Vue d'ensemble du lobby de l'hôtel, avec canapé confortables et vue sur patio extérieur.

Politique de protection des données personnelles

Dans le cadre de l’utilisation du site internet https://saint-antoine-hotel.fr et des échanges avec l’Hôtel Le Saint Antoine, des données à caractère personnel peuvent être collectées et traitées par l’établissement.

La présente politique de confidentialité a pour objet d’informer, de manière claire et transparente, sur les conditions dans lesquelles ces données sont traitées, protégées et conservées, ainsi que sur les droits des personnes concernées.

1. Cadre juridique et principes applicables

1.1 Cadre juridique applicable

Le traitement des données à caractère personnel est effectué conformément :

  • Au Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des données à caractère personnel (RGPD) ;
  • À la loi n°78‑17 du 6 janvier 1978 modifiée, dite Informatique et Libertés ;
  • Aux recommandations, lignes directrices et référentiels publiés par la Commission Nationale de l’Informatique et des Libertés (CNIL).

Ces textes encadrent l’ensemble des traitements mis en œuvre par l’établissement hôtelier, depuis la collecte des données jusqu’à leur suppression ou leur archivage.

1.2 Principes fondamentaux appliqués aux traitements

Conformément à l’article 5 du RGPD, les traitements de données personnelles reposent sur les principes suivants, appliqués de manière concrète et vérifiable :

Licéité, loyauté et transparence : Les données personnelles sont traitées sur une base légale identifiée (exécution d’un contrat, obligation légale, consentement ou intérêt légitime). Les personnes concernées sont informées de manière claire, accessible et compréhensible de l’usage de leurs données, notamment via la présente politique et les mentions d’information figurant sur les formulaires.

Finalités déterminées, explicites et légitimes : Les données sont collectées pour des objectifs précis et définis à l’avance (gestion des réservations, facturation, relation client, communication, sécurité du site). Elles ne sont jamais réutilisées pour des finalités incompatibles avec celles initialement prévues.

Minimisation des données : Seules les données strictement nécessaires à la réalisation des finalités poursuivies sont collectées. Les champs demandés dans les formulaires sont limités et proportionnés aux besoins opérationnels.

Exactitude des données : Des mesures sont mises en œuvre afin de garantir que les données soient exactes, à jour et pertinentes. Les personnes concernées disposent de moyens simples pour demander la rectification ou la mise à jour de leurs informations.

Limitation de la conservation : Les données sont conservées pour une durée limitée, proportionnée à la finalité du traitement et conforme aux obligations légales applicables. À l’issue ces durées, les données sont supprimées ou archivées de manière sécurisée.

Intégrité et confidentialité : Des mesures techniques et organisationnelles appropriées sont mises en œuvre afin de garantir la sécurité des données, notamment contre la perte, l’altération, l’accès non autorisé ou la divulgation. L’accès aux données est strictement réservé aux personnes habilitées dans le cadre de leurs fonctions.

2. Identité du responsable de traitement

Responsable de traitement

THABOR HOTELLERIE – Hôtel Le Saint Antoine

93 avenue Henri Fréville – 35200 Rennes – France

Tél. 02.23.44.33.33

DPO

DPO BLOT IMMOBILIER

93 avenue Henri Fréville – 35200 Rennes

dpo@blotimmobilier.fr

3. Origine des données

Les données à caractère personnel traitées par l’établissement sont collectées selon les modalités suivantes :

3.1 Collecte directe auprès des personnes concernées

Les données sont collectées directement auprès des personnes concernées, conformément à l’article 13 du RGPD, notamment lorsque :

  • L’utilisateur navigue sur le site internet ;
  • L’utilisateur renseigne un formulaire en ligne (demande de contact, de renseignement ou de devis) ;
  • Une réservation de séjour est effectuée en ligne ou par tout autre canal (téléphone, email) ;
  • L’utilisateur s’inscrit à une newsletter ou à une communication commerciale ;
  • Des échanges ont lieu dans le cadre de la relation contractuelle ou précontractuelle.

Dans ces cas, les personnes concernées sont informées, au moment de la collecte, des finalités du traitement, des bases légales, des destinataires des données et de leurs droits, notamment via la présente politique de protection des données.

