POLITIQUE DE CONFIDENTIALITE EBS

Septembre 2023  

1.    DISPOSITIONS GENERALES

1.1.    PREAMBULE

Le Règlement (EU) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement de données à caractère personnel et à la libre circulation de ces données, autrement appelé le Règlement général sur la protection des données (ci-après RGPD) fixe le cadre juridique applicable aux traitements de données à caractère personnel. Le RGPD renforce les droits et les obligations des responsables de traitements, des sous-traitants, des personnes concernées et des destinataires des données.

Par la suite, et pour implémenter les modifications du RGPD, la loi n°78-17 du 6 janvier 1978 dite Informatique et libertés a fait l’objet d’une modification par la loi n°2018-493 du 20 juin 2018 par l’ordonnance n°2018-1125 du 12 décembre 2018 relative à la protection des données.

La règlementation applicable à la protection des données à caractère personnel s’entend ainsi des textes suivants :

  • le RGPD ;
  • la loi Informatique et libertés à jour des textes précités ;
  • les recommandations de la Cnil.

L’article 12 du RGPD impose que les personnes concernées soient informées de leurs droits de manière concise, transparente, compréhensible et aisément accessible.
La présente politique de confidentialité vise les données à caractère personnel des clients effectuant une réservation hôtelière auprès d’Europa Booking & Services. 

1.2.      OBJET

La présente politique a pour objet de satisfaire à l’obligation d’information relative au traitement des données à caractères personnel des clients.

1.3.    PRINCIPES GENERAUX

Aucun traitement n’est mis en œuvre concernant des données vous concernant s’il ne porte pas sur des données à caractère personnel collectées par ou pour ses services ou traitées en relation avec ses services et s’il ne répond pas aux principes généraux du RGPD.

Tout nouveau traitement, modification ou suppression d’un traitement existant sera porté à la connaissance des interlocuteurs auprès des clients par le biais d’une modification de la présente politique.

2.    IDENTIFICATION DES TRAITEMENTS

2.1.    CATEGORIES DE DONNEES COLLECTEES ET ORIGINE DES DONNEES  

Les données collectées sont :

Les données non techniques (selon les cas d’usage)

  • Identité du ou des interlocuteurs en charge d’un dossier (ex : civilité, nom, prénom) ;
  • Coordonnées professionnelles du ou des interlocuteurs (ex : email professionnel, adresse postale professionnelle, numéro de téléphone professionnel fixe ou mobile, numéro fax) ;
  • Informations professionnelles du ou des interlocuteurs (ex : poste, grade, fonction) ;
  • Information d’ordre économique et financière (données bancaires, RIB, etc.) ;
  • Données de transaction (montant et date des transactions, etc.).

Données techniques (selon les cas d'usage)

  • Données d’identification (IP)
  • Données de connexion (logs notamment)
  • Données d’acceptation (clic)
  • Données de localisation
  • Données de traçabilité
  • Cookies

2.2.    FINALITES DES TRAITEMENTS

Échanges précontractuels    
Les données des interlocuteurs des clients sont traitées à des fins de réservations hôtelières par Europa Booking & Services.

Contrat et suivi du contrat    
Les données des interlocuteurs des clients sont traitées dans le cadre du suivi des relations contractuelles pour les réservations hôtelières par Europa Booking & Services.

Facturation, paiement et comptabilité    
Les données des interlocuteurs des clients sont traitées dans le cadre de la facturation et du paiement des commandes effectuées.

Gestion de la relation clients    
Les données des interlocuteurs des clients sont traitées afin de communiquer avec eux dans le cadre de questions qu’ils seraient susceptibles de poser à l’occasion de l’exécution en cours ou future d’un contrat avec Europa Booking & Services.

Envoi de prospection, newsletters ou fils d’information    
Les données des interlocuteurs des clients sont traitées à des fins d’envoi de newsletters ou fils d’information.

Réalisation de statistiques    
Les données des clients sont susceptibles de faire l’objet de statistiques.

