Politique de confidentialité
Politique de confidentialité, de sécurité et de protection des données
I - ENGAGEMENT EN FAVEUR DE LA PROTECTION DE LA VIE PRIVEE
Le groupe hôtelier NEYA est reconnaissant de la confiance qui lui est accordée et s’engage à protéger la vie privée de tous les utilisateurs des différents sites web et plateformes numériques qu’il fournit et possède. Dans ce contexte, il a élaboré la présente politique de confidentialité, de sécurité et de protection des données afin de garantir son engagement et son respect des règles en matière de confidentialité et de protection des données à caractère personnel.
II - RESPONSABLE DU TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL
Conformément et aux fins du Règlement UE 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (Règlement général sur la protection des données, ci-après "RGPD") et de la Loi n° 58/2019, du 8 août (Loi de mise en œuvre du RGPD dans le système juridique portugais, ci-après "LPDP"), le Contrôleur conjoint des données est :
- AZAD, Sociedade de Investimentos Turísticos e Hoteleiros, Unipessoal, Lda, numéro de contribuable 508774942, dont le siège social est situé Rua D. Estefânia, 71-77, 1150-132 Lisboa, en sa qualité de propriétaire et d’exploitant de l’hôtel NEYA Lisboa situé Rua D. Estefânia 71-77, 1150- 132 Lisboa.
- NEYA - Empreendimentos Hoteleiros e Turísticos, Unipessoal, Lda, numéro d’identification fiscale 508561779, dont le siège social est situé Praça de Londres, n.º 3, 4.º Esq, 1000 - 191 Lisboa, en sa qualité de propriétaire et d’exploitant de l’hôtel NEYA Porto situé Rua de Monchique, n.º 35-41, 4050 - 394 Porto.
III - DÉFINITION DES DONNÉES À CARACTÈRE PERSONNEL
Les données à caractère personnel sont toutes les informations, quels que soient leur nature ou leur support, relatives à une personne physique identifiée ou identifiable. Une personne identifiable est une personne qui peut être identifiée, directement ou indirectement, par tout élément permettant son identification.
IV - DÉFINITION DE LA PERSONNE CONCERNÉE
Le détenteur des données à caractère personnel est le client/utilisateur/fournisseur/sous-traitant, personne physique, auquel les données se rapportent. Dans le cas présent, un client/utilisateur est la personne qui loue/accède au site web/utilise les services ou produits des responsables du traitement des données.
V - DROITS DES PERSONNES CONCERNÉES
En vertu du GDPR et du LPDP, la personne concernée se voit garantir l’exercice de tous les droits légalement autorisés, à condition qu’il y ait un traitement de données personnelles par les responsables du traitement, à savoir :
- Droit d’accès - il s’agit du droit d’obtenir la confirmation de la nature des données à caractère personnel traitées et des informations les concernant.
- Droit de rectification - il s’agit du droit de demander la rectification de vos données personnelles qui sont incorrectes ou périmées ou de demander que les données incomplètes soient complétées.
- Droit à l’effacement des données ou "droit à l’oubli " - il s’agit du droit d’obtenir l’effacement de vos données à caractère personnel, à condition que les responsables du traitement n’aient pas de motifs valables et/ou légitimes de les conserver.
- Droit à la portabilité - il s’agit du droit de recevoir les données que vous avez fournies dans un format numérique couramment utilisé et lisible par machine, ou de demander la transmission directe de vos données à une autre organisation qui devient le nouveau responsable du traitement de vos données à caractère personnel.
-Droit de retirer son consentement ou droit d’ opposition - il s’agit du droit de s’opposer au traitement des données ou de retirer son consentement à tout moment, à condition que les responsables du traitement n’aient pas de motifs valables et/ou légitimes de ne pas accepter l’exercice de ce droit.
-Droit à la limitation - il s’agit du droit de demander la limitation du traitement de vos données à caractère personnel, sous la forme d’une suspension du traitement ou d’une limitation de la portée du traitement à certaines catégories de données ou à certaines finalités du traitement.
-Droit d’ introduireune réclamation - il s’agit du droit d’introduire une réclamation auprès de l’autorité de contrôle compétente si vous estimez que vos droits ont été violés. Au Portugal, cette autorité est la Commission nationale de protection des données (ci-après "CNPD"). Vous trouverez de plus amples informations sur la CNPD à l’adresse suivante : www.cnpd.pt.
