CHARTE DE VIE PRIVÉE

1. Informations légales

La présente Charte Vie Privée a pour objet d’informer les Personnes Concernées sur la façon dont leurs Données Personnelles sont collectées, comment celles-ci sont traitées par le Groupe Beaumier et les Hotels du Groupe Beaumier dans lesquels les Clients séjournent et/ou visités par les Visiteurs et enfin les droits dont bénéficient les Personnes Concernées quant à ces traitements tels qu’ils sont définis ci-après.

2. Définitions

Les termes suivants qu’ils soient employés au singulier ou au pluriel dans la présente Charte Vie Privée, auront la définition suivante :

• Archivage Intermédiaire : désigne le déplacement des Données Personnelles qui présentent encore pour le Responsable de Traitement un intérêt administratif (comme par exemple en cas de contentieux et/ou en cas d’obligation légale) dans une base de données distincte, séparée logiquement ou physiquement et dont, en tout état de cause, l’accès est restreint. Cette archive est une étape intermédiaire avant la suppression des Données Personnelles concernées ou leur anonymisation ;

• Clients : désigne les clients des Hotels du Groupe Beaumier et du Groupe Beaumier qui bénéficient des Services ;

• Visiteurs : désigne les visiteurs des Hotels du Groupe Beaumier qui bénéficient des Services ;

• Personnes Concernées : désigne indistinctement les Clients et les Visiteurs et en tant que de besoin toute autre personne physique dont les Données Personnelles seraient traitées par le Groupe Beaumier et les Hotels du Groupe Beaumier ;

• Donnée(s) (Personnelle(s)) : désigne(nt) les données personnelles renseignées par une Personne Concernée dans le cadre des Services et/ou collectées par un Hôtel du Groupe Beaumier et/ou le Groupe Beaumier au sens de la Règlementation sur les Données Personnelles et traitées par un Responsable de Traitement, notamment dans le cadre de la fourniture des Services, et ce dans les conditions et modalités telles que définies dans la Charte Vie Privée ;

• Droits Spécifiques : désignent les droits accordés par la Règlementation sur les Données Personnelles aux Personnes Concernées concernant le traitement de leurs Données Personnelles (droits d’accès, de limitation, de rectification, d’effacement, d’opposition, de directive post-mortem, etc.) ;

• Hotels du Groupe Beaumier ; désigne les hôtels dans lesquels séjournent les Clients et/ou visités par les Visiteurs, et/ou les établissements du Groupe Beaumier et plus précisément chaque personne morale contrôlant, contrôlées par ou placées sous contrôle commun, directement ou indirectement, du Groupe Beaumier au sens des articles L.233-3 et suivants du Code de commerce et en particulier, à la date de signature des présentes, les établissements visés en Annexe 1 ;

• Groupe Beaumier : désigne la société Carte Postale Holdings SAS, société par actions simplifiée au capital social de 36850008 €, dont le siège social est situé au Batiment F 37 avenue des massettes 73190 Challes-les-Eaux, immatriculée au Registre du Commerce et des Sociétés de Chambery sous le numéro 852 828 128, au nom et pour le compte des Hotels du Groupe Beaumier ;

• Règlementation sur les Données Personnelles : désigne la Loi française n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, la Loi espagnole n°3/2018 Organique sur la Protection des Données Personnelles et la Garantie des Droits Numériques ou LOPD-GDD, la Loi fédérale suisse sur la protection des données du 25 septembre 2020 (État le 1er septembre 2023 , toutes en application du Règlement communautaire du 27 avril 2016 publiée au Journal Officiel de l’Union européenne le 4 mai 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (dit « RGPD » pour Règlement Général pour la Protection des Données) ;

• Responsable de Traitement : désigne le Groupe Beaumier et/ou l’Hôtel du Groupe Beaumier dans lequel les Personnes Concernées séjournent et/ou qu’ils visitent et/ou dans lequel ils bénéficient d’un Service générant une collecte de Données Personnelles traitées par l’Hôtel du Groupe Beaumier et/ou le Groupe Beaumier ;

