Dispositions générales et portée de la Politique de confidentialité

La présente Politique de confidentialité établit le cadre applicable au traitement des données à caractère personnel effectué dans le cadre de l’accès et de l’utilisation du site casinobizzoplay.it.com. Elle s’applique aux traitements réalisés par l’entité responsable de l’exploitation du service associé à Bizzo Casino, agissant en qualité de responsable du traitement ou, le cas échéant, de responsable conjoint selon les opérations considérées. Elle décrit les catégories de données traitées, les finalités poursuivies, les bases juridiques, les durées de conservation, ainsi que les droits reconnus aux personnes concernées. Elle est rédigée dans une perspective de conformité aux principes internationaux de protection des données et, lorsque pertinent, aux exigences de la législation de type GDPR, notamment la licéité, la transparence, la limitation des finalités et la minimisation. Elle vise également à encadrer la gouvernance interne, la documentation des traitements et l’accountability. Les termes employés doivent être compris conformément aux définitions usuelles en matière de protection des données, incluant « données à caractère personnel », « traitement », « destinataire » et « violation de données ».

Cadres réglementaires applicables et principes de conformité

Les opérations de traitement sont structurées pour respecter un socle commun de standards de protection des données applicable à une audience globale, en tenant compte des exigences de niveau équivalent à celles reconnues par le GDPR. Les principes de loyauté, de limitation de la conservation et d’intégrité et confidentialité constituent des axes directeurs, sous réserve des obligations légales et réglementaires locales pouvant imposer des exigences additionnelles. Dans ce contexte, l’approche adoptée privilégie la protection par défaut et dès la conception, notamment par la réduction des données collectées aux seules données nécessaires et par la limitation des accès internes. L’organisme responsable documente les décisions relatives aux finalités, aux durées et aux mesures de sécurité, afin de démontrer la conformité en cas d’audit ou de demande d’autorité. Lorsque la réglementation impose des seuils ou obligations spécifiques, ces exigences prévalent sur les pratiques internes, y compris en matière de conservation et d’identification. La gouvernance prévoit des contrôles et des revues périodiques au moins tous les 12 mois afin de maintenir la cohérence entre les pratiques opérationnelles et l’évolution des normes.

Catégories de données à caractère personnel traitées

Sont susceptibles d’être traitées les données d’identification et de contact, telles que le nom, la date de naissance, l’adresse électronique, le numéro de téléphone et les identifiants de compte nécessaires à la création et à la gestion du profil. Peuvent également être traitées des données de vérification et de conformité, incluant des informations relatives à l’identité et à l’âge, lorsque des obligations de prévention de la fraude, de lutte contre le blanchiment ou de jeu responsable l’exigent. Des données techniques peuvent être collectées, telles que l’adresse IP, les informations de navigateur, l’horodatage, les identifiants de session, ainsi que des journaux d’activité permettant d’assurer le fonctionnement, la sécurité et le diagnostic. Des données transactionnelles peuvent exister lorsqu’une opération financière est initiée, telles que l’état d’une transaction, des références de paiement pseudonymisées et des confirmations de traitement, sans que les données complètes de carte ne soient conservées lorsque des prestataires spécialisés les traitent. Des données de communication peuvent être traitées lorsque des échanges sont réalisés via les canaux d’assistance, incluant le contenu des messages et les métadonnées associées. Selon les fonctionnalités activées, des préférences et paramètres de compte peuvent être enregistrés afin d’appliquer les choix de confidentialité et de sécurité.

Modalités de collecte et sources des données

La collecte intervient principalement lors de l’enregistrement, de la configuration du compte, de la vérification d’identité, de l’utilisation des services et de la soumission de demandes d’assistance. La Politique de confidentialité couvre également la collecte indirecte, lorsque des données sont obtenues auprès de prestataires de vérification, de services de paiement ou d’outils de prévention de la fraude, dans la mesure où ces transferts sont encadrés contractuellement. La collecte automatisée concerne les données techniques et les traces de navigation nécessaires à l’établissement de sessions, à la prévention des accès non autorisés et à la stabilisation du service. Des données peuvent être générées par le système au cours de l’utilisation, telles que les journaux de sécurité, les historiques d’actions liées au compte et les paramètres de consentement, afin de garantir la traçabilité et la preuve de conformité. Lorsque des informations sont fournies volontairement dans des champs libres, elles sont traitées uniquement pour répondre à la demande exprimée et pour assurer le suivi du dossier. Le responsable du traitement met en œuvre des mécanismes visant à limiter la collecte excessive, incluant des contrôles de saisie et des règles de minimisation.

