Politique de confidentialité

Déclaration de conformité au GDPR

Pourquoi avons-nous réalisé ce document ?


Le but de ce document est de :
– Vous informer sur le GDPR ;
– vous informer de ce que nous, Best Villas Lanzarote, avons fait et continuerons à faire pour nous conformer au GDPR ; et
– pour vous aider à vous conformer lorsque vous utilisez les produits et services de Best Villas Lanzarote ;
Nous pouvons mettre à jour ce document chaque fois que nous pensons que cela permettra de mieux atteindre les objectifs susmentionnés.

À propos du GDPR


Beaucoup de choses ont déjà été écrites et dites sur le GDPR et beaucoup d’autres le seront encore à l’avenir. Elle est largement considérée comme l’un des plus importants textes législatifs applicables au secteur numérique dans l’UE, si ce n’est le plus important.
L’une des valeurs fondamentales du GDPR est que les êtres humains (les “personnes concernées”) doivent avoir le contrôle de leurs propres données personnelles. Lorsqu’une organisation contrôle des données à caractère personnel (toute information qui dit quelque chose sur un être humain ou qui peut être utilisée pour l’identifier), elle doit se conformer aux obligations clés suivantes.

À propos de ce document


– Tout traitement de données à caractère personnel doit respecter des principes fondamentaux, tels que la légalité, la loyauté, la transparence, la limitation de la finalité, la minimisation des données, l’exactitude, la limitation du stockage, l’intégrité et la confidentialité, et la responsabilité) ;
– Tout traitement de données à caractère personnel doit être fondé sur une base juridique valide et applicable énumérée dans le GDPR (par exemple, si la personne concernée a donné son consentement éclairé, ou si le traitement est nécessaire pour exécuter un contrat avec la personne concernée) ;
– Les personnes concernées doivent être informées des informations qui sont traitées à leur sujet, des raisons pour lesquelles elles le sont (y compris la base juridique applicable), de la durée du traitement et de la manière dont elles sont sécurisées ;
– Les droits suivants des personnes concernées doivent être respectés, et les personnes concernées doivent être explicitement informées de leurs droits :
1. d’obtenir l’accès aux données traitées les concernant ;
2. faire rectifier, effacer ou restreindre leurs données lorsqu’elles sont incorrectes ou ne sont plus nécessaires ;
3. s’opposer à certains traitements de leurs données ;
4. emporter leurs données chez un autre fournisseur ;
5. ne pas être soumis au profilage et à la prise de décision automatisée sans leur consentement ;
6. se plaindre auprès d’une autorité de surveillance de la manière dont leurs données personnelles sont traitées ;


– Les organisations qui traitent des données à caractère personnel de manière plus qu’occasionnelle doivent tenir un registre à jour (vue d’ensemble) des types de données à caractère personnel qu’elles traitent, sur quels types de personnes concernées, pourquoi (quelle base juridique applicable), pendant combien de temps, en utilisant quels processeurs de données, et où ;
– Les organisations dont les activités principales tournent autour du traitement des données personnelles doivent nommer un délégué à la protection des données (DPD), un expert de la vie privée qui est chargé de les aider à se conformer au GDPR et doit être consulté sur toutes les questions importantes relatives à la vie privée ;
– Pour les formes nouvelles et plus risquées de traitement des données à caractère personnel, une analyse d’impact sur la protection des données (AIPD) doit d’abord être réalisée ;
– Les données à caractère personnel doivent être protégées de manière appropriée contre la destruction, la perte, l’altération et la divulgation ou l’accès non autorisés, qu’ils soient accidentels ou illicites ;
– En cas de violation de la sécurité des données personnelles, l’autorité de contrôle et/ou les personnes concernées doivent être notifiées ;
– Lors de la conception de systèmes utilisés pour traiter des données à caractère personnel, le respect de la vie privée doit être mis en œuvre dès la conception et par défaut ;
– Lorsqu’une autre partie (un “sous-traitant”) est chargée de traiter des données personnelles au nom de l’organisation, un accord de traitement des données est nécessaire ;
– Le traitement des données à caractère personnel ne peut être externalisé vers des pays situés en dehors de l’EEE, à moins que des garanties spécifiques appropriées ne soient mises en place, telles que des clauses contractuelles types, des règles d’entreprise contraignantes ou un arrangement spécifique tel que le bouclier de protection de la vie privée UE-États-Unis.


Termes et définitions importants du GDPR
“Données personnelles”


GDPR art 4(1) : ” données à caractère personnel ” : toute information concernant une personne physique identifiée ou identifiable (” personne concernée “) ; est réputée identifiable une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne ou à un ou plusieurs éléments spécifiques propres à l’identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale de cette personne physique.