VI - INFORMATION ET CONSENTEMENT
En acceptant le présent avis de confidentialité, la personne concernée est informée et donne son consentement exprès, sans équivoque, libre et éclairé au traitement des données personnelles qu’elle fournit par le biais du domaine et des sous-domaines de neyahotels.com (le " site Web ") et qui seront traitées à l’avenir par les responsables du traitement des données.
VII - EXERCICE DES DROITS DES PERSONNES CONCERNÉES PAR LES DONNÉES À CARACTÈRE PERSONNEL
Les responsables du traitement s’engagent à répondre à l’exercice des droits par les personnes concernées dans un délai maximum de 30 (trente) jours, sauf si la demande est particulièrement étendue ou complexe.
L’exercice des droits est généralement gratuit, sauf en cas de demande manifestement infondée ou excessive, auquel cas une redevance raisonnable peut être perçue compte tenu des coûts.
Il convient de noter que l’exercice de l’un de ces droits doit toujours se faire par écrit, en personne ou par voie électronique.
Pour exercer vos droits en matière de protection des données personnelles ou poser des questions sur l’utilisation de vos données personnelles, vous pouvez le faire par courrier électronique à l’adresse suivante : [email protected].
VIII - FINALITÉ DE L’OBTENTION DES DONNÉES
Les données obtenues dans le cadre de la présence numérique et physique des responsables du traitement sont destinées à assurer la fourniture correcte de nos services et à garantir la navigation et la disponibilité du contenu de nos sites web. Elles sont notamment utilisées pour
- Pour remplir nos obligations envers nos clients ;
- Gestion des réservations d’hébergement : création, stockage et traitement des documents juridiques et des données à caractère personnel conformément au GDPR et au LPDP.
- Gestion de votre séjour : contrôle de l’utilisation des services à débit exclusif (téléphone, bar, télévision payante, etc.) ; gestion de l’accès aux chambres ;
- Améliorer le service que nous fournissons : adapter nos produits et services pour mieux répondre aux besoins de nos clients ;
- Gestion de la relation client : gestion de programmes de fidélisation ; segmentation des opérations en fonction de l’historique des réservations du client ; élaboration de statistiques et de rapports internes ; envoi et gestion de bulletins d’information, de promotions, d’offres de services et de questionnaires de satisfaction ;
- Utilisation de services tiers pour analyser et cartographier les données personnelles, au moment de la réservation et/ou pendant le séjour, afin de déterminer le profil du client ;
- Respect de la législation locale (par exemple, pour le stockage des documents officiels des clients).
IX - TYPES DE DONNÉES PERSONNELLES COLLECTÉES
Les Responsables du traitement, par le biais de leurs sites web et/ou de leurs unités hôtelières, ne traitent pas de données à caractère personnel appartenant à des catégories particulières au sens de l’article 9 du règlement UE 2016/679. Par le biais de leur site web, de messages ou en personne, les responsables du traitement peuvent obtenir et traiter les données à caractère personnel suivantes :
- a) Données spécifiques :
- Coordonnées (prénom, nom, numéro de téléphone et e-mail) ;
- Informations personnelles (date de naissance, nationalité, ville, pays) ;
- Informations sur les enfants (prénom, nom, âge et date de naissance) ;
- Numéro de carte de crédit (pour la facturation/les transactions bancaires) ;
- Vos préférences (étage préféré, type de lit, intérêts, limitations, etc.).
- Vos limitations (allergies, intolérances alimentaires, etc.).
- b) Toute information fournie par vous via le site web ou par des messages, soit en remplissant des formulaires, soit en les envoyant en texte libre. Ces informations comprennent notamment celles fournies lors de l’inscription à la lettre d’information, les demandes de contact, les réservations d’hébergement et d’autres services complémentaires. Les informations que vous fournissez lorsque vous participez à une zone où vous devez vous inscrire ou fournir un contenu propre, ou lorsque vous interagissez avec les responsables du traitement, comme lorsque vous envoyez un courrier électronique de demande d’informations à l’une des adresses appartenant aux domaines dont les responsables du traitement sont les propriétaires, peuvent également être traitées.
- c) des informations relatives à vos visites sur le site web, y compris, en particulier, les adresses IP, le temps de visite des pages et le type de navigateur, à des fins d’administration du système et pour faciliter la navigation et le retour ultérieur sur le site web. En principe, ces données ne sont traitées qu’à des fins statistiques sur les actions et les habitudes de navigation des utilisateurs du site web et ne permettent pas l’identification d’une personne. Toutefois, lorsque l’utilisateur fournit d’autres informations, ces données peuvent permettre d’identifier l’utilisateur et seront traitées conformément au GDPR et à la LPDP.
