// //

Politique de confidentialité

Section I — Responsable du traitement des données et contacts

Art. (1) Le responsable du traitement responsable de la collecte, du traitement et du stockage de vos données personnelles est :

Nom légal : Le Rucher d'Evolène SA
Numéro de l'entreprise : CHE-436,917,429
Siège social : 3 Route du Contor, 1983 Evolène, Schweiz
Téléphone : +41 79 376 49 14
Courrier électronique : bonjour@rucher.com
Site Web : https://rucher-evolene.com/ 

(2) Pour toutes les questions relatives à la protection de vos données personnelles, vous pouvez nous contacter en utilisant les coordonnées ci-dessus. Nous nous engageons à répondre à vos demandes dans les 30 jours.

(3) Comme nous ne traitons pas de données personnelles à grande échelle, nous n'avons pas désigné de responsable de la protection des données dédié. Toutes les responsabilités en matière de protection des données sont gérées par notre équipe de direction.

Article 2, paragraphe 1 Si vous pensez que vos droits en matière de protection des données ont été violés, vous avez le droit de déposer une plainte auprès de :

Préposé fédéral suisse à la protection des données et à l'information (FDPIC)
 (Le Préposé fédéral à la protection des données et à la transparence - PFPDT)
Adresse : Feldeggweg 1, CH-3003 Berne, Suisse
Téléphone : +41 (0) 58 462 43 95
Courrier électronique : info@edoeb.admin.ch
Site Web : www.edoeb.admin.ch

(2) Vous avez le droit de déposer une plainte auprès de l'autorité de surveillance de votre pays de résidence. Une liste complète des autorités de protection des données de l'UE est disponible à l'adresse suivante :
https://www.edpb.europa.eu/about-edpb/about-edpb/members_en

(3) Le dépôt d'une plainte auprès d'une autorité de surveillance est gratuit et n'affecte pas votre droit d'exercer des recours judiciaires.

Section II — Définitions et principes

Art. 3 Aux fins de la présente Politique de confidentialité, les termes suivants ont la signification suivante :

« Responsable du traitement des données » désigne la personne physique ou morale, l'autorité publique, l'agence ou tout autre organisme qui détermine les finalités et les moyens du traitement des données personnelles. Dans le cadre de cette Politique, le responsable du traitement est Le Rucher d'Evolène SA.

« Données personnelles » désigne toute information relative à une personne physique identifiée ou identifiable. Une personne identifiable est une personne qui peut être identifiée, directement ou indirectement, par référence à un identifiant tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne ou d'autres facteurs spécifiques à son identité physique, physiologique, génétique, mentale, économique, culturelle ou sociale. Les exemples incluent : nom, adresse e-mail, numéro de téléphone, détails de réservation, adresse IP.

« Traitement » désigne toute opération effectuée sur des données personnelles, qu'elle soit automatisée ou non, y compris la collecte, l'enregistrement, l'organisation, le stockage, l'adaptation, l'utilisation, la divulgation, la transmission, la restriction, l'effacement ou la destruction. Dans notre hôtel, le traitement inclut toutes les activités nécessaires pour gérer les réservations, fournir un hébergement et fournir des services.

« Personne concernée » désigne toute personne physique dont les données personnelles sont traitées par le responsable du traitement. Dans cette Politique, les personnes concernées incluent les clients de l'hôtel (enregistrés et non enregistrés), les clients potentiels et les abonnés à la newsletter.

« Bénéficiaire » désigne toute personne physique ou morale, autorité publique, agence ou autre organisme à qui des données personnelles sont divulguées. Les destinataires peuvent inclure des services de messagerie, des processeurs de paiement, des cabinets comptables et des prestataires de services informatiques qui nous aident à gérer notre hôtel.

« Consentement » désigne toute indication librement donnée, spécifique, informée et univoque des souhaits de la personne concernée par laquelle elle accepte le traitement de ses données personnelles. Le consentement doit être donné par une action positive claire (par exemple, en cochant une case).

« Processeur » désigne toute personne physique ou morale, autorité publique, agence ou autre organisme qui traite des données personnelles pour le compte du responsable du traitement. Les sous-traitants agissent uniquement sur instructions documentées du responsable du traitement et sont contractuellement tenus de mettre en œuvre des mesures de protection des données appropriées.

Section III — Catégories de données et bases juridiques

Article 5, paragraphe 1 Le responsable du traitement traite les données personnelles exclusivement dans le cadre du fonctionnement de l'hôtel, y compris la gestion des réservations, la fourniture de services d'hébergement, la gestion de la relation client et le respect des obligations légales. La portée de la collecte de données est limitée à ce qui est strictement nécessaire pour fournir des services hôteliers de haute qualité et maintenir l'efficacité opérationnelle.