3.2 Collecte via les outils de navigation et traceurs

Lors de la navigation sur le site, certaines données peuvent être collectées automatiquement au moyen de cookies ou autres traceurs, tels que :

  • L’adresse IP,
  • Les données de connexion,
  • Les informations relatives à la navigation (pages consultées, interactions),
  • Les données techniques liées au terminal ou au navigateur utilisé.

Ces données sont collectées conformément aux règles applicables en matière de cookies et autres traceurs, et sont soumises au consentement préalable de l’utilisateur, lorsque celui‑ci est requis, conformément aux recommandations de la CNIL et à l’article 82 de la loi Informatique et Libertés.

3.3 Collecte dans le cadre des échanges commerciaux ou contractuels

Des données personnelles peuvent également être collectées ou générées à l’occasion :

  • De la gestion administrative des réservations et des séjours ;
  • De la facturation et du suivi comptable ;
  • Du traitement des demandes, réclamations ou litiges ;
  • De l’exercice ou de la défense de droits en justice.

Ces données sont strictement limitées à ce qui est nécessaire à l’exécution des obligations contractuelles et légales applicables.

3.4 Absence de collecte indirecte non encadrée

L’établissement ne collecte pas de données personnelles auprès de tiers sans en avoir préalablement informé les personnes concernées, conformément à l’article 14 du RGPD.

Dans l’hypothèse où des données seraient obtenues indirectement (par exemple via un prestataire technique ou un partenaire), les personnes concernées seraient informées :

  • De la source des données,
  • Des catégories de données concernées,
  • Et des finalités du traitement, dans un délai conforme aux exigences réglementaires.

4. Catégories de données traitées

Catégorie : Données d’identification

Données concernées : Civilité, nom, prénom

 

Catégorie : Données de contact

Données concernées : Adresse email, numéro de téléphone, adresse postale

 

Catégorie : Données relatives au séjour

Données concernées : Dates d’arrivée et de départ, type de chambre, préférences exprimées, prestations réservées

 

Catégorie : Données financières

Données concernées : Informations nécessaires à la facturation et au paiement (aucune donnée bancaire complète n’est conservée)

 

Catégorie : Données marketing

Données concernées : Inscription à la newsletter, statistiques de réception et d’ouverture des emails

 

Catégorie : Données de navigation

Données concernées : Adresse IP, données de connexion, cookies, journaux techniques (logs)

 

Aucune donnée dite « sensible » au sens de l’article 9 du RGPD (telles que les données de santé, les données biométriques, les opinions politiques ou religieuses) n’est collectée ou traitée par l’établissement.

5. Finalités, bases légales et durées de conservation

Finalité du traitement : Gestion des réservations et des séjours

Base légale : Exécution du contrat (art. 6.1.b RGPD)

Justification : Traitement nécessaire à la réservation, à l’organisation du séjour et à la fourniture des prestations hôtelières

Durée de conservation : Données conservées pendant la durée de la relation contractuelle, puis archivées pendant 5 ans

 

Finalité du traitement : Gestion de la facturation et des obligations comptables

Base légale : Obligation légale (art. 6.1.c RGPD)

Justification : Respect des obligations légales et fiscales applicables aux établissements hôteliers

Durée de conservation : 10 ans à compter de la clôture de l’exercice

 

Finalité du traitement : Traitement des demandes et échanges avec les utilisateurs

Base légale : Intérêt légitime (art. 6.1.f RGPD)

Justification : Gestion des demandes de renseignements, réclamations et relations clients

Durée de conservation : 3 ans à compter du dernier contact

 

Finalité du traitement : Envoi de newsletters et communications commerciales

Base légale : Consentement (art. 6.1.a RGPD)

Justification : Communication d’informations et offres promotionnelles

Durée de conservation : Jusqu’au retrait du consentement ou 3 ans après le dernier contact

 

Finalité du traitement : Mesure d’audience et statistiques de fréquentation du site

Base légale : Consentement (art. 6.1.a RGPD)

Justification : Analyse de la fréquentation du site et amélioration de son fonctionnement

Durée de conservation : 13 mois maximum

 

Finalité du traitement : Sécurité du site et prévention des usages frauduleux

Base légale : Intérêt légitime (art. 6.1.f RGPD)

Justification : Assurer la sécurité du site, détecter les tentatives d’intrusion et prévenir les fraudes

Durée de conservation : 12 mois maximum

 

À l’issue des durées de conservation indiquées, les données sont soit supprimées, soit archivées de manière sécurisée lorsque leur conservation est nécessaire à des fins probatoires ou pour répondre à des obligations légales.

