Confidentialité | LEGO Discovery Centre Brussels

Chez Merlin ("nous", "notre"), nous collectons et utilisons régulièrement les données personnelles des consommateurs qui visitent nos attractions ou nos hôtels, ou qui naviguent sur nos sites web. Les données personnelles sont toutes les informations pouvant être utilisées pour vous identifier individuellement. La protection de vos données personnelles est très importante pour nous et nous comprenons notre responsabilité dans la gestion attentive de vos données personnelles afin qu’elles soient sécurisées et pour être en conformité avec les exigences juridiques.

Le but de cette politique de confidentialité ("Politique") est d’offrir une explication claire sur le moment, la raison et la façon dont nous collectons et utilisons les données personnelles. Nous l’avons conçue pour être aussi facile à utiliser que possible et avons créé des chapitres pour que vous puissiez facilement trouver les informations qui vous intéressent le plus.

Veuillez lire attentivement cette Politique. Elle fournit des informations importantes sur la façon dont nous utilisons les données personnelles et explique vos droits légaux. Cette Politique ne vise pas à se substituer aux conditions de tout contrat que vous avez souscrit avec nous (par exemple les conditions de l’accès Wi-Fi ou du laissez-passer annuel) ou aux droits dont vous pourriez disposer dans le cadre des lois sur la protection des données.

Nous amenderons cette Politique de temps en temps, par exemple pour l’actualiser ou pour se conformer à des exigences juridiques ou des changements dans notre façon de conduire nos activités. Nous nous assurerons que vous soyez informé de tout changement significatif en vous envoyant un email à l’adresse mail la plus récente que vous nous ayez communiquée ou en publiant une annonce sur chaque site concerné pour que vous soyez informé de l’impact des activités de traitement des données avant de continuer votre engagement. Nous vous encourageons à vérifier et à passer régulièrement en revue cette politique pour que vous soyez toujours au courant des informations que nous collectons, de la façon dont nous les utilisons et de ceux avec qui nous les partageons.

1. QUI est responsable de la gestion de vos données personnelles ?

Merlin Entertainments plc ("Merlin") est une compagnie de divertissement basée en Grande-Bretagne, dont le siège social se trouve à Link House, 25 West Street, Poole, Dorset, BH15 1LD, qui exploite plus de 100 attractions et plus de 20 hôtels et villages de vacances dans 25 pays. Notre activité est centrée sur la création d’expériences visiteur uniques, mémorables et gratifiantes. La liste de nos attractions et une note sur les sociétés qui composent le groupe Merlin, lequel aide à réaliser cet objectif, est disponible sur ("Merlin Group").

L’entité du Merlin Group initialement responsable de la collecte de vos informations personnelles sera désignée comme Contrôleur de Données. D’autres entités du Merlin Group peuvent également jouer le rôle de Contrôleurs de Données lorsqu’elles contrôlent l’utilisation ou le traitement de ces données. Un point de contact unique sera désigné pour l’ensemble des Contrôleurs de Données du Merlin Group et pourra être contacté grâce aux informations fournies dans le chapitre 11 ci-dessous.

2. QUELLES données personnelles collectons-nous ?

En ce qui concerne les clients potentiels, les clients historiques et les clients actuels ainsi que ceux qui visitent nos attractions ("consommateurs"), nous collectons les données suivantes :

Les informations que vous renseignez en remplissant des formulaires sur notre site. Ceci comprend les informations fournies au moment de l’inscription sur notre site, de l’abonnement à notre service, de la publication de contenus ou d’une demande pour d’autres services. Nous vous demanderons également des informations lorsque vous signalez un problème sur notre site.
Les éléments de vos préoccupations si vous nous contactez pour une demande ou signalez un problème.
Lorsque vous répondez à un sondage pour nous faire part de votre expérience sur nos attractions ou dans nos hôtels et de la façon dont nous pouvons nous améliorer, bien qu’il ne soit pas obligatoire d’y répondre.
Détails des transactions que vous effectuez sur notre site et de vos réservations, y compris les données de votre carte bancaire.
Détails de vos visites sur nos sites, dont : les données de trafic web, les données de géolocalisation, les weblogs et d’autres données de communication, qu’elles soient nécessaires pour nos besoins de facturation ou pas et les ressources auxquelles vous avez accès.
Vos nom, adresse, numéro de téléphone et/ou adresse email afin de pouvoir vous contacter pour des informations sur votre réservation ou dans le cas improbable où nous avons des informations urgentes à vous communiquer au sujet de votre réservation.

