Une réservation de croisière sur le Bosphore implique plus qu'un billet — un bateau, une heure d'embarquement, un plan de repas pour l'option dîner, un hôte privé pour le yacht. Cette politique couvre ce que nous collectons pour coordonner tout cela, pourquoi c'est nécessaire, et qui d'autre y a accès. Français clair. Aligné RGPD + KVKK.
Ce site est exploité par Istanbul Tourist Information Ltd., licence TÜRSAB A-7812, TVA 3470891204. Siège : Sultanahmet Mah. Divan Yolu Cad. 17, 34122 Fatih, Istanbul. Délégué aux données : privacy@istanbul-tourist-information.com.
Couvre bosphorus-tour.com — le site de réservation pour les quatre produits de croisière (Standard, Coucher de soleil, Dîner, Yacht privé). Ne couvre pas les sites des opérateurs de bateaux ni les revendeurs tiers.
Quatre catégories. Plus pour les réservations de yacht privé (l'hôte doit connaître les préférences alimentaires et le profil du groupe), moins pour la croisière de jour standard.
Données de contact & de réservation — nom du titulaire de carte, email, téléphone, date d'embarquement + créneau, type de croisière, nombre d'invités, préférences alimentaires (option dîner), notes d'occasion (yacht privé).
Données de paiement — carte saisie sur Stripe. Quatre derniers chiffres + marque conservés pour la facture.
Données d'utilisation — quelles pages, référent, classe d'appareil. Anonymisées.
Données de support — email et réponse, conservation 36 mois.
Exécution du contrat — nous ne pouvons pas briefer le capitaine et l'hôte sans les données de réservation. Art. 6(1)(b) RGPD.
Obligation légale — la loi fiscale turque exige 10 ans d'archives de transactions. Art. 6(1)(c) RGPD.
Intérêt légitime — analytique, détection de fraude, rapports de plantage. Opt-out via panneau de cookies. Art. 6(1)(f) RGPD.
Consentement — marketing et newsletters, opt-in explicite. Art. 6(1)(a) RGPD.
Directement auprès de vous. Nous n'achetons pas de listes de données, n'enrichissons pas avec des sources tierces, ne fingerprintons pas les appareils. Les données de carte vont chez Stripe ; ils renvoient un jeton.
Enregistrement de réservation : référence (préfixe BO-), type de croisière, date + heure d'embarquement, nom du titulaire de carte, email de contact, téléphone, nombre d'invités, préférences alimentaires (le cas échéant), notes d'occasion, montant de TVA, total payé, historique de remboursement.
Visible par : vous, notre équipe support, le capitaine et l'hôte le jour J (prénom, nombre d'invités, notes alimentaires + d'occasion uniquement — jamais les coordonnées de contact).
Front comme helpdesk. 36 mois. Non utilisé pour l'entraînement IA. Non partagé avec le marketing.
GA4 avec anonymisation IP, signaux publicitaires désactivés, démographies désactivées. Sentry pour les rapports de plantage avec nettoyage des PII. Nous voyons ce qui s'est cassé, pas pour qui.
| Fournisseur | Finalité | Données conservées | Région |
|---|---|---|---|
| Stripe | Paiements | Jetons de carte | UE + USA |
| API ventes externe | Inventaire bateau + maintien créneau | Type de croisière, créneau, quantité | Türkiye |
| Email transactionnel | Confirmation + bon | Email, résumé | UE |
| Google Analytics 4 | Utilisation anonymisée | ID de session anonyme | UE + USA |
| Meta Pixel | Attribution publicitaire (opt-in) | ID opaque | UE + USA |
| Sentry | Rapports de plantage nettoyés | Trace d'erreur, sans PII | UE |
| Hébergement & CDN | Service du site | IP, user-agent (transitoire) | UE |
Chaque fournisseur a signé un DPA, audité annuellement.
Nous ne vendons, louons, ni partageons à des fins de marketing partenaire. Uniquement les fournisseurs de la section 08, sous instructions de sous-traitance. Exception ordonnance légale : vous êtes notifié sauf interdiction.
Enregistrements de réservation — 10 ans. Support — 36 mois. Analytique — 24 mois. Rapports de plantage — 14 jours. Cookies marketing — 90 jours ou jusqu'à révocation.
Infrastructure principale : UE (Francfort, Amsterdam). Stripe et Google routent via les USA dans le cadre du Data Privacy Framework UE-USA + CCS.
TLS 1.3. Chiffrement de la base de données au repos. 2FA pour tout le personnel. Tests d'intrusion trimestriels. Engagement de notification de violation sous 72 heures.
Huit droits sous RGPD + KVKK.
Copie complète, SLA 30 jours.
Corrections le jour même.
Hors période de conservation de 10 ans.
Gel pendant les litiges.
Export JSON/CSV.
Stopper le traitement basé sur l'intérêt légitime.
Aucun. Pas de profilage.
KVKK ou DPA UE directement.
Aucune collecte sciemment de données des moins de 16 ans. Parents réservant pour des enfants : le titulaire de carte est le parent ; seuls les prénoms apparaissent sur le bon.
Modifications substantielles : préavis email de 30 jours. Modifications mineures : incrément du numéro de version dans l'en-tête.
Une personne, en interne. Première réponse sous huit heures ouvrées, 98% des cas résolus en quinze jours ouvrés.