Cette définition est très large : toutes les informations relatives à une personne physique identifiée ou identifiable (appelée “personne concernée”). Il est important de noter que cela ne couvre pas seulement les “informations personnelles identifiables” (connues sous le nom de “PII”, principalement dans les juridictions américaines) qui identifient directement une personne, comme les noms, les adresses et les numéros de téléphone, mais aussi les adresses IP, les informations sur les intérêts personnels et la plupart des informations stockées et lues via les cookies. Même si le nom d’une personne n’est pas connu, un profil client contient toujours des données personnelles.
“Traitement”


GDPR art 4(2) : “traitement” : toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données à caractère personnel ou à des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.
Cette définition est également très large. Le “traitement” est toute opération effectuée à l’aide de données à caractère personnel : non seulement la consultation ou la modification des données, mais aussi leur simple stockage, leur transfert et même leur suppression.

“Contrôleur”
GDPR art 4(7) : “responsable du traitement” : la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données à caractère personnel ; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l’Union ou des États membres, le responsable du traitement ou les critères spécifiques pour sa désignation peuvent être prévus par le droit de l’Union ou des États membres.
En substance, le responsable du traitement est la partie qui détermine pourquoi et comment les données personnelles sont traitées. Il s’agit souvent d’une partie qui a un contrat avec des personnes individuelles pour leur fournir des produits ou des services. Par exemple, un hôtel est généralement le responsable du traitement des données personnelles de ses clients.


“Processeur”
GDPR art 4(8) : ” sous-traitant ” désigne une personne physique ou morale, une autorité publique, un service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ;
Le sous-traitant est la partie qui est engagée par le responsable du traitement pour traiter les données à caractère personnel pour le compte du responsable du traitement.
Ce que 4B Villas Lanzarote Property Management S.L. a fait et continue de faire pour se conformer au GDPR.
Certaines obligations prévues par le GDPR sont applicables aux ” responsables du traitement ” (la partie qui détermine pourquoi et comment les données personnelles sont traitées), tandis que d’autres obligations s’appliquent aux ” sous-traitants ” (la partie qui traite les données personnelles pour le compte du responsable du traitement).


Meilleures villas à Lanzarote en tant que processeur
Les produits et services de Best Villas Lanzarote sont destinés à aider les hôteliers à augmenter les réservations directes, à établir des relations avec les clients et à gérer efficacement leurs efforts de marketing en ligne. À ce titre, Best Villas Lanzarote traite les données à caractère personnel concernant les clients (potentiels) des hôteliers pour le compte de ces derniers, et est donc considéré comme un sous-traitant à cet égard.


L’accord de traitement des données de Best Villas Lanzarote réglemente le traitement par Best Villas Lanzarote des données personnelles de vos invités (potentiels), et vous aide à démontrer votre conformité au GDPR lorsque vous utilisez les produits et services de Best Villas Lanzarote.


Best Villas Lanzarote comme contrôleur
Best Villas Lanzarote traite également les données personnelles des propriétaires de villas eux-mêmes, ainsi que de leurs représentants et employés. Dans ce contexte, Best Villas Lanzarote détermine les objectifs et les moyens des activités de traitement, et se qualifie donc de contrôleur.


La politique de confidentialité de Best Villas Lanzarote régit le traitement de vos propres données personnelles, ainsi que celles de vos employés ou collègues qui utilisent, achètent ou gèrent les produits ou services de Best Villas Lanzarote, et vous fournit toutes les informations nécessaires et les droits des personnes concernées.


Principes de traitement des données
Le traitement des données personnelles doit respecter les principes fondamentaux du GDPR. Nous faisons tout notre possible, et continuerons à le faire, pour mettre en œuvre ces principes de traitement des données au cœur même de nos produits, de nos services et de notre organisation.


Légalité, équité et transparence
Nous ne traitons les données personnelles que lorsque nous le jugeons nécessaire pour une finalité légitime en vertu du GDPR, et nous faisons tout notre possible pour fournir des informations complètes mais concises et facilement accessibles et compréhensibles sur toutes nos activités de traitement des données personnelles.


Outre notre politique de confidentialité et notre accord de traitement des données, nous vous proposons un texte que vous pouvez envisager d’intégrer à votre politique de confidentialité pour expliquer à vos clients (potentiels) pourquoi vous utilisez nos produits et services pour vous aider à traiter leurs données personnelles de manière efficace et sûre.
Nous ne faisons bien sûr que proposer une suggestion, car en tant qu’hôtelier, vous êtes le responsable du traitement des données personnelles de vos clients, et c’est vous qui décidez en dernier ressort comment et pourquoi vous souhaitez traiter leurs données, conformément au GDPR.