• Service(s) : désigne(nt) les prestations fournies par le Groupe Beaumier et/ou les Hotels du Groupe Beaumier et notamment les services hôteliers, les services de loisir, les services de restauration et de bars, les services de réservation, les services après-vente, les services marketing, et plus généralement les services liés aux finalités de traitement des Données Personnelles telles qu’identifiées dans la présente Politique de Confidentialité ;

• Sous-traitants : désigne(nt) les sociétés auxquelles le Groupe Beaumier et/ou les Hotels du Groupe Beaumier sous-traitent tout ou partie des Services et par exemple les services de travaux, maintenance, services à la personne (cours de sport ou de bien-être par exemple) mais également, s’ils interviennent comme sous-traitants, les prestataires de solutions marketing et de gestion de prospection commerciale et de communication notamment via les réseaux sociaux ;

• Sociétés Partenaires : désigne(nt) les sociétés partenaires avec lesquelles les Hotels du Groupe Beaumier et/ou le Groupe Beaumier ont un accord afin de facilité l’exécution des Services et qui vont traiter les Données Personnelles des Personnes Concernées pour leur propre compte en qualité de responsable de traitement et notamment sans que cette liste ne soit limitative, les sociétés exerçant des activités d’intermédiations pour la réservation des Services du Groupe Beaumier tels que des tours opérateurs, agences de voyage (en ligne ou non), système de réservation mondial (GDS) et tous autres intermédiaires ayant permis au Client de formuler une demande de réservation aux Services du Groupe Beaumier, les sociétés exploitant des services au sein des Hotels du Groupe Beaumier (restaurant, SPA, salles de sports, etc.), mais également, s’ils interviennent comme responsable de traitement de données personnelles, les prestataires de solutions marketing et de gestion de prospection commerciale et de communication notamment via les réseaux sociaux ;

3. Les finalités des traitements réalisés par le Responsable de Traitement et leur base légale associée

Les Responsables de Traitement traite les Données Personnelles des Personnes Concernées pour les finalités suivantes.

Les opérations exposées ci-après ne servent pas à conduire à l'établissement de profils susceptibles de faire apparaître des Données Personnelles dites sensibles telles que les origines raciales ou ethniques, opinions philosophiques, politiques, syndicales, religieuses, vie sexuelle ou santé et ne servent pas non plus, en particulier le test de personnalité, à produire des décisions automatisées de la part du Responsable de Traitement.

4. La collecte des Données Personnelles

Le Responsable de Traitement collecte tout au long de l’expérience du Client et du Visiteur les catégories de Données Personnelles suivantes que le Client et le Visiteur renseignent ou qui sont collectées lors de l’utilisation des Services par le Client et le Visiteur, et le cas échéant les données personnelles des Personnes Concernées et notamment :

• Identité : Y compris en tant que de besoin pour les accompagnants, nom, prénom, âge, date de naissance, adresse postale, pays, numéros de téléphone ; langue ; nationalité ; numéro de passeport, visa ou autres données d’identification délivrées par les organismes gouvernementaux ; dates anniversaires et occasions personnelles ; coordonnées de l’employeur pour les réservations liées à l’activité professionnelle ; les identifiants de comptes de réseaux sociaux, la photo de profil et autres données déjà publiques, ou informations mises à disposition en établissant le lien avec vos comptes de réseaux sociaux et de fidélité ; pointure / taille pour réservation de matériel dans le cadre des Services (ski ou vélo par exemple) ;

• Règlement / Paiement : informations financières ou autres données de paiements ; date et heure du paiement réalisés ; référence de paiement ; factures ;

• Réservation : Hotels du Groupe Beaumier visités ; numéro de réservation, numéro de sous-réservation, dates d’arrivées et de départ, dates de réservation, statuts de la réservation, catégories de prix appliquées, catégories de chambre ; montant total cumulé des réservations ; modes de réservation ;

