Politique de confidentialité
Dernière mise à jour:
Le site web virtualzonevr.com (ci-après, « VirtualZone ») est la propriété de Virtual Zone Nexus, S.L. (ci-après, « VZ »), dont le numéro d’identification fiscale (CIF) est B42692533 et le siège social se situe Plaza de los Luceros, 17, Planta 1, 03004, Alicante, Espagne. E-mail : info@virtualzone.es. Immatriculée au Registre du commerce d’Alicante, tome 4280, folio 32, feuille A-168908, inscription 1.
La présente politique de confidentialité régit le traitement des données personnelles des utilisateurs (ci-après, les « Utilisateurs ») par VZ dans le cadre du site web et des services fournis dans ses centres.
VZ traite les données personnelles conformément au règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (RGPD), à la loi organique 3/2018 du 5 décembre relative à la protection des données personnelles et à la garantie des droits numériques (LOPDGDD), et à la loi 34/2002 du 11 juillet relative aux services de la société de l’information et au commerce électronique (LSSI).
VZ se réserve le droit de modifier le contenu de la présente politique de confidentialité pour l’adapter aux évolutions législatives ou jurisprudentielles, ainsi qu’aux critères de l’Agence espagnole de protection des données (AEPD) ou du Comité européen de la protection des données (CEPD).
1. Qui est responsable du traitement de vos données personnelles ?
Le responsable du traitement des données personnelles collectées via ce site web et les centres de Virtual Zone en Espagne est Virtual Zone Nexus, S.L., dont le numéro d’identification fiscale (CIF) est B42692533, le siège social se situe Plaza de los Luceros, 17, Alicante, Espagne, et l’e-mail est info@virtualzone.es.
Champ d’application territorial de la présente politique. La présente politique de confidentialité régit les traitements de données réalisés par Virtual Zone Nexus, S.L. dans le cadre du site web et des centres qu’elle exploite en Espagne, à La Haye (Pays-Bas) et à Pune (Inde), ce dernier dans les conditions décrites à la section 7.3. Les centres exploités en France (Paris, Bordeaux et Lyon) sont gérés par Virtual Zone Francia, société affiliée qui agit en tant que responsable de traitement autonome et indépendant à l’égard des données personnelles qu’elle collecte. Cette entité dispose, ou doit disposer, de sa propre politique de confidentialité. La présente politique ne s’applique pas aux traitements réalisés par Virtual Zone Francia.
2. Quels principes appliquons-nous au traitement de vos données personnelles ?
- Licéité, loyauté et transparence : nous ne traitons vos données que lorsque nous disposons d’une base juridique valable (contrat, consentement, obligation légale ou intérêt légitime), et nous vous en informons clairement au préalable.
- Minimisation des données : nous ne demandons que les données strictement nécessaires à chaque finalité.
- Limitation de la conservation : nous ne conservons les données que le temps nécessaire à leur finalité (voir section 6).
- Intégrité et confidentialité : nous appliquons des mesures techniques et organisationnelles pour garantir la sécurité de vos données, conformément à l’art. 32 du RGPD.
3. Comment avons-nous obtenu vos données personnelles ?
Les données personnelles traitées par VZ proviennent :
- Du formulaire de réservation (site web, tablettes dans nos locaux, par téléphone ou en personne) : nom et prénom, numéro de pièce d’identité, téléphone et adresse e-mail. VZ ne collecte jamais les données de carte bancaire ni les identifiants de paiement ; le processus de paiement est géré directement par la passerelle de paiement correspondante (voir section 7).
- Des formulaires d’accès aux salles (autorisation de mineur, décharges de responsabilité) : les données décrites dans chaque formulaire, collectées au moment de l’expérience.
- Des e-mails et demandes reçus à nos adresses de contact.
- Des images et vidéos captées pendant l’expérience, avec l’autorisation expresse préalable de l’Utilisateur ou, dans le cas des mineurs, de leur parent ou représentant légal.
L’Utilisateur est responsable de l’exactitude des données fournies et de leur mise à jour.