Collecte lors de l’inscription et de la gestion du compte

Lors de la création du compte, les informations exigées sont celles nécessaires à l’établissement de la relation de service et à la mise en œuvre des contrôles de conformité. Les champs obligatoires sont limités, et les éléments non indispensables sont signalés comme facultatifs lorsque la conception le permet. Les données fournies sont utilisées pour l’authentification, la gestion des accès, la prévention des usages abusifs et la continuité du service. Lorsque des vérifications renforcées sont nécessaires, des documents justificatifs peuvent être demandés et traités au moyen de canaux sécurisés. Les modifications ultérieures du profil sont enregistrées afin d’assurer la cohérence du compte et d’éviter des changements non autorisés. L’ensemble de ces opérations est régi par des règles internes d’accès restreint et de journalisation.

Collecte automatique et journaux techniques

L’infrastructure collecte des informations techniques de manière automatique afin d’assurer la disponibilité du service et la prévention des incidents. Ces données incluent des horodatages, des identifiants de session, des événements de sécurité et des indicateurs de performance, traités pour détecter des comportements anormaux et répondre à des alertes. Les paramètres du navigateur et du dispositif peuvent être utilisés pour améliorer la compatibilité et limiter les connexions frauduleuses, sous réserve des limitations imposées par les réglages de confidentialité. Les journaux servent également à établir des preuves en cas de litige, d’enquête ou de contestation, dans les limites prévues par la réglementation applicable. Des mécanismes de pseudonymisation peuvent être appliqués pour réduire les risques, notamment en séparant certains identifiants des données directement identifiantes. Les données collectées automatiquement ne sont pas utilisées pour produire des effets juridiques exclusivement automatisés sans garanties appropriées.

Bases juridiques et fondements de licéité

La licéité des traitements repose sur plusieurs bases juridiques selon la nature de l’opération, conformément aux référentiels de type GDPR applicables à une audience globale. L’exécution d’un contrat ou de mesures précontractuelles couvre la création et l’administration du compte, la fourniture des services sollicités et la gestion des opérations nécessaires à la relation. Le respect d’obligations légales s’applique lorsque des exigences réglementaires imposent des contrôles d’identité, la tenue de registres, la prévention de la fraude ou la coopération avec les autorités compétentes. L’intérêt légitime peut être mobilisé pour assurer la sécurité du site, prévenir les abus, gérer les incidents, améliorer la fiabilité technique et défendre des droits en justice, sous réserve d’une mise en balance documentée des intérêts en présence. Le consentement est utilisé lorsque la réglementation l’exige, notamment pour certaines technologies de suivi non nécessaires ou pour des choix optionnels de personnalisation. Lorsque des catégories particulières de données seraient exceptionnellement traitées, ce traitement serait encadré par une base juridique renforcée et des garanties spécifiques, en conformité avec les exigences applicables.

Finalités de traitement et articulation avec la Politique de confidentialité

Les finalités poursuivies sont déterminées, explicites et légitimes, et leur mise en œuvre est évaluée au regard des principes de minimisation et de proportionnalité. La Politique de confidentialité décrit la manière dont les données sont utilisées pour l’ouverture et l’administration du compte, l’authentification, la gestion des sessions et la continuité des services sollicités. Les données peuvent être traitées à des fins de conformité, incluant l’évaluation de risques, la détection de fraude, l’application de mesures de prévention et le traitement des signalements. Elles sont également traitées pour la gestion des demandes, réclamations et communications, afin d’assurer une traçabilité complète et une réponse cohérente. Des traitements sont nécessaires à la sécurité de l’infrastructure, y compris la supervision, l’analyse d’incidents et la mise en œuvre de contrôles d’accès, avec conservation de preuves techniques. Les informations peuvent enfin être utilisées pour répondre à des obligations de coopération légale, notamment en cas de demande valable d’une autorité publique, dans les limites prévues par le droit applicable.

