Politique de confidentialité

  Fichier des clients, et vente en ligne  

Date de création : 18/03/2022  

Responsable du traitement : Sarah et Patrick Roche  

Finalités : 

Le traitement peut avoir tout ou partie des finalités suivantes :  

 effectuer les opérations relatives à la gestion des clients concernant :  

o les devis;  

o les réservations  

o les commandes ;  

o les factures ;  

o la comptabilité ;  

o le suivi de la relation client tel que la gestion des réclamations et du  service après-vente ;  

 l’élaboration de statistiques commerciales ;  

 La gestion des demandes de droit d’accès, de rectification et d’opposition ;  Données personnelles concernées / traitées  

 L’identité : civilité, nom, prénoms, adresse, numéro de téléphone (fixe et/ ou mobile),  adresses de courrier électronique, code interne de traitement permettant l’identification  du client. Une copie d’un titre d’identité peut être conservée aux fins de preuve de  l’exercice d’un droit d’accès, de rectification ou d’opposition ou pour répondre à une  obligation légale ; 

 les données relatives aux moyens de paiement : relevé d’identité postale ou bancaire,  numéro de chèque, numéro de carte bancaire, date de fin de validité de la carte  bancaire, cryptogramme visuel (ce dernier ne devant pas être conservé, conformément  à l’article 5) ;  

 les données relatives à la transaction telles que le numéro de la transaction, le détail du  séjour, ou du service souscrit ;  

 les données relatives au suivi de la relation commerciale : demandes de devis, date du  séjour, montant, historique des réservations et des prestations de services,  correspondances avec le client et service après-vente, échanges et commentaires des  clients,  

 les données relatives aux règlements des factures : modalités de règlement, remises  consenties, reçus, soldes et impayés n’entraînant pas une exclusion de la personne du  bénéfice d’un droit, d’une prestation ou d’un contrat soumis à autorisation de la  Commission telle que prévue par les dispositions de l’article 25-I-4° de la loi du 6 janvier  1978 modifiée.  

 les données nécessaires à la réalisation des actions de fidélisation,  

Données sensibles  

Les données sensibles collectées : Pas de données  

Les données exclues : Pas de données  

Les durées de conservation  

Concernant les données relatives à la gestion de clients:  

Les données à caractère personnel relatives aux clients ne peuvent être conservées  au-delà de la durée strictement nécessaire à la gestion de la relation commerciale.  Toutefois, les données permettant d’établir la preuve d’un droit ou d’un contrat, ou  conservées au titre du respect d’une obligation légale, peuvent faire l’objet d’une  politique d’archivage intermédiaire pour une durée n’excédant pas la durée nécessaire  aux finalités pour lesquelles elles sont conservées, conformément aux dispositions en  vigueur (notamment mais non exclusivement celles prévues par le code de commerce,  le code civil et le code de la consommation).  

Concernant les pièces d’identité :  

En cas d’exercice du droit d’accès ou de rectification, les données relatives aux pièces  d’identité peuvent être conservées pendant le délai prévu à l’article 9 du code de  procédure pénale (soit un an). En cas d’exercice du droit d’opposition, ces données  peuvent être archivées pendant le délai de prescription prévu à l’article 8 du code de  procédure pénale (soit trois ans). 

Concernant les données relatives aux cartes bancaires :  

Les données relatives aux cartes bancaires doivent être supprimées une fois la  transaction réalisée, c’est-à-dire dès son paiement effectif, qui peut être différé à la  réception du bien, augmenté, le cas échéant, du délai de rétractation prévu pour les  contrats conclus à distance et hors établissement, conformément à l’article L. 221-18 du  code de la consommation.  

Dans le cas d’un paiement par carte bancaire, le numéro de la carte et la date de  validité de celle-ci peuvent être conservés pour une finalité de preuve en cas  d’éventuelle contestation de la transaction, en archives intermédiaires, pour la durée  prévue par l’article L. 133-24 du code monétaire et financier, en l’occurrence treize mois  suivant la date de débit. Ce délai peut être étendu à quinze mois afin de prendre en  compte la possibilité d’utilisation de cartes de paiement à débit différé. Ces données  doivent être utilisées uniquement en cas de contestation de la transaction. Les données  conservées à cette fin doivent faire l’objet de mesures de sécurité, telles que décrites à  l’article 8 de la présente norme et à l’article 5 de la délibération n° 2013-358 du 14  novembre 2013 susvisée.  

 De manière générale, les données relatives au cryptogramme visuel ne doivent pas  être conservées au-delà du temps nécessaire à la réalisation de chaque transaction, y  compris en cas de paiements successifs ou de conservation du numéro de la carte pour  les achats ultérieurs.  

