Politique de confidentialité

Samui Tourist Information Ltd. Partnership (« Koh Sanuk », « nous » ou « notre ») respecte votre vie privée et prend la protection de vos données personnelles au sérieux. Nous collectons des données personnelles auprès de nos clients, partenaires et visiteurs afin de fournir des services d'excursions, de location de yachts et de transferts — et de vous tenir informé de ces services d'une manière qui vous aide réellement à planifier votre voyage.

La présente Politique de confidentialité (« Politique ») explique quelles données nous collectons, pourquoi nous les collectons, comment nous les utilisons et les partageons, combien de temps nous les conservons, ainsi que les choix et les droits dont vous disposez. Elle s'applique chaque fois que vous visitez un site web de Koh Sanuk, que vous nous contactez par e-mail, par téléphone ou par messagerie, ou que vous réservez un service que nous proposons.

Nous révisons régulièrement cette Politique pour la maintenir à jour par rapport à nos activités, aux technologies que nous utilisons et aux réglementations qui nous sont applicables — principalement la loi thaïlandaise sur la protection des données personnelles B.E. 2562 (2019) (« PDPA ») et, le cas échéant, le Règlement général sur la protection des données de l'UE (« RGPD »). Nous pouvons mettre à jour cette Politique de temps à autre ; la version que vous lisez est la version actuelle. Les modifications importantes seront signalées en haut de la page lorsqu'elles prendront effet.

Aux fins de la présente Politique :

« Données personnelles » désigne toute information qui vous identifie ou qui pourrait raisonnablement être utilisée pour vous identifier — par exemple votre nom, vos coordonnées ou les identifiants de votre appareil — ainsi que toute information que nous associons à vous.

« Données sensibles » désigne les données personnelles qui, en vertu de la PDPA, nécessitent une protection accrue : l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l'orientation ou le comportement sexuel, le casier judiciaire, les informations relatives à la santé et au handicap, l'appartenance syndicale, les données génétiques et les données biométriques. Parmi ces catégories, la seule donnée sensible que nous collectons régulièrement est votre nationalité, qui est requise par la loi thaïlandaise pour les registres des voyagistes et par certains prestataires de transfert pour les manifestes de passagers.

1. Comment nous collectons vos données

   Nous collectons des données personnelles par deux canaux principaux :

   1. Les données que vous nous fournissez directement — lorsque vous remplissez un formulaire de demande ou de réservation, nous écrivez par e-mail ou par chat, nous appelez, vous rendez dans nos bureaux, créez un compte ou interagissez avec nous sur les réseaux sociaux.
   2. Les données que nous recevons de tiers — par exemple notre processeur de paiement (Omise) lorsque vous payez une réservation, nos partenaires de service (opérateurs de bateaux, prestataires de transport) lorsqu'ils confirment une réservation, nos prestataires d'hébergement et d'analyse lorsque vous naviguez sur le site, et toute personne physique ou morale ayant une relation juridique avec nous qui partage légitimement des données avec nous.
2. Quelles données nous collectons

   Les catégories ci-dessous couvrent tout ce que nous pouvons collecter via les canaux mentionnés ci-dessus :

   1. Informations d'identité — civilité, prénom, nom de famille, nationalité, pays de résidence et adresse de l'hôtel où vous séjournez pendant votre voyage (afin que nos chauffeurs puissent vous trouver).
   2. Coordonnées — numéro de téléphone, adresse e-mail et votre identifiant de messagerie préféré (WhatsApp, LINE, Telegram, etc.) afin que nous puissions confirmer et gérer la réservation.
   3. Informations de réservation — l'excursion ou le service que vous avez demandé, les dates, la taille du groupe, les exigences particulières (régime alimentaire, accessibilité, sièges enfants) et toutes les notes en texte libre que vous nous envoyez.
   4. Informations de paiement — nous ne stockons pas les numéros de carte de paiement, les codes CVV ou les détails complets de la carte sur nos serveurs. Les paiements par carte sont gérés directement par Omise (certifié PCI-DSS Niveau 1) ; nous ne recevons qu'une référence tokenisée, les quatre derniers chiffres, le pays d'émission et le résultat de l'autorisation.
   5. Informations techniques — adresse IP et localisation approximative qui en découle, type et version du navigateur, système d'exploitation, modèle de l'appareil, URL de référence, pages visitées, temps passé, identifiants de cookies et informations similaires provenant de l'appareil que vous utilisez pour accéder au site.
   6. Informations de compte — si vous créez un compte : nom d'utilisateur, e-mail, un mot de passe haché de manière sécurisée (nous ne stockons jamais les mots de passe en texte clair) et un journal des actions importantes que vous effectuez sur votre compte (inscriptions, connexions, réservations, exportations).
   7. Communications — le contenu des messages que vous nous envoyez, les copies des e-mails que nous échangeons et l'historique de toute réclamation ou commentaire.
3. Pourquoi nous utilisons vos données (bases juridiques)

   Nous ne traitons vos données que lorsque nous avons un motif légal de le faire. En vertu de la PDPA et du RGPD, les bases pertinentes pour notre traitement sont :

