NOTE D'INFORMATION SUR LE TRAITEMENT ET LA PROTECTION DES DONNÉES À CARACTÈRE PERSONNEL

I. Introduction

Dans l'exercice de son activité, Welcome Hotel accorde la plus grande attention à la protection et à la sécurité des données personnelles de toutes les personnes qui travaillent ou interagissent avec elle (ci-après dénommées « Personne concernée » et/ou « Utilisateur »), en adoptant à cette fin toutes les procédures et tous les systèmes de sécurité appropriés, adéquats et nécessaires.
Convaincu des principes de transparence et d'équité, le présent avis est donc publié dans le but de fournir à toutes les personnes concernées une description complète des modalités et des finalités du traitement des données à caractère personnel effectué dans le cadre de la fourniture de services et/ou de la commercialisation de ses biens (ci-après dénommés conjointement « Services »), et ce, également conformément aux dispositions du règlement (UE) n° 2016/679 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après dénommé « RGPD »).
 

II. Responsable du traitement et sous-traitant des données à caractère personnel

Le responsable du traitement des données à caractère personnel est Welcome Hotel, dont le siège social est situé Via Strada di Fondo Valle 30, inscrit à la Chambre de commerce de Dogana sous le n°  , avec le numéro de TVA COE SM30465, qui peut être contacté, aux fins de la présente note d'information, à l'adresse e-mail info@welcomehotel.sm ou par téléphone au 0549878302 (ci-après également dénommé « Responsable du traitement »).
Le traitement des seules données personnelles fournies au Responsable du traitement pour l'utilisation du service Booking Engine (ci-après dénommé « Web Booking ») sera effectué, pour le compte dudit Responsable du traitement (agissant donc en tant que sous-traitant au sens de l'article 28 du RGPD), par la société Passepartout S.p.A., société de droit saint-marinais exerçant principalement des activités de production et de distribution de logiciels et de services connexes, dont le siège social est situé dans la République de Saint-Marin à Dogana (Cap 47891), Via Consiglio dei Sessanta n° 99, inscrite au registre des sociétés sous le n° 6210 en date du 6 août 2010, avec le code d'opérateur économique n° SM03473, capital social ~ 2 800 000 i.v., joignable, aux fins de la présente note d'information, à l'adresse e-mail privacy@passepartout.sm ou au numéro de téléphone 800 414243 (ci-après également dénommée « Passepartout » et/ou « Responsable du traitement »).

Passepartout S.p.A. a désigné (i) comme son représentant dans l'Union européenne, conformément à l'article 27 du RGPD, la société Paci Rappresentante Privacy Srl, inscrite à la Chambre de commerce de Romagne, au capital social d'environ 10 000,00 euros, dont le siège social est situé à Rimini, P.tta Gregorio da Rimini n. 1, joignable, aux fins de la présente note d'information, à l'adresse e-mail passepartout@pacirappresentanteprivacy.eu ou au numéro de téléphone 0541 902128 (ci-après dénommé « Représentant ») ; ainsi qu'un délégué à la protection des données (visé au chapitre IV, section 4 du RGPD) pouvant être contacté à l'adresse e-mail rpd.privacy@passepartout.sm ou au numéro de téléphone 800 414243.
 

III. Données à caractère personnel

Les données personnelles désignent toutes les informations concernant une personne physique, identifiée ou identifiable par référence à des éléments tels que le nom, les coordonnées du document d'identité, l'identité physique, physiologique, génétique, économique, culturelle ou sociale de cette personne, ainsi que par les coordonnées identifiant son emplacement.
Les données à caractère personnel telles que décrites ci-dessus sont principalement traitées lorsque la personne concernée utilise les Services et/ou le Web Booking.

La fourniture de toutes les autres données à caractère personnel est facultative, mais peut être nécessaire pour pouvoir utiliser les Services et/ou le Web Booking, comme les données permettant de faire des propositions, d'acheter ou de vendre, qui sont nécessaires pour conclure une transaction contractuelle.
Les données à caractère personnel sont fournies directement par la personne concernée et/ou acquises automatiquement par les appareils lors de l'utilisation des Services et/ou du Web Booking, lorsque les données sont fournies dans un formulaire web sur nos sites, lors de la création et/ou de la mise à jour d'un compte ou lorsque la personne concernée nous contacte de toute autre manière ou fournit expressément et avec son consentement des données à caractère personnel, le tout comme indiqué en détail ci-dessous.
 