Prévention de la fraude, intégrité et continuité du service

La prévention de la fraude implique l’analyse d’événements de connexion, de signaux techniques et d’indices de risque, afin d’identifier des schémas anormaux et de protéger les comptes. Des règles de sécurité peuvent entraîner des vérifications additionnelles ou des restrictions temporaires, lorsque des critères objectifs indiquent un risque accru pour l’intégrité du service. Les décisions de sécurité sont conçues pour être proportionnées, traçables et susceptibles de réexamen, en particulier lorsqu’elles ont un impact sur l’accès au compte. Les journaux et éléments probants sont conservés pour des périodes limitées, adaptées à la détection des incidents et à la défense en cas de contestation. Le responsable du traitement peut recourir à des outils d’analyse visant à réduire les faux positifs et à améliorer la précision des alertes, sans pour autant permettre une surveillance excessive. Les contrôles sont soumis à des revues internes et à des tests afin de vérifier leur efficacité.

Gestion des paiements et contrôles de conformité

Les opérations de paiement sont généralement traitées par des prestataires spécialisés, agissant en tant que responsables indépendants ou sous traitants selon l’architecture contractuelle. Les données nécessaires à l’initiation de la transaction et à la confirmation de son statut peuvent être traitées par Bizzo Casino afin d’assurer le suivi, la réconciliation et la gestion des litiges. Des contrôles de conformité peuvent exiger la conservation d’éléments justificatifs et la mise en œuvre de vérifications supplémentaires, notamment en cas d’incohérences détectées. Les données de paiement complètes ne sont pas stockées lorsque des standards de l’industrie imposent une externalisation sécurisée, et des identifiants de transaction peuvent être conservés à titre de preuve. Le traitement vise à garantir l’exactitude des enregistrements et à prévenir les transactions non autorisées. Toute utilisation secondaire des données à des fins non compatibles est exclue, sauf obligation légale ou consentement valable lorsque requis.

Conservation, archivage et suppression des données

La Politique de confidentialité prévoit que les données sont conservées pour des durées n’excédant pas ce qui est nécessaire aux finalités poursuivies, sous réserve d’obligations légales de conservation et de délais de prescription. Les données de compte actives sont conservées pendant la durée de la relation, puis placées en archivage intermédiaire lorsque cela est justifié par des obligations légales, la prévention de la fraude ou la gestion de contentieux. À titre indicatif, certaines données techniques liées à la sécurité peuvent être conservées 180 jours, sauf prolongation justifiée en cas d’incident ou d’enquête interne documentée. Les dossiers de demandes et réclamations peuvent être conservés 24 mois afin d’assurer la continuité du suivi et la preuve des échanges, sauf obligations plus longues applicables. Lorsque la réglementation impose une conservation étendue, une durée pouvant aller jusqu’à 5 ans peut être appliquée pour des enregistrements nécessaires à la conformité. À l’expiration des délais, les données sont supprimées, anonymisées ou rendues inaccessibles selon des procédures contrôlées, avec des vérifications périodiques.

Critères de détermination des durées

Les durées de conservation sont déterminées en fonction de la nature des données, des finalités, des risques, des exigences légales et de la nécessité de défendre des droits en justice. Les critères tiennent compte de la fréquence d’utilisation, de l’impact potentiel d’une conservation prolongée et de la disponibilité de solutions d’anonymisation. Les périodes peuvent être ajustées lorsqu’un compte demeure inactif pendant 12 mois, notamment par une limitation des traitements non essentiels et par l’évaluation d’une suppression graduée des éléments non requis. Les obligations de preuve et les exigences relatives à la sécurité peuvent justifier une conservation limitée mais suffisante pour investiguer des incidents et établir des constats techniques. Les demandes d’exercice des droits sont conservées pour une durée proportionnée, notamment afin de démontrer la réponse apportée et la conformité procédurale. Toute prolongation exceptionnelle est documentée et soumise à une validation interne.