4. Quelle est la base juridique du traitement de vos données personnelles ?
Conformément à l’art. 6 du RGPD, la base juridique du traitement varie selon la finalité :
| Finalité | Base juridique | Disposition |
|---|---|---|
| Gestion de la réservation et fourniture du service contracté | Exécution d’un contrat | Art. 6.1.b) RGPD |
| Facturation et obligations fiscales | Obligation légale | Art. 6.1.c) RGPD |
| Réponse aux demandes soumises par e-mail | Mesures précontractuelles / intérêt légitime | Art. 6.1.b) et f) RGPD |
| Envoi de communications commerciales et promotionnelles | Consentement exprès, libre et spécifique (case distincte, non pré-cochée) | Art. 6.1.a) RGPD ; art. 21 LSSI |
| Captation et utilisation d’images/vidéos comme souvenir personnel | Consentement exprès de l’Utilisateur (ou de son représentant légal, s’il est mineur) | Art. 6.1.a) RGPD ; art. 92 LOPDGDD |
| Diffusion commerciale d’images/vidéos | Consentement exprès, spécifique et différencié | Art. 6.1.a) RGPD ; art. 92 LOPDGDD |
| Cookies d’analyse et de personnalisation | Consentement préalable de l’Utilisateur | Art. 22 LSSI |
Important : le consentement à recevoir des communications commerciales et à la diffusion commerciale d’images n’est jamais une condition pour réserver ou participer à l’expérience. Il est demandé séparément et peut être retiré à tout moment sans affecter la fourniture du service.
5. À quelles fins traitons-nous vos données personnelles ?
5.1. Formulaire de réservation
Les données du formulaire de réservation sont traitées pour gérer la réservation, fournir le service contracté et informer l’Utilisateur à son sujet.
5.2. Images et vidéos pendant l’expérience
Les images et vidéos collectées pendant l’expérience sont traitées, avec autorisation expresse, aux fins suivantes, auxquelles l’Utilisateur peut consentir de manière indépendante :
- Surveillance de l’expérience par l’équipe de VZ, afin de garantir le bon déroulement de l’activité et de veiller à la sécurité des participants.
- Envoi d’une vidéo récapitulative ou d’images comme souvenir de l’expérience, adressé exclusivement aux participants du groupe.
- Diffusion commerciale ou promotionnelle (réseaux sociaux, site web ou autres canaux) d’images de participants adultes, uniquement si le participant a donné son consentement exprès, spécifique et différencié à cette fin. Virtual Zone n’utilise pas d’images ou de vidéos représentant des mineurs à des fins commerciales.
5.3. Autres finalités
- Respect des obligations légales et réponse aux demandes des autorités compétentes.
- Amélioration de nos produits et services.
- Gestion de notre présence sur les réseaux sociaux, conformément aux conditions d’utilisation et aux politiques de confidentialité de chaque plateforme. Pour plus d’informations sur l’utilisation des cookies, consultez notre politique de cookies.
6. Combien de temps conservons-nous vos données personnelles ?
Les données personnelles seront conservées pendant les durées suivantes :
- Données de réservation et de fourniture du service : pendant la durée de la relation contractuelle et, ensuite, pendant les délais de prescription applicables aux éventuelles actions en justice qui en découlent (généralement jusqu’à 5 ans, selon le délai de prescription général des actions personnelles).
- Données à des fins fiscales et comptables : pendant la durée légalement requise (généralement 6 ans en vertu du Code de commerce, sans préjudice des délais fiscaux spécifiques).
- Images et vidéos souvenirs personnels : conservées pendant une durée maximale de 6 mois à compter de leur envoi à l’adulte responsable de la réservation, sauf si la personne concernée demande une suppression anticipée, auquel cas VZ les supprimera dans un délai maximum de 30 jours suivant la réception de la demande.
- Images et vidéos à des fins commerciales (en cas de consentement) : jusqu’au retrait du consentement par la personne concernée, sous réserve d’une révision périodique de sa validité. Elles ne seront jamais conservées « indéfiniment ».
- Données traitées sur la base du consentement (marketing) : jusqu’au retrait du consentement par l’Utilisateur.