(2) Toutes les activités de traitement sont fondées sur l'une des bases légales établies par la Loi fédérale suisse sur la protection des données (RevDSG) et le Règlement général sur la protection des données (RGPD). Le responsable du traitement évalue soigneusement la base juridique qui s'applique à chaque activité de traitement spécifique et documente cette détermination afin de garantir le plein respect des lois applicables en matière de protection des données.

(3) Conformément au principe de minimisation des données, le responsable du traitement ne collecte que le minimum de données personnelles nécessaires pour atteindre les objectifs spécifiés et légitimes. Cela signifie que le responsable du traitement s'abstient de collecter des données simplement pratiques ou potentiellement utiles à l'avenir, en se concentrant plutôt sur ce qui est réellement nécessaire pour la fourniture de services ou le respect des obligations légales.

Art. 5 Le tableau ci-dessous fournit un aperçu structuré des catégories de données personnelles traitées par l'hôtel, des finalités spécifiques pour lesquelles ces données sont utilisées et des bases juridiques correspondantes en vertu du RevDSG et du RGPD.

Data Category Data Collected Purpose of Processing Legal Basis (revDSG / GDPR)
Booking & Accommodation Data Full name, email, phone number, postal address, stay dates, number of guests, special requests Reservation management, communication with guests, provision of accommodation revDSG Art. 6(2)(b) / GDPR Art. 6(1)(b) – performance of a contract
Payment Data Payment method, last four digits of credit card, transaction reference numbers, IBAN, billing address, company details Processing payments, issuing invoices, compliance with accounting and tax obligations Contract: revDSG Art. 6(2)(b) / GDPR Art. 6(1)(b)
Legal obligation: revDSG Art. 6(2)(c) / GDPR Art. 6(1)(c)
Identification Data (Check-In) ID type, number, issuing country, expiry date, nationality Mandatory guest registration, public safety, compliance with Swiss hotel laws revDSG Art. 6(2)(c) / GDPR Art. 6(1)(c) – legal obligation
Marketing & Loyalty Data Booking history, stay preferences, service preferences, communication channel preferences, marketing engagement data (if Consented) Direct marketing, personalized offers, loyalty program management revDSG Art. 6(6) / GDPR Art. 6(1)(a) – explicit consent
Technical & Security Data IP address, device type, operating system, browser version, server logs, referral sources, timestamps Website security, detection of cyber threats, ensuring stability and performance revDSG Art. 6(2)(f) / GDPR Art. 6(1)(f) – legitimate interest
Guest Communication Data Name, contact details, content of emails/messages, logged phone inquiries, communication records linked to bookings Managing inquiries, complaints, service quality, handling pre-contractual requests Contract: revDSG Art. 6(2)(b) / GDPR Art. 6(1)(b)
Legitimate interest: revDSG Art. 6(2)(f) / GDPR Art. 6(1)(f)
Special Categories of Data Health data disclosed voluntarily (allergies, mobility needs, medical dietary requirements) Providing special accommodations and tailored services revDSG Art. 6(7) / GDPR Art. 9(2)(a) – explicit consent
Profiling (non-automated) Booking patterns, preferences, stay frequency, general geographic info Personalized recommendations and offers (no significant effects) Explicit consent of the data subject

Article 7, paragraphe 1 Le responsable du traitement ne collecte ni ne traite aucune catégorie particulière de données personnelles sauf en cas de nécessité absolue. Les systèmes et procédures de l'hôtel sont conçus pour fonctionner sans nécessiter de telles informations sensibles.

(2) Des données limitées liées à la santé ne peuvent être traitées que lorsque la personne concernée les fournit volontairement pour permettre des aménagements spécifiques (par exemple, des chambres accessibles ou des exigences alimentaires).

(3) Ces données sont traitées exclusivement sur la base d'un consentement explicite et uniquement dans le but indiqué. L'accès est strictement limité, les données sont cryptées et elles sont supprimées peu de temps après le paiement, sauf si cela est nécessaire pour des raisons légales.

Article 13, paragraphe 1 The Data Controller processes children’s data only as necessary for family reservations, typically limited to name, age, and stay-related requirements.Le responsable du traitement traite les données relatives aux enfants uniquement dans la mesure où cela est nécessaire pour les réservations familiales, généralement limitées aux exigences liées au nom, à l'âge et au séjour.

