Les données derrière une visite souterraine de trente minutes.

Ce site est exploité par Istanbul Tourist Information Ltd., société turque à responsabilité limitée immatriculée à Istanbul sous la licence TÜRSAB A-7812 et le numéro de TVA 3470891204. Siège social : Sultanahmet Mah. Divan Yolu Cad. 17, 34122 Fatih, Istanbul. Délégué aux données : privacy@istanbul-tourist-information.com.

Cette politique de confidentialité couvre basilicacistern-tickets.com, le site dédié à la réservation et au guide du visiteur de la Basilique Citerne. Elle ne couvre ni le site de l'opérateur municipal de la citerne, ni les revendeurs.

Quatre catégories. Rien de plus.

Coordonnées & données de réservation — nom du titulaire de la carte, e-mail, téléphone, créneau choisi, nombre de billets, langue d'audioguide en option.

Données de paiement — carte saisie sur la page hébergée par Stripe. Nous ne conservons que les quatre derniers chiffres et la marque pour ta facture.

Données d'usage — pages visitées, source de référence, type d'appareil. Anonymisées avant agrégation.

Données d'assistance — si tu nous écris, ton e-mail et notre réponse. Conservés dans notre helpdesk pendant 36 mois.

Chaque élément repose sur une base légale RGPD spécifique.

Exécution du contrat. Données de réservation — nous ne pouvons pas émettre de billet sans elles. Art. 6, § 1, b RGPD.

Obligation légale. Droit fiscal turc — conservation des registres de transactions pendant 10 ans. Art. 6, § 1, c RGPD.

Intérêt légitime. Statistiques, détection de fraude, rapports de plantage. Désactivable via le panneau cookies. Art. 6, § 1, f RGPD.

Consentement. Cookies marketing et infolettres — opt-in explicite uniquement. Art. 6, § 1, a RGPD.

Directement auprès de toi, dans le formulaire de réservation ou un e-mail au support. Nous n'achetons pas de listes de données, nous n'enrichissons pas avec des sources tierces, nous ne profilons pas ton appareil. Une exception : les données de carte vont directement à Stripe, qui nous renvoie un jeton servant de référence au paiement.

Ton dossier de réservation : référence (préfixe BC-), créneau, nom du titulaire de la carte, e-mail de contact, téléphone, nombre de billets, langue d'audioguide, montant de TVA, total payé, historique des remboursements. Liste exhaustive.

Visible par toi (via l'e-mail de confirmation) et par notre équipe support quand tu nous écris. L'agent à la porte de la citerne ne voit qu'un QR code scanné avec le nombre — sans coordonnées.

Outil helpdesk : Front. Conservation : 36 mois. Pas d'utilisation pour entraîner une IA. Pas de partage avec le marketing. Visible uniquement par l'équipe support et le délégué aux données.

GA4 avec anonymisation IP, signaux publicitaires désactivés, données démographiques désactivées. Nous voyons combien de personnes arrivent et où elles abandonnent — pas qui elles sont. Sentry pour les rapports de plantage avec masquage des données personnelles avant qu'elles ne quittent ton navigateur.

Chaque prestataire a signé un DPA avec nous. Audit annuel.

Nous ne vendons, louons, ni partageons aucune donnée à des partenaires pour leur propre marketing. Les prestataires de la section 08 sont les seuls tiers, tous agissant comme sous-traitants sur nos instructions.

Exception : injonction valable d'un tribunal ou de l'administration fiscale turque. Tu en seras informé sauf interdiction prévue par l'injonction. Cela n'est jamais arrivé dans l'histoire du site.

Dossiers de réservation — 10 ans (droit fiscal turc).

Échanges avec le support — 36 mois à compter du dernier message, ou jusqu'à demande d'effacement.

Statistiques — 24 mois dans GA4, agrégés ensuite.

Rapports de plantage — 14 jours dans Sentry.

Cookies marketing — 90 jours ou jusqu'à révocation.

Notre infrastructure principale est en UE (Francfort, Amsterdam). Stripe et Google routent certaines données via des infrastructures américaines au titre du Data Privacy Framework UE-États-Unis et de clauses contractuelles types (RGPD art. 46).

TLS 1.3 partout. Chiffrement de la base de données au repos. Authentification à deux facteurs obligatoire pour tous les comptes du personnel. Tests d'intrusion trimestriels par une société de sécurité turque. Engagement de notification de violation sous 72 heures (plus strict que la base RGPD).

Huit droits au titre du RGPD (UE) et du KVKK (Türkiye).

Nous ne collectons pas sciemment de données concernant des moins de 16 ans. Un parent peut réserver une entrée enfant — le titulaire de la carte est le parent, et seuls les prénoms des enfants apparaissent sur le voucher.

Modifications substantielles : préavis e-mail de 30 jours avant entrée en vigueur. Modifications mineures : publiées sans notification, le numéro de version augmente dans l'en-tête.