Limitation de l’objet
Nous n’utilisons les données personnelles qu’aux fins pour lesquelles elles ont été collectées, comme décrit dans notre politique de confidentialité et notre accord de traitement des données. Par exemple, Best Villas Lanzarote n’utilisera pas les adresses électroniques recueillies lors d’une réservation pour envoyer des publicités pour d’autres hôtels en son propre nom.


Minimisation des données
Nous n’utilisons les données personnelles qu’aux fins pour lesquelles elles ont été collectées, comme décrit dans notre politique de confidentialité et notre accord de traitement des données. Par exemple, Best Villas Lanzarote n’utilisera pas les adresses électroniques recueillies lors d’une réservation pour envoyer des publicités pour d’autres hôtels en son propre nom.


Nous ne traitons pas plus de données personnelles que ce que nous jugeons strictement nécessaire pour vous fournir des produits et services optimaux. Nous ne combinons pas les données personnelles que nous avons recueillies en vous fournissant nos produits et services avec d’autres données personnelles que nous avons pu obtenir ailleurs, à moins d’avoir obtenu au préalable votre consentement spécifique, explicite et éclairé. Si votre contrat avec Best Villas Lanzarote a pris fin, nous vous restituons vos données à votre demande, et/ou elles sont supprimées des serveurs de Best Villas Lanzarote.


Précision
Le principe de précision est également une exigence pour les contrôleurs. Cela signifie que les données doivent être mises à jour si nécessaire et qu’elles doivent toujours être aussi précises que possible. Si vous avez besoin de notre aide pour corriger certaines données concernant vos invités ou vous-même, faites-le nous savoir et nous vous apporterons toute l’aide possible.


Limitation du stockage
Les données personnelles ne doivent pas être conservées plus longtemps que nécessaire pour atteindre les objectifs prédéfinis. Cela signifie que si les données personnelles ne sont plus nécessaires, elles doivent être supprimées en toute sécurité.
Intégrité et confidentialité
Pour protéger, sécuriser et préserver les données personnelles, les responsables du traitement doivent mettre en place un cadre de sécurité de l’information. Best Villas Lanzarote prend des mesures techniques et organisationnelles adéquates pour protéger les données personnelles, comme expliqué dans notre documentation sur la sécurité (voir ci-dessous).


Responsabilité
Le principe de précision est également une exigence pour les contrôleurs. Cela signifie que les données doivent être mises à jour si nécessaire et qu’elles doivent toujours être aussi précises que possible. Si vous avez besoin de notre aide pour corriger certaines données concernant vos invités ou vous-même, faites-le nous savoir et nous vous apporterons toute l’aide possible.
Nous avons rédigé le présent document dans le but précis de démontrer notre conformité aux principes susmentionnés et de vous aider à démontrer votre conformité si vous décidez d’acheter nos produits et services.
Nous avons également rédigé et adopté plusieurs documents et politiques internes pertinents, ce qui nous aide à démontrer que nous mettons réellement en pratique les principes et obligations du GDPR. De plus amples informations à ce sujet sont fournies plus loin.


Base légale du traitement des données personnelles
L’article 6 du GDPR fournit les bases juridiques valables pour le traitement des données personnelles. Cette liste est exhaustive, ce qui signifie que ces motifs énumérés sont les seuls motifs juridiques valables, et qu’au moins un de ces motifs doit toujours être valable et applicable pour justifier tout traitement de données à caractère personnel.
1. Le consentement éclairé ;
2. L’exécution d’un contrat ;
3. Respect d’une obligation légale ;
4. Intérêts vitaux de la personne concernée ;
5. Exécution d’une tâche publique ;
6. Intérêts légitimes poursuivis par le responsable du traitement


Lorsque vous nous demandez de vous livrer des produits ou des services, ou de vous fournir des informations pertinentes, nous traitons vos informations pour exécuter un contrat avec vous, ou pour effectuer les préparatifs appropriés (par exemple, pour vous proposer une offre adaptée à vos besoins).
Lorsque vous avez conclu un accord avec nous pour utiliser nos produits et services, nous traitons les données personnelles de vos invités (potentiels) afin d’exécuter notre accord. Une description plus complète de nos activités de traitement et de nos objectifs peut être trouvée dans notre politique de confidentialité.


Nos mesures démontrant la conformité au GDPR
Outre la présente déclaration de conformité, la documentation et les politiques suivantes ont été adoptées pour se conformer au GDPR et être en mesure de démontrer la conformité au GDPR.