Ceci comprend le recueil des coordonnées comme vos nom, adresse, date de naissance, numéro de téléphone et adresse email, des informations d’engagement comprenant votre historique d’achat et de visite des attractions, vos préférences marketing comprenant vos intérêts / listes de marketing associées, un historique des autorisations ou objections marketing, les données du site web, les données du terminal comprenant les adresses IP et les informations de votre historique de navigation, le navigateur, la fréquence d’ouverture de session et les cookies – veuillez consulter notre politique spécifique sur les cookies [https://www.visitsealife.com/paris/cookies/] pour davantage d’informations sur l’utilisation des cookies.

3. QUAND collectons-nous vos données personnelles ?

Consommateurs

Nous collecterons des informations directement auprès de vous lorsque vous vous abonnez à une newsletter sur le site d’une attraction, lorsque vous achetez des billets ou un laissez-passer, lorsque vous effectuez une réservation par téléphone, lorsque vous vous connectez au réseau Wi-Fi de l’une de nos attractions, lorsque vous réservez un séjour dans l’un de nos hôtels, lorsque vous répondez à un sondage ou lorsque vous nous contactez pour des questions ou des suggestions.
Nous suivons et enregistrons également les appels téléphoniques afin d’enregistrer votre accord pour recevoir des contenus de marketing (si nécessaire, voir chapitre 6 pour plus d’informations) lorsque vous nous appelez directement.
Lorsque quelqu’un a souscrit à un laissez-passer familial ou s’est inscrit à un concours en votre nom, vos informations nous seront dans ces circonstances communiquées indirectement par un membre de votre famille ou un tiers.

Dans des situations d’urgence, nous collecterons également vos informations indirectement auprès d’autres sources lorsque nous avons des raisons de croire que ceci est nécessaire pour assurer la sécurité de nos attractions. Ces autres sources peuvent comprendre des registres publics et les réseaux sociaux.

Nous ne collecterons pas sciemment de données personnelles sur des enfants à des fins de marketing sans expliquer clairement que ces informations ne devraient être fournies qu’avec l’accord des parents, si cela est exigé par les lois en vigueur – Merlin n’utilisera donc les données personnelles des enfants que dans le cadre de la loi après obtention de l’accord obligatoire des parents ou du responsable légal.

4. A quelles FINS UTILISONS-NOUS vos données personnelles et dans quel CADRE JURIDIQUE ?

Nous utiliserons vos données personnelles pour :

assurer que les contenus de notre site web soient présentés de la manière la plus optimale pour vous en fonction de votre ordinateur.
vous fournir des informations, des produits et des services que vous nous demandez ou dont nous pensons qu’ils peuvent vous intéresser, après obtention de votre accord pour être contacté à ces fins.
exécuter nos obligations dans le cadre de tout contrat conclu entre nous et vous.
vous permettre de prendre part aux fonctionnalités interactives de notre service, lorsque vous le souhaitez.
vous notifier des modifications de notre service.

Nous pouvons également vous envoyer des contenus marketing (lorsque nous disposons des permissions appropriées comme décrit plus en détail dans le Chapitre 6 ci-dessous). Ce processus comprendra probablement du profilage et d’autres informations sont fournies sur cette question au Chapitre 8 de cette Politique. Nous devrons également utiliser vos données personnelles à des fins en rapport avec nos obligations légales et réglementaires.