IV. Type et catégorie de données traitées

Parmi les données personnelles décrites ci-dessus, et pour la fourniture du service Web Booking, le Responsable du traitement (et, pour son compte, le Sous-traitant) collecte uniquement les types suivants.
Les données personnelles collectées concernent:
a) des informations d'identification telles que le nom, le prénom, la date et le lieu de naissance, le lieu de résidence, le code fiscal, le numéro de TVA et le siège social, le code ISS, le numéro de téléphone, l'adresse e-mail (y compris avec courrier électronique certifié), le nom d'utilisateur, le mot de passe, le sexe ou d'autres données que nous sommes tenus ou autorisés à collecter et à traiter, conformément à la législation en vigueur, dans le but d'authentifier ou d'identifier l'utilisateur ou de vérifier les informations fournies et collectées ;
b) adresse IP et données de navigation et toute autre donnée concernant l'interaction de l'utilisateur avec les services et/ou le Web Booking, par exemple lorsqu'il consulte ou recherche des contenus, crée ou accède à son compte et/ou à un espace réservé. Les données relatives aux appareils et/ou aux ordinateurs utilisés par l'utilisateur pour accéder aux Services et/ou au Web Booking sont également collectées, y compris le type de navigateur, code unique de l'appareil, la langue, le système d'exploitation, la page Web de référence, les pages visitées, la position et les informations sur les cookies, les données sur l'ordinateur et la connexion (par exemple, statistiques sur les pages vues, trafic entrant et sortant des sites, URL d'origine).
c) données relatives aux offres, achats ou ventes liés aux Services et/ou à la Réservation en ligne fournies lors d'une négociation précontractuelle et de sa conclusion ultérieure, ainsi que toute autre donnée fournie en référence à ces opérations ;
d) données relatives à la facturation (et à l'expédition éventuelle) des Services et/ou de la Réservation en ligne ;
e) données financières, étant donné que certains Services et/ou la Réservation en ligne prennent en charge les paiements et les transactions avec des tiers. À cette fin, il peut être nécessaire de fournir certaines données pour l'identification et la vérification de l'identité de la Personne concernée et du moyen de paiement utilisé, telles que le nom, le prénom, le numéro de carte de crédit/débit, la date d'expiration de la carte. Ces données, lorsqu'elles sont collectées par le Responsable du traitement, seront enregistrées uniquement sous forme cryptée. Dans certains cas, afin de permettre à l'Utilisateur d'accélérer, à l'avenir, de nouvelles opérations de paiement similaires, Passepartout pourrait ne mémoriser que les quatre derniers chiffres du numéro de la carte ;
f) données de géolocalisation, notamment par l'utilisation d'appareils mobiles ;
cookies et technologies similaires. Passepartout utilise des identifiants uniques et d'autres technologies similaires pour acquérir des données sur les pages et les liens visités et d'autres actions similaires, dans le cadre de contenus publicitaires ou d'e-mails, le tout dans les termes, selon les modalités et aux conditions prévues dans la politique spécifique
g) Traitement de catégories particulières de données à caractère personnel (dites données sensibles)
Les catégories particulières de données à caractère personnel, telles que les données révélant l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, ou l'appartenance syndicale, ni les données génétiques, les données biométriques visant à identifier de manière unique une personne physique, les données relatives à la santé ou à la vie sexuelle ou à l'orientation sexuelle de la personne.
 