Communication, partage et divulgation à des tiers

Les données peuvent être communiquées à des destinataires strictement nécessaires à l’exécution des finalités décrites, incluant des prestataires techniques, des services d’hébergement, des fournisseurs de vérification et des prestataires de paiement. Bizzo Casino encadre ces relations par des engagements de confidentialité, des clauses de sécurité, et, lorsque requis, des accords de sous traitance précisant les instructions, les finalités, les catégories de données et les obligations de suppression. La divulgation à des autorités publiques n’intervient qu’en présence d’une base légale valable, d’une demande contraignante ou d’une nécessité de coopération conforme au droit applicable. Des conseils externes, tels que des auditeurs, juristes ou consultants en sécurité, peuvent accéder à certaines informations selon le principe du besoin d’en connaître et sous obligations de confidentialité. Aucun partage n’est réalisé à des fins incompatibles avec les finalités initiales, sauf consentement valable ou obligation légale. Des contrôles de conformité des prestataires sont mis en œuvre, incluant des évaluations de sécurité et des revues contractuelles.

Transferts internationaux et traitement transfrontalier

Compte tenu d’une audience globale, certains prestataires ou infrastructures peuvent être situés dans des juridictions différentes de celle de la personne concernée, ce qui peut impliquer des transferts transfrontaliers. La Politique de confidentialité prévoit que ces transferts sont encadrés par des garanties appropriées lorsqu’un niveau de protection équivalent n’est pas reconnu, incluant des clauses contractuelles types ou des mécanismes reconnus par les cadres de type GDPR. Une évaluation du contexte de transfert peut être réalisée afin d’identifier les risques et de déterminer des mesures complémentaires, telles que le chiffrement, la pseudonymisation ou des restrictions d’accès. Les transferts sont limités aux données nécessaires et aux finalités définies, avec une traçabilité des flux et des responsabilités. Lorsque des prestataires agissent en tant que responsables indépendants, ils demeurent responsables de leur propre conformité, et des informations pertinentes sont fournies dans la mesure permise. Les personnes concernées peuvent solliciter des informations sur les garanties applicables, sous réserve des limites imposées par les secrets d’affaires et la sécurité.

Mesures de sécurité, gestion des incidents et contrôles

La sécurité des données repose sur une approche fondée sur les risques, combinant mesures techniques et organisationnelles afin de réduire la probabilité et l’impact d’un accès non autorisé, d’une altération ou d’une perte. Des contrôles d’accès, une journalisation, des procédures d’habilitation et des revues de droits sont mis en œuvre afin de limiter l’accès aux seules personnes autorisées. Le chiffrement est utilisé lorsque cela est approprié, notamment pour les transmissions et certains stockages, ainsi que des mécanismes de hachage pour les secrets d’authentification. Des sauvegardes et plans de reprise peuvent être appliqués afin de soutenir la disponibilité, avec des tests périodiques et une séparation logique des environnements. Des objectifs internes de conformité peuvent viser un taux de mise à jour de correctifs critiques d’au moins 95 % dans des fenêtres opérationnelles définies, sous réserve des contraintes de compatibilité. En cas de violation de données, des procédures d’évaluation, de confinement, de remédiation et de notification sont appliquées conformément aux exigences légales, y compris l’évaluation de la nécessité de notification à une autorité ou aux personnes concernées.

Gestion des violations de données et notifications

Une violation de données est susceptible de déclencher une analyse visant à déterminer la nature des données affectées, le volume concerné, les conséquences probables et les mesures correctives nécessaires. Lorsqu’une notification à une autorité compétente est requise, elle est effectuée dans les délais prévus par le cadre applicable, et le dossier est documenté de manière à démontrer la diligence. Si le risque pour les droits et libertés des personnes est élevé, une information aux personnes concernées peut être réalisée selon des modalités proportionnées, incluant des recommandations de protection et une description des mesures mises en œuvre. Les journaux et preuves techniques sont préservés de manière contrôlée pour soutenir l’enquête et éviter toute altération. Les causes racines font l’objet d’un traitement correctif, incluant des ajustements de configuration, des mesures disciplinaires ou des améliorations de processus lorsque cela est pertinent. Des exercices de simulation peuvent être réalisés pour tester les procédures et réduire les délais de réaction.