2.3.    DUREES DE CONSERVATION

La durée de conservation des données est définie au regard des contraintes légales et contractuelles et à défaut en fonction des besoins et notamment selon les principes suivants :

Contrats conclus avec les clients    
5 ans à compter de la fin de de la relation contractuelle
10 ans pour les contrats conclus par voie électronique de plus de 120 euros

Correspondance commerciale (bons de commande, de livraison, factures, etc.)    
10 ans à compter de la clôture de l’exercice comptable

Données traitées à des fins de prospection    
3 ans à compter de la collecte de la donnée ou du dernier acte positif (demande de documentation, clic sur un lien hypertexte, etc.)

Données techniques    
1 an à compter de leur collecte

Données bancaires    
Supprimées dès la transaction réalisée, sauf accord exprès du client.
Si contestation de la transaction : conservation 13 mois en archivage suivant la date de débit.

Cookies    
Les cookies sont conservés 13 mois à compter de leur dépôt sur votre terminal à compter de la dernière utilisation du site web ou de l’application mobile.

Les durées indiquées dans le tableau précédent sont nécessairement prolongées pour la durée légale de prescription à titre de preuve en cas de litige. Dans cette dernière hypothèse, la durée de conservation est rallongée pour toute la durée du litige.

Passé les délais fixés, les données sont soit supprimées, soit conservées après avoir été anonymisées, notamment pour des raisons d’usages statistiques. Elles peuvent être conservées en cas de précontentieux et contentieux.

Il est rappelé aux clients et prospects que la suppression ou l’anonymisation sont des opérations irréversibles et qui ne permettent pas de restaurer les données par la suite.

2.4.    BASE LEGALE

Les traitements des données des interlocuteurs auprès des clients tels que présentés ci-dessus reposent sur l’exécution précontractuelle ou contractuelle et l’intérêt légitime.

Lorsque c’est nécessaire, le consentement des personnes concernées est recueilli.

2.5.    DESTINATAIRES DES DONNEES

Les destinataires des données s’entendent des personnes physiques ou morales qui reçoivent communication des données à caractère personnel. Les destinataires des données peuvent donc être aussi bien des salariés que des organismes extérieurs.

Les données collectées et traitées dans le cadre des relations avec les clients ne sont accessibles qu’à des destinataires internes et externes habilités, et notamment, aux destinataires suivants :

  • le personnel des services compétents habilités à gérer la relation avec les interlocuteurs auprès des clients et leurs responsables hiérarchiques ;
  • le personnel des services supports, soit les services administratifs, les services logistiques et informatiques et leurs responsables hiérarchiques ;
  • les prestataires ou services supports (ex : prestataire informatique) ;
  • les autorités compétentes au cas où nous serions tenus de partager certaines données à des auxiliaires de justice, à des services chargés de procédures internes de contrôle, etc.,
  • les hôtels choisis pour accueillir les bénéficiaires des réservations effectuées.

S’agissant des destinataires internes, nous décidons quel destinataire pourra avoir accès à quelle donnée selon une politique d’habilitation et nous assurons qu’ils sont soumis à une obligation de confidentialité.

S’agissant des destinataires externes, nous vous informons que les données à caractère personnel des interlocuteurs auprès des clients pourront ainsi être communiquées à certains de nos prestataires ou à toute autorité légalement habilitée à en connaître (autorités fiscales et sociales notamment).

Dans ce cas, Europa Booking & Services n’est pas responsable des conditions dans lesquelles les personnels de ces autorités ont accès et exploitent les données.

3.    GESTION DES DROITS DES PERSONNES

3.1.    DROIT D’OPPOSITION

Les clients disposent du droit de s’opposer à toute prospection commerciale par voie postale, téléphonique ou électronique, y compris au profilage dans la mesure où il est lié à une telle prospection.

Au cas particulier de la prospection par voie électronique, il sera à tout moment possible pour les clients de s’opposer à une telle prospection soit en cliquant sur le lien se trouvant dans l’e-mail d’envoi, soit en modifiant les préférences du compte sur nos sites internet.

Par SMS, il est possible de s’opposer à toute prospection en envoyant « stop » au numéro figurant dans le message reçu.

3.2.    DROIT D’ACCES ET DROIT DE COPIE

Les clients disposent du droit de demander si des données concernant leurs membres (personnel, dirigeant, etc.) sont ou non traitées.