V. Finalités et modalités du traitement des données

Le traitement des données personnelles collectées est effectué uniquement et exclusivement aux fins suivantes:
a) exécuter les contrats relatifs aux Services et/ou à la Réservation en ligne.
Grâce aux informations et aux données communiquées, nous sommes en mesure d'exécuter les activités et les prestations contractuelles prévues par les contrats de Services et/ou de Réservation en ligne demandés par la Personne concernée (également au nom et/ou pour le compte de tiers) ou d'exécuter des mesures et/ou des négociations précontractuelles relatives aux mêmes Services et/ou à la Réservation en ligne, y compris les activités administratives et comptables, la gestion des obligations fiscales, les paiements et la facturation.
Les informations collectées serviront également à contacter l'utilisateur au sujet de son compte ou de sa situation contractuelle, à résoudre des problèmes liés au compte et/ou à l'espace réservé, à résoudre un litige, à effectuer des activités de recouvrement de créances.
Les données personnelles peuvent également être traitées pour vérifier et résoudre d'éventuelles anomalies de fonctionnement des Services et/ou de la Réservation en ligne ; pour effectuer des analyses de données et des tests, pour mener des recherches et des enquêtes et pour développer de nouvelles fonctionnalités et de nouveaux services afin d'offrir à l'Utilisateur une expérience toujours meilleure.
b) Offrir sécurité et protection tant aux données personnelles reçues qu'aux systèmes de sécurité adoptés.
Les données collectées sont également utilisées pour vérifier l'identité et authentifier les Utilisateurs, permettre d'effectuer et/ou de recevoir des paiements, protéger contre d'éventuelles fraudes et/ou abus, répondre à une demande ou à une réclamation, effectuer des contrôles, prévenir, détecter, atténuer et/ou constater des violations de la sécurité et/ou des activités même potentiellement interdites, illégales et/ou illicites.
c) Communiquer avec la personne concernée.
Les données peuvent être utilisées pour contacter l'utilisateur aux fins énoncées dans la présente politique et dans les cas prévus par la loi. Le contact et la communication peuvent avoir lieu par courrier électronique (y compris par courrier électronique certifié), par téléphone, par SMS, par courrier postal ou par notifications push sur les appareils mobiles.
Nous pouvons utiliser les informations de l'utilisateur pour envoyer des communications de service et/ou répondre à ses demandes, pour offrir des remises et des promotions spéciales, pour connaître son opinion par le biais de sondages ou de questionnaires.
d) Effectuer des activités de marketing.
Avec le consentement exprès et spécifique de l'utilisateur, qui doit être donné selon les modalités spécifiquement indiquées à chaque fois, nous pouvons utiliser les informations de l'utilisateur pour promouvoir de nouveaux produits ou services susceptibles de l'intéresser, mener des activités de marketing par téléphone, e-mail (y compris par courrier électronique certifié) ou SMS, par courrier postal, notifications push sur les appareils mobiles, ainsi que par l'intermédiaire de tiers spécialement désignés.
L'utilisateur peut à tout moment révoquer son consentement explicite aux activités de marketing en suivant les instructions fournies dans les outils utilisés (par exemple, newsletter, e-mails, etc.) ou en envoyant un e-mail à l'adresse info@welcomehotel.sm.
Le traitement des données personnelles collectées sera effectué de manière licite et loyale, dans le respect des dispositions du RGPD, à l'aide de systèmes manuels ou automatisés permettant de stocker, gérer et transmettre (sous forme papier ou électronique) les données uniquement aux fins indiquées dans la présente note d'information.
Seul le personnel dûment autorisé pourra accéder aux données personnelles collectées.
 

VI. Base juridique du traitement des données

Les bases juridiques sur lesquelles nous traitons les données personnelles de la personne concernée peuvent être différentes, à savoir:
a) les contrats conclus ou à conclure (avec les personnes concernées) pour utiliser les Services ; ainsi que
b) le consentement exprimé par la personne concernée. Ce consentement peut être révoqué dans les termes et selon les modalités indiqués au paragraphe X, lettre a) ci-dessous ;
c) nos intérêts légitimes [auxquels il est possible de s'opposer conformément au paragraphe X, lettre a) ci-dessous), c'est-à-dire, par exemple, l'intérêt : de prévenir la fraude ; de mener des activités de marketing direct, d'améliorer, de personnaliser et de développer les Services ; de commercialiser de nouveaux services ou produits susceptibles d'intéresser l'Utilisateur ; de promouvoir la sécurité et la protection des données ; traiter les données au sein d'un groupe d'entreprises ou d'entités liées à des fins administratives internes, sans préjudice des principes généraux et des exigences réglementaires applicables au transfert de données à caractère personnel au sein d'un groupe d'entreprises, y compris vers une entreprise située dans un pays tiers (c'est-à-dire un pays n'appartenant pas à l'Union européenne).
Le traitement des données à caractère personnel relatives au trafic constitue également un intérêt légitime, dans la mesure où il est strictement nécessaire et proportionné pour garantir la sécurité des réseaux et de l'information, c'est-à-dire la capacité d'un réseau ou d'un système d'information à résister, à un niveau de sécurité donné, à des événements imprévus ou à des actes illicites ou malveillants qui compromettent la disponibilité, l'authenticité, l'intégrité et la confidentialité des données à caractère personnel conservées ou transmises et la sécurité des services connexes offerts ou rendus accessibles par ces réseaux.
d) Données collectées auprès de tiers ou par d'autres sources ;
Nous pouvons collecter des données personnelles supplémentaires ou compléter celles déjà en notre possession avec d'autres données et informations collectées par des tiers (par exemple, nos fournisseurs ou partenaires commerciaux), en utilisant également des données et informations du domaine public, des informations collectées via des bases de données spécialisées ou des informations de contact supplémentaires, des données de vérification de crédit et des informations relatives à la solvabilité fournies par les services compétents, conformément à la réglementation en vigueur.
Nous pouvons également collecter des données via les réseaux sociaux utilisés par l'utilisateur. En effet, lorsque l'utilisateur connecte son compte au site de réseau social correspondant, ce dernier peut nous autoriser à accéder automatiquement à certaines données en sa possession. Cette possibilité permet à la personne concernée de nous donner expressément accès aux sites et à leurs différents contenus.
 

