HÔTEL MAISON ASTOR PARIS
Politique de
Confidentialité
L’Hôtel Maison Astor Paris est geré par Indevho et applique par conséquent les principes de protection des données personnelles décrits dans la présente Politique.
1. NOTRE ENGAGEMENT
Notre ambition : mettre en mouvement l’hôtellerie pour grandir, ensemble.
Notre objectif est de mettre en mouvement notre offre en décloisonnant les expériences au service des envies et aspirations des clients voyageurs, à la recherche de votre satisfaction. Dans le cadre de notre engagement, nous vous présentons notre politique de protection de vos données personnelles. Cette politique décrit notre utilisation de ces informations sensibles et les procédures et mesures mis en œuvre par notre Groupe vous garantissant le respect de vos droits.
2. LE CHAMP D’APPLICATION
Dans la présente politique, les termes « INDEVHO », « Groupe » ou « Société » désignent :
- La société INDEVHO SAS, société assurant la gestion hôtelière et ayant son siège social au 130 RUE FREDERIC JOLIOT, CS 30343, 13799 AIX EN PROVENCE CEDEX 3
- Les établissements hôteliers dont la gestion est assurée par INDEVHO, quelle que soit l’enseigne sous laquelle l’hôtel est exploité Cette liste d’hôtels est régulièrement mise à jour sur le site www.indevho.com/fr
Cette Politique de protection des données a pour objectif de vous fournir une information, simple, claire et complète sur la manière dont INDEVHO traite les informations personnelles que vous nous transmettez. INDEVHO : hôtels in motion ! INDEVHO est un acteur au service de l’investissement et du développement hôtelier. A ce titre, nous vous informons que l’hôtel dans lequel vous réservez n’est pas la propriété de la société INDEVHO. La plupart des hôtels sont en effet exploités au titre d’un mandat de gestion conclu entre le propriétaire de l’hôtel et INDEVHO. C’est pourquoi, lorsque vous séjournez dans l’un de ces hôtels, vos données personnelles sont traitées à la fois par INDEVHO mais également par l’hôtel en question.
Pour résumer :
- INDEVHO traite vos données du fait qu’elle est en charge de la gestion du système central de réservation qui permet à INDEVHO de collecter les données nécessaires à l'organisation de vos séjours et de communiquer ces données aux hôtels concernés.
- Chaque hôtel traite vos données pour gérer sa relation contractuelle avec vous (facturation, paiement, gestion des réservations, etc.), pour effectuer des activités de marketing et pour se conformer à ses obligations légales. INDEVHO a communiqué les principes énoncés dans la présente politique à tous les hôtels dont elle assure la gestion et à leurs directeurs respectifs. Nous ferons tout ce qui est en notre pouvoir pour nous assurer que tous les hôtels respectent les lois applicables en matière de protection des données personnelles ainsi que la présente politique.
3. NOS PRINCIPES EN MATIERE DE PROTECTION DE VOS DONNEES PERSONNELLES
Conformément aux réglementations en vigueur, en particulier le Règlement Général sur la Protection des Données adopté en Europe, nous avons établi les principes suivants pour le traitement de vos données au sein de notre Groupe:
- Licéité : nous n’utilisons des données personnelles que si :
- nous avons obtenu le consentement de la personne,
- OU cela est nécessaire pour l’exécution d’un contrat auquel la personne est partie,
- OU cela est nécessaire pour le respect d’une obligation légale,
- OU pour la sauvegarde de vos intérêts vitaux dans des cas très restreints,
- OU nous poursuivons un intérêt légitime en utilisant des données personnelles et cette utilisation ne porte pas atteinte aux libertés et aux intérêts de la personne.
- Loyauté : nous expliquons le plus clairement possible ce que nous faisons avec les données.
- Finalités déterminées et minimisation des données : nous ne collectons que les données personnelles qui nous sont réellement nécessaires. Si nous pouvons atteindre le même résultat en utilisant moins de données personnelles, alors nous nous assurons de n’utiliser que ces seules données.
- Transparence : nous informons les personnes concernées de la manière dont nous utilisons leurs données. Nous facilitons l’exercice de leurs droits par les personnes concernées.
- Durées de conservation : nous ne conservons les données personnelles que pour des durées limitées.
- Nous assurons la sécurité des données personnelles, c’est-à-dire leur intégrité et leur confidentialité.
- Si un tiers doit utiliser des données personnelles, nous nous assurons que celui-ci est en mesure de protéger les données personnelles.