Ils peuvent également demander que leur soit fournie une copie des données de leurs membres faisant l’objet d’un traitement.

Toutefois, en cas de demande de copies supplémentaires, il pourra être exigé que les clients prennent en charge le coût que représenterait cette nouvelle copie.

Si les demandes des clients sont effectuées par voie électronique, les informations demandées seront fournies sous une forme électronique d’usage courante, sauf demande contraire.

Les clients sont informés que ce droit d’accès ne peut pas porter sur des informations ou données confidentielles ou encore pour lesquelles la loi n’autorise pas la communication.

Le droit d’accès ne doit pas être exercé de manière abusive c’est-à-dire réalisé de manière régulière dans le seul but de déstabiliser la bonne exécution des services.

3.3.    DROIT DE RECTIFICATION

Les clients disposent du droit de demander de rectifier certaines données concernant leur personnel qui seraient obsolètes ou erronées.

3.4.    DROIT A L’EFFACEMENT

Les clients ne peuvent invoquer le droit à l’effacement s’agissant des données de leur personnel que dans les cas suivants :

  • le contrat a été résilié et n’a plus d’effet ;
  • les membres du personnel dont les données sont traitées et qui ne font plus partie des effectifs d’un des clients et qui souhaitent en conséquence être supprimés de la base de données clients.

3.5.    DROIT A LA LIMITATION

Les clients sont informés que ce droit n’a pas vocation à s’appliquer dans la mesure où les conditions requises par la règlementation applicable ne sont pas remplies s’agissant du traitement des données à caractère personnel des membres de leur personnel.  

3.6.    DROIT A LA PORTABILITE

Les clients et prospects bénéficient du droit à la portabilité de leurs données dans le cas particulier des données communiquées par les clients ou les prospects eux-mêmes, sur des services en ligne proposés par la personne auprès de laquelle la demande est formulée et pour les finalités reposant sur le seul consentement des personnes ou l’exécution du contrat. Dans ce cas les données seront communiquées dans un format structuré, couramment utilisé et lisible par une machine.

3.7.    DÉCISION INDIVIDUELLE AUTOMATISÉE

Aucun traitement ne repose sur des décisions individuelles automatisées.

3.8.    DROIT POST MORTEM

Les clients sont informés qu’ils disposent du droit de formuler des directives concernant la conservation, l’effacement et la communication de leurs données post-mortem. La communication de directives spécifiques post-mortem et l’exercice de leurs droits s’effectuent par courrier électronique à l’adresse dpo-ebs@racine.eu.

3.9.    CARACTÈRE FACULTATIF OU OBLIGATOIRE DES RÉPONSES

Les clients sont informés sur chaque formulaire de collecte des données à caractère personnel du caractère obligatoire ou facultatif des réponses par la présence d’un astérisque.

3.10.    DROIT D’USAGE

Les données des clients font l’objet d’un droit d’usage et de traitement de leurs données à caractère personnel pour les finalités exposées ci-dessus.

Toutefois, les données enrichies qui sont le fruit d’un travail de traitement et d’analyse autrement appelées « les données enrichies », demeurent la propriété exclusive d’Europa Booking & Services (analyse d’usage, statistiques, etc.).
   
3.11.    EXERCICE DES DROITS DES INTERLOCUTEURS

Pour pouvoir exercer leurs droits, les clients doivent s’adresser à l’adresse mail dpo-ebs@racine.eu

4.    DISPOSITIONS COMPLEMENTAIRES

4.1.    SOUS-TRAITANCE

Nous sommes susceptibles de faire intervenir tout sous-traitant de notre choix dans le cadre du traitement des données à caractère personnel des interlocuteurs auprès des clients.

Dans ce cas, nous nous assurons du respect par le sous-traitant de ses obligations en vertu du RGPD.

Nous nous engageons à signer avec tous nos sous-traitants un contrat écrit et leur imposons les mêmes obligations en matière de protection des données que celles que nous nous imposons. De plus, nous nous réservons le droit de procéder à un audit auprès de nos sous-traitants afin de nous assurer de leur respect des dispositions du RGPD.