VII. Responsable du traitement des données

Comme déjà indiqué au paragraphe II ci-dessus, le traitement des données personnelles fournies au Responsable du traitement pour l'utilisation du Web Booking sera effectué par Passepartout, société propriétaire du logiciel Web Booking et concédé sous licence d'utilisation au Responsable du traitement.
Ce traitement des données sera effectué dans les délais, selon les modalités et les conditions contractuelles convenues entre le Responsable du traitement et le Sous-traitant et, dans tous les cas, dans le plein respect des dispositions de la présente note d'information (ci-après dénommée « Accord Responsable-Sous-traitant »).
Passepartout traitera et conservera les données personnelles collectées sur ses serveurs (y compris ceux situés dans la République de Saint-Marin). À cet égard, il convient de préciser que la réglementation de l'accord entre le responsable du traitement et le sous-traitant tient compte (en les reprenant intégralement) des garanties requises par le RGPD (ex art. 46) en cas de transfert de données personnelles vers des pays n'appartenant pas à l'Union européenne.
 

VIII. Modalités de partage des informations avec des tiers

Les données personnelles fournies ne pourront être partagées avec des tiers que dans les cas suivants :
Consentement de la personne concernée :
La personne concernée peut nous autoriser à partager (ou divulguer) ses données avec (et à) d'autres tiers, par exemple lorsqu'elle utilise notre communauté (tels que les forums ou autres outils sociaux) ou lorsqu'elle a exprimé son intention d'être contactée et/ou recontactée pour tout besoin ou clarification concernant les Services.
Traitement par des entités externes :
Les données personnelles peuvent être fournies à des entités liées et/ou affiliées à notre société, à des prestataires de services et/ou à des partenaires commerciaux qui les traitent selon nos instructions (par exemple, des partenaires qui fournissent des services d'assistance à la clientèle, des technologies informatiques, la gestion des paiements et/ou des ventes, le marketing, l'analyse des données, la recherche et les enquêtes).
Les données personnelles peuvent également être partagées avec :
Nos fournisseurs qui effectuent : le traitement des paiements, la personnalisation de la publicité, la prévention, la détection, la vérification d'actes potentiellement illégaux, de violations des Services ; le recouvrement des factures ; des activités de conseil, de formation et d'organisation d'événements ;
des fournisseurs tiers de services d'expédition (par exemple, DHL, UPS, GLS, Poste Italiane, etc.) avec lesquels nous partageons les adresses de livraison, les coordonnées et les codes d'expédition ;
les fournisseurs de sites web, d'applications, de services et d'outils avec lesquels nous collaborons pour la fourniture des Services et/ou de la réservation en ligne.
Exigences judiciaires, légales et/ou de protection en général.
Nous pouvons conserver ou divulguer des données à caractère personnel lorsque cela est nécessaire pour satisfaire à des exigences judiciaires, par exemple à la demande d'une autorité administrative, d'une autorité de contrôle et/ou de surveillance, dans le cadre d'une procédure judiciaire ou, en tout état de cause, conformément aux dispositions légales, ou encore pour exercer des droits légaux ou pour se défendre contre des plaintes et/ou des actions en justice, ou pour prévenir, détecter ou enquêter sur des activités illégales, les fraudes, les abus, les violations des positions juridiques subjectives ou lorsqu'il existe des menaces, même potentielles, pour la sécurité du Web Booking ou la sécurité physique de toute personne.
 