Nous devons établir un cadre juridique pour l’utilisation de vos données personnelles, nous nous assurerons donc de n’utiliser vos données personnelles qu’aux fins décrites dans le Chapitre 4 et à l’Annexe 1 si nous avons établi que :

notre utilisation de vos données personnelles est nécessaire pour exécuter un contrat ou prendre des mesures pour entrer en contact avec vous (ex. pour la gestion de votre réservation de billets pour une attraction), ou
notre utilisation de vos données personnelles est nécessaire pour nous conformer à une obligation juridique ou réglementaire donnée, à laquelle nous sommes soumis (ex. pour répondre aux exigences de l’ICO (Information Commissioner's Office), ou
notre utilisation de vos données personnelles est nécessaire pour soutenir nos ‘Intérêts Légitimes’ en tant que compagnie (par exemple pour améliorer nos produits ou pour effectuer des analyses de nos ensembles de données), dans la mesure où elle est effectuée de façon proportionnée et en respectant vos droits à la vie privée. Lorsque ceci est exigé par d’autres lois, par exemple la Réglementation sur la Vie Privée et les Communications Electroniques, nous nous assurerons également que vous avez accepté de recevoir des supports de marketing – voir chapitre 6 ci-dessous pour plus d’informations. Veuillez vous référer à l’Annexe 1 pour plus d’informations sur nos Intérêts Légitimes.

Avant de collecter et/ou utiliser toute catégorie spécifique de données, nous mettrons en place un socle juridique supplémentaire aux éléments décrits ci-dessus pour nous permettre d’utiliser ces informations. Cette exemption supplémentaire relèvera typiquement de :

votre accord explicite; ou
la constatation, l’exercice ou la défense face à un recours juridique par nous ou par un tiers; ou
une exemption spécifique imposée par les lois nationales des Etats-Membres de l’UE et d’autres pays mettant en œuvre le GDPR (RGPD : Règlement Général sur la Protection des Données).

VEUILLEZ NOTER : Si nous vous avions auparavant annoncé que nous nous reposions sur votre accord comme base de nos activités de traitement des données, à l’avenir nous ne nous reposerons pas sur ce socle juridique à moins de l’avoir annoncé dans cette Politique.

VEUILLEZ NOTER : Si vous donnez votre accord explicite pour nous autoriser à traiter vos catégories spéciales de données, vous pouvez retirer votre accord pour ce traitement à tout moment. Cependant, vous devriez savoir que si vous choisissez de retirer votre accord, nous vous informerons des conséquences possibles, y compris si cela implique que certains services (en particulier si vous avez souscrit à un laissez-passer d’accompagnateur) ne pourront plus être assurés.

5. Avec qui PARTAGEONS-NOUS vos données personnelles ?

Comme indiqué plus haut, nous partageons les données avec les autres sociétés du Merlin Group.

Nous partageons également les données avec des tiers, pour aider à la gestion de nos activités et assurer nos services. Ces tiers peuvent parfois avoir besoin d’accéder à vos données personnelles et comprennent :

les fournisseurs de service qui nous aident à gérer nos systèmes informatiques et d’appui, et nous assistent dans nos activités de Gestion des Relations Client, en particulier Accesso et Facebook.
nos régulateurs, dont l’ICO, de même que d’autres régulateurs et agences gouvernementales de l’UE et dans le reste du monde,
les professionnels du droit et d’autres sociétés de services professionnels (dont nos auditeurs).

De même, si nous devions céder une partie de notre activité, nous devrions transférer la gestion de vos données personnelles à l’acheteur.

6. Marketing Direct

Nous pouvons utiliser vos données personnelles pour vous envoyer des communications relevant du marketing direct sur nos attractions, hôtels, expériences et services associés. Cela se fera sous forme d’email, de publication, de SMS ou de publicités ciblées en ligne.

Lorsque nous avons besoin d’un accord d’adhésion explicite pour les actions de marketing direct en accord avec les Privacy and Electronic Communications Regulations, nous vous demanderons votre accord. Sinon, pour les actions de marketing non-électronique ou lorsque nous pouvons utiliser l’exemption liée à l’adhésion allégée dans le cadre des Privacy and Electronic Communications Regulations, nous nous reposerons sur nos Intérêts Légitimes dans le cadre du RGPD comme détaillé dans le chapitre 4 et dans l’Annexe 1.

Vous avez le droit de renoncer à recevoir du marketing direct à tout moment – vous pouvez le faire en suivant les liens de désinscription dans nos communications électroniques (comme les emails), ou en nous contactant via les coordonnées présentes au Chapitre 11.