• Activités au sein d’un Hôtel : détail des demandes de Services et des Services achetés, vidéosurveillance, suivi des activités et des demandes, utilisation des badges d’accès, utilisation des Services, préférences, intolérance et centres d’intérêts (par exemple chambre fumeur ou non, étage préféré, type de literie, type de presse écrite lue, sports, intérêts culturels, préférences alimentaires et de boissons, allergies, etc.), données de santé le cas échéant pour les besoins spécifiques ;

• En vue de sollicitations : réponses aux formulaires de satisfaction du Responsable de Traitement, ouverture ou nom de la prospection commerciale ;

• Avis : données relatives aux contributions des Personnes Concernées qui déposent des avis/ commentaires / réclamations sur les Hotels, Services au travers du formulaire de satisfaction ou par tout autre moyen.

Le numéro de carte bancaire du Client et son cryptogramme sont collectés directement et de manière sécurisée par les prestataires de paiement suivants du Responsable de Traitement, :

• Adyen : https://www.adyen.com/fr_FR/privacy-policy  • Wordline : https://worldline.com/fr-fr/compliancy/vie-privee  • Paytweak : https://www.paytweak.com/privacy.php  • Saferpay : https://worldline.com/fr-ch/compliancy/vie-privee

Seule une empreinte bancaire est transmise au Responsable de Traitement.

Lors de l’utilisation du réseau Wifi au sein des Hotels du Groupe Beaumier, des données personnelles sont collectées directement par la société 2iSR en sa qualité de responsable de traitement. Sa politique de confidentialité est accessible depuis le portail de connexion. Vous pouvez également joindre son DPO à contact@2isr.fr pour de plus amples informations.

Toutes les précautions ont été prises pour stocker les Données Personnelles des Clients dans un environnement sécurisé et empêcher qu’elles soient déformées, endommagées ou que des tiers non autorisés y aient accès.

5. Destinataires ou catégories de destinataire des Données Personnelles des Personnes Concernées

Les Données Personnelles des Personnes Concernées sont traitées par le personnel habilité du Responsable de Traitement et pour les finalités rappelées ci-avant.

Les Données Personnelles des Personnes Concernées peuvent être communiquées aux destinataires suivants pour les finalités identifiées ci-avant :

- Groupe Beaumier ;  - Hotels du Groupe Beaumier ; - Sous-Traitants ; - Sociétés Partenaires ;  - les autorités administratives et/ou judiciaires ; - les auxiliaires de justice, comptables et experts-comptables, - etc.

Le cas échéant, tout transfert des Données Personnelles des Personnes Concernées en dehors de l’Espace Économique Européen sera effectué par le Responsable de Traitement moyennant des garanties appropriées, notamment contractuelles via des clauses contractuelles types, techniques et organisationnelles, en conformité avec la Règlementation sur les Données Personnelles.

6. Prospection commerciale par courrier électronique par le Groupe Beaumier

Conformément à l’article L.34-5 du Code des postes et des communications électroniques, le Groupe Beaumier qui gère l’ensemble des réservations pour les Hotels du Groupe Beaumier et qui assure seul la communication des Hotels du Groupe Beaumier se réserve la possibilité d’adresser aux Clients des courriers électroniques de prospection pour des produits ou services analogues fournis exclusivement par les Hotels du Groupe Beaumier et/ou le Groupe Beaumier, à l’exception de tout tiers.

La Personne Concernée peut exercer son droit d’opposition dans les conditions de l’article 8 ci-après et directement depuis chaque courrier électronique de prospection reçu en cliquant sur « se désabonner ».

7. Les droits des Personnes Concernées

Conformément à la Règlementation sur les Données Personnelles, la Personne Concernée peut, à tout moment, bénéficier des Droits Spécifiques suivants de/d’/à :

- accès, - rectification, - l’effacement,  - limitation d’un traitement, - portabilité,  - opposition,  - directives post-mortem, - retrait du consentement.