- Si les données personnelles doivent être transférées en dehors de l’Union européenne, nous nous assurons que ce transfert est encadré par les dispositifs juridiques appropriés.
- Si des données personnelles sont compromises (perdues, volées, endommagées, indisponibles…), nous notifions cette violation aux autorités de protection des données compétentes et aux personnes concernées, si la violation est susceptible de générer des risques élevés pour les droits et libertés des personnes.
4. QUELLES SONT LES DONNEES PERSONNELLES COLLECTEES ?
A divers moments, nous sommes amenés à collecter des informations vous concernant ou concernant les personnes vous accompagnant, notamment :
- des coordonnées (par exemple nom, prénom, n° de téléphone, email)
- des informations personnelles (par exemple date de naissance, nationalité)
- des informations sur vos enfants (par exemple prénom, date de naissance, âge)
- votre n° de carte de crédit, (à des fins de transaction et de réservation) ; des informations figurant sur un titre d’identité (par exemple carte d’identité, passeport ou permis de conduire)
- vos dates d’arrivée et de départ
- vos préférences et centres d’intérêts (par exemple chambre fumeur ou non, étage préféré, type de literie, type de presse écrite lue, sports, intérêts culturels, préférences alimentaires et de boissons, etc.)
- vos questions/commentaires, durant ou suite à un séjour dans l’un des établissements sous une marque
- des informations techniques et de localisations générées dans le cadre de l’utilisation de nos sites internet et applications.
Afin de satisfaire vos demandes ou de vous fournir le service adéquat (par exemple un régime alimentaire spécifique) nous pouvons être amenés à collecter des informations sensibles, notamment certains détails sur votre santé. Dans ce cas, nous ne collecterons ces données qu’avec votre accord express préalable.
5. A QUELLES FINS VOS DONNEES SONT-ELLES COLLECTEES ET POUR QUELLE DUREE SONT-ELLES CONSERVEES ?
Finalité: Gérer la réservation des chambres et des hébergements
Fondement du traitement: Traitement nécessaire à l'exécution du contrat nous liant
Durée de conservation: 3 ans à compter de la date à laquelle vous avez été actif auprès de nous, de quelque manière que ce soit, pour la dernière fois
Finalité: Compléter la fiche de police si vous êtes étranger
Fondement du traitement: Obligation légale
Durée de conservation: 6 mois
Finalité: Compléter la fiche de check-in lors de votre arrivée à l'hôtel
Fondement du traitement: Exécution du contrat
Durée de conservation: 3 ans à compter de la date à laquelle vous avez été actif auprès de nous, de quelque manière que ce soit, pour la dernière fois
Finalité: Gestion des différents services proposés lors de votre séjour (réservation au spa, vente de forfait de ski, etc)
Fondement du traitement: Exécution du contrat Consentement
Durée de conservation: Durée de votre séjour
Finalité: Envoi de questionnaire de satisfaction ou pour recueillir vos attentes sur votre séjour et vos commentaires à la suite de celui-ci
Fondement du traitement: Consentement
Durée de conservation: 3 ans à compter de la date à laquelle vous avez été actif auprès de nous, de quelque manière que ce soit, pour la dernière fois
Finalité: Vous adresser les newsletters, promotions et offres touristiques, hôtelières ou de services et/ou vous contacter par téléphone
Fondement du traitement: Consentement
Durée de conservation: 3 ans à compter de la date à laquelle vous avez été actif auprès de nous, de quelque manière que ce soit, pour la dernière fois
Finalité: Personnaliser l'accueil du client à l’hôtel, améliorer la qualité de votre service et de votre expérience
Fondement du traitement: Traitement nécessaire à l’exécution du contrat nous liant
Durée de conservation: 3 ans à compter de la date à laquelle vous avez été actif auprès de nous, de quelque manière que ce soit, pour la dernière fois
Finalité: Gérer des réclamations
Fondement du traitement: Obligation légale
Durée de conservation: 6 ans à compter de la date de clôture de votre dossier dans le cadre d’une plainte ou d’une réclamation
Finalité: Sécuriser et améliorer votre utilisation des sites internet INDEVHO notamment : amélioration de la navigation, assistance et maintenance et mise en œuvre des mesures de sécurité et de prévention des fraudes
Fondement du traitement: Traitement nécessaire à la poursuite de notre intérêt légitime consistant à gérer nos activités, à réaliser des prestations informatiques, d’administration et de sécurité des réseaux afin de prévenir la fraude.
