Politique de Vie Privée

Introduction : Chez Super SARL, nous respectons votre vie privée et nous nous engageons à protéger vos données personnelles. Cette politique de confidentialité explique comment nous collectons, utilisons, stockons et partageons vos informations personnelles lorsque vous utilisez nos services de commerce électronique, conformément au Règlement général sur la protection des données (RGPD) de l'UE et aux lois françaises applicables (y compris les règles ePrivacy). Nous visons à présenter ces informations de manière claire et accessible, conformément aux exigences de transparence du GDPR. En utilisant notre site web ou nos services, vous acceptez les pratiques décrites dans la présente politique. Si vous n'êtes pas d'accord, veuillez vous abstenir d'utiliser nos services.

1. Contrôleur et délégué à la protection des données (DPD) Contact

Responsable du traitement : Le responsable du traitement de vos informations est Super SARL (opérant sous le nom de "Cognac Expert"), une société française à responsabilité limitée, située au 1 Rue de Commerce, 75001 Paris, France. Vous pouvez nous contacter par email à [email protected] ou par courrier à l'adresse ci-dessus. Délégué à la protection des données : Nous avons nommé un délégué à la protection des données (DPD) pour superviser la conformité. Vous pouvez contacter notre DPD pour toute question ou demande concernant vos données à caractère personnel à l'adresse [email protected].. Le DPD peut vous aider à exercer vos droits ou à répondre à toute préoccupation concernant la manière dont nous traitons vos données.

2. Définitions

La déclaration de protection des données de Super SARL est basée sur les termes utilisés par le législateur européen pour l'adoption du Règlement général sur la protection des données (RGPD). Notre déclaration de protection des données doit être lisible et compréhensible pour le grand public, ainsi que pour nos clients et partenaires commerciaux.Dans la présente déclaration de protection des données, nous utilisons notamment les termes suivants:a) Données à caractère personnel

Les données à caractère personnel désignent toute information relative à une personne physique identifiée ou identifiable ("personne concernée"). Une personne physique identifiable est une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne ou à un ou plusieurs éléments spécifiques propres à l'identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale de cette personne physique.

b) Personne concernée
La personne concernée est toute personne physique identifiée ou identifiable dont les données à caractère personnel sont traitées par le responsable du traitement.

c) Traitement
Le traitement est toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction.

d) Restriction du traitement
La limitation du traitement est le marquage des données à caractère personnel stockées dans le but de limiter leur traitement à l'avenir.

e) Profilage
On entend par profilage toute forme de traitement automatisé de données à caractère personnel consistant à utiliser des données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des aspects concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique.
Nous utilisons occasionnellement des outils d'IA générative (OpenAI, Gemini, Claude) avec des données pseudonymisées pour rédiger des réponses d'assistance et des descriptions de produits ; aucune décision automatisée ayant des effets juridiques n'est prise.

f) Pseudonymisation
La pseudonymisation est le traitement de données à caractère personnel de telle sorte que les données à caractère personnel ne peuvent plus être attribuées à une personne concernée spécifique sans l'utilisation d'informations supplémentaires, à condition que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles pour garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable.

g) Contrôleur ou responsable du traitement
Le contrôleur ou le responsable du traitement est la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement des données à caractère personnel ; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l'Union ou des États membres, le contrôleur ou les critères spécifiques pour sa désignation peuvent être prévus par le droit de l'Union ou des États membres.

h) Sous-traitant
Le sous-traitant est une personne physique ou morale, une autorité publique, un service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.

i) Destinataire
Le destinataire est une personne physique ou morale, une autorité publique, une agence ou un autre organisme auquel les données à caractère personnel sont communiquées, qu'il s'agisse ou non d'un tiers. Toutefois, les autorités publiques qui peuvent recevoir des données à caractère personnel dans le cadre d'une enquête particulière conformément au droit de l'Union ou des États membres ne sont pas considérées comme des destinataires ; le traitement de ces données par ces autorités publiques doit être conforme aux règles applicables en matière de protection des données en fonction des finalités du traitement.

En cas de litige de consommation, les données à caractère personnel pertinentes pour le dossier peuvent être partagées avec l'organisme de médiation désigné, Sas Médiation Solution (France), uniquement dans le but de résoudre le litige. La base juridique est l'article 6, paragraphe 1, point f), du RGPD (intérêt légitime dans la résolution extrajudiciaire des conflits).

j) Tiers
Un tiers est une personne physique ou morale, une autorité publique, une agence ou un organisme autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, sous l'autorité directe du responsable du traitement ou du sous-traitant, sont autorisées à traiter les données à caractère personnel.

k) Consentement
Le consentement de la personne concernée est toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par une action positive claire, que des données à caractère personnel la concernant fassent l'objet d'un traitement.

3. Nom et adresse du responsable du traitement

Le contrôleur aux fins du Règlement général sur la protection des données (RGPD), d'autres lois sur la protection des données applicables dans les États membres de l'Union européenne et d'autres dispositions relatives à la protection des données est :

Super SARL
135 Route de Bordeaux
Le Moulin de L'Abbaye
16400 La Couronne
France

Courriel : [email protected]

Site web : https://www.cognac-expert.com/fr/ et tous ses sous-domaines, y compris, mais sans s'y limiter, les suivants blog.cognac-expert.com

4. Nom et adresse du délégué à la protection des données

Virginia Wenz

135 Route de Bordeaux
Le Moulin de L'Abbaye
16400 La Couronne
France

Courriel : [email protected]

Site web : https://www.cognac-expert.com/fr/

Toute personne concernée peut, à tout moment, nous contacter directement pour nous faire part de ses questions et suggestions concernant la protection des données.

5. Cookies et technologie de suivi

Les pages Internet de Super SARL utilisent des cookies. Les cookies sont des fichiers texte qui sont stockés dans un système informatique par l'intermédiaire d'un navigateur Internet.

De nombreux sites Internet et serveurs utilisent des cookies. De nombreux cookies contiennent ce que l'on appelle un identifiant de cookie. L'ID du cookie est un identifiant unique du cookie. Il s'agit d'une chaîne de caractères qui permet d'attribuer les pages Internet et les serveurs au navigateur Internet spécifique dans lequel le cookie a été stocké. Cela permet aux sites Internet et aux serveurs visités de différencier le navigateur individuel du sujet des données des autres navigateurs Internet qui contiennent d'autres cookies. Un navigateur Internet spécifique peut être reconnu et identifié à l'aide de l'identifiant unique du cookie.

Grâce à l'utilisation de cookies, la Super SARL peut fournir aux utilisateurs de ce site Web des services plus conviviaux qui ne seraient pas possibles sans le paramétrage des cookies.

Grâce aux cookies, les informations et les offres de notre site web peuvent être optimisées en fonction de l'utilisateur. Les cookies nous permettent, comme indiqué précédemment, de reconnaître les utilisateurs de notre site web. Le but de cette reconnaissance est de faciliter l'utilisation de notre site web par les utilisateurs. L'utilisateur du site web qui utilise des cookies, e.g., n'a pas besoin de saisir des données d'accès à chaque fois qu'il accède au site web, car ces données sont prises en charge par le site web et le cookie est donc stocké sur le système informatique de l'utilisateur. Un autre exemple est le cookie d'un panier d'achat dans une boutique en ligne. Le magasin en ligne se souvient des articles qu'un client a placés dans le panier virtuel par le biais d'un cookie.