a. Droits d’accès

Toutes les Personnes Concernées ont la possibilité d’obtenir du Responsable de Traitement la confirmation que les Données Personnelles le concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès auxdites Données Personnelles ainsi que les informations suivantes :

a) les finalités du traitement ;  b) les catégories de Données Personnelles ;

c) les destinataires ou catégories de destinataires auxquels les Données Personnelles ont été ou seront communiquées ;

d) lorsque cela est possible, la durée de conservation des Données Personnelles envisagée ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée ;

e) l’existence du droit de demander au Responsable de Traitement la rectification ou l’effacement de Données Personnelles, ou une limitation du traitement de ses Données Personnelles, ou du droit de s’opposer à ce traitement ;

f) le droit d’introduire une réclamation auprès de la CNIL ;

g) lorsque les Données Personnelles ne sont pas collectées auprès de la Personne Concernée, toute information disponible quant à leur source ;

h) l’existence d’une prise de décision automatisée, y compris un profilage, et, au moins en pareil cas, des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la Personne Concernée;

Lorsque les Données Personnelles sont transférées vers un pays tiers ou à une organisation internationale, la Personne Concernée a le droit d’être informée des garanties appropriées, en ce qui concerne ce transfert.

Le Responsable de Traitement fournit une copie des Données Personnelles faisant l’objet d’un traitement.

Le Responsable de Traitement peut exiger le paiement de frais raisonnables basés sur les coûts administratifs pour toute copie supplémentaire demandée par la Personne Concernée.

Lorsque la Personne Concernée présente sa demande par voie électronique, les informations sont fournies sous une forme électronique d’usage courant, à moins qu’elle ne demande qu’il en soit autrement.

Le droit de la Personne Concernée d’obtenir une copie de ses Données Personnelles ne doit pas porter atteinte aux droits et libertés d’autrui.

b. Droits de rectification

La Personne Concernée a la possibilité d’obtenir du Responsable de Traitement, dans les meilleurs délais, la rectification des Données Personnelles la concernant qui sont inexactes. Elle a aussi la possibilité d’obtenir que les Données Personnelles incomplètes soient complétées, y compris en fournissant une déclaration complémentaire.

c. Droits à l’effacement

La Personne Concernée a la possibilité d’obtenir du Responsable de Traitement l’effacement, dans les meilleurs délais, de Données Personnelles la concernant lorsque l’un des motifs suivants s’applique :

a) les Données Personnelles ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d’une autre manière par le Responsable de Traitement;

b) la Personne Concernée a retiré son consentement pour le traitement de ces Données Personnelles et il n’existe pas d’autre fondement juridique au traitement ;

c) la Personne Concernée exerce son droit d’opposition dans les conditions rappelées ci-après et il n’existe pas de motif légitime impérieux pour le traitement ;

d) les Données Personnelles ont fait l’objet d’un traitement illicite ;

e) les Données Personnelles doivent être effacées pour respecter une obligation légale ;

f) les Données Personnelles ont été collectées auprès d’un enfant.

d. Droits à la limitation

La Personne Concernée a la possibilité d’obtenir du Responsable de Traitement la limitation du traitement de ses Données Personnelles lorsque l’un des motifs suivants s’applique :

a) Le Responsable de Traitement vérifie l’exactitude des Données Personnelles suite à la contestation par la Personne Concernée de l’exactitude des Données Personnelles,

b) le traitement est illicite et la Personne Concernée s’oppose à l’effacement des Données Personnelles et exige à la place la limitation de leur utilisation ;

c) le Responsable de Traitement n’a plus besoin des Données Personnelles aux fins du traitement, mais celles-ci sont encore nécessaires à la Personne Concernée pour la constatation, l’exercice ou la défense de droits en justice ;

d) la Personne Concernée s’est opposée au traitement dans les conditions rappelées ci-après et le Responsable de Traitement vérifie de savoir si les motifs légitimes poursuivis prévalent sur les motifs allégués.

e. Droit à la portabilité des Données

La Personne Concernée a la possibilité de recevoir du Responsable de Traitement les Données Personnelles la concernant, dans un format structuré, couramment utilisé et lisible par machine lorsque :

a) le traitement des Données Personnelles est fondé sur le consentement, ou sur un contrat et

b) le traitement est effectué à l’aide de procédés automatisés.