6. Cookies et traceurs

Lors de votre navigation sur le site, des cookies ou autres traceurs peuvent être déposés sur votre terminal (ordinateur, tablette, smartphone).

Un cookie est un petit fichier texte déposé et stocké sur votre terminal lors de la consultation d’un site internet. Il permet notamment de reconnaître un utilisateur, de mémoriser ses préférences ou de mesurer la fréquentation du site.

  • Cookies strictement nécessaires

Les cookies strictement nécessaires au fonctionnement du site et à la fourniture des services demandés (par exemple, gestion de la navigation, accès aux espaces sécurisés, mémorisation des préférences de langue) sont déposés sans recueil préalable du consentement, conformément à la réglementation applicable.

  • Cookies soumis au consentement

Les cookies de mesure d’audience, de marketing ou déposés par des tiers ne sont déposés qu’après recueil de votre consentement préalable.

Ces cookies permettent notamment :

  • de mesurer l’audience et les performances du site,
  • d’analyser la navigation afin d’améliorer l’expérience utilisateur,
  • de proposer des contenus ou communications adaptés.

 

  • Durée de conservation

Les cookies soumis au consentement sont conservés pour une durée maximale de treize (13) mois à compter de leur dépôt sur votre terminal.

Votre choix (acceptation ou refus) est conservé pour une durée maximale de six (6) mois.

 

  • Gestion du consentement

Lors de votre première visite sur le site, un bandeau d’information vous permet :

- d’accepter l’ensemble des cookies,

- de refuser l’ensemble des cookies non essentiels,

- ou de paramétrer vos choix cookie par cookie.

Vous pouvez modifier ou retirer votre consentement à tout moment via le module de gestion des cookies accessible sur le site.

Pour plus d’informations détaillées sur les cookies utilisés, leurs finalités et les prestataires concernés, vous pouvez consulter la Politique Cookies dédiée.

7. Sous‑traitants et destinataires

7.1 Destinataires des données

Catégorie de destinataire : Personnel habilité de l’Hôtel

Rôle : Traitement opérationnel

Données concernées (exemples) : Données d’identification, de séjour, de facturation

Cadre d’accès : Accès strictement limité aux missions confiées

 

Catégorie de destinataire : Services supports

Rôle : Support interne (IT, juridique, marketing)

Données concernées (exemples) : Données nécessaires à la maintenance, à la conformité et à la communication

Cadre d’accès : Accès encadré par des règles internes de confidentialité

 

Catégorie de destinataire : Hébergeur du site

Rôle : Hébergement et sécurité

Données concernées (exemples) : Données techniques, données utilisateurs hébergées

Cadre d’accès : Accès technique encadré

 

Catégorie de destinataire : Solution de réservation en ligne

Rôle : Gestion des réservations et disponibilités

Données concernées (exemples) : Données d’identification, données de séjour

Cadre d’accès : Traitement pour le compte de l’Hôtel

 

Catégorie de destinataire : Outil d’emailing

Rôle : Envoi de newsletters et communications

Données concernées (exemples) : Adresse email, statistiques d’envoi

Cadre d’accès : Traitement sur instruction

 

Catégorie de destinataire : Outil de mesure d’audience

Rôle : Analyse statistique

Données concernées (exemples) : Données de navigation, cookies

Cadre d’accès : Traitement soumis au consentement

7.2 Statut et garanties applicables aux sous‑traitants

Élément : Statut des prestataires

Engagement appliqué : Les prestataires agissent en qualité de sous‑traitants au sens du RGPD

 

Élément : Instructions

Engagement appliqué : Les traitements sont réalisés exclusivement sur instruction du responsable de traitement

 

Élément : Encadrement contractuel

Engagement appliqué : Signature d’un accord de traitement des données (DPA) conforme à l’article 28 du RGPD

 

Élément : Confidentialité

Engagement appliqué : Engagement de confidentialité du personnel des sous‑traitants

 

Élément : Sécurité

Engagement appliqué : Mise en œuvre de mesures techniques et organisationnelles appropriées

 

Élément : Sous‑traitance ultérieure

Engagement appliqué : Encadrement contractuel et autorisation préalable

 

Élément : Utilisation des données

Engagement appliqué : Interdiction d’utilisation des données à des fins propres

 

7.3 Communication aux autorités

Destinataire : Autorités administratives ou judiciaires

Fondement : Obligation légale, réglementaire ou décision judiciaire

Les données à caractère personnel ne font l’objet d’aucune communication à des fins commerciales ou publicitaires sans le consentement préalable des personnes concernées.