(2) Pour les enfants de moins de 16 ans, le traitement n'a lieu qu'avec le consentement d'un parent ou d'un tuteur légal, confirmé lors du processus de réservation. Les parents et tuteurs peuvent exercer tous les droits applicables en matière de protection des données au nom de leurs enfants, et une vérification peut être demandée pour garantir un accès légal.

Section IV — Périodes de conservation

Article 15, paragraphe 1 Le responsable du traitement ne conserve les données personnelles que le temps nécessaire pour atteindre les objectifs pour lesquels elles ont été collectées ou conformément à la loi applicable. Les différentes catégories de données sont soumises à des périodes de conservation différentes en fonction de leur finalité et de la base légale du traitement.

(2) À l'expiration de la période de conservation applicable, le responsable du traitement supprime définitivement les données personnelles de tous les systèmes ou les rend anonymes de manière à empêcher toute nouvelle identification. Le processus de suppression ou d'anonymisation est effectué de manière systématique et sans retard injustifié.

(3) Les durées de conservation sont déterminées en fonction de la base juridique du traitement, des obligations légales de conservation en vertu du droit commercial et fiscal suisse, des délais de prescription pour les réclamations légales et des besoins opérationnels de l'hôtellerie. Le responsable du traitement des données met à jour des politiques internes documentant ces périodes de conservation et les revoit régulièrement pour garantir une conformité continue.

Category of Data Retention Period
Booking and Accommodation Data 10 years
Identification Data 10 years
Payment and Financial Data 10 years
Marketing and Loyalty Data Until consent is withdrawn;
Consent logs retained 3 years after withdrawal
Technical Data and Logs Up to 12 months, longer only for security investigations
Guest Communication Records 3 years from last communication;
10 years if part of contractual or booking documentation
CCTV Recordings 30 days; longer only for legal or insurance purposes

Section V - Data Subject Rights

Art. 9 (1) As a Data Subject whose Personal Data is processed by the Data Controller, the individual has the right to exercise a comprehensive set of rights designed to ensure transparency, enable control over personal information, and provide remedies in case of improper Processing. These rights are established by the Swiss Federal Act on Data Protection and the General Data Protection Regulation and may be exercised at any time.

(2) To exercise any of these rights, the Data Subject should submit a written request to the Data Controller using the contact details provided in Article 1 of this Privacy Policy. Requests may be submitted by email to contact@rucher-evolene.ch, by phone at +41 79 376 49 14, or by postal mail addressed to Le Rucher d'Evolène SA, 3 Route du Contor, 1983 Evolène, Switzerland.

(3) Exercising these rights is free of charge for the Data Subject, except in cases where requests are manifestly unfounded, excessive, or repetitive, in which case the Data Controller may charge a reasonable administrative fee or refuse to act on the request. Before applying any such fee or refusal, the Data Controller will inform the Data Subject and provide an opportunity to withdraw or clarify the request.

(4) Among other things, Data Subjects whose data is processed are entitled under certain prerequisites to the following rights, it may exercise by submitting a written request to the Data Controller using the contact details provided in Article 1 of this Privacy Policy:

  • Right of access: Data Subjects may request confirmation of whether personal data concerning them is being processed. If such Processing takes place, they are entitled to receive access to that data as well as further information regarding the purposes, categories, recipients, retention periods, and other relevant aspects of the Processing.
  • Right to rectification: Data Subjects may request the correction of inaccurate or incomplete personal data concerning them.
  • Right to erasure (“right to be forgotten”): Individuals can request deletion when data is no longer necessary, consent is withdrawn, processing is unlawful, or they have successfully objected. 
  • Right to restrict processing: Individuals can request limitation of processing (without deletion) in specific cases, such as accuracy disputes, unlawful processing where deletion is not desired, or pending legal claims. 
  • Right to data portability: Individuals can obtain personal data they provided in a structured, commonly used, machine-readable format and request its transmission to another controller. 
  • Right to object: Individuals may object at any time to processing, including direct marketing. 
  • Right to withdraw consent: Data Subjects can revoke their consent for data processing at any time, using the same simple methods as when giving Consent (e.g., unsubscribe links in emails, adjusting cookie preferences, emailing, calling, or informing reception staff).
  • Right to lodge a complaint: If a Data Subject believes their data protection rights have been violated, they may file a complaint with the relevant supervisory authority (see Article 2 (1) and (2) above), regardless of other possible remedies or actions taken with the Data Controller. 

Section VI - Data Sharing and Recipients

Art. 10 The Data Controller discloses Personal Data to third parties only when necessary to fulfill the purposes described in Section III of this Privacy Policy or when required by applicable law. All Recipients who receive access to Personal Data are contractually bound to protect that data and to process it only in accordance with the Data Controller's documented instructions and applicable data protection regulations.