- d) les informations relatives à l’accès à l’internet via WIFI et Ethernet par vos appareils électroniques, à savoir l’adresse IP (Internet Protocol address), l’adresse MAC (Media Access Control address), l’heure d’utilisation du service et l’activité associée à l’appareil. Pour plus d’informations, veuillez consulter les conditions générales relatives au WIFI et à l’Ethernet.
Nous vous informons également que les données personnelles collectées par les responsables du traitement sont limitées à ce qui est strictement nécessaire pour atteindre les objectifs pour lesquels elles ont été demandées.
Lorsque des données personnelles sont fournies, les responsables du traitement fournissent toutes les informations légalement requises pour le traitement de ces données et demandent le consentement des personnes concernées lorsque la loi l’exige et qu’il n’y a pas d’intérêt légitime de la part des responsables du traitement ou de tiers, comme le traitement des données à des fins d’amélioration de la qualité du service, de détection des fraudes et de protection des revenus, et lorsque les raisons pour lesquelles nous les utilisons doivent prévaloir sur vos droits en matière de protection des données.
X - LES LIEUX OÙ LES DONNÉES À CARACTÈRE PERSONNEL SONT COLLECTÉES
Les lieux énumérés ci-dessous sont ceux qui peuvent habituellement demander l’accès aux données personnelles du client :
- a) Site web :
- Demande de contact ;
- Demande d’information ;
- Demande de réservation d’hébergement et/ou de services complémentaires ;
- b) Activités de l’hôtel :
- Réservation de chambre ;
- Paiement et enregistrement ;
- Points de vente de nourriture et de boissons et autres points de vente (SPA, boutique, etc.) ;
- Demandes, plaintes et compliments ;
- c) Participation à des campagnes de marketing :
- Inscription à des programmes de fidélité ;
- Participation à des enquêtes (notamment l’enquête de satisfaction) ;
- Abonnement à des services complémentaires à l’activité de l’hôtel ;
XI - PÉRIODES DE CONSERVATION DES DONNÉES
La période pendant laquelle les données seront stockées et conservées correspond uniquement à la période nécessaire à la réalisation de l’objectif défini ou, selon ce qui est applicable, jusqu’à ce que vous exerciez votre droit d’opposition, votre droit à l’oubli ou le retrait de votre consentement, variant selon l’objectif pour lequel les informations sont utilisées.
En règle générale, les données personnelles relatives à l’hébergement contracté et celles fournies dans le bulletin d’hébergement seront conservées pendant 2 (deux) ans après la fin du contrat (c’est-à-dire deux ans après le départ du client).
Les données de facturation et de paiement sont conservées pendant 10 (dix) ans, selon les termes du Code de la taxe sur la valeur ajoutée (CIVA).
Les données relatives aux plaintes seront conservées pendant une période de 3 (trois) ans, conformément à l’article 3, paragraphe 1, point d), du décret-loi n° 156/2005 du 15 septembre.
Dans les lettres d’information, la période de conservation et de traitement des données personnelles que vous fournissez commence lorsque vous soumettez le formulaire d’abonnement et se termine lorsque vous vous désabonnez. Vous pouvez vous désabonner à tout moment via un lien dédié disponible dans toutes nos lettres d’information. Lors de la désinscription, la personne concernée recevra une notification par courrier électronique et, sous réserve des dispositions de la législation applicable, ses données seront supprimées de la liste de diffusion de notre lettre d’information.
Tous les autres services non détaillés ci-dessus ne conserveront vos informations que pendant la période légale maximale en vigueur et, si celle-ci est indéfinie, jusqu’à ce que vous exerciez votre droit d’opposition, votre droit à l’oubli ou votre droit de retirer votre consentement.