   1. Exécution d'un contrat — pour fournir l'excursion, la location ou le transfert que vous avez réservé, pour communiquer avec vous au sujet de la réservation, pour émettre des reçus et des bons d'échange, et pour gérer les réclamations ou les remboursements.
   2. Respect des obligations légales — pour conserver les registres requis par les lois thaïlandaises fiscales, touristiques et comptables (le régime de licence TAT, le Code des impôts, les règles de lutte contre le blanchiment d'argent) et pour répondre aux demandes légitimes des autorités.
   3. Intérêts légitimes — pour améliorer nos services (analyse de l'utilisation globale, correction des erreurs, test de nouvelles fonctionnalités), pour sécuriser le site contre la fraude et les abus, et pour tenir des registres commerciaux généraux. Nous équilibrons ces intérêts avec vos droits et n'utilisons aucune prise de décision automatisée ayant des effets significatifs sur vous.
   4. Consentement — pour les communications marketing (newsletters par e-mail, offres spéciales, reciblage), pour les cookies non essentiels et pour toute autre utilisation pour laquelle nous vous demandons spécifiquement votre accord. Vous pouvez retirer votre consentement à tout moment sans que cela n'affecte le traitement déjà effectué.
4. Avec qui nous partageons vos données

   Nous partageons vos données personnelles uniquement lorsque cela est nécessaire pour faire fonctionner le service ou pour nous conformer à la loi. Nous ne vendons jamais vos données. Les destinataires sont :

   1. Notre équipe — directeurs, employés et partenaires figurant sur nos documents officiels — strictement sur la base du besoin d'en connaître pour assurer votre réservation.
   2. Voyagistes et prestataires de services — les capitaines de bateau, les entreprises de transport, les restaurants, les moniteurs de plongée et les hôtels qui gèrent réellement les expériences que nous vendons. Ils ne reçoivent que les données dont ils ont besoin pour assurer leur prestation (généralement votre nom, vos coordonnées, l'adresse de prise en charge et la composition du groupe).
   3. Processeurs de paiement — Omise (la passerelle agréée qui gère toutes les transactions par carte en ligne) et les réseaux de cartes concernés (Visa, Mastercard, JCB, etc.). Ils reçoivent les détails de paiement directement de votre part via leurs formulaires sécurisés ; nous ne recevons que le résultat.
   4. Prestataires techniques — nos prestataires d'hébergement, d'e-mail, d'analyse, de lutte contre la fraude et de support client. Ils traitent les données pour notre compte dans le cadre de contrats qui les lient à la confidentialité et à des garanties équivalentes à la PDPA / au RGPD.
   5. Conseillers professionnels — nos auditeurs, experts-comptables et conseillers juridiques, lorsque nous avons réellement besoin de leurs conseils et qu'ils sont soumis à une obligation de confidentialité.
   6. Autorités — les organismes thaïlandais chargés de la fiscalité, du tourisme, de l'immigration et de l'application des lois, lorsque nous sommes légalement tenus de divulguer des informations, ou lorsque la divulgation est nécessaire pour protéger des vies, des biens ou nos droits légaux.
   7. Toute personne que vous autorisez — par exemple, une agence de voyage avec laquelle vous nous avez demandé de nous coordonner.
5. Transferts internationaux

   Koh Sanuk est basé en Thaïlande et la majeure partie de vos données y reste. Cependant, certains de nos prestataires de services (notamment pour l'hébergement, la distribution d'e-mails, l'analyse et le traitement des paiements) sont basés dans d'autres pays ou y acheminent le trafic, y compris l'EEE, les États-Unis, Singapour et l'Inde. Lorsque nous transférons des données en dehors de la Thaïlande ou de l'EEE, nous nous appuyons sur une ou plusieurs des garanties suivantes : une décision d'adéquation de l'autorité compétente, des clauses contractuelles types (CCT) ou votre consentement explicite pour le transfert spécifique.

6. Combien de temps nous conservons vos données

   Nous ne conservons pas vos données plus longtemps que nécessaire. Plus précisément :

   1. Dossiers de réservation et clients — conservés pendant sept (7) ans après la fin de la réservation, afin de se conformer aux exigences thaïlandaises en matière de comptabilité et de registres fiscaux (Code des impôts §83/13 et §93).
   2. Données de la liste de diffusion marketing — conservées jusqu'à ce que vous vous désabonniez ou retiriez votre consentement, selon la première éventualité.
   3. Données techniques / cookies — conservées jusqu'à 14 mois sous une forme identifiable, puis agrégées.
   4. Données de compte — conservées tant que votre compte est actif et pendant un (1) an après sa fermeture, en cas de litiges post-voyage ou de demandes de remboursement.
   5. Données faisant l'objet de procédures judiciaires en cours — conservées jusqu'à ce que l'affaire soit résolue et que le délai de prescription applicable ait expiré.

   Après la période concernée, nous supprimons les données de manière sécurisée ou nous les anonymisons afin qu'elles ne permettent plus de vous identifier.