Nous utilisons également vos données personnelles pour des publicités, des offres et des contenus ciblés ou personnalisés qui vous sont proposés d’après votre historique de visite et/ou l’utilisation des sites de nos attractions ou d’autres applications mobiles, plateformes ou services et d’après l’analyse de l’efficacité de ces publicités, offres et contenus ainsi que votre interaction avec ces-derniers. Nous pouvons aussi vous recommander des contenus d’après les informations que nous avons collectées sur vous et vos habitudes de navigation. Ceci constitue le ‘profilage’ et vous trouverez plus d’informations dans le Chapitre 8 de cette Politique à ce sujet.

7. Transferts Internationaux

Certaines entités du Merlin Group, avec lesquelles nous partageons nos données, et nos fournisseurs de services ayant accès à vos données personnelles, sont situées en dehors de l’Union Européenne. Nous pouvons également partager vos données personnelles à l’international, par exemple si nous recevons une demande juridique ou réglementaire issue d’une agence gouvernementale étrangère. Nous prendrons toujours des dispositions pour assurer que tout transfert international soit géré avec précaution pour protéger vos droits et vos intérêts, en particulier nous le ferons soit :

en ne transférant vos données personnelles que vers des pays reconnus comme disposant d’un niveau adéquat de protection juridique en accord avec l’Article 45 du RGPD; soit
en nous assurant que les transferts vers l’extérieur de l’Union Européenne sont soumis à des sauvegardes juridiques appropriées – par exemple les Clauses Modèles de l’UE relatives à l’Article 46(2) du RGPD et/ou l’EU - U.S. Privacy Shield pour la protection des données personnelles transférées vers les Etats-Unis (pour plus d’informations, veuillez consulter https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/eu-us-privacy-shield_en).

Vous avez le droit de nous demander plus d’informations sur les mesures de sauvegarde que nous avons mises en place comme mentionné plus haut. Contactez-nous aux coordonnées fournies dans le Chapitre 11 si vous voulez davantage d’informations ou pour nous demander une copie contenant les mesures de sauvegarde (pouvant être éditée pour préserver la confidentialité).

8. Profilage

Prise de Décision Automatisée' renvoie à une décision prise via un processus automatisé reposant uniquement sur le traitement de vos données personnelles – ceci désigne le traitement utilisant, par exemple, un code informatique ou un algorithme qui ne nécessite pas d’intervention humaine. Nous n’effectuons aucune prise de décision automatisée, cependant nous menons des actions de profilage en utilisant des traitements automatiques pour adapter les supports de marketing à un client spécifique.

Lorsque nous avons l’autorisation d’envoyer des mises à jour marketing aux clients, nous pouvons utiliser le profilage pour nous assurer que les supports marketing soient adaptés à vos préférences et à ce que nous pensons présenter de l’intérêt pour vous. Dans certaines circonstances, il sera possible de déduire certaines informations à votre sujet d’après les résultats du profilage, pouvant comprendre des catégories spéciales de données personnelles, mais nous ne le ferons pas à moins d’avoir obtenu un consentement explicite de votre part.

9. Combien de temps conservons-nous vos données personnelles ?

Nous conserverons vos données personnelles aussi longtemps que cela sera raisonnablement nécessaire aux fins décrites dans le Chapitre 4 de cette Politique. En particulier, en l’absence d’interaction avec le consommateur (ex. chat, lecture d’email, abonnement à une newsletter), un registre sera archivé au bout de 1 an et supprimé au bout de 3 ans.

Lorsque les exigences légales, réglementaires, fiscales ou comptables nous l’imposent, nous conserverons vos données personnelles sur des périodes plus longues, mais uniquement lorsque nous sommes autorisés à le faire, y compris afin de conserver un historique précis de nos interactions en cas de réclamations ou de litiges, ou si nous avons des raisons de croire qu’une action en justice est envisageable en ce qui concerne vos données personnelles ou nos interactions.

Nous suivons une politique de conservation des données que nous appliquons aux registres sous notre responsabilité. Lorsque vos données personnelles ne sont plus nécessaires et lorsque nous n’avons pas d’exigence légale pour les conserver, nous nous assurerons qu’elles sont soit supprimées de manière sécurisée, soit stockées de façon anonyme suite à quoi les Données Personnelles ne seront plus utilisées par notre société.