A cette fin, l’ENTREPRISE fait appel aux entités suivantes en tant que sous-traitants à des fins spécifiques :
- Maintenance du logiciel du système de gestion immobilière : Host Hotel Systems, dont le siège social est situé à : Rua Ana Maria Bastos, Edificio Ponte Nova, 5 Escritório 2 2560-306 Torres Vedras (ci-après "HOST"), en tant que sous-traitant ;
- Maintenance du logiciel Channel Manager : D-Edge S.A.S Portugal, dont le siège social est situé à : R. Torcato José Clavine n.º 9 CV Esq, 2800-710 Almada (ci-après "D-Edge"), en tant que sous-traitant ;
- Maintenance du logiciel Guest Review : Shiji Information Technology Spain, S.A., dont le siège social est situé à : Passeig de Gràcia, 17, planta 6, 08007 Barcelona (ci-après "ReviewPro") ;
- Maintenance du logiciel de point de vente: Host Hotel Systems, dont le siège social est situé à : Rua Ana Maria Bastos, Edificio Ponte Nova, 5 Escritório 2 2560-306 Torres Vedras (ci-après "HOST"), en tant que sous-traitant ;
- Services de conseil en matière de logiciels de gestion immobilière et de restauration: Host Hotel Systems, dont le siège social est situé à : Rua Ana Maria Bastos, Edificio Ponte Nova, 5 Escritório 2 2560-306 Torres Vedras (ci-après "HOST"), en tant que sous-traitant ;
- Maintenance de la plateforme web et du portail de réservation : ROIBACK, dont le siège social est situé Av. da Quinta Grande, 53 7ª Edifício Prime 2610-156 Amadora, Portugal, numéro d’identification fiscale B-57.667.586, (ci-après "Roiback"), en tant que sous-traitant ;
- Maintenance du contenu graphique : High Communication - Brand & Media Consulting, Lda, numéro d’identification fiscale 500035300, dont le siège social est situé à : Rua General Garcia Rosado nº13, 1150-173 Lisboa (ci-après "Hicom"), en tant que sous-traitant ;
- Maintenance des systèmes informatiques : NewAlliance IT Solutions, Lda, numéro d’identification fiscale 513749489, dont le siège social est situé à : Praça de Londres nº3 4ºEsq, 1000-191 Lisboa (ci-après "NewAlliance IT"), en tant que sous-traitant ;
- Inscription et envoi de bulletins d’information : E-goi, numéro d’identification fiscale 514727420, dont le siège social est situé à : Av. Menéres 840, 4450-190 Matosinhos (ci-après "E-goi"), en tant que sous-traitant.
- Consultant pour le système de gestion Odoo : Thinkopen Solutions, Lda, numéro d’identification fiscale 509624626, dont le siège social est situé à : Av. das Túlipas A, 1495-161 Algés, (ci-après "ThinkOpen"), en tant que sous-traitant.
- Conseil relatif au logiciel de communication client : Quicktext, numéro d’identification fiscale 488 865 619, dont le siège social est situé au : 64, rue Jean-Pierre Timbaud, 75011, Paris, en tant que sous-traitant.
Host, D-Edge, Trust You, Roiback, Hicom, NewAlliance IT, E-goi, PSG, ThinkOpen et Quicktext agissent au nom et dans l’intérêt de l’ENTREPRISE conformément aux dispositions du GDPR, en particulier l’Article 45 du Chapitre IV, relatif au Contrôleur de Données et au Processeur.
XII - LIEU DE TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL
Le traitement des données a lieu dans les locaux susmentionnés des responsables du traitement et n’est effectué que par des employés techniques de l’entité responsable du traitement.
Pour tous les sous-traitants susmentionnés, le lieu de traitement des données est situé dans l’UE, de sorte que la SOCIÉTÉ agit avec leurs équipes, au siège des sociétés, auto-certifié conformément aux dispositions du droit de l’UE et du droit national, et garanti par les articles 17, 18, 19 et 20 de la décision-cadre 2008/977/JAI, appliquée en vertu de l’article 13 de la GDPR.
XIII - SUIVI DES INFORMATIONS
Les responsables du traitement des données utilisent des technologies de suivi pour améliorer la navigation sur leurs sites web et leurs bulletins d’information. L’obtention de ces données est essentielle pour assurer la fonctionnalité, améliorer la navigation sur nos sites web et pour l’envoi de la newsletter, les formulaires d’inscription aux services et les réservations d’hébergement, ainsi que pour améliorer nos communications avec les abonnés et les clients et permettre des analyses statistiques. Voir notre Politique en matière de cookies pour plus d’informations.
XIV - VIE PRIVÉE DES MINEURS
Les données personnelles relatives aux mineurs ne peuvent être mises à disposition, en personne ou sur le site web des responsables du traitement, que par les titulaires de la responsabilité parentale et dans le cadre des paramètres légaux en vigueur.