Droits des personnes concernées et modalités d’exercice

Les personnes concernées disposent de droits reconnus par les cadres de protection des données applicables à une audience globale, incluant l’accès, la rectification, l’effacement, la limitation, l’opposition et, lorsque applicable, la portabilité. La Politique de confidentialité précise que l’exercice de ces droits peut dépendre de conditions et d’exceptions prévues par la loi, notamment lorsque le traitement est nécessaire au respect d’une obligation légale ou à la constatation, l’exercice ou la défense de droits en justice. Les demandes sont traitées selon des procédures de vérification d’identité proportionnées, afin de prévenir la divulgation non autorisée et de protéger la confidentialité. Une réponse est fournie dans un délai usuel de 30 jours, avec possibilité de prolongation lorsque la complexité ou le volume de demandes le justifie, sous réserve d’information préalable. Lorsque la demande ne peut être satisfaite, une justification est fournie dans les limites permises par le droit applicable. Bizzo Casino maintient un registre interne des demandes afin d’assurer la traçabilité et la cohérence des réponses.

Droit d’accès, rectification et portabilité

Le droit d’accès permet d’obtenir une confirmation du traitement, ainsi que des informations sur les catégories de données, les finalités, les destinataires et les durées de conservation. La rectification s’applique lorsque des données sont inexactes ou incomplètes, sous réserve de contrôles visant à éviter des modifications frauduleuses et à préserver l’intégrité des enregistrements. La portabilité peut être applicable pour certaines données fournies et traitées par des moyens automatisés sur la base du contrat ou du consentement, dans un format structuré et couramment utilisé lorsque cela est faisable. La fourniture d’une copie peut être limitée lorsqu’elle porte atteinte aux droits et libertés d’autrui, y compris la confidentialité ou la sécurité. Des mesures de sécurité, telles que l’authentification renforcée, peuvent être exigées avant la transmission d’informations sensibles. Les délais de traitement tiennent compte de la nature des informations sollicitées et des obligations légales de conservation.

Droit d’opposition, limitation et effacement

L’opposition peut être exercée lorsque le traitement repose sur l’intérêt légitime, sous réserve que des motifs légitimes impérieux ne justifient pas la poursuite du traitement. La limitation permet de suspendre temporairement certains traitements, notamment en cas de contestation de l’exactitude des données ou d’opposition en cours d’examen. L’effacement peut être accordé lorsque les données ne sont plus nécessaires, lorsque le consentement a été retiré et qu’aucune autre base ne s’applique, ou lorsque le traitement est illicite, sous réserve des obligations de conservation et des exigences de conformité. Les données archivées pour obligations légales peuvent être rendues inaccessibles aux usages courants, tout en étant conservées de manière restreinte jusqu’à l’expiration des délais. Les mesures de suppression tiennent compte des contraintes techniques, incluant les sauvegardes, avec des cycles d’écrasement pouvant atteindre 60 jours selon les systèmes. Toute suppression est effectuée selon des procédures contrôlées afin d’éviter des pertes collatérales et de maintenir l’intégrité des journaux requis.

Technologies de cookies et traçage

Les technologies de stockage et d’accès à des informations sur un terminal, incluant les cookies et identifiants similaires, peuvent être utilisées pour assurer le fonctionnement, la sécurité et la continuité des sessions. La Politique de confidentialité décrit l’usage de ces technologies en distinguant les éléments strictement nécessaires de ceux soumis au consentement lorsque la réglementation l’exige. Les cookies nécessaires peuvent inclure des éléments d’authentification, de prévention d’abus et de configuration, sans lesquels certaines fonctionnalités ne peuvent pas fonctionner de manière fiable. Les cookies non nécessaires, lorsqu’ils existent, sont activés selon les choix exprimés via les mécanismes de consentement, avec la possibilité de retrait à tout moment. Les paramètres du navigateur peuvent permettre de contrôler le dépôt de cookies, tout en pouvant affecter l’accès et la stabilité du service. Des durées de vie peuvent varier, incluant des cookies de session supprimés à la fermeture du navigateur et des cookies persistants conservés, selon la finalité, jusqu’à 13 mois lorsque ce plafond est applicable.