10. Quels sont vos droits ?

Vous avez un certain nombre de droits en lien avec vos données personnelles. En résumé, vous avez le droit de demander : l’accès à vos données; la rectification de toute erreur dans nos fichiers; la suppression des registres lorsque ceux-ci ne sont plus obligatoires; une restriction du traitement de vos données; l’objection au traitement de vos données; la transférabilité des données et diverses informations en rapport à toute prise de décision automatisée et à tout profilage, ou au cadre des transferts internationaux. Vous avez également le droit d’effectuer une réclamation auprès de votre autorité de supervision (les détails supplémentaires sont décrits au Chapitre 11 ci-dessous). Ces droits sont définis plus en détail comme suit :

DROIT	CE QUE CA VEUT DIRE
*Accès*	Vous pouvez nous demander de : · confirmer que nous utilisons vos données personnelles; · vous fournir une copie de ces données; · vous fournir d’autres informations sur vos données personnelles comme : de quelles données nous disposons, dans quel but nous les utilisons, à qui nous les communiquons, si nous les transférons vers l’étranger et comment nous les protégeons, combien de temps nous les conservons, quels sont vos droits, comment vous pouvez soumettre une réclamation, comment nous avons obtenu vos données et si nous avons procédé à une prise de décision automatique ou à un profilage, dans la mesure où ces informations ne vous ont pas déjà été communiquées via cette Politique.
*Rectification*	Vous pouvez nous demander de rectifier des données personnelles inexactes. Nous pouvons chercher à vérifier l’exactitude des données avant de les rectifier.
*Suppression / Droit à l’Oubli*	Vous pouvez nous demander de supprimer vos données personnelles mais uniquement dans le cas où : · elles ne sont plus nécessaires aux fins pour lesquelles elles ont été collectées; ou · vous avez retiré votre accord (si le traitement des données reposait sur un accord); ou · dans le cadre d’un droit d’objection légitime (voir 'Objection' ci-dessous); ou · leur traitement est illégal; ou · cela est imposé par une obligation légale à laquelle Merlin doit se soumettre. Nous ne sommes pas tenus de donner suite à votre demande de suppression de vos données personnelles si le traitement de vos données personnelles est obligatoire : pour se conformer à une obligation légale ou pour la constatation, l’exercice ou la défense face à un recours juridique, ou dans un but d’archivage relevant de l’intérêt publique, dans un cadre de recherches scientifiques ou historiques, ou dans un but statistique. Dans le contexte du marketing, veuillez noter que nous entretiendrons une liste des suppressions si vous avez renoncé à recevoir nos offres marketing pour assurer que vous ne receviez plus de messages.
*Restriction*	Vous pouvez nous demander de restreindre (c.-à-d. conserver mais ne pas utiliser) vos données personnelles mais uniquement dans les cas où : · leur précision est contestée (voir 'Rectification' ci-dessus), pour nous permettre de vérifier leur précision; ou · leur traitement est illégal, mais vous ne souhaitez pas les effacer; ou · elles ne sont plus nécessaires aux fins auxquelles elles ont été collectées, mais nous en avons toujours besoin pour la constatation, l’exercice ou la défense face à un recours juridique; ou · vous avez exercé votre droit d’objection et la vérification du fondement de votre requête est en cours. Nous pouvons continuer à utiliser vos données personnelles suite à une demande de restriction dans les cas où : · nous avons votre accord; ou · pour la constatation, l’exercice ou la défense face à un recours juridique; ou · pour protéger les droits d’une autre personne physique ou morale.
*Transférabilité*	Vous pouvez nous demander de vous fournir vos données personnelles dans un format informatique lisible, structuré et couramment utilisé, ou vous pouvez nous demander le ‘portage’ direct vers un autre Contrôleur de Données, ces deux cas étant soumis au fait que : le traitement repose sur votre accord ou la réalisation d’un contrat passé avec vous et le traitement est effectué via des moyens automatisés.
*Objection*	Vous pouvez faire objection à tout traitement de vos données personnelles sur la base de nos ‘Intérêts Légitimes’ (voir Annexe 2 pour plus d’informations), si vous pensez que vos droits et libertés fondamentaux priment sur nos Intérêts Légitimes. Une fois votre objection émise, nous avons la possibilité de démontrer que nos Intérêts Légitimes priment sur vos droits, cependant ceci ne s’applique pas dans le cas où votre objection se rapporte à l’utilisation des données personnelles à des fins de marketing direct.