Lorsque la date d’expiration de la carte bancaire est atteinte, les données relatives à  celles-ci doivent être supprimées  

Destinataires des données  

 le personnel habilité au sein de Payan Champier  

Peuvent être destinataires des données :  

 le prestataire du logiciel hôtelier : Amenitiz  

Les motifs  

Nécessaire à l’exécution d’un contrat  

Consentement de la personne  

Information droits informatiques et libertés / RGPD  

Au moment de la collecte des données, la personne concernée est informée, de  l’identité du responsable du traitement, des finalités du traitement, du caractère  obligatoire ou facultatif des réponses à apporter, des conséquences éventuelles, à leur  égard, d’un défaut de réponse, des destinataires des données, de l’existence et des modalités d’exercice de ses droits d’accès, de rectification et d’opposition au traitement  de ses données.  

Le contrôle du respect de ces obligations est assuré par les services de la Direction  générale de la concurrence, de la consommation et de la répression des fraudes du  ministère de l’Economie, de l’Industrie et du Numérique.  

Lorsque la collecte des données intervient par voie orale, l’intéressé est mis en mesure  d’exercer son droit d’opposition ou de donner son consentement avant la collecte de  ses données.  

Après la collecte des données : 

 la personne concernée a le droit de s’opposer, sans frais, à ce que ses données soient  utilisées à des fins de prospection, notamment commerciale, par le responsable actuel  du traitement ou celui d’un traitement ultérieur. Cette opposition peut intervenir à tout  moment et n’a pas à être motivée ;  

 les messages adressés à des fins de prospection directe, au moyen des dispositifs  visés par l’article L. 34-5 du CPCE, doivent mentionner des coordonnées permettant de  demander à ne plus recevoir de telles sollicitations.  

 Le responsable du traitement auprès duquel le droit d’opposition a été exercé informe  sans délai de cette opposition tout autre responsable de traitement qu’il a rendu  destinataire des données à caractère personnel qui font l’objet de l’opposition.  

Conformément à l’article 39 de la loi, toute personne peut demander au responsable  de traitement la communication, sous une forme accessible, des données à caractère  personnel la concernant ainsi que toute information quant à l’origine de celles-ci. Le  droit de rectification s’exerce dans les conditions prévues à l’article 40 de la loi  

Dans tous les cas, le responsable de traitement doit ménager la possibilité pour la  personne concernée d’exercer ses droits si des données à caractère personnel la  concernant restent traitées indépendamment de la clôture du compte et de la  suppression des données de celui-ci.  

Mesures de sécurité et confidentialité / mesures de sécurité à prévoir  Mesures de protection des logiciels :  

 Données stockées sur un répertoire protégé par un mot de passe.   Le réseau est chiffré (SSL).  

 Antivirus  

 Les logiciels métiers demandent une identification.  

Sauvegarde des données

La sauvegarde des données fait partie du plan de sauvegarde informatique globale de  l’entreprise.  

Autres mesures :  

Les versions papiers des documents sont stockées dans une armoire fermée à clé, elle même stockée dans un bureau fermé à clé lui-même dans un local fermé à clé (ou  ayant un contrôle d’accès)  

Site internet 

Date de mise à jour : 24/01/2023

Responsable du traitement : Sarah et Patrick Roche 

Finalités  

Gestion d’un site internet  

Finalité 1 : Préparation et publication de contenus  

Finalité 2 : Mise en ligne des formulaires de contact, sondages, questionnaires,  formulaires, utilisation des services en ligne proposés par l’entreprise…  

Finalité 3 : Administration technique interne ou en lien avec les prestataires (cookies,  mesures d’audiences, boutons sociaux, maintenance interne ou tierce, hébergement,  registraire de noms de domaine, certification, équipements, …)  

Finalité 5 : Production de statistiques d’audience  

Données personnelles concernées/traitées  

 Personnels de l’entreprise en charge de la publication des contenus et de  l’administration technique du site web (Identité, fonctions, coordonnées)  

 Les données relatives à la navigation sur le site web (horodatage, adresse IP des  usagers, données techniques relatives à l’équipement et au navigateur utilisés par les  internautes, cookies) et sur les plateformes numériques via des boutons de partage et  des médias (cookies et autres traceurs)  

 Données relatives à la gestion des contacts (horodatage et objet de la demande, suivi,  suites apportées, statistiques)  

 Données relatives à la gestion des publications (objet, livrable, suivi, statistiques) 

 Données relatives à la gestion des prestations techniques (horodatage et objet des  demandes, suivi, suites données, statistiques)  

 Statistiques d’audience du site web et d’utilisation des services en ligne proposés par  l’entreprise.  

Les données sensibles  

Les données sensibles collectées : Non  

Les données exclues : Pas de données  

Les durées de conservation  

Cookies : La durée de validité de ce consentement est de 13 mois maximum.  Formulaire de contact : le temps de traitement de la demande  

Les données de préparation des publications (commande, suivi, contenu éditorial) sont  conservées près la mise en ligne.  