8. Localisation et transferts

  • Localisation des données

Les données à caractère personnel collectées dans le cadre de l’utilisation du site et des services proposés par l’établissement sont, en principe, hébergées et traitées au sein de l’Union européenne.

Les infrastructures d’hébergement et les prestataires techniques sélectionnés disposent de serveurs situés sur le territoire de l’Union européenne, garantissant un niveau de protection conforme à la réglementation européenne en matière de protection des données à caractère personnel.

  • Transferts hors Union européenne

À ce jour, l’établissement n’effectue pas de transfert intentionnel de données à caractère personnel en dehors de l’Union européenne.

Toutefois, certains outils techniques et services tiers utilisés sur le site (notamment des services de mesure d’audience, de diffusion de contenus vidéo ou de services publicitaires fournis par des acteurs tels que Google ou YouTube) peuvent impliquer un accès ponctuel ou potentiel aux données depuis des pays situés en dehors de l’Union européenne, notamment les États‑Unis.

Dans ce cadre, l’établissement veille à ce que ces traitements soient encadrés par des garanties appropriées, conformément aux articles 44 et suivants du Règlement Général sur la Protection des Données (RGPD), notamment par la mise en œuvre de clauses contractuelles types approuvées par la Commission européenne et, le cas échéant, par des mesures complémentaires destinées à assurer un niveau de protection adéquat des données.

  • Hypothèse d’un transfert futur (clause de transparence)

Dans l’hypothèse où un transfert de données à caractère personnel vers un pays situé en dehors de l’Union européenne serait envisagé à l’avenir, l’établissement s’engage à :

  • Informer préalablement les personnes concernées ;
  • Mettre en œuvre l’un des mécanismes de protection prévus par la réglementation applicable, notamment :
    • Une décision d’adéquation de la Commission européenne ;
    • Des clauses contractuelles types approuvées par la Commission européenne ;
    • Ou toute autre garantie appropriée prévue aux articles 44 et suivants du RGPD.

9. Droits des personnes concernées

Conformément à la réglementation applicable en matière de protection des données personnelles, toute personne concernée par un traitement de données mis en œuvre par l’établissement dispose des droits suivants, dans les conditions prévues par le Règlement (UE) 2016/679 (RGPD).

Droits reconnus

Droit à l’information

Description : Obtenir des informations claires et transparentes sur les traitements de données mis en œuvre

 

Droit d’accès

Description : Obtenir la confirmation que des données personnelles sont traitées et en recevoir une copie

 

Droit de rectification

Description : Demander la correction de données inexactes ou incomplètes

 

Droit à l’effacement

Description : Obtenir la suppression de données dans les cas prévus par la réglementation

 

Droit à la limitation du traitement

Description : Demander la suspension temporaire du traitement de certaines données

 

Droit à la portabilité

Description : Recevoir les données fournies dans un format structuré et lisible, lorsque applicable

 

Droit d’opposition

Description : S’opposer à un traitement fondé sur l’intérêt légitime, pour des raisons tenant à la situation particulière

 

Droit de retrait du consentement

Description : Retirer son consentement à tout moment, lorsque le traitement est fondé sur celui‑ci

 

Droit de définir des directives post‑mortem

Définir des instructions relatives au sort des données après le décès

 

Certains droits peuvent être soumis à conditions, limites ou exceptions légales, notamment lorsque la conservation des données est requise par une obligation légale ou pour l’exercice ou la défense de droits en justice.

  • Modalités d’exercice des droits

Les droits peuvent être exercés à tout moment en contactant le Délégué à la Protection des Données (DPO) :

Par email : dpo@blotimmobilier.fr

Par courrier :

DPO BLOT IMMOBILIER

93 avenue Henri Fréville

35200 Rennes – France

Afin de garantir la confidentialité et la sécurité des données, une preuve d’identité pourra être demandée lorsque cela est nécessaire.