Pour exercer vos droits, vous pouvez nous contacter en suivant les indications du Chapitre 11. Si vous comptez exercer ces droits, veuillez noter :

Identité. Nous traitons sérieusement la confidentialité de tous les registres contenant des données personnelles et nous réservons le droit de vous demander de prouver votre identité en cas de demande de votre part.
Nous ne facturerons pas l’exercice de vos droits en ce qui concerne vos données personnelles, à moins que votre demande d’accès à l’information soit infondée, répétitive ou excessive, auquel cas nous vous facturerons un montant raisonnable.
Délais. Nous essayons de répondre à toutes les demandes valides dans le mois à moins qu’elles ne soient particulièrement complexes ou que vous n’ayez émis plusieurs requêtes, auquel cas nous essayons de répondre dans les trois mois. Nous vous informerons si le traitement prend plus d’un mois. Nous pourrions vous demander de nous aider en nous communiquant ce que vous souhaitez recevoir exactement ou quelles sont vos préoccupations exactes. Ceci nous aidera à répondre à votre demande plus rapidement.
Les lois locales, y compris au Royaume-Uni, imposent des exemptions supplémentaires, en particulier en ce qui concerne les droits d’accès, l’accès aux données personnelles pouvant vous être refusé sous certaines circonstances, par exemple dans le cas où celles-ci sont soumises à un privilège juridique.

11. Contact et réclamations

Le point de contact principal pour toutes les questions relatives à cette Politique, y compris les requêtes pour exercer vos droits sur les données, est notre Officier de Protection des Données. L’Officier de Protection des Données peut être contacté via les coordonnées suivantes :

Data.Protection@merlinentertainments.biz

Si vous avez une réclamation ou une préoccupation concernant notre utilisation de vos données personnelles, veuillez d’abord nous contacter et nous essayerons de résoudre le problème aussi rapidement que possible. Vous avez également le droit à tout moment de déposer une réclamation auprès de votre autorité nationale responsable de la protection des données. Au Royaume-Uni, cette autorité est l’ICO (https://ico.org.uk/). Nous vous demandons d’essayer de nous contacter en premier lieu pour résoudre tout problème, bien que vous ayez le droit de contacter votre autorité nationale à tout moment.

ANNEXE 1 – CADRE JURIDIQUE DU TRAITEMENT DE DONNEES

Activité	Type d’informations collectées	Cadre d’utilisation des informations
*Consommateur*
Mettre en place un registre dans nos systèmes de GRC (Gestion de la Relation Client)	· Coordonnées et Informations d’Engagement	· Réalisation d’un contrat · Intérêts légitimes (pour assurer que nous ayons un registre précis de tous les consommateurs avec qui nous interagissons)
Fournir une assistance et un service client	· Coordonnées, Informations d’Engagement et Données du Terminal	· Réalisation d’un contrat
Marketing	· Coordonnées, Préférences Marketing	· Intérêts légitimes (pour fournir des informations sur Merlin qui peuvent présenter de l’intérêt, pour créer des segments de public afin de procéder à du marketing ciblé, pour enrichir les données utilisées afin de distribuer des contenus marketing de manière plus personnalisée) · Accord (lorsque celui-ci est exigé par la Réglementation sur la Vie Privée et les Communications Electroniques)
Se conformer aux exigences légales et réglementaires	· Coordonnées et Informations d’Engagement	· Obligation légale

Politique de confidentialité

· elles ne sont plus nécessaires aux fins pour lesquelles elles ont été collectées; ou

· vous avez retiré votre accord (si le traitement des données reposait sur un accord); ou

· dans le cadre d’un droit d’objection légitime (voir 'Objection' ci-dessous); ou

· leur traitement est illégal; ou

· leur précision est contestée (voir 'Rectification' ci-dessus), pour nous permettre de vérifier leur précision; ou

· leur traitement est illégal, mais vous ne souhaitez pas les effacer; ou

· elles ne sont plus nécessaires aux fins auxquelles elles ont été collectées, mais nous en avons toujours besoin pour la constatation, l’exercice ou la défense face à un recours juridique; ou

· nous avons votre accord; ou

· pour la constatation, l’exercice ou la défense face à un recours juridique; ou

· pour protéger les droits d’une autre personne physique ou morale.