Dans ce cas, les responsables du traitement s’efforceront de vérifier que le consentement a été donné ou autorisé par le titulaire de la responsabilité parentale du mineur, en tenant compte de la technologie disponible.
Les responsables du traitement ne peuvent être tenus responsables de la licéité du traitement des données à caractère personnel fournies par des personnes qui fraudent sur leur identité et d’autres éléments d’identification.
XV - RESPONSABILITÉ DU DÉTENTEUR DE DONNÉES À CARACTÈRE PERSONNEL
Les personnes concernées qui utilisent les plates-formes informatiques fournies par les responsables du traitement garantissent qu’elles ont plus de 18 (dix-huit) ans et que les données fournies sont vraies, exactes, complètes et à jour, qu’elles assument la responsabilité de la véracité de toutes les données divulguées et qu’elles doivent maintenir les informations fournies dûment mises à jour.
Lorsque la personne concernée fournit ses données à des tiers dans le but de contracter les services fournis par les responsables du traitement, ces tiers doivent s’assurer qu’ils ont obtenu l’autorisation de la personne concernée pour que les données soient fournies aux responsables du traitement aux fins indiquées.
Le responsable du traitement des données ou tout tiers agissant en son nom et représentation est responsable des informations fausses ou inexactes fournies sur le site web et des dommages directs ou indirects causés aux responsables du traitement des données ou à des tiers.
XVI - VIDÉOSURVEILLANCE
Les établissements des responsables du traitement sont équipés de systèmes de vidéosurveillance et d’enregistrement d’images à des fins de protection des personnes et des biens, dans le but de poursuivre l’intérêt légitime de la sécurité au sein de leurs locaux. Les données collectées par les systèmes de vidéosurveillance sont destinées à être utilisées et communiquées exclusivement dans le cadre de la procédure pénale, bien qu’une organisation de sécurité privée sous-traitée à cette fin puisse être chargée de leur traitement. La personne concernée peut exercer le droit d’accès aux données la concernant, ce qui ne peut impliquer l’accès aux images de tiers, qui seront cachées ou anonymisées. Les responsables du traitement peuvent, à tout moment, limiter ou retirer le système de vidéosurveillance de leurs établissements, et il peut y avoir des périodes d’inactivité, notamment pour des besoins de maintenance, des raisons techniques ou des coupures d’électricité.
Les données collectées par les systèmes de vidéosurveillance seront conservées pendant 30 jours.
XVII - PROTECTION DES DONNÉES PERSONNELLES DES PERSONNES CONCERNÉES
Conformément à la législation en vigueur et compte tenu de la technologie disponible, les responsables du traitement assurent un niveau de protection adéquat de vos données à caractère personnel, notamment en mettant en œuvre les mesures techniques et organisationnelles nécessaires pour protéger vos données à caractère personnel contre la destruction accidentelle, la perte ou la modification, ainsi que contre l’accès et d’autres traitements non autorisés, à savoir :
- Exigences et mesures de sécurité logique, telles que l’utilisation de pare-feu, de réseaux locaux virtuels et de systèmes de détection d’intrusion dans vos systèmes.
- des mesures de sécurité physique, y compris un contrôle strict de l’accès aux locaux des responsables du traitement des données.
- Moyens de protection des données utilisant des moyens techniques tels que le cryptage, la pseudonymisation et l’anonymisation des données à caractère personnel.
- Mécanismes d’examen, d’audit et de contrôle pour garantir le respect des politiques de sécurité et de protection de la vie privée.
- Un programme d’information et de formation pour les employés et les partenaires des contrôleurs
- Des règles d’accès pour les clients/utilisateurs à certains produits ou services, telles qu’un deuxième niveau d’acceptation pour la souscription de services sur la plateforme et l’introduction d’un mot de passe chaque fois qu’un employé accède directement ou indirectement à l’une des bases de données des contrôleurs, afin de renforcer les mécanismes de contrôle et de sécurité.
Toutefois, les responsables du traitement vous informent qu’aucun système de sécurité ne peut garantir une protection absolue.
Nous restons à votre disposition pour toute question ou commentaire concernant la confidentialité et la sécurité de vos données personnelles.
Lisbonne, 25 mai 2018
Politique mise à jour le 3 février 2020
Politique mise à jour le 21 décembre 2020
Politique mise à jour le 22 octobre 2024