4.2.    REGISTRE DES TRAITEMENTS

Nous nous engageons à tenir à jour un registre de toutes les activités de traitement effectuées lorsque la loi nous l’impose.

Ce registre est un document ou applicatif permettant de recenser l’ensemble des traitements mis en œuvre par Europa Booking & Services.

Nous nous engageons à fournir à la Cnil, à première demande, les renseignements lui permettant de vérifier la conformité des traitements à la règlementation informatique et libertés en vigueur.

4.3.    MESURES DE SECURITE

Nous mettons en œuvre les mesures techniques de sécurité physique ou logique que nous estimons appropriées pour lutter contre la destruction, la perte, l’altération ou la divulgation non autorisée des données de manière accidentelle ou illicite.

Parmi ces mesures figurent principalement :

  • gestion des habilitations pour l’accès aux données ;
  • l’utilisation d’un protocole ou de solutions de sécurité ;
  • produits de chiffrement ;
  • anti-virus;
  • firewall ;
  • sécurisation du réseau wifi et des accès à distance ;
  • accès sécurité https ;
  • politique de patch de sécurité ;
  • conduite d’audits externes ;
  • l’adoption d’une politique de sécurité des systèmes d’information ;
  • l’adoption de plans de continuité / de reprise d’activité.

En tout état de cause, nous nous engageons, en cas de changement des moyens visant à assurer la sécurité et la confidentialité des données à caractère personnel, à les remplacer par des moyens d’une performance supérieure. Aucune évolution ne pourra conduire à une régression du niveau de sécurité.

4.4.    VIOLATION DE DONNEES

Toute violation de données que nous pourrions subir sera notifiée à la Cnil dans les conditions prescrites par la règlementation en matière de données à caractère personnel.

Les interlocuteurs auprès des clients sont informés de toute violation de données qui pourrait porter un risque élevé pour leur vie privée.

4.5.    FLUX TRANSFRONTIERES

Europa Booking & Services se réserve la possibilité de mettre en œuvre des flux transfrontières hors de l’UE des données qu’elle traite.

Dans une telle hypothèse, Europa Booking & Services assurera le respect des droits des clients et signera, si nécessaire, un ou plusieurs contrats permettant d’encadrer ces flux avec le(s) pays destinataire(s).

5.    CONTACTS

5.1.    DELEGUE A LA PROTECTION DES DONNEES

Europa Booking & Services a désigné un délégué à la protection des données.

Les coordonnées du délégué à la protection des données sont les suivantes :

Nom : Maître Éric Barbry, Cabinet Racine avocats ;
Adresse e-mail : dpo-ebs@racine.eu.
Tél : 01 44 82 43 00

En cas de nouveau traitement de données à caractère personnel, Europa Booking & Services saisira préalablement le délégué à la protection des données

Si les clients souhaitent obtenir une information particulière ou souhaitent poser une question particulière, il leur sera possible de saisir le délégué à la protection des données qui leur donnera une réponse dans un délai raisonnable au regard de la question posée ou de l’information requise.

En cas de problème rencontré avec le traitement des données à caractère personnel, les clients pourront saisir le délégué à la protection des données désigné.

5.2.    DROIT D’INTRODUIRE UNE RECLAMATION AUPRES DE LA CNIL

Les clients disposent d’un droit d’introduire une plainte auprès d'une autorité de contrôle, à savoir la Cnil en France, dès lors qu’ils estiment que le traitement de données à caractère personnel les concernant n'est pas conforme à la règlementation européenne de protection des données, à l’adresse suivante :

CNIL – Service des plaintes
3 Place de Fontenoy - TSA 80715 - 75334 PARIS CEDEX 07
Tél : 01 53 73 22 22

5.3.    ÉVOLUTION

La présente politique peut être modifiée ou aménagée à tout moment en cas d’évolution légale, jurisprudentielle, des décisions et recommandations de la Cnil ou des usages.

Toute nouvelle version de la présente politique sera portée à la connaissance des clients par tout moyen que nous choisirons en ce compris la voie électronique (diffusion par courrier électronique ou en ligne par exemple).

5.4.    POUR PLUS D'INFORMATIONS

Pour toutes informations complémentaires, vous pouvez contacter les services suivants dpo-ebs@racine.eu.