 Les données des journaux (logs) sont conservées.  

 Les données nécessaires à la production de statistiques d’audience et d’utilisation des  services en ligne sont conservées dans un format ne permettant pas l’identification des  personnes par leur adresse IP, et comportent un identifiant (relatif au cookie) conservé  pour une durée maximale de treize mois sauf opposition de la personne concernée.  

Destinataires des données  

Peuvent être destinataires des données : L’hébergeur du site web : ionos.fr  

Les motifs  

Consentement de la personne  

Informations droits informatiques et libertés/RGPD  

Lorsque les données sont recueillies par voie de questionnaires, ceux-ci doivent porter  mention des prescriptions figurant aux 1°, 2°, 3° et 6° de l’article 32 de la loi du 6 janvier  1978 modifiée. Cette disposition vise les questionnaires au sens large et, notamment,  les formulaires à compléter sur un site web.  

L’utilisation d’un service de communication au public en ligne (site web) : 

La présente norme s’applique dans le cas où le responsable de traitement utilise un  service de communication au public en ligne pour réaliser les finalités définies à l’article  2. Des données de connexion (date, heure, adresse Internet, protocole de l’ordinateur  du visiteur, page consultée) pourront être exploitées à des fins de mesure d’audience.  Dans ce cas, le consentement préalable des personnes n’est pas nécessaire, à  condition qu’elles disposent d’une information claire et complète délivrée par l’éditeur du  site web, d’un droit d’opposition, d’un droit d’accès aux données collectées. Ces 

dernières ne doivent pas être recoupées avec d’autres traitements tels que les fichiers  clients. L’information relative à la finalité et aux droits des personnes peut être présente  dans les courriers électroniques envoyés, sur la page d’accueil du site, et dans ses  conditions générales d’utilisation par exemple. Concernant l’exercice du droit  d’opposition à l’analyse de sa navigation, l’outil permettant de désactiver la traçabilité  mise en œuvre par l’outil d’analyse de fréquentation doit remplir les conditions  suivantes :  

 un accès et une installation aisés pour tous les internautes sur l’ensemble des  terminaux, des systèmes d’exploitation et des navigateurs web ;  

 aucune information relative aux internautes ayant décidé d’exercer leur droit  d’opposition ne doit être transmise à l’éditeur de l’outil d’analyse de fréquentation. Par  ailleurs, tout abonné ou utilisateur d’un service de communications électroniques doit  être informé de manière claire et complète, sauf s’il l’a été au préalable, par le  responsable du traitement ou son représentant :  

 de la finalité de toute action tendant à accéder, par voie de transmission électronique, à  des informations déjà stockées dans son équipement terminal de communications  électroniques, ou à inscrire des informations dans cet équipement;  

 des moyens dont il dispose pour s’y opposer. Ces accès ou inscriptions ne peuvent  avoir lieu qu’à condition que l’abonné ou la personne utilisatrice ait exprimé, après avoir  reçu cette information, son accord qui peut résulter de paramètres appropriés de son  dispositif de connexion ou de tout autre dispositif placé sous son contrôle. Ces  dispositions ne sont pas applicables si l’accès aux informations stockées dans  l’équipement terminal de l’utilisateur ou l’inscription d’informations dans l’équipement  terminal de l’utilisateur :  

 soit a pour finalité exclusive de permettre ou faciliter la communication par voie  électronique ;  

 soit est strictement nécessaire à la fourniture d’un service de communication en ligne à  la demande expresse de l’utilisateur.  

Les cookies de mesure d’audience peuvent être déposés et lus sans recueillir le  consentement des personnes lorsqu’ils remplissent les conditions visées à l’article 6 de  la délibération n° 2013- 378 du 5 décembre 2013, portant adoption d’une  recommandation relative aux cookies et aux 61 autres traceurs visés par l’article 32-II  de la loi du 6 janvier 1978.  

De manière générale, pour l’ensemble des traitements mis en œuvre pour les finalités  définies à l’article 2 de la présente norme qui utilisent des données collectées par le  biais des technologies visées à l’article 32-II de la loi, la présente norme renvoie aux  recommandations de la délibération n° 2013-378 du 5 décembre 2013  

Lorsque l’utilisation d’un service de communication au public en ligne donne lieu à la  création d’un compte par l’utilisateur, les données doivent être effacées dès que le  compte est supprimé, sous réserve des exceptions listées à l’article 5 de la norme. 