Art. 11 (1) The Data Controller engages payment service providers to securely process credit card transactions and other forms of electronic payment. These providers have access to payment information necessary to authorize and complete transactions but do not receive access to other guest data unrelated to the payment process. All payment processors maintain PCI-DSS certification and implement industry-standard security measures to protect financial data.

(2) The Data Controller is legally obligated to share certain Personal Data with Swiss governmental authorities, including the local police for guest registration purposes, tax authorities for verification of financial declarations, and other agencies when legally compelled by court order or statutory requirement. 

(3) External accounting firms and tax advisors receive financial data, including guest names and invoice details, to enable the Data Controller to fulfill its statutory obligations under Swiss commercial and tax law. These professional service providers are bound by legal and contractual confidentiality obligations and process data solely for the purpose of providing accounting, bookkeeping, and tax compliance services.

Art. 12 (1) The Data Controller utilizes Amazon Web Services EMEA SARL, with registered offices at 38 avenue John F. Kennedy, L-1855 Luxembourg, to provide cloud hosting and data storage infrastructure. Data processed through AWS is stored on servers physically located in data centers within France, which is part of the European Economic Area. For compliance with GDPR, AWS implements the European Commission's Standard Contractual Clauses and participates in the EU-US Data Privacy Framework; for compliance with Swiss law, AWS participates in the Swiss-US Data Privacy Framework and benefits from Switzerland's recognition of the European Union as providing adequate data protection.

(2) For website analytics purposes, the Data Controller uses Matomo, operated by InnoCraft Ltd, 7 Waterloo Quay, PO Box 625, 6140 Wellington, New Zealand. Matomo processes aggregated usage statistics and technical data, with servers located in both New Zealand and Germany. The European Commission has issued an adequacy decision recognizing New Zealand as providing adequate data protection, and Switzerland similarly recognizes both New Zealand and the European Union as jurisdictions with sufficient protection, ensuring that data transfers to Matomo comply with both GDPR and Swiss requirements.

(3) The Data Controller engages Yellow Cactus, located at 10 bis rue du Bel Air, 92310 Sèvres, France, for specialized hotel technology services. As Yellow Cactus is established within France, data transfers benefit from Switzerland's recognition that the European Union guarantees an adequate level of protection, and any potential transfers to the United States are covered by the Swiss-US Data Privacy Framework.

Art. 13 (1) While the Data Controller prioritizes Processing Personal Data within Switzerland and the European Economic Area, certain third-party service providers that support hotel operations maintain infrastructure or Processing facilities in countries outside these jurisdictions. 

(2) For transfers to countries that have not received an adequacy decision from the European Commission or recognition from Switzerland, the Data Controller implements Standard Contractual Clauses adopted by the European Commission and approved by the Swiss Federal Data Protection Commissioner. These contractual clauses impose binding obligations on data Recipients to protect Personal Data according to European and Swiss standards, provide Data Subjects with enforceable rights, and establish audit mechanisms to verify compliance.

Art. 14 The Data Controller does not currently participate in any joint controllership arrangements, whereby two or more controllers jointly determine the purposes and means of Processing. 

Section VII - Security Measures

Art. 15 (1) The Data Controller implements appropriate technical and organizational security measures to protect Personal Data against unauthorized access, accidental loss, destruction, alteration, or unlawful disclosure. These measures are implemented in accordance with applicable data protection laws and are regularly reviewed and adapted in line with technological developments.

(2) Access to Personal Data is limited to individuals who require such access to perform their duties and are bound by confidentiality obligations.

(3) The Data Controller has procedures in place to identify, assess and handle data protection incidents in compliance with applicable laws.

Section VIII - Cookies and Online Tracking

Art. 16 (1) Our website uses cookies and similar technologies to ensure essential functionality and to improve the user experience. Essential cookies are necessary for the proper operation of the website and cannot be disabled.

(2) We may also use non-essential cookies (such as analytics or marketing cookies) to better understand how our website is used or to provide personalised content. The use of such cookies is voluntary and requires the Data Subject’s consent where required by applicable law.

(3) Consent for non-essential cookies may be withdrawn at any time by adjusting the browser settings, which allow users to block or delete cookies. Detailed information about all cookies used on the website – including analytics services and third-party providers – is available in our Cookie Policy.

Section IX - Policy Updates 

Art. 17 We may update this Privacy Policy from time to time to reflect changes in our data processing practices or legal requirements. The current version is published on our website.

Art. 18 This Privacy Policy enters into force on 17.02.2026 and supersedes all previous privacy notices, policies, or statements issued by the Data Controller.