๐ Prรฉรฉminence juridique : ce document est une traduction de courtoisie de l'original italien. En cas de divergence entre cette traduction et la version italienne,
la version italienne prรฉvaut en tant que rรฉfรฉrence juridiquement contraignante. Original italien disponible ici :
https://vezpa.it/privacy/.
๐ En resume : Vezpa respecte votre vie privee. Nous ne collectons que les donnees necessaires a la fourniture du service de gestion hoteliere, nous les protegeons par des mesures de securite adequates et nous ne les vendons jamais a des tiers. Pour le traitement des donnees des
clients, Vezpa agit en tant que
Sous-traitant (art. 28 RGPD) : le contrat dedie est le
DPA.
1. Responsable du traitement
Le Responsable du traitement des donnees personnelles est :
Vezpa di Paolo Vezzola
Siege legal : Via San Zeno 67, 25015 Desenzano del Garda (BS), Italie
N. TVA : 04449070988
Code fiscal : VZZPLA84C10D284C
Email : [email protected]
PEC : [email protected]
2. Champ d'application
La presente Politique de Confidentialite s'applique a la plateforme Vezpa PMS (web, bureau et mobile) et aux pages du site web sur lesquelles cette information est publiee.
3. Donnees Personnelles Collectees
3.1 Donnees des Utilisateurs du Service (Gestionnaires d'Etablissements)
Lorsque vous vous inscrivez a Vezpa en tant que gestionnaire d'etablissement d'hebergement, nous collectons :
- Donnees d'identification : nom, prenom, email, numero de telephone
- Donnees de l'etablissement : nom, adresse, typologie, numero de TVA
- Donnees de facturation : adresse de facturation, code fiscal/N. TVA, code unique/PEC
- Identifiants d'acces : email et mot de passe (chiffre)
- Donnees de paiement : gerees via des prestataires externes certifies PCI-DSS (nous ne stockons jamais directement les donnees de carte de credit)
3.2 Donnees des Clients des Etablissements
Pour le compte des gestionnaires des etablissements (en qualite de Sous-traitant au sens de l'art. 28 RGPD, regi par le DPA), le systeme collecte :
- Donnees d'identification : nom, prenom, lieu et date de naissance, nationalite, genre
- Pieces d'identite : type, numero, lieu et date de delivrance, scan ou photographie du document. Ces images peuvent etre traitees par OCR automatique pour l'extraction des donnees textuelles, sans stockage de donnees biometriques derivees.
- Donnees de contact : email, numero de telephone
- Donnees de reservation : dates de sejour, nombre de clients, tarifs, formule
- Donnees de paiement : uniquement si le paiement se fait via le moteur de reservation ou un lien Stripe de Vezpa ; les donnees de carte ne sont jamais stockees sur les serveurs Vezpa
โ ๏ธ Pieces d'identite et categories particulieres (art. 9 RGPD) : les pieces d'identite peuvent contenir des donnees qualifiables de "particulieres" (ex. lieu de naissance pouvant reveler l'origine ethnique). Vezpa traite ces donnees uniquement dans la mesure strictement necessaire aux obligations legales du gestionnaire envers les autorites publiques, n'effectue pas de profilage sur celles-ci et ne les communique pas a des sujets autres que les autorites et les sous-traitants ulterieurs enumeres au ยง7.
3.3 Donnees de Navigation
- Adresse IP
- Type de navigateur et d'appareil
- Pages visitees et temps de consultation
- Systeme d'exploitation
- Referer (provenance)
3.4 Cookies
Nous utilisons des cookies techniques necessaires au fonctionnement du service. Pour plus de details, consultez notre Politique de Cookies.
4. Finalites du Traitement et Base Juridique
4.1 Pour les Gestionnaires des Etablissements
| Finalite |
Base Juridique |
| Fourniture du service PMS |
Execution du contrat (art. 6.1.b RGPD) |
| Facturation et obligations fiscales |
Obligation legale (art. 6.1.c RGPD) |
| Assistance clients |
Execution du contrat (art. 6.1.b RGPD) |
| Securite, prevention de la fraude, fiabilite du service |
Interet legitime (art. 6.1.f RGPD) |
| Envoi de communications marketing |
Consentement (art. 6.1.a RGPD) - uniquement si autorise |
4.2 Pour les Clients des Etablissements
Important : Pour les donnees des clients, le Responsable du traitement est l'etablissement d'hebergement. Vezpa agit en tant que Sous-traitant sur instruction documentee du gestionnaire de l'etablissement, au sens du Accord de traitement des donnees (DPA).