La personne concernée peut, à tout moment, empêcher la mise en place de cookies par le biais de notre site Internet au moyen d'un réglage correspondant du navigateur Internet utilisé, et peut ainsi refuser de manière permanente la mise en place de cookies. En outre, les cookies déjà installés peuvent être supprimés à tout moment par le biais d'un navigateur Internet ou d'autres logiciels. Cela est possible dans tous les navigateurs Internet courants. Si la personne concernée désactive l'installation de cookies dans le navigateur Internet utilisé, il se peut que certaines fonctions de notre site Internet ne soient pas entièrement utilisables.

Nous accordons de l'importance à votre vie privée. Nous utilisons des cookies et des technologies similaires pour faire fonctionner notre site, mesurer ses performances et vous présenter des offres pertinentes. Les cookies non essentiels (analyse et marketing) sont désactivés par défaut et ne seront installés que si vous y consentez. Vous pouvez modifier ou retirer votre choix à tout moment en cliquant sur "Cookie consent" dans le coin inférieur gauche du site web. Voir ci-dessous pour plus de détails (nom du cookie, fournisseur, finalité et date d'expiration).

Conformément à la directive "vie privée et communications électroniques" et aux lignes directrices de la CNIL, les cookies non essentiels (tels que les cookies d'analyse, de personnalisation ou de publicité) ne sont activés qu'après que vous avez donné votre consentement explicite via notre bannière de cookies. Ces cookies sont bloqués par défaut et ne seront stockés dans votre navigateur qu'après avoir cliqué sur "Accepter" ou géré vos préférences. Vous pouvez retirer ou modifier votre consentement à tout moment en cliquant sur Consentement aux cookies dans le coin inférieur gauche.

Nom du cookie Fournisseur Objectif Expiration
cf_clearance Cloudflare Confirme qu'un utilisateur a passé un test de sécurité (e.g., CAPTCHA) et qu'il n'est pas un robot. 365 jours
cookiesplus https://www.cognac-expert.com/fr/ Stocke vos préférences en matière de cookies. 1 an
last_visit Cognac Expert Enregistre la dernière visite de l'utilisateur dans la boutique. 365 jours
dernière_visite_blog Cognac Expert Enregistre la date de la dernière visite de l'utilisateur sur le blog. 365 jours
noShowNPS Cognac Expert Permet d'éviter qu'une fenêtre contextuelle d'enquête NPS (Net Promoter Score) ne s'affiche à nouveau si l'utilisateur l'a rejetée. 365 jours
PHP_SESSID https://www.cognac-expert.com/fr/ Ce cookie natif de PHP permet aux sites web de stocker des données d'état sérialisées. Il est utilisé pour établir une session utilisateur et pour transmettre des données d'état via un cookie temporaire, communément appelé cookie de session. Session
popupdisplay# Cognac Expert Permet de savoir si une fenêtre contextuelle spécifique (e.g., newsletter) a été montrée à l'utilisateur. 365 jours
popupdisplaylastclose Cognac Expert Enregistre l'heure à laquelle une fenêtre contextuelle a été fermée pour la dernière fois, afin de retarder sa réapparition. 365 jours
PrestaShop-# https://www.cognac-expert.com/fr/ Ce cookie permet de garder les sessions des utilisateurs ouvertes pendant qu'ils visitent un site web, et les aide à effectuer des commandes et bien d'autres opérations telles que : la date d'ajout du cookie, la langue sélectionnée, la devise utilisée, la dernière catégorie de produit visitée, les derniers produits vus, l'identification du client, le nom, le prénom, le mot de passe crypté, l'email lié au compte, l'identification du panier d'achat. 6000 heures
__stripe_mid Stripe Cookie de prévention des fraudes Stripe. Identifie l'utilisateur et empêche les transactions frauduleuses entre les sessions. 365 jours
_clck Microsoft Clarity Cookie d'identification de l'utilisateur Microsoft Clarity. Conserve l'identifiant de l'utilisateur à travers les sessions pour les cartes thermiques et les analyses. 365 jours
clsk Microsoft Clarity Cookie de session Microsoft Clarity. Connecte plusieurs pages vues en une seule session. 365 jours
_ga Google Enregistre un identifiant unique qui est utilisé pour générer des données statistiques sur la façon dont le visiteur utilise le site web. 2 ans
_ga_# Google Utilisé par Google Analytics pour collecter des données sur le nombre de fois qu'un utilisateur a visité le site web ainsi que les dates de la première et de la dernière visite. 2 ans
cto_bundle Criteo Stocke un identifiant unique pour identifier les utilisateurs à travers les sessions pour la personnalisation des annonces. 365 jours
_fbp Facebook Utilisé par Facebook pour fournir une série de produits publicitaires tels que les enchères en temps réel d'annonceurs tiers. 3 mois

6. Collecte de données et d'informations générales

Le site web de Super SARL recueille une série de données et d'informations générales lorsqu'une personne concernée ou un système automatisé consulte le site web. Ces données et informations générales sont stockées dans les fichiers journaux du serveur. Les données collectées peuvent être (1) le type et la version du navigateur utilisé, (2) le système d'exploitation utilisé par le système accédant, (3) le site web à partir duquel un système accédant atteint notre site web (ce que l'on appelle les référents), (4) les sous-sites web, (5) la date et l'heure d'accès au site Internet, (6) une adresse de protocole Internet (adresse IP), (7) le fournisseur de services Internet du système accédant, et (8) toute autre donnée et information similaire pouvant être utilisée en cas d'attaques sur nos systèmes de technologie de l'information.

En utilisant ces données et informations générales, Super SARL ne tire aucune conclusion sur la personne concernée. Ces informations sont plutôt nécessaires pour (1) fournir correctement le contenu de notre site web, (2) optimiser le contenu de notre site web ainsi que sa publicité, (3) assurer la viabilité à long terme de nos systèmes informatiques et de la technologie de notre site web, et (4) fournir aux autorités chargées de l'application de la loi les informations nécessaires aux poursuites pénales en cas de cyber-attaque. C'est pourquoi la Super SARL analyse statistiquement les données et informations collectées de manière anonyme, dans le but d'accroître la protection et la sécurité des données de notre entreprise et d'assurer un niveau optimal de protection des données à caractère personnel que nous traitons. Les données anonymes des fichiers journaux du serveur sont stockées séparément de toutes les données personnelles fournies par une personne concernée.

La personne concernée a la possibilité de s'inscrire sur le site web du responsable du traitement en indiquant ses données personnelles. Les données à caractère personnel transmises au responsable du traitement sont déterminées par le masque de saisie utilisé pour l'enregistrement. Les données à caractère personnel saisies par la personne concernée sont collectées et stockées exclusivement pour un usage interne par le responsable du traitement, et pour ses propres besoins. Le responsable du traitement peut demander le transfert à un ou plusieurs sous-traitants (e.g. un service de colis) qui utilise également les données à caractère personnel pour une finalité interne qui est imputable au responsable du traitement.