Durée de conservation: 13 mois à compter de la collecte des informations
Finalité: Sécuriser les biens et les personnes et lutter contre les impayés - Vidéosurveillance
Fondement du traitement: Traitement nécessaire à la poursuite de notre intérêt légitime consistant à gérer nos activités, à sécuriser les biens et les personnes et à lutter contre les impayés.
Durée de conservation: 30 jours
Finalité: Utiliser les services nécessaires pour rechercher l’identité des personnes présentes dans les hôtels du Groupe notamment en cas d’événements graves impactant l’établissement concerné (catastrophes naturelles, attentats, etc.).
Fondement du traitement: Traitement nécessaire à la protection des intérêts vitaux des clients.
Durée de conservation: Pour toute la durée de l’événement.
Finalité: Se conformer à toute législation applicable, notamment :Gestion des demandes de désabonnements aux newsletters, promotions, offres touristiques et enquêtes de satisfaction, Gestion des demandes des personnes concernées en matière de protection de leurs données personnelles, Conservation des documents comptables
Fondement du traitement: Traitement nécessaire au respect d'une obligation légale.
Durée de conservation: Pour toute la durée fixée dans la législation applicable.
6. CONDITIONS D'ACCÈS PAR DES TIERS A VOS DONNÉES PERSONNELLES
Nous devons partager vos données personnelles avec des destinataires internes et externes, dans les conditions suivantes. Nous partageons vos données avec un nombre limité de personnes et de services autorisés au sein de notre Groupe, afin de vous offrir la meilleure expérience possible dans nos hôtels. Les équipes suivantes peuvent accéder à vos données :
- Personnel hôtelier
- Personnels de réservation utilisant les outils de réservation
- Services Informatiques
- Partenaires commerciaux et services marketing
- Services médicaux éventuellement
- Généralement, toute personne appropriée des entités de notre Groupe pour certaines catégories spécifiques de données personnelles.
- Avec des fournisseurs prestataires de services et partenaires : vos données personnelles peuvent être transmises à un tiers dans le but de vous fournir des services et d’améliorer votre séjour, notamment des sous-traitant informatique, des banques, des émetteurs de carte de crédit, des avocats externes, des routeurs, des imprimeurs.
- Autorités locales : nous pouvons aussi être amenés à transmettre vos informations aux autorités locales, si cela est exigé par la loi ou dans le cadre d’une enquête et conformément à la réglementation locale.
7. LA PROTECTION DE VOS DONNEES PERSONNELLES LORS DE TRANSFERTS INTERNATIONAUX
Pour les finalités indiquées dans l’article 6, INDEVHO s’efforce de conserver vos données personnelles en France, ou du moins au sein de l’Espace Economique Européen (EEE). Lorsque nous transférons vos données personnelles vers des destinataires situés en dehors de l’EEE, nous garantissons que le transfert est effectué :
- Soit vers un pays assurant un niveau de protection adéquat, c’est-à-dire un niveau de protection équivalent à ce que les réglementations européennes exigent
- Soit le transfert est encadré par des clauses contractuelles types Les flux vers les Etats-Unis peuvent également être effectués vers des entités ayant adhéré au programme Privacy Shield.
8. SECURITE DES DONNEES
INDEVHO prend les mesures techniques et organisationnelles appropriées, conformément aux dispositions légales applicables (en particulier l’article 32 du RGPD), pour protéger vos données personnelles contre la destruction, la perte ou l’altération, l’utilisation détournée et l’accès non autorisé, la modification ou la divulgation, que ces actions soient illicites ou accidentelles.
À cette fin, nous avons mis en place des mesures techniques (telles que des pare-feux) et des mesures organisationnelles (telles qu’un système d’identifiant / de mot de passe, des moyens de protection physique, etc…) afin d’assurer la constante confidentialité, intégrité, disponibilité et résilience des systèmes et des services de traitement. Lorsque vous transmettez des informations concernant votre carte de crédit lors de votre réservation, une technologie de chiffrement SSL (Secure Socket Layer) permet de sécuriser vos transactions. Des mesures organisationnelles assurent la sécurité du traitement.
9. COOKIES ET AUTRES TRACEURS
Qu’est-ce qu’un cookie ? Un cookie est un petit fichier texte déposé dans les répertoires du navigateur de votre ordinateur, tablette ou téléphone portable. Les cookies peuvent être déposés sur votre appareil lorsque vous visitez un site web et peuvent avoir plusieurs objectifs tels que d’assurer le bon fonctionnement des sites internet et d’obtenir des informations sur les habitudes des visiteurs. Lors de la navigation sur le site internet d’INDEVHO et des hôtels, vous pouvez décider d’autoriser ou non le dépôt de cookies sur votre ordinateur.