S’agissant des comptes n’étant plus utilisés depuis un certain laps de temps par  l’utilisateur, un délai doit être fixé pour déterminer la durée à partir de laquelle ces  comptes doivent être considérés comme des comptes inactifs. Au terme de ce délai, les  données relatives au compte inactif doivent être supprimées. Le responsable de  traitement doit avertir l’utilisateur par tous les moyens disponibles avant de procéder à  cette suppression et lui donner la possibilité de manifester sa volonté contraire. Il est  envisageable que la personne concernée donne son consentement spécifique pour que  tout ou partie des données soient archivées par le responsable de traitement, pour une  durée déterminée et raisonnable, en vue d’une réactivation future du compte  

Le laps de temps au terme duquel un compte doit être considéré comme inactif doit être  défini par le responsable de traitement conformément aux dispositions de l’article 6.5°  de la loi du 6 janvier 1978 modifiée. A titre indicatif, une durée de deux ans semble par  exemple appropriée pour un compte créé sur un site de rencontres.  

Avant de déposer ou lire un cookie, l’éditeur du site doit :  

 informer les internautes de la finalité des cookies  

 obtenir leur consentement  

 fournir aux internautes un moyen de les refuser.  

L’obligation de recueil du consentement s’impose aux responsables de site, aux  éditeurs d’applications mobiles, aux régies publicitaires, aux réseaux sociaux, aux  éditeurs de solutions de mesure d’audience qui ont l’entière responsabilité de se mettre  en accord avec la loi.  

LES COOKIES NÉCESSITANT UNE INFORMATION PRÉALABLE ET UNE  DEMANDE DE CONSENTEMENT, SONT,  

 les cookies liés aux opérations relatives à la publicité ;  

 les cookies des réseaux sociaux générés par les boutons de partage de réseaux  sociaux lorsqu’ils collectent des données personnelles sans consentement des  personnes concernées ;  

 certains cookies de mesure d’audience.  

 Tant que la personne n’a pas donné son consentement, ces traceurs ne peuvent être  déposés ou lus sur son terminal.  

L’internaute doit être informé par l’apparition d’un bandeau :  

 des finalités précises des cookies utilisés ;  

 de la possibilité de s’opposer à ces cookies et de changer les paramètres en cliquant  sur un lien” en savoir plus et paramétrer les cookies” présent dans le bandeau ; 

 du fait que la poursuite de sa navigation vaut accord au dépôt de Cookies sur son  terminal.  

CERTAINS COOKIES SONT DISPENSÉS DU RECUEIL DE CE CONSENTEMENT.  

Il s’agit des cookies et des traceurs strictement nécessaires à la fourniture d’un service  expressément demandé par l’utilisateur. Ainsi, par exemple, les traceurs suivants ne  requièrent pas de consentement :  

 les cookies de “ panier d’achat “ pour un site marchand ;  

 les cookies “ identifiants de session “, pour la durée d’une session, ou les cookies  persistants limités à quelques heures dans certains cas ;  

 les cookies d’authentification ;  

 les cookies de session créés par un lecteur multimédia ;  

 les cookies de session d’équilibrage de charge (“ load balancing “) ;   certaines solutions d’analyse de mesure d’audience (analytics) ;  

 les cookies persistants de personnalisation de l’interface utilisateur (choix de langue ou  de présentation).  

Mesures de sécurité et confidentialité / Mesures de sécurité à prévoir  Autres mesures :  

FOCUS SUR CERTAINS OUTILS PERMETTANT DE S’OPPOSER AUX COOKIES  HTTP  

Le recours aux paramètres du navigateur peut, dans certaines hypothèses, permettre  aux internautes d’exercer valablement leur choix.  

Les paramètres du navigateur être utilisés pour s’opposer aux cookies tiers uniquement  si :  

 L’internaute a été informé avant le dépôt des cookies, de leurs finalités   l’ensemble des cookies déposés sur votre site sont des cookies HTTP : Les paramètres  du navigateur ne permettent pas, en l’état actuel de la technique, de gérer des  technologies autres que les cookies HTTP. Ils ne pourraient donc être regardés comme  satisfaisants en cas d’utilisation d’autres technologies que les cookies HTTP, tels que  les pixels invisibles, les cookies flash, ou les techniques de fingerprinting.   l’ensemble des cookies déposés sur votre site sont des cookies tiers : c’est à dire, des  cookies placés par le serveur d’un domaine distinct de celui du site visité. Dans le cas  contraire, vous devrez mettre en place un autre mécanisme pour gérer les choix de vos  utilisateurs.  

 Si vous utilisez la solution de mesure d’audience de Google (ou une autre solution  s’appuyant sur des “first party” cookies), il vous faudra donc ajouter le script de  demande de consentement disponible ici 

 Il n’est pas concevable de proposer aux internautes de bloquer tous les cookies dans  les paramètres de son navigateur. Certains “first party” cookies (cookies déposés et lus  pas le site web consulté par l’internaute) sont essentiels au fonctionnement des sites  web. Le refus de ces cookies peut avoir pour conséquence de priver l’internaute d’un  accès à certains services. En ce sens, cette hypothèse est à exclure.