Lors de l'enregistrement sur le site web du responsable du traitement, l'adresse IP - attribuée par le fournisseur d'accès à Internet (FAI) et utilisée par la personne concernée - la date et l'heure de l'enregistrement sont également stockées. Le stockage de ces données se fait dans la mesure où il s'agit du seul moyen d'empêcher l'utilisation abusive de nos services et, le cas échéant, de permettre d'enquêter sur les infractions commises. Dans la mesure où la conservation de ces données est nécessaire pour assurer la sécurité du responsable du traitement. Ces données ne sont pas transmises à des tiers, à moins qu'il n'existe une obligation légale de les transmettre ou que la transmission serve à des fins de poursuites pénales.

L'enregistrement de la personne concernée, avec l'indication volontaire de données à caractère personnel, vise à permettre au responsable du traitement d'offrir à la personne concernée des contenus ou des services qui ne peuvent être offerts qu'aux utilisateurs enregistrés en raison de la nature du sujet en question. Les personnes enregistrées sont libres de modifier à tout moment les données à caractère personnel indiquées lors de l'enregistrement, ou de les faire supprimer complètement du stock de données du responsable du traitement.

Le responsable du traitement fournit à tout moment à chaque personne concernée, sur demande, des informations sur les données à caractère personnel stockées à son sujet. En outre, le responsable du traitement rectifie ou efface les données à caractère personnel à la demande ou sur indication de la personne concernée, dans la mesure où il n'existe pas d'obligations légales de conservation. L'ensemble des employés du responsable du traitement sont à la disposition de la personne concernée en tant que personnes de contact.

Données relatives aux enfants

Nos services s'adressent uniquement aux adultes. Nous ne collectons ni ne sollicitons sciemment des données à caractère personnel auprès de personnes âgées de moins de 18 ans (l'âge légal pour consommer de l'alcool en France). Si vous avez moins de 18 ans, n'essayez pas de vous inscrire sur notre site, de passer une commande ou de nous envoyer des informations personnelles.

Si nous apprenons que nous avons recueilli par inadvertance des données personnelles auprès d'une personne de moins de 18 ans sans vérification du consentement parental, nous supprimerons ces informations le plus rapidement possible. Notre lettre d'information est destinée aux personnes âgées de 18 ans ou plus. Nous ne collectons ni ne traitons sciemment des données personnelles concernant des mineurs. Si vous pensez que nous détenons des informations sur une personne de moins de 18 ans, veuillez contacter notre DPD à l'adresse [email protected] afin que nous puissions les supprimer.

7. Inscription à nos lettres d'information

Sur le site Internet de Super SARL, les utilisateurs ont la possibilité de s'abonner à la lettre d'information de notre entreprise. Le masque de saisie utilisé à cet effet détermine quelles données à caractère personnel sont transmises, ainsi que le moment où la lettre d'information est commandée auprès du responsable du traitement.

La Super SARL informe régulièrement ses clients et partenaires commerciaux par le biais d'une lettre d'information sur les offres de l'entreprise. La newsletter de l'entreprise ne peut être reçue par la personne concernée que si (1) la personne concernée dispose d'une adresse e-mail valide et (2) la personne concernée s'inscrit pour l'envoi de la newsletter. Un courriel de confirmation sera envoyé à l'adresse électronique enregistrée par une personne concernée pour la première fois pour l'envoi de la lettre d'information, pour des raisons juridiques, dans le cadre de la procédure de double consentement. Cet e-mail de confirmation sert à prouver que le propriétaire de l'adresse e-mail en tant que personne concernée est autorisé à recevoir la lettre d'information.

Lors de l'inscription à la lettre d'information, nous enregistrons également l'adresse IP du système informatique attribuée par le fournisseur d'accès à Internet (FAI) et utilisée par la personne concernée au moment de l'inscription, ainsi que la date et l'heure de l'inscription. La collecte de ces données est nécessaire pour comprendre l'utilisation abusive (éventuelle) de l'adresse électronique d'une personne concernée à une date ultérieure, et elle sert donc l'objectif de la protection juridique du responsable du traitement.

Les données à caractère personnel collectées dans le cadre d'une inscription à la lettre d'information ne seront utilisées que pour l'envoi de notre lettre d'information. En outre, les abonnés à la lettre d'information peuvent être informés par e-mail, pour autant que cela soit nécessaire au fonctionnement du service de la lettre d'information ou de l'inscription en question, comme cela peut être le cas en cas de modification de l'offre de la lettre d'information, ou en cas de changement des circonstances techniques.

Suivi de la lettre d'information

Le bulletin d'information de Super SARL contient des pixels de suivi. Un pixel de suivi est un graphique miniature intégré dans de tels e-mails, qui sont envoyés au format HTML pour permettre l'enregistrement et l'analyse des fichiers journaux. Cela permet une analyse statistique du succès ou de l'échec des campagnes de marketing en ligne. Sur la base du pixel de suivi intégré, la Super SARL peut voir si et quand un e-mail a été ouvert par une personne concernée, et quels liens dans l'e-mail ont été appelés par les personnes concernées.

Ces données personnelles collectées dans les pixels de suivi contenus dans les lettres d'information sont stockées et analysées par le responsable du traitement afin d'optimiser l'envoi de la lettre d'information et d'adapter encore mieux le contenu des futures lettres d'information aux intérêts de la personne concernée. Ces données à caractère personnel ne seront pas transmises à des tiers. Les personnes concernées ont à tout moment le droit de révoquer la déclaration de consentement distincte émise au moyen de la procédure de double consentement. Après une révocation, ces données personnelles seront supprimées par le responsable du traitement. La Super SARL considère automatiquement le retrait de la réception de la lettre d'information comme une révocation.

9. Possibilité de contact via le site web

Le site web de Super SARL contient des informations qui permettent un contact électronique rapide avec notre entreprise, ainsi qu'une communication directe avec nous, qui comprend également une adresse générale de ce que l'on appelle le courrier électronique (adresse e-mail). Si une personne concernée contacte le responsable du traitement par e-mail ou via un formulaire de contact, les données personnelles transmises par la personne concernée sont automatiquement stockées. Les données à caractère personnel transmises volontairement par une personne concernée au responsable du traitement sont stockées dans le but de traiter ou de contacter la personne concernée. Il n'y a pas de transfert de ces données à caractère personnel à des tiers.

10. Fonction de révision sur le site web

La Super SARL offre aux utilisateurs la possibilité de laisser des commentaires individuels sur les pages des produits, qui se trouvent sur le site Web du responsable du traitement.

Si une personne concernée laisse une évaluation de produit sur la boutique publiée sur ce site Web, les commentaires faits par la personne concernée sont également stockés et publiés, ainsi que des informations sur la date du commentaire et sur l'utilisateur (pseudonyme) choisi par la personne concernée. En outre, l'adresse IP attribuée par le fournisseur d'accès à Internet (FAI) à la personne concernée est également enregistrée. L'enregistrement de l'adresse IP a lieu pour des raisons de sécurité et au cas où la personne concernée violerait les droits de tiers ou publierait un contenu illégal par l'intermédiaire d'un commentaire donné. L'enregistrement de ces données personnelles est donc dans l'intérêt du responsable du traitement des données, afin qu'il puisse se disculper en cas d'infraction. Ces données personnelles collectées ne seront pas transmises à des tiers, à moins qu'un tel transfert ne soit requis par la loi ou qu'il ne serve à la défense du responsable du traitement.