Comment paramétrer les cookies ? Le paramétrage des cookies se fait directement via votre navigateur Internet et, selon le type de navigateur employé, permet au choix le refus systématique des cookies lors de la navigation ou de leur autorisation au cas par cas. Pour en savoir sur la configuration à suivre, consultez la page dédiée sur le site de la CNIL : https://www.cnil.fr/fr/cookies-les-outils-pour-les-maitriser
10. VOS DROITS
Vous avez le droit d’obtenir des informations et d’accéder à vos données personnelles collectées par INDEVHO, sous réserve des dispositions légales applicables. Vous avez également le droit de faire rectifier vos données, de les faire effacer ou d’en limiter le traitement. De plus, vous avez le droit à la portabilité de vos données et le droit de définir des instructions pour le traitement de vos données à votre décès. Vous pouvez aussi vous opposer au traitement de vos données, en particulier vous opposer à ce que les données vous concernant relatives à vos séjours, vos préférences, votre satisfaction soient partagées entre les établissements du Groupe. Si vous souhaitez exercer ces droits, contactez directement le département en charge des données personnelles par courrier électronique à l’adresse rgpd@maisonastorparis.com ou en écrivant à l’adresse suivante :
INDEVHO SAS
A l’attention du Délégué à la Protection des Données
130 RUE FREDERIC JOLIOT
CS 30343, 13799 AIX EN PROVENCE CEDEX 3
Dans un souci de confidentialité et de protection de vos données personnelles, nous devrons vous identifier afin de répondre à votre requête. Pour cela, en cas de doutes raisonnables sur votre identité, il pourra vous être demandé de joindre à l’appui de votre demande, la copie d’un document officiel d’identité (CNI, permis, passeport) Vous pouvez également exercer vos droits à l’égard de vos données personnelles conservées et traitées par un hôtel en sa qualité de responsable de traitement. Vous devez à cette fin entrer directement en contact avec cet hôtel. Pour tout accompagnement dans vos démarches, merci d’écrire au Département Protection des Données Personnelles à l’adresse rgpd@maisonastorparis.com ou à l’adresse postale ci-dessus. SI vous estimez que vos droits n’ont pas été respectés ou qu’une réponse apportée par INDEVHO n’est pas satisfaisante, vous pouvez introduire une réclamation auprès de la CNIL.
11. MISES A JOUR
Nous pouvons modifier la présente politique et vous invitons à consulter régulièrement celle-ci notamment à chacune de vos réservations dans l’un de nos hôtels.
12. CONTACT
Pour toutes questions concernant la politique de données personnelles au sein du Groupe, merci de prendre contact avec le Département Protection des Données Personnelles (voir article « Vos droits »).
13. FOIRE AUX QUESTIONS
1. Comment INDEVHO a-t-il appréhendé la mise en conformité au RGPD ?
Le RGPD impose de nouvelles obligations aux entités traitant des données à caractère personnel, parmi lesquelles on trouve notamment celle de documenter la mise en conformité en interne (Accountability). A ce titre, agissant principalement en tant que Responsable de traitement, INDEVHO a mis en place un registre des traitements pour chaque traitement de données personnelles effectué en rapport direct avec vous, mais également pour toutes les activités réalisés en interne de manière indépendante et en collaboration avec ses prestataires et partenaires. Par ailleurs, afin d’assurer sa conformité dans le temps, une politique globale d’audit est mise en place afin de contrôler l’application de toutes les politiques et procédures instaurées du côté du groupe ainsi que des différents prestataires et partenaires en charge de réaliser certaines actions pour le compte d’INDEVHO.
2. INDEVHO a-t-il désigné un DPO ?
Le Data Protection Officer (ou Délégué à la protection des données personnelles en français) est obligatoire pour certaines structures et fortement recommandé pour les autres, en application du RGPD. INDEVHO a nommé un Délégué à la protection des données chargé de piloter le déploiement de sa mise en conformité, de conseiller et sensibiliser les équipes internes sur tous les sujets relatifs à la protection des données personnelles. Il analyse et contrôle régulièrement l’activité d’INDEVHO sur les différentes actions de conformité en œuvre.