- Check-in et enregistrement des clients : obligation legale (loi italienne TULPS, art. 109, D.Lgs. 159/2011) pour l'Italie ; reglementation equivalente pour les autres Etats pris en charge
- Communications gouvernementales obligatoires : AlloggiatiWeb (IT-Questura), ISTAT (IT), PayTourist (IT-Communes), Feratel/Meldeamt (AT), SES.HOSPEDAJES (ES), NTAK (HU), eVisitor (HR), SEF (PT), UbyPort (CZ), eTurizem (SI) โ chacun active uniquement si l'etablissement est situe dans l'Etat correspondant
- Gestion de la reservation et du sejour : execution du contrat (art. 6.1.b)
- Communications aux OTA et channel managers : execution du contrat de reservation (art. 6.1.b), uniquement les canaux actives par l'etablissement
5. Modalites de Traitement
Les donnees personnelles sont traitees avec des outils electroniques, selon des logiques strictement liees aux finalites et par l'adoption de mesures de securite adequates (art. 32 RGPD) :
- ๐ Chiffrement en transit : toutes les donnees sont transmises via protocole HTTPS/TLS 1.2+
- ๐ Mots de passe : stockes avec des algorithmes de hachage securises (PBKDF2 par defaut Django)
- ๐ Jetons : JWT access 15 minutes, refresh avec rotation et blacklist, 2FA TOTP disponible
- ๐ Controle d'acces : autorisations basees sur le role (directeur/assistant/gouvernante/observateur), principe du moindre privilege
- ๐ Sauvegardes : effectuees regulierement par le fournisseur d'infrastructure (DigitalOcean), localisation UE (Francfort)
- ๐ Hebergement : serveurs DigitalOcean situes dans l'Union europeenne (region FRA1), stockage DigitalOcean Spaces Francfort
- ๐ Surveillance : journaux d'acces et applicatifs, detection automatisee d'anomalies, blocage des bots et scanners
6. Conservation des Donnees
Les donnees personnelles sont conservees pour la duree strictement necessaire :
- Donnees des gestionnaires (clients) : duree du contrat + 10 ans pour les obligations fiscales et comptables
- Donnees de facturation : 10 ans (art. 2220 code civil italien, obligation fiscale)
- Donnees des clients (traitees par Vezpa en tant que Sous-traitant) :
- Communications AlloggiatiWeb : la duree de conservation est etablie par le Responsable du traitement (etablissement) selon la reglementation applicable
- Communications ISTAT : selon la reglementation ISTAT
- Autres donnees de reservation : selon les instructions du Responsable du traitement dans le DPA (generalement 10 ans pour des finalites fiscales)
- A la cessation du contrat avec le Responsable du traitement, Vezpa supprime ou restitue les donnees des clients dans un delai de 30 jours, sauf obligations de conservation autonomes (ex. facturation)
- Journaux d'acces et applicatifs : jusqu'a 24 mois pour des finalites de securite et de defense en justice (interet legitime)
- Jetons d'authentification et appareils de confiance : 90 jours depuis la derniere utilisation
- Donnees pour marketing (newsletter, campagnes) : jusqu'a revocation du consentement, avec revision biennale
- Tickets d'assistance : duree du contrat + 2 ans
7. Communication et Diffusion des Donnees
7.1 Destinataires des Donnees
Vos donnees peuvent etre communiquees aux categories de destinataires suivantes. La liste nominative toujours a jour des sous-traitants ulterieurs est publiee a l'adresse vezpa.it/subprocessors.
Autorites publiques (Responsables autonomes, obligation legale)
- Italie : Questura / AlloggiatiWeb, ISTAT, Communes (via PayTourist pour la taxe de sejour), Agenzia delle Entrate
- Autriche : Feratel/Meldeamt
- Espagne : SES.HOSPEDAJES (Ministerio del Interior)
- Hongrie : NTAK
- Croatie : eVisitor
- Portugal : SEF
- Republique tcheque : UbyPort
- Slovenie : eTurizem / AJPES
Chaque connecteur gouvernemental est active uniquement si l'etablissement est situe dans l'Etat correspondant. Les identifiants sont configures par l'etablissement lui-meme.