11. Fonction commentaires sur le site web

La Super SARL offre aux utilisateurs la possibilité de laisser des commentaires individuels sur les contributions individuelles d'un blog, qui se trouve sur le site web du responsable du traitement. Un blog est un portail web accessible au public, sur lequel une ou plusieurs personnes appelées blogueurs ou web-blogueurs peuvent publier des articles ou écrire des pensées dans ce que l'on appelle des billets de blog. Les billets de blog peuvent généralement être commentés par des tiers.

Si une personne concernée laisse un commentaire sur le blog publié sur ce site web, les commentaires de la personne concernée sont également enregistrés et publiés, ainsi que des informations sur la date du commentaire et sur l'utilisateur (pseudonyme) choisi par la personne concernée. En outre, l'adresse IP attribuée par le fournisseur d'accès à Internet (FAI) à la personne concernée est également enregistrée. L'enregistrement de l'adresse IP a lieu pour des raisons de sécurité et au cas où la personne concernée violerait les droits de tiers ou publierait un contenu illégal par l'intermédiaire d'un commentaire donné. L'enregistrement de ces données personnelles est donc dans l'intérêt du responsable du traitement des données, afin qu'il puisse se disculper en cas d'infraction. Ces données personnelles collectées ne seront pas transmises à des tiers, à moins qu'un tel transfert ne soit requis par la loi ou qu'il ne serve à la défense du responsable du traitement.

12. Droits de la personne concernée

a) Droit de confirmation
Chaque personne concernée a le droit, accordé par le législateur européen, d'obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant font ou ne font pas l'objet d'un traitement. Si une personne concernée souhaite faire usage de ce droit de confirmation, elle peut, à tout moment, contacter n'importe quel employé du responsable du traitement.

b) Droit d'accès
Chaque personne concernée a le droit, accordé par le législateur européen, d'obtenir à tout moment du responsable du traitement des informations gratuites sur les données à caractère personnel la concernant qui sont conservées, ainsi qu'une copie de ces informations. En outre, les directives et règlements européens accordent à la personne concernée l'accès aux informations suivantes :

    • les finalités du traitement ;

    • les catégories de données à caractère personnel concernées

    • les destinataires ou catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, en particulier les destinataires dans les pays tiers ou les organisations internationales ;

    • dans la mesure du possible, la durée envisagée de conservation des données à caractère personnel ou, si cela n'est pas possible, les critères utilisés pour déterminer cette durée ;

    • l'existence du droit de demander au responsable du traitement la rectification ou l'effacement des données à caractère personnel, ou la limitation du traitement des données à caractère personnel concernant la personne concernée, ou de s'opposer à un tel traitement ;

    • l'existence du droit d'introduire une réclamation auprès d'une autorité de contrôle ;

    • lorsque les données à caractère personnel ne sont pas collectées auprès de la personne concernée, toute information disponible sur leur source ;

    • l'existence d'une prise de décision automatisée, y compris le profilage, visée à l'article 22, paragraphes 1 et 4, du GDPR et, au moins dans ces cas, des informations utiles sur la logique utilisée, ainsi que sur l'importance et les conséquences envisagées de ce traitement pour la personne concernée.

En outre, la personne concernée a le droit d'obtenir des informations sur le transfert éventuel de données à caractère personnel vers un pays tiers ou une organisation internationale. Si tel est le cas, la personne concernée a le droit d'être informée des garanties appropriées relatives au transfert.
Si une personne concernée souhaite faire usage de ce droit d'accès, elle peut, à tout moment, contacter n'importe quel employé du responsable du traitement.
c) Droit de rectification
Chaque personne concernée dispose du droit accordé par le législateur européen d'obtenir du responsable du traitement, dans un délai raisonnable, la rectification des données à caractère personnel inexactes la concernant. Compte tenu des finalités du traitement, la personne concernée a le droit de faire compléter les données à caractère personnel incomplètes, y compris en fournissant une déclaration complémentaire.
Si une personne concernée souhaite exercer ce droit de rectification, elle peut, à tout moment, contacter n'importe quel employé du responsable du traitement.

d) Droit à l'effacement (droit à l'oubli)

  • Chaque personne concernée a le droit, accordé par le législateur européen, d'obtenir du responsable du traitement l'effacement sans délai excessif des données à caractère personnel la concernant, et le responsable du traitement a l'obligation d'effacer sans délai excessif les données à caractère personnel lorsque l'un des motifs suivants s'applique, aussi longtemps que le traitement n'est pas nécessaire :

    • Les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d'une autre manière.

    • La personne concernée retire le consentement sur lequel le traitement est fondé conformément à l'article 6, paragraphe 1, point a), du GDPR, ou à l'article 9, paragraphe 2, point a), du GDPR, et lorsqu'il n'existe pas d'autre motif légal pour le traitement.

    • La personne concernée s'oppose au traitement conformément à l'article 21, paragraphe 1, du GDPR et il n'existe pas de motifs légitimes impérieux pour le traitement, ou la personne concernée s'oppose au traitement conformément à l'article 21, paragraphe 2, du GDPR.

    • Les données à caractère personnel ont fait l'objet d'un traitement illicite.

    • Les données à caractère personnel doivent être effacées pour respecter une obligation légale en vertu du droit de l'Union ou de l'État membre à laquelle le responsable du traitement est soumis.

    • Les données à caractère personnel ont été collectées dans le cadre de l'offre de services de la société de l'information visée à l'article 8, paragraphe 1, du RGPD.

    • Conformément à l'article 85 de la loi Informatique & Libertés, vous avez le droit de définir des directives relatives à la conservation, à l'effacement et à la communication de vos données à caractère personnel après votre décès. Ces directives peuvent être générales (enregistrées auprès d'un tiers de confiance numérique certifié) ou particulières (nous être adressées directement). Vous pouvez également désigner une personne chargée d'exécuter ces directives. En l'absence de telles instructions, vos héritiers peuvent exercer certains droits, notamment d'accès ou de suppression, si cela s'avère nécessaire pour le règlement de votre succession.

Si l'une des raisons susmentionnées s'applique et qu'une personne concernée souhaite demander l'effacement des données à caractère personnel stockées par la Super SARL, elle peut, à tout moment, contacter n'importe quel employé du responsable du traitement. Un employé de Super SARL veillera rapidement à ce que la demande d'effacement soit exécutée immédiatement.
Lorsque le responsable du traitement a rendu publiques des données à caractère personnel et qu'il est tenu, en vertu de l'article 17, paragraphe 1, d'effacer ces données, il prend des mesures raisonnables, y compris d'ordre technique, pour informer les autres responsables du traitement qui traitent les données à caractère personnel que la personne concernée a demandé l'effacement, par ces responsables, de tout lien vers ces données à caractère personnel, ou de toute copie ou reproduction de ces données, dans la mesure où le traitement n'est pas nécessaire. Les employés de Super SARL prendront les mesures nécessaires dans les cas individuels.

e) Droit à la limitation du traitement
Chaque personne concernée a le droit, accordé par le législateur européen, d'obtenir du responsable du traitement la limitation du traitement lorsque l'un des éléments suivants s'applique :

    • L'exactitude des données à caractère personnel est contestée par la personne concernée, pendant une période permettant au responsable du traitement de vérifier l'exactitude des données à caractère personnel.