7. Comment nous sécurisons vos données

   Nous utilisons des mesures techniques et organisationnelles conformes aux normes de l'industrie pour protéger vos données : chiffrement TLS pour tout le trafic web, mots de passe hachés (bcrypt), contrôles d'accès restreints pour les employés, sauvegardes chiffrées hors site, examens de sécurité réguliers de notre infrastructure d'hébergement et garanties contractuelles avec chaque sous-traitant. Nous ne stockons pas les détails des cartes de paiement — ceux-ci vont directement à notre processeur certifié PCI-DSS.

   Aucun système n'est parfait, et si nous prenons connaissance d'une violation de données affectant vos droits, nous vous en informerons ainsi que les autorités compétentes dans les meilleurs délais, conformément à la PDPA et au RGPD.

8. Cookies

   Nous utilisons des cookies et des technologies similaires sur notre site à trois fins : les cookies strictement nécessaires (qui vous maintiennent connecté, enregistrent votre panier et mémorisent votre langue et votre devise), les cookies d'analyse (qui nous aident à comprendre quelles pages les visiteurs trouvent utiles) et les cookies marketing (qui soutiennent la publicité et le reciblage). Seuls les cookies strictement nécessaires sont définis par défaut ; les cookies d'analyse et de marketing ne sont chargés qu'après votre consentement explicite dans le bandeau de cookies.

   Vous pouvez modifier vos préférences en matière de cookies à tout moment via le lien situé dans le pied de page du site, et vous pouvez effacer les cookies à partir des paramètres de votre navigateur. Si vous désactivez les cookies strictement nécessaires, certaines parties du site (connexion, réservation, changement de devise) ne fonctionneront pas.

9. Vos droits

   En vertu de la PDPA, du RGPD et de la plupart des autres grandes lois sur la protection des données, vous disposez des droits suivants concernant les données personnelles que nous détenons à votre sujet. Nous répondrons à toute demande dans un délai de 30 jours et, dans la plupart des cas, gratuitement.

   1. Droit d'accès — demander une copie des données personnelles que nous détenons à votre sujet, dans un format lisible par machine couramment utilisé.
   2. Droit de rectification — nous demander de corriger toute donnée inexacte, obsolète ou incomplète.
   3. Droit à l'effacement (« droit à l'oubli ») — nous demander de supprimer les données que nous détenons à votre sujet. Nous ne pouvons refuser que lorsque la loi nous oblige à conserver des registres spécifiques (par exemple, les registres fiscaux pendant leur période de conservation légale).
   4. Droit à la limitation du traitement — nous demander de suspendre le traitement pendant que nous vérifions une correction ou évaluons une opposition.
   5. Droit d'opposition — vous opposer au traitement fondé sur nos intérêts légitimes (y compris le profilage à des fins de marketing), auquel cas nous cesserons le traitement à moins que nous n'ayons des motifs impérieux qui l'emportent sur vos droits.
   6. Droit à la portabilité des données — recevoir les données personnelles que vous nous avez fournies dans un format structuré et couramment utilisé, et les faire transmettre à un autre responsable du traitement lorsque cela est techniquement possible.
   7. Droit de retirer son consentement — à tout moment, en cliquant sur le lien de désabonnement dans n'importe quel e-mail marketing, en modifiant vos préférences en matière de cookies ou en nous écrivant. Le retrait n'affecte pas la licéité du traitement effectué avant ce retrait.
   8. Droit de déposer une plainte — auprès de l'autorité compétente en matière de protection des données : en Thaïlande, le Comité de protection des données personnelles (pdpc.or.th) ; dans l'UE, votre autorité de contrôle nationale (une liste est tenue à jour sur edpb.europa.eu).

   Pour exercer l'un de ces droits, écrivez-nous en utilisant les coordonnées ci-dessous. Nous pouvons vous demander de vérifier votre identité avant de donner suite à une demande, afin de nous assurer que nous ne transmettons pas vos données à un tiers.

10. Enfants

    Nos services sont destinés aux adultes. Nous ne collectons pas sciemment de données personnelles auprès de personnes de moins de 16 ans. Si vous êtes un parent ou un tuteur et pensez que votre enfant nous a fourni des données personnelles sans votre consentement, veuillez nous contacter et nous les supprimerons.

11. Modifications de cette Politique

    Si nous apportons des modifications importantes à cette Politique, nous publierons un avis clair sur cette page et, si nécessaire, nous vous contacterons directement. Le fait de continuer à utiliser nos services après une modification signifie que vous acceptez la Politique mise à jour.

12. Comment nous contacter

    Les questions concernant cette Politique, les demandes d'exercice de vos droits ou les préoccupations concernant la manière dont nous traitons vos données doivent être adressées à :

    Samui Tourist Information Ltd. Partnership
    135 Moo 3, Maret, Koh Samui, Surat Thani 84310, Thaïlande
    E-mail : support@kohsanuk.com
    Téléphone / WhatsApp : +66 82 279 4936

    Nous nous efforçons d'accuser réception de chaque demande relative à la vie privée dans un délai de deux jours ouvrables et de vous fournir une réponse complète dans un délai de trente jours.