1. Rôle des parties
Le client agit en qualité de responsable de traitement pour les données de ses guests. Guest Intelligence agit en qualité de sous-traitant et traite ces données exclusivement sur instruction documentée du client.
2. Catégories de données et de personnes concernées
Données traitées : identité, coordonnées, historique de séjour, préférences, échanges écrits avec l'hôtel. Personnes concernées : guests passés, présents et prospects de l'établissement.
3. Localisation des traitements
Les données sont hébergées et traitées exclusivement dans l'Union européenne (France et Allemagne). Aucun transfert hors UE n'est effectué sans encadrement contractuel approprié et information préalable du client.
4. Mesures de sécurité
Chiffrement TLS 1.3 en transit, chiffrement AES-256 au repos, contrôle d'accès basé sur les rôles, journalisation des accès, sauvegardes quotidiennes chiffrées, tests d'intrusion annuels.
5. Sous-traitants ultérieurs
Guest Intelligence tient à jour la liste des sous-traitants ultérieurs et informe le client de toute modification, qui peut s'y opposer pour motif légitime sous 30 jours.
6. Assistance au responsable de traitement
Guest Intelligence assiste le client pour répondre aux demandes d'exercice des droits, réaliser les analyses d'impact (AIPD) et notifier les violations de données dans les délais réglementaires.
7. Notification des violations
Toute violation de données personnelles est notifiée au client sans retard injustifié et au plus tard dans les 48 heures suivant sa découverte, avec les éléments nécessaires à l'analyse et à la notification éventuelle à l'autorité de contrôle.
8. Fin de la prestation
À la fin du contrat, le client choisit entre la restitution intégrale et la suppression sécurisée des données. Sauf obligation légale contraire, toutes les données sont effacées dans un délai de 30 jours et un certificat de suppression est fourni sur demande.