    • Le traitement est illicite et la personne concernée s'oppose à l'effacement des données à caractère personnel et demande à la place la limitation de leur utilisation.

    • Le responsable du traitement n'a plus besoin des données à caractère personnel aux fins du traitement, mais la personne concernée en a besoin pour la constatation, l'exercice ou la défense d'un droit en justice.

    • La personne concernée s'est opposée au traitement conformément à l'article 21, paragraphe 1, du GDPR en attendant de vérifier si les motifs légitimes du responsable du traitement l'emportent sur ceux de la personne concernée.

Si l'une des conditions susmentionnées est remplie et qu'une personne concernée souhaite demander la limitation du traitement des données personnelles stockées par la Super SARL, elle peut à tout moment contacter n'importe quel employé du responsable du traitement. L'employé de la Super SARL s'occupera de la restriction du traitement.

f) Droit à la portabilité des données
Chaque personne concernée a le droit, accordé par le législateur européen, de recevoir les données à caractère personnel la concernant, qui ont été fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine. Elle a le droit de transmettre ces données à un autre responsable du traitement sans entrave de la part du responsable du traitement auquel les données à caractère personnel ont été fournies, tant que le traitement est fondé sur le consentement conformément à l'article 6, paragraphe 1, point a), du GDPR ou à l'article 9, paragraphe 2, point a), du GDPR, ou sur un contrat conformément à l'article 6, paragraphe 1, point b), du RGPD, et que le traitement est effectué par des moyens automatisés, tant que le traitement n'est pas nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement.
En outre, dans l'exercice de son droit à la portabilité des données conformément à l'article 20, paragraphe 1, du RGPD, la personne concernée a le droit d'obtenir que les données à caractère personnel soient transmises directement d'un responsable du traitement à un autre, lorsque cela est techniquement possible et que cela ne porte pas atteinte aux droits et libertés d'autrui.
Pour faire valoir son droit à la portabilité des données, la personne concernée peut à tout moment contacter n'importe quel employé de Super SARL.

g) Droit d'opposition
Chaque personne concernée dispose du droit accordé par le législateur européen de s'opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement de données à caractère personnel la concernant, fondé sur l'article 6, paragraphe 1, point e) ou f), du RGPD. Ceci s'applique également au profilage fondé sur ces dispositions.
La Super SARL ne traitera plus les données à caractère personnel en cas d'opposition, à moins que nous puissions démontrer des motifs légitimes impérieux pour le traitement qui prévalent sur les intérêts, les droits et les libertés de la personne concernée, ou pour la constatation, l'exercice ou la défense de droits en justice.
Si la Super SARL traite des données à caractère personnel à des fins de marketing direct, la personne concernée a le droit de s'opposer à tout moment au traitement des données à caractère personnel la concernant à de telles fins de marketing. Ceci s'applique au profilage dans la mesure où il est lié à ce marketing direct. Si la personne concernée s'oppose à la Super SARL au traitement à des fins de marketing direct, la Super SARL ne traitera plus les données personnelles à ces fins.
En outre, la personne concernée a le droit, pour des raisons tenant à sa situation particulière, de s'opposer au traitement des données à caractère personnel la concernant par la Super SARL à des fins de recherche scientifique ou historique, ou à des fins statistiques conformément à l'article 89, paragraphe 1, du GDPR, à moins que le traitement ne soit nécessaire à l'exécution d'une mission effectuée pour des raisons d'intérêt public.
Pour exercer son droit d'opposition, la personne concernée peut contacter n'importe quel employé de Super SARL. En outre, la personne concernée est libre, dans le cadre de l'utilisation des services de la société de l'information et nonobstant la directive 2002/58/CE, d'utiliser son droit d'opposition par des moyens automatisés utilisant des spécifications techniques.

h) Prise de décision individuelle automatisée, y compris le profilage
Chaque personne concernée dispose du droit accordé par le législateur européen de ne pas être soumise à une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, qui produit des effets juridiques à son égard ou qui l'affecte de manière significative de façon similaire, tant que la décision (1) n'est pas nécessaire à la conclusion, ou l'exécution d'un contrat entre la personne concernée et un responsable du traitement, ou (2) n'est pas autorisée par le droit de l'Union ou des États membres auquel le responsable du traitement est soumis et qui prévoit également des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée, ou (3) n'est pas fondée sur le consentement explicite de la personne concernée.
Si la décision (1) est nécessaire à la conclusion ou à l'exécution d'un contrat entre la personne concernée et un responsable du traitement, ou (2) si elle est fondée sur le consentement explicite de la personne concernée, la Super SARL met en œuvre des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée, au moins du droit d'obtenir une intervention humaine de la part du responsable du traitement, d'exprimer son point de vue et de contester la décision.
Si la personne concernée souhaite exercer les droits relatifs à la prise de décision individuelle automatisée, elle peut, à tout moment, contacter n'importe quel employé de Super SARL.

i) Droit de retirer le consentement à la protection des données
Chaque personne concernée a le droit, accordé par le législateur européen, de retirer à tout moment son consentement au traitement des données à caractère personnel la concernant.
Si la personne concernée souhaite exercer le droit de retirer son consentement, elle peut, à tout moment, contacter n'importe quel employé de Super SARL.

Si vous estimez que vos droits en matière de protection des données ont été violés, vous pouvez déposer une plainte auprès de l'autorité de contrôle française, la Commission Nationale de l'Informatique et des Libertés (CNIL - 3 Place de Fontenoy, 75007 Paris ; www.cnil.fr).

j) Nous répondons aux demandes des personnes concernées dans un délai d'un mois à compter de leur réception. Dans les cas complexes ou si nous recevons de nombreuses demandes de votre part, nous pouvons prolonger ce délai jusqu'à deux mois supplémentaires ; dans ce cas, nous vous en informerons dans le délai initial d'un mois.

13. Données personnelles que nous collectons et comment nous les utilisons

Transferts internationaux et garanties

Certains de nos prestataires de services, partenaires ou infrastructures techniques peuvent être situés en dehors de l'Espace économique européen (EEE), y compris dans des pays qui ne bénéficient pas d'une décision d'adéquation de la Commission européenne.

Dans de tels cas, nous veillons à ce que des garanties appropriées soient mises en place pour protéger vos données à caractère personnel conformément à l'article 46 du GDPR. Ces garanties peuvent inclure

  • Clauses contractuelles types (CCN) adoptées par la Commission européenne
  • Participation au cadre de protection des données EU-U.S. (pour les fournisseurs U.S. )
  • Des mesures techniques et organisationnelles supplémentaires, le cas échéant

Vous pouvez demander une copie de ces garanties ou de plus amples informations en nous contactant à [email protected].

