications push (FCM) : identifiant unique gere par Google Firebase pour l'envoi de notifications
Hash SHA-256 de l'appareil de confiance : genere localement pour permettre un acces biometrique ulterieur, expiration 90 jours depuis la derniere utilisation
Journaux applicatifs et diagnostiques : transmis en batch au backend via RemoteLogger a des fins de stabilite et de securite ; ne contiennent pas de contenu personnel sensible
Adresse IP : collectee par le backend a des fins de securite

4. Permissions requises par l'Application

Permission	Finalite	Obligatoire
Camera	Acquisition des images des pieces d'identite des clients pour OCR et pour envoi aux autorites	Optionnel (alternative : saisie manuelle)
Notifications push	Reception de notifications sur les nouvelles reservations, check-in, demandes des clients	Optionnel (l'application fonctionne sans)
Authentification biometrique (Face ID / Touch ID / empreinte digitale / Windows Hello)	Connexion rapide apres premiere authentification par mot de passe. Les donnees biometriques ne quittent jamais l'appareil et ne sont pas communiquees a Vezpa.	Optionnel
Stockage / Fichiers	Sauvegarde locale de rapports PDF, factures, fiches Alloggiati generes par l'application	Optionnel
Internet	Communication avec les serveurs Vezpa	Obligatoire
REQUEST_INSTALL_PACKAGES (Android sideload uniquement)	Installation automatique des mises a jour via APK telecharge depuis les serveurs Vezpa. Non present dans la version Google Play.	Requis uniquement pour le flavour sideload

5. SDK et services integres dans l'Application

SDK / Service	Fournisseur	Finalite	Donnees traitees
Firebase Cloud Messaging (FCM)	Google LLC / Google Ireland Ltd	Envoi de notifications push	Jeton de l'appareil, identifiants techniques
StoreKit / Google Play Billing / Microsoft Store	Apple Inc. / Google LLC / Microsoft Corp.	Gestion des achats et abonnements in-app	Jeton d'achat, etat de l'abonnement, ID de compte store
Stripe SDK (paiements page client uniquement)	Stripe Payments Europe Ltd	Traitement des paiements par carte	Donnees de carte gerees par Stripe, non transmises a Vezpa
local_auth (biometrie)	Systeme d'exploitation (Apple / Google / Microsoft)	Deverrouillage biometrique local	Aucune donnee biometrique transmise a Vezpa
Flutter Secure Storage	Plateforme (Keychain iOS/macOS, EncryptedSharedPreferences Android, DPAPI Windows)	Conservation locale des jetons JWT et identifiants	Jeton de refresh, chiffres par le systeme d'exploitation
share_plus	Open Source	Partage de fichiers (PDF, rapports) avec des applications du systeme	Fichiers choisis par l'utilisateur

Vezpa n'integre pas de SDK d'analytics comportementaux (ex. AppsFlyer, Mixpanel, Facebook SDK), SDK publicitaires ni SDK de profilage. Aucun suivi cross-app au sens d'Apple App Tracking Transparency (ATT).

6. Finalites du Traitement

Fourniture des fonctionnalites de l'application Vezpa (art. 6.1.b RGPD)
Obligations legales relatives a l'enregistrement des clients, deleguees par l'etablissement (art. 6.1.c)
Securite, prevention de la fraude, stabilite du service (art. 6.1.f, interet legitime)
Gestion des abonnements et paiements (art. 6.1.b et 6.1.c)

Les donnees ne sont pas utilisees a des fins publicitaires, de profilage ou de suivi.

7. Modalites de Traitement et Securite

Transmission via HTTPS/TLS 1.2+
Authentification avec JWT a rotation (access 15 min, refresh 180 jours avec blacklist)
Secure Storage systeme (Keychain / EncryptedSharedPreferences / DPAPI)
2FA TOTP optionnel
Serveurs backend situes en UE (Francfort) sur DigitalOcean
Journaux applicatifs surveilles pour detecter les acces anormaux

8. Conservation et Suppression

Les donnees des utilisateurs sont conservees pour la duree du contrat + obligations fiscales (10 ans pour la facturation).

L'utilisateur peut demander la suppression du compte via la fonction dediee dans l'application ou en ecrivant au Responsable du traitement. Certaines donnees pourraient etre conservees pour obligations legales (facturation, journaux de securite).

Les donnees des clients (dont Vezpa est Sous-traitant) suivent les instructions du Responsable du traitement selon ce qui est regi par le DPA.

9. Communication des Donnees

Les donnees ne sont ni vendues ni diffusees. Elles peuvent etre communiquees aux sous-traitants ulterieurs enumeres sur vezpa.it/subprocessors et, limitees aux donnees de reservation, aux canaux OTA actives par l'etablissement.

Pour les donnees transmises aux autorites publiques (Questura, ISTAT, Feratel, SES, NTAK, eVisitor, SEF, UbyPort, eTurizem), veuillez vous referer a la Politique de Confidentialite generale.

10. Transferts Hors UE

Les communications avec les fournisseurs USA certifies DPF (Google/Firebase, Stripe, Microsoft, DigitalOcean) s'effectuent sur la base de l'EU-U.S. Data Privacy Framework (Decision (UE) 2023/1795). Apple n'adhere pas au DPF : la relation contractuelle pour les utilisateurs UE est avec Apple Distribution International Ltd (Irlande) et les eventuels transferts vers Apple Inc. (USA) sont regis par les SCC 2021/914. Les communications avec STAAH (channel manager) s'effectuent sur la base de la Decision d'adequation UE pour la Nouvelle-Zelande (2013/65/UE). Tuya (Chine, facultatif) est regi par les SCC 2021/914.

11. Droits de l'Utilisateur

Au sens des art. 15-22 RGPD, l'utilisateur peut exercer des droits d'acces, de rectification, d'effacement, de limitation, de portabilite et d'opposition. Les demandes peuvent etre transmises via l'application, ou a [email protected].

Reclamations a l'autorite de controle : autorite italienne de protection des donnees (Garante). Les utilisateurs en France peuvent egalement saisir la CNIL (www.cnil.fr).

12. Mineurs

L'application est destinee exclusivement a des utilisateurs majeurs (gestionnaires professionnels). Elle ne collecte pas sciemment de donnees de mineurs.

13. Modifications de la Politique de Confidentialite

La presente information peut etre mise a jour. Les modifications seront publiees sur cette page et, si substantielles, communiquees par email et tableau de bord avec au moins 15 jours de preavis.

POLITIQUE DE CONFIDENTIALITE – APPLICATION VEZPA