  • Délais de réponse

L’établissement s’engage à répondre à toute demande dans un délai maximum d’un (1) mois à compter de sa réception. Ce délai peut être prolongé de deux mois supplémentaires en cas de demande complexe ou multiple, auquel cas la personne concernée en sera informée.

  • Réclamation auprès de l’autorité de contrôle

Si la personne concernée estime, après avoir contacté l’établissement, que ses droits ne sont pas respectés, elle dispose du droit d’introduire une réclamation auprès de l’autorité de contrôle compétente :

Commission Nationale de l’Informatique et des Libertés (CNIL) https://www.cnil.fr/fr/plaintes

L’exercice des droits s’effectue gratuitement. Toutefois, conformément à la réglementation, des frais raisonnables pourront être exigés ou une demande refusée en cas de demandes manifestement infondées ou excessives, notamment par leur caractère répétitif.

10. Sécurité des données

L’établissement met en œuvre des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté aux risques présentés par les traitements de données à caractère personnel, conformément à l’article 32 du RGPD.

Ces mesures visent notamment à assurer la confidentialité, l’intégrité, la disponibilité et la résilience des données personnelles traitées.

  • Mesures organisationnelles

Des mesures organisationnelles sont mises en place afin de limiter les risques d’accès non autorisé, de perte ou d’altération des données, notamment :

  • Limitation de l’accès aux données aux seules personnes habilitées, dans le cadre de leurs fonctions ;
  • Gestion des habilitations et suppression des accès obsolètes ;
  • Engagements de confidentialité applicables aux collaborateurs et intervenants ;
  • Sensibilisation des équipes aux exigences de protection des données personnelles ;
  • Procédures internes encadrant la gestion des données et des incidents de sécurité.
  • Mesures techniques

Des mesures techniques de sécurité sont mises en œuvre, comprenant notamment :

  • Sécurisation des systèmes d’information, des réseaux et des serveurs ;
  • Dispositifs d’authentification et de gestion des mots de passe ;
  • Sauvegardes régulières et sécurisées des données ;
  • Mesures de protection contre les accès non autorisés, les intrusions et les actes malveillants ;
  • Traçabilité et journalisation des accès lorsque cela est pertinent.
  • Sécurité des sous‑traitants

L’établissement veille à ce que ses sous‑traitants présentent des garanties suffisantes en matière de sécurité des données.

À ce titre :

  • Les exigences de sécurité sont formalisées contractuellement, notamment dans les accords de traitement des données (DPA) ;
  • Les sous‑traitants sont tenus de mettre en œuvre des mesures de sécurité appropriées et conformes à la réglementation applicable.
  • Gestion des incidents de sécurité

En cas de violation de données à caractère personnel, l’établissement met en œuvre les procédures internes appropriées afin :

  • D’analyser l’incident,
  • De limiter ses impacts,
  • Et, le cas échéant, de procéder aux notifications requises auprès de l’autorité de contrôle et des personnes concernées, conformément aux articles 33 et 34 du RGPD.

11. Données des mineurs

Cette rubrique précise les conditions d’utilisation du site par les mineurs.

  • Le site et ses services s’adressent en priorité à des personnes majeures, capables de contracter conformément à la législation applicable.
  • Les mineurs de moins de 16 ans ne doivent pas transmettre de données personnelles sur le site sans l’accord préalable de leurs parents ou représentants légaux.

12. Mise à jour de la politique

La présente politique de protection des données personnelles est susceptible d’être modifiée ou mise à jour afin de tenir compte :

  • Des évolutions légales et réglementaires ;
  • Des recommandations de la CNIL ;
  • Des évolutions techniques ou fonctionnelles du site et des services proposés ;
  • Ou de toute modification des traitements de données mis en œuvre.

En cas de modification substantielle, la version mise à jour sera publiée sur le site dans la rubrique dédiée.

Les utilisateurs sont invités à consulter régulièrement cette politique afin de prendre connaissance des éventuelles mises à jour.

La présente politique de protection des données personnelles est rédigée conformément au Règlement (UE) 2016/679 (RGPD), à la loi Informatique et Libertés modifiée et aux recommandations et lignes directrices publiées par la Commission Nationale de l’Informatique et des Libertés (CNIL).

Dernière mise à jour : Juin 2026