Lorsque la Personne Concernée exerce son droit à la portabilité elle a le droit d’obtenir que les Données Personnelles soient transmises directement par le Responsable de Traitement à un autre responsable de traitement qu’elle désignera lorsque cela est techniquement possible.

Le droit à la portabilité des Données Personnelles de la Personne Concernée ne doit pas porter atteinte aux droits et libertés d’autrui.

f. Droit d’opposition

La Personne Concernée peut s’opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement des Données Personnelles la concernant fondé sur l’intérêt légitime du Responsable de Traitement. Ce dernier ne traitera alors plus les Données Personnelles, à moins qu’il ne démontre qu’il existe des motifs impérieux et légitimes pour le traitement qui prévalent sur les intérêts et les droits et libertés de la Personne Concernée ou pourra les conserver pour la constatation, l’exercice ou la défense de droits en justice.

g. Directives post-mortem

La Personne Concernée a la possibilité de communiquer au Responsable de Traitement des directives relatives à la conservation, à l’effacement et à la communisation de ses Données Personnelles après son décès, lesquelles directives peuvent être enregistrées également auprès « d’un tiers de confiance numérique certifié ». Ces directives, ou sorte de « testament numérique », peuvent désigner une personne chargée de leur exécution ; à défaut, les héritiers de la Personne Concernée seront désignés.

En l’absence de toute directive, les héritiers de la Personne Concernée peuvent s’adresser au Responsable de Traitement afin de/d’:

- accéder aux traitements de Données Personnelles permettant « l’organisation et le règlement de la succession du défunt » ;  - recevoir communication des « biens numériques » ou des « données s’apparentant à des souvenirs de famille, transmissibles aux héritiers » ;

- faire procéder à la clôture du compte de la Personne Concernée sur un site Internet édité par le Groupe Beaumier et/ou les Hotels du Groupe Beaumier et s’opposer à la poursuite du traitement de ses Données Personnelles.

En tout état de cause, la Personne Concernée a la possibilité d’indiquer au Responsable de Traitement, à tout moment, qu’elle ne souhaite pas, en cas de décès, que ses Données Personnelles soient communiquées à un tiers.

h. Retrait du consentement

La Personne Concernée a la possibilité de retirer son consentement à tout moment en s’adressant au Responsable de Traitement dans les conditions de l’article 7 ci-après.

8. Exercice des Droits Spécifiques des Personnes Concernées

Ces Droits Spécifiques peuvent être exercés, à tout moment, auprès du Responsable de Traitement :

- Par courrier électronique à l’adresse suivante : privacy@beaumier.com

- Par courrier postal à l’adresse suivante :

Ally Avocats Monsieur Jérôme Sujkowski Délégué à la protection des données externes du Groupe Beaumier 27 Boulevard de Courcelles 75008 Paris

Aux fins de faire valoir ses droits suivant les conditions visées ci-dessus et dans l’hypothèse où le Responsable de Traitement aurait des doutes sur l’auteur de la demande, il pourra demander à celui-ci de justifier de son identité en mentionnant ses nom, prénom, adresse de courrier électronique et d’accompagner sa demande d’une copie d’une pièce d’identité en cours de validité.

Une réponse sera adressée à la Personne Concernée dans un délai d’un (1) mois maximum suivant la date de réception de la demande.

Au besoin ce délai pourra être prolongé de deux (2) mois par le Responsable de Traitement qui en donnera alerte à la Personne Concernée, et ce, compte tenu de la complexité et/ou du nombre de demandes.

En cas de demande de la Personne Concernée de suppression de ses Données Personnelles et/ou en cas d’exercice de son droit à solliciter l’effacement de ses Données Personnelles, le Responsable de Traitement pourra toutefois les conserver sous forme d’Archivage Intermédiaire, et ce pour la durée nécessaire à satisfaire à ses obligations légales, ou à des fins probatoires pendant le délai de prescription applicable.

La Personne Concernée peut également porter réclamation devant l’autorité de contrôle compétente (la CNIL).

Annexe 1 – Liste des établissements du Groupe Beaumier