Politique de confidentialité externe
Nous avons revu en profondeur notre politique de confidentialité afin de fournir toutes les informations pertinentes requises par le GDPR. Cela comprend des informations sur les points suivants :
– nos objectifs de traitement ;
– les catégories de personnes concernées dont nous traitons les informations ;
– les types de données personnelles (par exemple, le nom, etc.) ;
– Droits des personnes concernées (par exemple, correction, effacement, restriction, objection, plaintes)
Notre politique de confidentialité externe peut être consultée ici.


Accord sur le traitement des données
Notre convention de traitement des données a été rédigée par des spécialistes juridiques afin d’intégrer tout ce qui est requis par le GDPR. Par exemple, notre DPA contient des dispositions concernant :
– une description des activités de traitement applicables ;
– les objectifs et les instructions applicables ;
– des mesures de sécurité et de confidentialité ;
– sous-processeurs applicables et procédure pour en engager un autre
– (sous-)processeur ;
– obligations de notification des violations de données personnelles ;
– des obligations d’assistance pour contribuer à garantir les droits des personnes concernées ;
– la restitution ou la suppression des données personnelles en cas de résiliation ;
– les audits et les inspections.


Un accord de traitement des données pour les clients de Best Villas Lanzarote peut être demandé par e-mail à dpo@Best Villas Lanzarote.com.


Documentation sur la sécurité
Nous avons mis en place un processus pour évaluer et mettre à jour régulièrement nos mesures de sécurité, et nous avons documenté nos mesures de sécurité actuelles. Lorsque cela est pertinent et possible, nous mettons en œuvre le cryptage et la pseudonymisation pour protéger les données personnelles et renforcer la confidentialité, comme le suggère le GDPR. Afin d’éviter de devoir mettre à jour notre documentation trop souvent et, en outre, pour éviter que les informations relatives à notre sécurité puissent être utilisées de manière abusive, notre documentation sur la sécurité s’attache à fournir un aperçu de haut niveau des mesures de sécurité, et non à fournir des descriptions détaillées (techniques).


Registre interne des activités de traitement
En vertu du GDPR, il est obligatoire pour les contrôleurs et les processeurs de données de conserver un registre des activités de traitement. Best Villas Lanzarote tient un registre des personnes dont les données personnelles sont traitées, et à quelles fins. Nous indiquons également à qui nous transférons les données et quelles mesures de sécurité nous avons prises pour les protéger.


Politique de confidentialité interne
Nous avons rédigé et adopté une politique interne de confidentialité qui explique aux employés comment ils doivent traiter les données personnelles pour Best Villas Lanzarote, et aussi comment leurs propres données personnelles sont traitées par Best Villas Lanzarote.


Le respect de la vie privée dès la conception et par défaut dans nos produits et services
Lors du développement (ultérieur) de nos produits et services, nous tenons compte de la vie privée comme l’une des principales exigences. Par exemple, nous avons effectué une analyse sur les exigences légales pour l’utilisation d’un outil de réservation abandonnée. Dans cet outil, nous offrons aux destinataires des e-mails de rappel la possibilité de se désengager. Les paramètres standard de notre service permettent le traitement d’une quantité minimale de données.


Délégué à la protection des données
Dans certains cas, le GDPR exige la désignation d’un délégué à la protection des données (DPD). Best Villas Lanzarote a nommé un DPD, qui conseille Best Villas Lanzarote sur les questions de confidentialité.


Évaluation de l’impact sur la protection des données
Si Best Villas Lanzarote, à l’avenir, prévoit d’effectuer un traitement de données personnelles qui comporte un risque élevé pour les personnes concernées (comme le traitement à grande échelle de données sensibles, ou la prise de décision automatisée basée sur le profilage), elle aidera son client à effectuer toute évaluation d’impact sur la protection des données requise avant de commencer la prestation de ces services.


Garanties appropriées pour les transferts internationaux
Le GDPR exige des garanties appropriées pour le transfert de données personnelles en dehors de l’Espace économique européen (EEE), qui comprend tous les pays de l’UE et les pays non membres de l’UE, à savoir l’Islande, le Liechtenstein et la Norvège. Lorsque nous stockons des données en dehors de l’EEE, nous veillons à conclure des clauses contractuelles types de l’UE avec le tiers concerné ou à nous assurer que le prestataire de services américain concerné est certifié Privacy Shield.
Recevez les dernières mises à jour


À partir du 25 mai 2018, le règlement général sur la protection des données (RGPD) s’appliquera dans l’ensemble de l’UE. Ces nouvelles règles de protection de la vie privée s’appliquent à toute organisation traitant des données personnelles de personnes situées dans l’UE, y compris Best Villas Lanzarote et ses clients. Le GDPR remplace et étend le champ d’application de l’ancienne directive européenne et de ses lois nationales de transposition. Les seuils d’amende en cas de non-conformité ont également été considérablement augmentés.