Finalité du traitement Données à caractère personnel (catégories) Base juridique Période de conservation Transferts internationaux
Enregistrement et gestion du compte - Données d'identité (nom, nom d'utilisateur)
- Données de contact (courriel, téléphone)
- Références de connexion (mot de passe) 		Exécution du contrat (article 6, paragraphe 1, point b), du RGPD) Tant que le compte existe ; les données sont effacées/anonymisées dans les 30 jours suivant la suppression du compte (sauf obligation légale de conservation) Aucune - données stockées au sein de l'UE
Traitement et livraison des commandes - Données d'identité et de contact (nom, adresse de livraison, courriel, téléphone)
- Détails de la commande (articles, numéro de commande)
- Informations sur le paiement (identifiant de la transaction ; les détails complets de la carte sont traités par le fournisseur de paiement) 		Exécution du contrat (article 6, paragraphe 1, point b))
Obligation légale (article 6, paragraphe 1, point c)) - fiscalité et comptabilité 		Jusqu'à la fin de la commande, puis archivées pendant 10 ans pour se conformer à la législation française en matière d'enregistrement financier Partenaires d'expédition (UE) ; entreprises de traitement des paiements (hors UE en vertu des CSC)
Paiements - Identifiants de paiement (identifiant de la commande, référence de la transaction)
- Nom et adresse de facturation
- Informations partielles sur la carte (4 derniers chiffres, s'ils sont stockés) 		Exécution du contrat (article 6, paragraphe 1, point b))
Obligation légale - lutte contre la fraude et réglementation financière 		Nous ne stockons pas les numéros de carte complets ; le prestataire de services de paiement conserve les données conformément aux exigences légales ; nous conservons les enregistrements de confirmation pendant 10 ans Entreprise de traitement des paiements en dehors de l'UE - transferts dans le cadre des CSC
Service clientèle et communications - Données de contact (nom, courriel, téléphone)
- Contenu de la correspondance (courriels d'assistance, journaux de discussion)
- Informations pertinentes sur le compte ou la commande 		Exécution du contrat - pour prendre en charge vos commandes
Intérêts légitimes (article 6, paragraphe 1, point f)) - pour améliorer le service et résoudre les problèmes 		Conservées pendant 2 ans après la résolution du problème ; plus longtemps si cela est nécessaire pour des réclamations juridiques en cours Oui - les outils d'assistance basés sur l'IA peuvent traiter des données sur le site U.S.; données d'assistance standard stockées dans l'UE
Marketing et lettre d'information - Données de contact (nom, courriel)
- Préférences marketing
- Données d'engagement (ouverture des courriels, clics sur les liens) 		Consentement (article 6, paragraphe 1, point a)) - doit être accepté ; peut être retiré à tout moment Jusqu'à ce que vous vous désinscriviez ; données supprimées/anonymisées dans les 30 jours suivant la désinscription ; liste de suppression (courrier électronique uniquement) conservée indéfiniment pour honorer les désistements Le fournisseur de services de courrier électronique peut être situé en dehors de l'UE (e.g., U.S.) en vertu du cadre de protection des données de la CSC / EU-U.S.
Analyse et amélioration - Identifiants en ligne (adresse IP, identifiants de cookies)
- Données relatives à l'appareil et au navigateur
- Données d'utilisation (pages consultées, clics, temps passé sur le site) 		Consentement (pour les cookies non essentiels)
Intérêts légitimes (pour les analyses anonymes ou strictement nécessaires) 		Jusqu'à 12 mois pour les données analytiques identifiables, conformément aux instructions de Google Analytics ; les données anonymes/agrégées sont conservées plus longtemps pour l'analyse des tendances Oui - les fournisseurs de services d'analyse (e.g. Google Analytics) peuvent traiter les données en dehors de l'UE ; anonymisation de l'IP et CSC en place ; pas de cookies d'analyse sans consentement
Recommandations personnalisées - Données de profil (commandes antérieures, liste de souhaits)
- Préférences et historique de navigation 		Intérêts légitimes (Art. 6(1)(f)) - pour adapter les suggestions
(Vous pouvez vous désinscrire du profilage/des recommandations à tout moment) 		Historique de navigation : 1 an ; historique des achats : tant que le compte existe Aucun - traitement au sein de l'UE ; pas de partage de données avec des tiers, sauf si le client a donné son accord
Prévention de la fraude et sécurité - Données relatives au compte et à la commande
- Données relatives à l'appareil/techniques (IP, ID de l'appareil, historique de connexion)
- Indicateurs de fraude (vérification du paiement, listes noires) 		Intérêts légitimes (article 6, paragraphe 1, point f)) - protéger la plateforme et les utilisateurs
Obligation légale - se conformer aux réglementations anti-fraude 		Dossiers de fraude : jusqu'à 5 ans en cas de signalement ; journaux de sécurité : 6 à 12 mois, sauf en cas d'enquête Oui - certains outils de sécurité (e.g. CDN, DDoS) peuvent traiter des adresses IP en dehors de l'UE ; les fournisseurs sont liés par des CSC ou des garanties équivalentes