IX. Durée de conservation des données

La durée de conservation des données à caractère personnel est déterminée (ou déterminable) en fonction de la finalité ou de la base juridique en vertu de laquelle le traitement doit avoir lieu.
Les données à caractère personnel nécessaires à l'exécution du contrat qui a pour objet, entre autres, la réservation en ligne, seront conservées pendant le temps nécessaire à la bonne et intégrale exécution des prestations prévues dans le contrat lui-même (y compris celles étroitement liées et connectées à sa résiliation) et, en tout état de cause, pendant une période n'excédant pas 10 (dix) ans à compter de la résiliation de la réservation en ligne.
Les données personnelles traitées à des fins commerciales et de marketing seront conservées jusqu'à ce que la personne concernée exprime son intention de révoquer le consentement qu'elle a donné à cette fin.
Cela ne s'applique pas si la personne concernée a expressément donné son consentement, même pour des raisons différentes, pour une période plus longue (auquel cas la période de conservation correspondra à celle autorisée) ou si ses intérêts légitimes tels que définis ci-dessus doivent être satisfaits (auquel cas la période de conservation correspondra à celle pendant laquelle cet intérêt est satisfait).
Il en va de même dans le cas où une conservation plus longue (ou plus courte) des données serait nécessaire pour satisfaire à des exigences judiciaires, par exemple pour se conformer à une demande des autorités administratives, des autorités de contrôle et/ou de surveillance, ou pour l'exercice et/ou la protection (judiciaire et/ou extrajudiciaire) de ses droits ou pour se défendre contre des plaintes et/ou des actions en justice.
Une fois la période de conservation terminée, les données à caractère personnel seront supprimées de manière sécurisée.
 

X. Droits de la personne concernée

Toutes les personnes concernées par les données à caractère personnel traitées peuvent exercer les droits décrits ci-dessous, conformément aux conditions et modalités prévues par le RGPD.
a) Droit d'accès, de rectification et de suppression des données, limitation et opposition à l'utilisation des données et droit de retrait du consentement.
Sans préjudice de ce qui précède en matière de conservation, la personne concernée peut à tout moment accéder à ses données personnelles, les mettre à jour, les modifier, limiter leur traitement ou demander leur suppression.
Si vous choisissez de supprimer vos données, veuillez noter que, bien que la plupart des informations conservées soient supprimées dans un délai de 60 (soixante) jours, il peut être nécessaire de prévoir jusqu'à 180 (cent quatre-vingts) jours pour supprimer toutes les données saisies dans nos systèmes en raison de la taille ou de la complexité des systèmes et des procédures utilisés.
Lorsque le traitement des données est basé sur le consentement donné par la personne concernée, ce consentement peut être révoqué à tout moment par celle-ci. Vous pouvez donc toujours vous opposer à l'envoi de newsletters et au traitement des données à toutes ou à certaines fins marketing ou commerciales.
La personne concernée peut également s'opposer au traitement des données, même lorsqu'il est effectué dans le cadre de nos intérêts légitimes.
Si vous demandez de révoquer votre consentement, de limiter l'utilisation des données ou de supprimer les données personnelles précédemment fournies, nous pourrions ne plus être en mesure de fournir les Services.
Dans tous les cas, les demandes de suppression des données sont soumises aux obligations légales et de conservation des documents imposées par la loi ou la réglementation.
 

Droit à la portabilité

La personne concernée a le droit de recevoir, dans un format structuré, couramment utilisé et lisible par machine, les données à caractère personnel la concernant fournies à un responsable du traitement et a le droit de transmettre ces données à un autre responsable du traitement.
 

Droit d'introduire une réclamation

La personne concernée aura toujours le droit d'introduire une réclamation auprès de l'autorité de contrôle compétente si elle constate des problèmes liés à l'utilisation de ses données à caractère personnel.
 

Prise de décision automatisée

Des technologies automatisées sont utilisées pour la prise de décision ou le profilage. En aucun cas, des décisions automatisées concernant la personne concernée qui pourraient avoir des conséquences importantes à son égard ne seront prises, sauf dans les cas où cette décision est nécessaire pour exécuter un contrat ou parce que l'utilisateur a expressément donné son consentement.
L'exercice des droits décrits ci-dessus peut être demandé par la personne concernée en envoyant un courrier électronique à l'adresse suivante: info@welcomehotel.sm.
 

XI. Mesures de sécurité

Nous garantissons la mise en œuvre et le maintien de mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adapté à chaque risque possible, en effectuant également en permanence une série de contrôles techniques, administratifs et physiques afin de préserver la confidentialité et la sécurité des données personnelles de la personne concernée.
 

XII. Exhaustivité et modifications

La présente politique de confidentialité remplace intégralement toute autre réglementation antérieure en matière de protection des données personnelles de l'utilisateur traitées aux mêmes fins que celles contenues dans le présent document.