Quelles sont les données personnelles que nous pouvons recueillir et pourquoi nous les recueillons ?

Commentaires

Lorsque les visiteurs laissent des commentaires sur le site, nous recueillons les données indiquées dans le formulaire de commentaires, ainsi que l’adresse IP du visiteur et la chaîne d’agent utilisateur du navigateur pour faciliter la détection des spams.

Une chaîne anonymisée créée à partir de votre adresse électronique (également appelée “hash”) peut être fournie au service Gravatar pour savoir si vous l’utilisez. La politique de confidentialité du service Gravatar est disponible ici : https://automattic.com/privacy/. Après approbation de votre commentaire, votre photo de profil est visible par le public dans le contexte de votre commentaire.

Médias

Si vous téléchargez des images sur le site web, vous devez éviter de le faire avec des données de localisation intégrées (GPS EXIF). Les visiteurs du site web peuvent télécharger et extraire n’importe quelle donnée de localisation à partir des images présentes sur le site.

Formulaires de contact

Cookies

Si vous laissez un commentaire sur notre site, vous pouvez accepter que votre nom, votre adresse électronique et votre site web soient enregistrés dans des cookies. Elles sont destinées à vous faciliter la tâche, afin que vous n’ayez pas à remplir à nouveau vos coordonnées lorsque vous laissez un autre commentaire. Ces biscuits se conservent pendant un an.

Si vous visitez notre page de connexion, nous installerons un cookie temporaire pour déterminer si votre navigateur accepte les cookies. Ce cookie ne contient aucune donnée personnelle et est supprimé lorsque vous fermez votre navigateur.

Lorsque vous vous connectez, nous configurons également plusieurs cookies pour enregistrer vos informations de connexion et vos choix d’affichage d’écran. Les cookies de connexion durent deux jours, et les cookies d’options d’écran durent un an. Si vous sélectionnez “Se souvenir de moi”, votre connexion sera maintenue pendant deux semaines. Si vous vous déconnectez de votre compte, les cookies de connexion seront supprimés.

Si vous modifiez ou publiez un article, un cookie supplémentaire sera enregistré dans votre navigateur. Ce cookie ne comprend aucune donnée personnelle et indique simplement l’identifiant de l’article que vous venez de modifier. Il expire après 1 jour.

Contenu intégré d’autres sites web

Les articles de ce site peuvent inclure du contenu intégré (par exemple des vidéos, des images, des articles, etc.). Le contenu intégré provenant d’autres sites web se comporte exactement de la même manière que si le visiteur avait visité l’autre site web.

Ces sites web peuvent recueillir des données vous concernant, utiliser des cookies, intégrer un suivi supplémentaire par des tiers et surveiller votre interaction avec ce contenu intégré, y compris le suivi de votre interaction avec le contenu intégré si vous avez un compte et êtes connecté à ce site web.

Analytique

Avec qui nous partageons vos données

Combien de temps nous conservons vos données

Si vous laissez un commentaire, celui-ci et ses métadonnées sont conservés indéfiniment. Cela nous permet de reconnaître et d’approuver automatiquement les commentaires de suivi au lieu de les garder dans une file d’attente de modération.

Pour les utilisateurs qui s’inscrivent sur notre site web (le cas échéant), nous stockons également les informations personnelles qu’ils fournissent dans leur profil d’utilisateur. Tous les utilisateurs peuvent voir, modifier ou supprimer leurs informations personnelles à tout moment (sauf qu’ils ne peuvent pas changer leur nom d’utilisateur). Les administrateurs du site web peuvent également voir et modifier ces informations.

Les droits dont vous disposez sur vos données

Si vous avez un compte sur ce site, ou si vous avez laissé des commentaires, vous pouvez demander à recevoir un fichier exporté des données personnelles que nous détenons à votre sujet, y compris les données que vous nous avez fournies. Vous pouvez également nous demander d’effacer toutes les données personnelles que nous détenons à votre sujet. Cela ne comprend pas les données que nous sommes obligés de conserver à des fins administratives, juridiques ou de sécurité.

Où nous envoyons vos données

Les commentaires des visiteurs peuvent être vérifiés par un service automatisé de détection des spams.

Comparer les annonces

Comparer