3. Comment INDEVHO applique le RGPD dans l’ensemble de ses activités ?
Le RGPD a conduit les entreprises à mettre en œuvre les principes du Privacy by Design (protection des données dès la conception de tout projet) et du Privacy by default (application de standards minimum en termes de sécurité et de confidentialité des données). Lors des nouveaux projets développés mis en place, INDEVHO s’assure du respect de ces principes sur l’aspect opérationnel. Pour cela, l’entreprise applique une procédure dédiée à vérifier la présence de l’ensemble des standards et des exigences requis dans le cadre de la gestion de projet impliquant des traitements de données personnelles (réalisation d’analyse de risque sur la vie privée, mise en application des durées de conservation, de la minimisation des données, transparence des activités de traitement, etc).
4. Quel engagement est pris par INDEVHO dans la gestion des données en interne ?
Les collaborateurs d’INDEVHO sont impliqués dans la protection des données qu’ils traitent dans le cadre de leurs activités. Le Data Protection Officer a veillé à la mise en place de certaines actions portant sur les données personnelles et applicables dans l’ensemble de leurs activités quotidiennes :
- Un engagement de confidentialité par le biais de leur contrat de travail,
- Le suivi de formations et de sensibilisations en matière de protection des données personnelles,
- l’accompagnement opérationnel en matière de gestion de projets et d’application des règles de la protection des données,
- Plus globalement, la coordination avec l’ensemble des collaborateurs dans le déroulement des actions de conformité.
5. Comment INDEVHO sélectionne ses prestataires en respectant le RGPD ?
INDEVHO dispose d’un certain nombre de partenaires et prestataires conduisant à fournir les différentes prestations en faveur de ses clients. INDEVHO, lorsqu’il agit en qualité de responsabilité de traitement, applique un véritable contrôle de la maturité de ses prestataires. Pour cela, INDEVHO a élaboré l’organisation suivante :
- Une sélection de prestataire appliquée de manière systématique dès la naissance ou l’évolution d’un projet impliquant des traitements de données personnelles,
- Une catégorisation de ses prestataires par niveau risque (en fonction du volume et de la sensibilité du projet confié),
- La mise en œuvre de clauses contractuelles encadrant les échanges de données et fixant la responsabilité des acteurs impliqués,
- Une procédure d’audit des prestataires exécutée selon une périodicité régulière et contrôlée,
- Une procédure d’audit interne à INDEVHO, dédiée à effectuer une double vérification des actions produites en lien avec les différentes prestations.
6. De quelle manière INDEVHO informe ses clients s’agissant des traitements de données personnelles réalisées ?
Le RGPD impose aux entreprises d’assurer une transparence sur la gestion des données personnelles et de respecter les droits des personnes concernées. INDEVHO a mis en place sa politique de confidentialité accessible sur son site Internet ainsi que ceux des différents hôtels déléguant l’exécution de cette action. Les utilisateurs sont ainsi informés avec clarté et complétude de la manière dont leurs données personnelles sont traitées. INDEVHO a également effectué un travail collaboratif avec les différents hôtels précités, afin de diffuser de manière directe les informations en matière de traitement de données personnelles réalisés dans le cadre des séjours hôteliers, notamment à des fins administratives et règlementaires propres au domaine du tourisme. Dans le prolongement des actions de transparence, INDEVHO garantit le respect des droits individuels dont disposent les personnes concernées en appliquant une procédure dédiée : l’entreprise produit une réponse dédiée à chaque requête formulée par toute personne concernée et s’engage à respecter les délais prévus par le RGPD.
7. Les données traitées par INDEVHO sont-elles transférées en dehors de l’Union Européenne ?
Dans le cadre de ses activités, INDEVHO peut être amené à transférer des données personnelles en dehors de l’Union Européenne. Le RGPD prévoit dans ce cas la nécessité de mettre en place des garanties appropriées. A ce titre, INDEVHO applique une politique accrue de contrôle des prestataires et partenaires en cas de telles pratiques. INDEVHO choisit néanmoins de limite au maximum les transferts de données personnelles à l’extérieur de l’UE. Ce paramètre est pris en compte dès le lancement des projets et dans le cadre de la procédure de sélection des prestataires. Si toutefois INDEVHO devait exécuter des transferts en dehors de l’Espace Economique Européen (EEE), le processus sera soutenu par la mise en œuvre des garanties appropriées telles que requises par le RGPD, et notamment les clauses contractuelles types élaborées par la Commission Européenne.
Dernière version : 5 Décembre 2023