Sous-traitants ulterieurs (art. 28.4 RGPD)
- Infrastructure : DigitalOcean LLC (serveurs Francfort, base de donnees, Spaces/CDN, Redis) โ USA/UE avec DPF et CCT
- Paiements : Stripe Payments Europe Ltd (UE) / Stripe Inc. (USA) โ PCI-DSS, certifie DPF
- Email transactionnel et PEC : IONOS SE (DE)
- Notifications push mobile : Google LLC โ Firebase Cloud Messaging (USA, certifie DPF)
- Channel Manager OTA : STAAH Limited (Nouvelle-Zelande) โ pays avec decision d'adequation UE (2012)
- Achats in-app et abonnements :
- Apple Distribution International Ltd (IE) โ entite UE ; les eventuels transferts vers Apple Inc. (USA) sont regis par les SCC 2021/914 (Apple n'adhere pas au DPF)
- Google Ireland Ltd / Google LLC (USA, certification DPF active)
- Microsoft Ireland / Microsoft Corp. (USA, certification DPF active)
- Serrures connectees (facultatif, si actives) : Tuya Smart (CN) โ CCT UE et mesures supplementaires
- Consultants professionnels : expert-comptable, avocat, consultants IT, designes comme Sous-traitants ou Responsables autonomes selon les besoins
OTA (Responsables autonomes pour la relation avec le voyageur)
- Booking.com, Airbnb, Expedia, VRBO, Agoda et environ 55 autres canaux connectes via STAAH : les donnees de reservation transitent sur la base du contrat entre l'etablissement et l'OTA
7.2 Transfert de Donnees Hors UE
Certains traitements impliquent des transferts de donnees personnelles hors de l'Union europeenne. Dans tous les cas, des garanties sont adoptees au sens du Chapitre V du RGPD :
- USA โ EU-U.S. Data Privacy Framework (Decision (UE) 2023/1795) : Stripe Inc., Google LLC (Firebase Cloud Messaging), Microsoft Corp., DigitalOcean LLC, certifications actives dans le Framework (verification sur dataprivacyframework.gov/list)
- USA โ Clauses Contractuelles Types (CCT/SCC) 2021/914 : Apple Inc. โ Apple n'adhere pas au DPF ; la relation contractuelle pour les utilisateurs UE est avec Apple Distribution International Ltd (Irlande), et les eventuels transferts vers Apple Inc. (USA) s'effectuent au moyen des SCC et des mecanismes internes Apple
- Nouvelle-Zelande โ Decision d'adequation (Decision (UE) 2013/65) : STAAH Limited
- Chine (facultatif) โ Clauses Contractuelles Types (CCT) 2021/914 + mesures supplementaires : Tuya Smart, uniquement pour les etablissements qui activent des serrures connectees
- Pour chaque transfert en l'absence de DPF actif ou d'adequation, Vezpa adopte les CCT UE 2021/914 et, le cas echeant, une Transfer Impact Assessment (TIA) documentee
7.3 Diffusion
Les donnees personnelles ne font pas l'objet de diffusion (communication a des sujets indetermines) et ne sont pas vendues.
8. Droits de la personne concernee
Conformement aux articles 15-22 du RGPD, vous avez le droit de :
- ๐ง Acces (art. 15) : obtenir la confirmation de l'existence de vos donnees et en recevoir une copie
- โ๏ธ Rectification (art. 16) : corriger les donnees inexactes ou incompletes
- ๐๏ธ Effacement (art. 17) : obtenir l'effacement des donnees (droit a l'oubli) lorsque les conditions sont reunies
- โธ๏ธ Limitation (art. 18) : limiter le traitement dans certaines conditions
- ๐ค Portabilite (art. 20) : recevoir les donnees dans un format structure et les transmettre a un autre responsable
- ๐ซ Opposition (art. 21) : s'opposer au traitement pour des motifs legitimes
- โ Retrait du consentement : retirer a tout moment le consentement au marketing
โ ๏ธ Note importante : Pour les donnees des clients, ces droits doivent etre exerces aupres de l'etablissement d'hebergement (qui est le Responsable du traitement), et non directement aupres de Vezpa. Vezpa, en tant que Sous-traitant, assiste le Responsable dans le traitement des demandes au sens de l'art. 28.3.e RGPD.
Marketing et newsletter
L'inscription aux communications commerciales requiert un consentement explicite avec double opt-in (confirmation via lien email). Chaque communication contient un lien de desinscription immediat. Pour les clients existants, Vezpa peut envoyer des communications sur des produits et services analogues au sens de l'art. 130.4 D.Lgs. 196/2003 ("soft opt-in"), avec possibilite toujours active de s'opposer.
Comment exercer les droits
Vous pouvez exercer vos droits en ecrivant a :
Nous vous repondrons dans un delai de 30 jours a compter de la demande.
Droit de reclamation
Si vous estimez que le traitement de vos donnees viole le RGPD, vous avez le droit d'introduire une reclamation aupres de l'autorite de controle :
Autorite italienne de protection des donnees (Garante per la Protezione dei Dati Personali)
Piazza Venezia, 11 - 00187 Rome
Email : [email protected]
PEC : [email protected]
Tel : +39 06.696771
Web : www.garanteprivacy.it
Les utilisateurs en France peuvent egalement saisir la CNIL (www.cnil.fr).
9. Mineurs
Le service Vezpa PMS est destine exclusivement a des personnes majeures de plus de 18 ans. Nous ne collectons pas sciemment de donnees de mineurs. Si un parent ou tuteur estime qu'un mineur a fourni des donnees personnelles, il peut nous contacter pour leur suppression immediate.
10. Modifications de la Politique de Confidentialite
Cette Politique de Confidentialite peut etre modifiee dans le temps. Toute modification substantielle sera communiquee avec un preavis adequat via :
- Publication de la nouvelle version sur le site web
- Notification par email aux utilisateurs enregistres
- Banniere informative dans l'espace reserve
La date de derniere mise a jour est toujours indiquee en haut du document.
ยฉ 2022-2026 Vezpa - Tous droits reserves |
Politique de Confidentialite |
Conditions de Service |
Politique de Cookies |
RGPD |
DPA |
Sous-traitants ulterieurs