14. Dispositions relatives à la protection des données pour les applications suivantes

Objectif / Service Catégories de données Base juridique Période de conservation Destinataires / Transfert vers un pays tiers
Boutique en ligne (PrestaShop / WooCommerce) Données de commande, de base, de paiement, de journal Article 6, paragraphe 1, point b) 10 ans Hébergement UE
Paiement (Stripe, PayPal) Données relatives aux paiements et aux appareils Article 6, paragraphe 1, point b) 10 ans USA → SCC
Banque / Comptabilité (Qonto) Données relatives aux comptes et aux transactions Article 6, paragraphe 1, point c) (obligation légale) 10 ans UE (France) qonto.com
Paiements transfrontaliers (Wise) Données de paiement et d'identification Article 6 (1) b / c 5-10 ans UK/USA → SCC wise.com
Logistique du transport maritime (Upela, Aftership, Colissimo/La Poste) Données relatives aux contacts et aux colis Article 6, paragraphe 1, point b) Livraison + 2 ans UE (La Poste) colissimo.entreprise.laposte.fr
Service client (Zendesk, Slack) Emails d'assistance et journaux de chat Article 6, paragraphe 1, point f) 3 ans après la conclusion USA → SCC slack.com
Opérations internes (G-Suite, Git, Metabase) Courriels, documents, métadonnées d'engagement, rapports Article 6, paragraphe 1, point f Spécifique au projet + 10 ans d'archivage États-Unis → CCN (Google), serveurs de l'UE (base de données auto-hébergée)
Hébergement / Infrastructure (OVH, Cloudflare CDN, Backblaze Backups) Adresses IP, journaux des serveurs, sauvegardes Article 6, paragraphe 1, point f Journaux 12 mois, sauvegardes 30 jours EU (OVH), USA → SCC (Cloudflare, Backblaze) us.ovhcloud.com, cloudflare.com, backblaze.com
Personnalisation et analyse (Google Analytics 4, Microsoft Clarity, Criteo) Identifiants de cookies, données d'utilisation, IP tronquée Article 6 (1) a 24 mois USA → SCC
Emails marketing (Mailchimp) Nom, courriel, pixel de suivi Article 6, paragraphe 1, point a Nous conservons votre adresse électronique à des fins de marketing jusqu'à ce que vous retiriez votre consentement. Après le retrait, elle est conservée sur une liste de suppression pendant 30 jours pour éviter tout nouvel envoi. USA → SCC
Meta (Facebook, Instagram) - Annonces et interactions directes Coordonnées (e.g., nom, courriel, téléphone), informations démographiques, centres d'intérêt (fournis par l'utilisateur ou dérivés), messages fournis par l'utilisateur. Article 6, paragraphe 1, point a) (consentement, pour les annonces publicitaires et si vous envoyez des messages publicitaires via Messenger sur la base d'un consentement préalable) Aussi longtemps que nécessaire aux fins de la prospection et du service à la clientèle, ou jusqu'au retrait du consentement. Maximum 24 mois pour les données sur les prospects sans interaction ultérieure. USA → SCC (Meta Platforms, Inc.) facebook.com, instagram.com
Meta (Facebook, Instagram) - Publicité ciblée (audiences personnalisées, audiences similaires), Page Insights Données client hachées (pour Custom Audiences), identifiants utilisateur Facebook/Instagram, informations sur l'appareil, adresse IP, données d'interaction (e.g., vues, clics, likes sur votre page/annonces). Remarque : pour Page Insights, vous êtes responsables conjoints du traitement avec Meta. Article 6, paragraphe 1, point a) (consentement, pour les pixels de suivi, le reciblage via des audiences personnalisées basées sur les visites du site web et certains ciblages comportementaux) / Article 6, paragraphe 1, point f) (intérêt légitime, en tant que responsable conjoint du traitement pour Page Insights, reconnaissant la responsabilité principale de Meta en ce qui concerne le consentement de l'utilisateur pour le traitement de sa plateforme). Données détenues par Meta conformément à leurs politiques. Votre conservation des données Custom Audience téléchargées est distincte. La conservation des données de Page Insights est déterminée par l'accord de contrôleur conjoint de Meta. États-Unis → SCC (Meta Platforms, Inc.) facebook.com, instagram.com
Assistants IA :
- Cursor (éditeur de code)
- OpenAI / ChatGPT
- Gemini (Google AI)
- Claude (Anthropic)
- Sora (génération de vidéos et d'images)
- Adobe Express (suppression de l'arrière-plan et éditeur d'images) 		Contenu de l'invite/du fichier, métadonnées éventuelles, images, projet d'IA générative (pas de décisions automatisées) Article 6, paragraphe 1, point f) (intérêt légitime) ou point a) (si les images contiennent des personnes) Max. 30 jours / par finalité ; Mode de confidentialité du curseur = 0 jour cursor.com openai.com, - USA → SCC (tous) workspace.google.com
Prévention de la fraude (FraudLabsPro) Données relatives aux paiements et aux appareils, Geo-IP Article 6, paragraphe 1, point f) 24 mois Malaisie → SCC

15. Base juridique du traitement

L'art. 6 (1) lit. a GDPR sert de base juridique aux opérations de traitement pour lesquelles nous obtenons un consentement pour une finalité de traitement spécifique. Si le traitement des données à caractère personnel est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie, comme c'est le cas, par exemple, lorsque les opérations de traitement sont nécessaires à la fourniture de biens ou à la prestation de tout autre service, le traitement est fondé sur l'article 6, paragraphe 1, point b), du RGPD. Il en va de même pour les traitements nécessaires à l'exécution de mesures précontractuelles, par exemple dans le cas de demandes de renseignements concernant nos produits ou services. Si notre entreprise est soumise à une obligation légale exigeant le traitement de données à caractère personnel, par exemple pour remplir des obligations fiscales, le traitement est fondé sur l'art. 6 (1) lit. c GDPR. Dans de rares cas, le traitement des données à caractère personnel peut être nécessaire pour protéger les intérêts vitaux de la personne concernée ou d'une autre personne physique. Ce serait le cas, par exemple, si un visiteur était blessé dans notre entreprise et que son nom, son âge, ses données d'assurance maladie ou d'autres informations vitales devaient être communiquées à un médecin, à un hôpital ou à un autre tiers. Le traitement serait alors fondé sur l'article 6, paragraphe 1, point d), du RGPD. 6 (1) lit. d GDPR. Enfin, le traitement pourrait être fondé sur l'article 6, paragraphe 1, point f), du RGPD. Cette base juridique est utilisée pour les opérations de traitement qui ne sont couvertes par aucun des fondements juridiques susmentionnés, si le traitement est nécessaire aux fins des intérêts légitimes poursuivis par notre société ou par un tiers, sauf lorsque ces intérêts sont supplantés par les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel. Ces traitements sont d'autant plus autorisés qu'ils ont été spécifiquement mentionnés par le législateur européen. Il a estimé qu'un intérêt légitime pouvait être présumé si la personne concernée est un client du responsable du traitement (considérant 47, deuxième phrase, du GDPR).

16. Les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers

Lorsque le traitement des données personnelles est basé sur l'article 6 (1) lit. f GDPR, notre intérêt légitime est de mener nos activités en faveur du bien-être de tous nos employés et des actionnaires.

17. Durée de conservation des données à caractère personnel

Le critère utilisé pour déterminer la période de stockage des données personnelles est la période de conservation légale respective, conformément à l'article 14. À l'expiration de ce délai, les données correspondantes sont systématiquement supprimées, dans la mesure où elles ne sont plus nécessaires à l'exécution du contrat ou à l'initiation d'un contrat.

18. Sécurité des données et notification des violations

Nous prenons au sérieux la sécurité de vos données à caractère personnel et avons mis en œuvre des mesures techniques et organisationnelles appropriées pour les protéger contre l'accès non autorisé, la perte accidentelle, la destruction ou la divulgation.

Dans le cas improbable d'une violation de données à caractère personnel, nous évaluerons rapidement la situation. Si la violation est susceptible d'entraîner un risque pour vos droits et libertés, nous en informerons l'autorité compétente en matière de protection des données (e.g. CNIL) dans les 72 heures, conformément à l'article 33 du GDPR. Si la violation est susceptible d'entraîner un risque élevé pour vous, nous vous en informerons également dans les meilleurs délais conformément à l'article 34.

Nous maintenons un protocole de réponse aux violations et documentons tous les incidents, même si aucune notification n'est légalement requise. Si vous avez des inquiétudes ou si vous soupçonnez une utilisation abusive de vos données, veuillez nous contacter immédiatement à l'adresse [email protected].

19. Fourniture de données à caractère personnel en tant qu'exigence légale ou contractuelle ; exigence nécessaire à la conclusion d'un contrat ; obligation de la personne concernée de fournir les données à caractère personnel ; conséquences éventuelles de la non-fourniture de ces données

Nous précisons que la fourniture de données à caractère personnel est en partie requise par la loi (e.g. ) ou peut également résulter de dispositions contractuelles (e.g. ). Il est parfois nécessaire, pour conclure un contrat, que la personne concernée nous fournisse des données à caractère personnel que nous devons ensuite traiter. La personne concernée est, par exemple, tenue de nous fournir des données à caractère personnel lorsque notre entreprise signe un contrat avec elle. La non-fourniture des données à caractère personnel aurait pour conséquence que le contrat avec la personne concernée ne pourrait pas être conclu. Avant que la personne concernée ne fournisse des données à caractère personnel, elle doit contacter l'un de nos employés. L'employé précise à la personne concernée si la fourniture des données à caractère personnel est requise par la loi ou le contrat ou si elle est nécessaire à la conclusion du contrat, s'il existe une obligation de fournir les données à caractère personnel et les conséquences de la non-fourniture des données à caractère personnel.