Gestion du consentement et preuve

Lorsque le consentement est requis pour certaines opérations de traçage, le recueil s’effectue par une action positive claire, après une information compréhensible sur les finalités. Les choix sont enregistrés afin de démontrer la preuve du consentement et de permettre l’application cohérente des préférences, tout en limitant les données enregistrées à ce qui est nécessaire. Le retrait du consentement n’affecte pas la licéité des traitements antérieurs, mais entraîne l’arrêt des traitements concernés pour l’avenir, sous réserve de contraintes techniques raisonnables. Des contrôles sont mis en place pour éviter le redépôt non autorisé de traceurs après refus, et pour réconcilier les préférences sur des environnements multi appareils lorsque cela est possible. Les informations relatives au consentement peuvent être conservées pendant 6 mois à 2 ans selon les exigences locales et les besoins de preuve, puis renouvelées si nécessaire. Les mécanismes de consentement font l’objet d’évaluations afin de maintenir leur conformité aux recommandations des autorités compétentes.

Procédures de contact, demandes et documentation

Le traitement des demandes relatives à la vie privée est organisé afin d’assurer l’identification de la demande, la vérification de l’identité, l’instruction et la réponse dans les délais applicables. Bizzo Casino met à disposition un canal de contact dédié au traitement des demandes de protection des données, permettant de soumettre des demandes d’accès, de rectification, d’opposition ou d’effacement. Les communications sont traitées de manière confidentielle, et les informations fournies dans le cadre d’une demande sont utilisées uniquement pour instruire celle ci, prévenir la fraude et documenter la réponse. En cas de doute raisonnable sur l’identité, des informations supplémentaires peuvent être demandées, en veillant à ne pas collecter des données excessives. Lorsque la demande est manifestement infondée ou excessive, des limitations peuvent être appliquées dans les limites autorisées, incluant le refus motivé ou des frais raisonnables là où la loi le permet. Les échanges et décisions sont conservés pour une durée proportionnée afin d’assurer la traçabilité, la cohérence et la capacité de démontrer la conformité.

Modifications, entrée en vigueur et engagement de conformité lié à la Politique de confidentialité

La Politique de confidentialité est susceptible d’être modifiée afin de refléter des évolutions légales, des recommandations d’autorités, des changements de fonctionnalités, ou des ajustements des pratiques de sécurité et de gouvernance. Les modifications substantielles donnent lieu, lorsque requis, à une information préalable et à une mise à jour de la version applicable sur le site, avec indication d’une date d’entrée en vigueur et d’un historique interne de révision. Dans ce cadre, Bizzo Casino s’engage à maintenir une approche de conformité fondée sur les principes de transparence, de minimisation et de responsabilité, incluant la documentation des décisions de traitement et l’évaluation périodique des risques. Lorsque des changements affectent la base juridique, les finalités ou les catégories de données, des mesures d’information additionnelles peuvent être mises en œuvre, et un recueil de consentement peut être sollicité si le cadre applicable l’exige. La présente Politique de confidentialité confirme également que les demandes relatives aux droits et aux données feront l’objet d’un traitement diligent, avec un objectif de réponse dans un délai de 30 jours, sauf prolongation justifiée et notifiée conformément au droit applicable. Toute version antérieure demeure applicable aux traitements effectués pendant sa période de validité, sous réserve des obligations légales, et la version la plus récente prévaut pour les traitements ultérieurs. Pour toute question de conformité, de transfert international, de conservation ou de sécurité, une demande peut être adressée via les canaux de contact du site, et un dossier de traitement est ouvert afin d’assurer un suivi, une réponse motivée et une amélioration continue des contrôles associés.