7. Qui reçoit vos données personnelles ? Sous-traitants et transferts internationaux
Vos données personnelles ne seront ni vendues, ni louées, ni divulguées à des tiers sans votre consentement exprès ou une obligation légale de le faire. Pour fournir ses services, VZ fait appel aux prestataires suivants, qui agissent en tant que sous-traitants au sens de l’art. 28 du RGPD :
7.1. Prestataires établis dans l’Union européenne
| Prestataire | Finalité | Remarques |
|---|---|---|
| Connectif (Espagne) | Automatisation marketing et gestion des communications clients | Établi dans l’UE ; n’implique pas de transfert international de données. |
| Redsys | Passerelle de paiement (TPE en ligne et Bizum), connectée à Banco Santander | Établi en Espagne ; n’implique pas de transfert international de données. |
7.2. Prestataires impliquant des transferts internationaux de données (hors Espace économique européen)
Lorsqu’un prestataire est situé hors de l’Espace économique européen (EEE), le RGPD exige que le transfert repose sur une décision d’adéquation de la Commission européenne (art. 45 du RGPD) ou sur des garanties appropriées, telles que les clauses contractuelles types (CCT) (art. 46 du RGPD). La situation de chaque prestataire est détaillée ci-dessous :
| Prestataire | Finalité | Pays | Fondement du transfert |
|---|---|---|---|
| Mailchimp (The Rocket Science Group LLC, filiale d’Intuit Inc.) | Envoi d’e-mails transactionnels | États-Unis | Cadre de protection des données UE–États-Unis (Data Privacy Framework), avec des clauses contractuelles types intégrées comme garantie supplémentaire en cas d’invalidation ou d’inapplicabilité de ce cadre. |
| Google Analytics (Google LLC) | Mesure de l’utilisation du site web et analyse statistique de la navigation | États-Unis | Cadre de protection des données UE–États-Unis (Data Privacy Framework), avec des clauses contractuelles types intégrées comme garantie supplémentaire. |
| PayPal | Passerelle de paiement (option de paiement alternative) | États-Unis / Luxembourg | Clauses contractuelles types (PayPal ne participe pas au Data Privacy Framework). |
Remarque sur la stabilité de ce régime : le cadre de protection des données UE–États-Unis (Data Privacy Framework) a été adopté par une décision d’adéquation de la Commission européenne le 10 juillet 2023, en remplacement de l’ancien « Privacy Shield », invalidé par la Cour de justice de l’Union européenne en 2020 (arrêt Schrems II, affaire C-311/18). Le nouveau cadre a résisté à un premier recours devant le Tribunal de l’UE en septembre 2025, bien que cet arrêt ait fait l’objet d’un pourvoi et que le cadre reste en cours de révision. VZ examinera périodiquement le statut de certification de ses prestataires et, si nécessaire, adoptera des garanties supplémentaires.
7.3. Centre de Pune (Inde) et autres centres internationaux
Outre ses centres en Espagne, VZ exploite un centre à Pune (Inde) et un centre à La Haye (Pays-Bas). Le centre de La Haye est exploité sous Virtual Zone Nexus, S.L. et est régi par la présente politique. Étant situé dans un pays de l’Union européenne, il n’implique pas de transfert international de données hors de l’Espace économique européen.
Le centre de Pune partage un système de gestion des réservations et des données utilisateurs avec le siège espagnol, auquel Virtual Zone Nexus, S.L. accède depuis l’Espagne. L’Inde ne bénéficie pas d’une décision d’adéquation de la Commission européenne (art. 45 du RGPD), de sorte que cet accès constitue un transfert international de données soumis au chapitre V du RGPD, couvert par les garanties appropriées prévues à l’art. 46 du RGPD.
7.4. Centres exploités par Virtual Zone Francia
Les centres de Paris, Bordeaux et Lyon sont exploités par Virtual Zone Francia, société affiliée qui agit en tant que responsable de traitement autonome et indépendant. La présente politique ne s’applique pas aux données personnelles collectées par cette entité.
7.5. Nexus Consultores
VZ peut faire appel à Nexus Consultores en tant que sous-traitant pour des services de conseil liés à l’activité de VZ, agissant toujours selon les instructions de VZ et avec les garanties requises par l’art. 28 du RGPD.
7.6. Réseaux sociaux
VZ est présente sur les réseaux sociaux (Facebook, Instagram, YouTube et d’autres qu’elle pourrait utiliser à l’avenir). Le traitement des données des abonnés de ces profils est régi par la présente politique et, en outre, par les conditions d’utilisation et les politiques de confidentialité de chaque réseau social. VZ ne partage pas les données personnelles des abonnés via ces plateformes au-delà de ce que le réseau social lui-même permet.
7.7. Capacité et centres
Virtual Zone Nexus, S.L. exploite actuellement les centres suivants : Alicante, Valence, Manises (Valence), Murcie, Séville, Bilbao, Madrid (2 salles), La Haye (Pays-Bas) et Pune, Inde (2 salles). La liste des centres peut être mise à jour à mesure que de nouveaux centres ouvrent ; la version actuelle est toujours disponible sur virtualzonevr.com.
8. Quels sont vos droits concernant vos données personnelles ?
En vertu du RGPD, vous disposez des droits suivants :
- Accès : connaître les données vous concernant que nous traitons, à quelle fin et leur origine.
- Rectification : corriger des données inexactes ou incomplètes.
- Effacement : demander la suppression de vos données lorsqu’elles ne sont plus nécessaires, que vous retirez votre consentement, que vous vous opposez au traitement ou que le traitement a été illicite.
- Opposition : vous opposer au traitement de vos données pour des motifs légitimes, en particulier en matière de prospection directe.
- Limitation du traitement : demander la limitation du traitement dans les cas prévus à l’art. 18 du RGPD.
- Portabilité : recevoir vos données dans un format structuré et couramment utilisé, et les transmettre à un autre responsable.
- Retrait du consentement : retirer, à tout moment, le consentement donné pour une finalité spécifique, sans affecter la licéité du traitement effectué avant ce retrait.
Vous pouvez exercer ces droits en contactant Virtual Zone Nexus, S.L., par écrit à l’adresse indiquée à la section 1, ou par e-mail à info@virtualzone.es, avec pour objet « Exercice des droits en matière de protection des données » et une copie de votre pièce d’identité.
Si vous estimez que le traitement de vos données n’est pas conforme à la réglementation applicable, vous avez le droit d’introduire une réclamation auprès de l’Agence espagnole de protection des données (AEPD), C/ Jorge Juan, 6, 28001 Madrid (www.aepd.es).
9. Mineurs
Conformément à l’art. 7 de la LOPDGDD, le traitement des données personnelles d’un mineur ne peut reposer sur son propre consentement qu’à partir de 14 ans. En deçà de cet âge, le consentement doit être donné par le parent ou le représentant légal du mineur.
L’âge minimum recommandé pour accéder aux expériences de Virtual Zone est de 8 ans pour les expériences culturelles et de 10 ans pour les expériences gaming. Cet âge d’accès est distinct de l’âge numérique du consentement (14 ans) : pour les mineurs participant à une expérience entre l’âge minimum d’accès et 14 ans, le consentement au traitement de leurs données personnelles doit toujours être donné par leur parent ou représentant légal, et non par le mineur lui-même, indépendamment du fait que le mineur participe physiquement à l’activité. Cette distinction est reflétée dans le formulaire d’autorisation de mineur.
Les réservations effectuées via le site web ne peuvent être réalisées que par une personne majeure (plus de 18 ans), qui agira en tant que responsable de la réservation et, le cas échéant, des mineurs qui l’accompagnent.
10. Mesures de sécurité
VZ applique des mesures techniques et organisationnelles appropriées pour garantir la sécurité des données personnelles, y compris la pseudonymisation et le chiffrement lorsque cela est pertinent, conformément à l’art. 32 du RGPD. En cas de violation de données personnelles, VZ notifiera les personnes concernées et l’AEPD dans les termes et délais prévus à l’art. 33 du RGPD, le cas échéant.