20. Conservation des données

Nous ne conservons vos données à caractère personnel que pendant la durée nécessaire à la réalisation des objectifs pour lesquels elles ont été collectées, y compris pour satisfaire aux obligations légales, contractuelles et comptables.

Catégorie de données Période de conservation Objectif
Données du compte client Pendant que le compte est actif, puis jusqu'à 5 ans après la dernière connexion ou commande Gestion du compte, préférences, historique des achats
Données relatives aux commandes et aux livraisons
  • Données opérationnelles (nom, adresse, suivi) : 6 ans
  • Factures et documents d'expédition : 10 ans
 Exécution des commandes, comptabilité et respect de la législation
Données de paiement
  • Numéros de carte complets (PAN/CVV) : jamais stockés
  • Jetons de transaction : 6 ans
  • Factures : 10 ans
 Paiements sécurisés, détection des fraudes, obligations légales
Interactions avec le service clientèle 3 ans après le dernier contact entrant ou sortant Assistance à la clientèle, traitement des plaintes, résolution des litiges

21. Base juridique

En vertu du règlement général de l'UE sur la protection des données (RGPD), nous devons identifier une base légale pour chaque finalité pour laquelle nous traitons vos données à caractère personnel. Le tableau ci-dessous explique quelles sont ces finalités et les bases légales sur lesquelles nous nous appuyons.

Activité de traitement Finalité Base juridique (Art. 6 GDPR)
Enregistrement et gestion du compte Créer et gérer votre compte client Nécessité contractuelle (article 6, paragraphe 1, point b))
Traitement des commandes et livraison Accepter, exécuter et expédier vos commandes
  • Nécessité contractuelle (article 6, paragraphe 1, point b))
  • Obligation légale en matière de fiscalité/commerce (article 6, paragraphe 1, point c))
Traitement des paiements Traiter les paiements en toute sécurité et prévenir la fraude
  • Nécessité contractuelle (article 6, paragraphe 1, point b))
  • Intérêt légitime - prévention de la fraude (article 6, paragraphe 1, point f))
Communications avec le service clientèle Traiter les demandes, les réclamations et l'assistance après-vente Intérêt légitime - assistance à la clientèle (article 6, paragraphe 1, point f))
Lettre d'information et courriels de marketing Envoi d'informations sur les produits et de promotions Consentement (article 6, paragraphe 1, point a)) - vous pouvez vous désinscrire à tout moment
Cookies d'analyse et de performance Améliorer les performances du site et l'expérience de l'utilisateur Consentement (article 6, paragraphe 1, point a))
Conformité réglementaire et comptabilité Satisfaire aux obligations fiscales, comptables et légales Obligation légale (article 6, paragraphe 1, point c))

22. Transferts internationaux de données

Certains de nos prestataires de services sont situés en dehors de l'Espace économique européen (EEE), principalement aux États-Unis et au Royaume-Uni. Lorsque nous transférons vos données à caractère personnel à ces prestataires, nous nous appuyons sur l'une des garanties reconnues par le GDPR pour assurer un niveau de protection adéquat.

Processeur Service / Finalité Pays Sauvegarde du transfert DPA / Documents sur la protection de la vie privée
Backblaze Sauvegardes cryptées États-Unis CSC + évaluation de l'impact sur le transfert Politique de confidentialité
Cloudflare CDN & sécurité États-Unis Cadre de protection des données UE-USA Cloudflare DPA
FedEx Données d'expédition et de douane États-Unis CSCs + Transfer-Impact-Assessment FedEx Privacy
Google Analytics 4 Analyse du site web États-Unis Cadre de protection des données UE-États-Unis + région de données de l'UE Google DPA
Mailchimp (Intuit) E-mails de marketing États-Unis Cadre de protection des données UE-USA Mailchimp DPA
Meta (Facebook) Annonces et remarketing États-Unis Cadre de protection des données de l'UE et des États-Unis Meta DPA
Microsoft Clarity Analyse de session États-Unis CSC + évaluation de l'impact du transfert Microsoft DPA
OpenAI / Azure-OpenAI Outils de rédaction AI États-Unis SCCs + Transfer-Impact-Assessment (invites pseudonymisées) DPA OpenAI
Entrepôt Pelican US Exécution des commandes États-Unis CSC + évaluation de l'impact du transfert Contrat interne
Slack (Salesforce) Support et communication interne États-Unis d'Amérique Cadre de protection des données UE-USA Slack DPA
Stripe Traitement des paiements États-Unis d'Amérique Cadre de protection des données de l'UE et des États-Unis Stripe DPA
Sage Paiements internationaux Royaume-Uni Décision d'adéquation du Royaume-Uni (UE 2021/1772) Wise Privacy
Zendesk Tickets d'assistance à la clientèle États-Unis d'Amérique Cadre de protection des données UE-USA Zendesk DPA

Nous réexaminons régulièrement ces garanties et mettrons à jour cette liste si nos fournisseurs changent ou si de nouvelles décisions d'adéquation sont adoptées. Lorsque la certification du cadre de protection des données UE-États-Unis d'un fournisseur est caduque, nous nous appuyons sur les clauses contractuelles types de 2021 ainsi que sur des mesures supplémentaires (cryptage, pseudonymisation, évaluation de l'impact sur le transfert). Vous pouvez obtenir de plus amples informations en contactant notre délégué à la protection des données (voir la section "Contact").

Prestataires de services / Responsables du traitement des données

Nous faisons appel à des prestataires de services tiers soigneusement sélectionnés ("sous-traitants") pour nous aider à fournir nos services. Chaque prestataire traite les données à caractère personnel uniquement selon nos instructions documentées et est lié par un accord de traitement des données (ATD) qui répond aux exigences du GDPR

Sous-traitant Service / Finalité Pays Transfert Sauvegarde DPA / Documents sur la protection de la vie privée
Amazon Web Services (AWS) Hébergement en nuage et base de données UE (Irlande) Données stockées exclusivement dans l'UE AWS DPA
Stripe Traitement des paiements États-Unis Cadre de protection des données UE-USA Stripe DPA
Mailchimp (Intuit) Envoi d'e-mails marketing États-Unis Cadre de protection des données de l'UE et des États-Unis Mailchimp DPA
SendGrid (Twilio) Courrier électronique transactionnel États-Unis Clauses contractuelles standard + TIA SendGrid DPA
Slack (Salesforce) Support client et communication interne États-Unis d'Amérique Cadre de protection des données UE-USA Slack DPA

Nous effectuons des contrôles de diligence raisonnable sur chaque sous-traitant et signons un DPA avant tout transfert de données à caractère personnel. Vous pouvez demander une liste complète et actualisée des sous-traitants en contactant notre DPO

Utilisation de cookies

Cookies strictement nécessaires

Ces cookies sont nécessaires au fonctionnement du site web et ne peuvent pas être désactivés dans nos systèmes. Ils ne sont généralement installés qu'en réponse à des actions que vous effectuez et qui équivalent à une demande de services, telles que le réglage de vos préférences en matière de confidentialité, l'ouverture d'une session ou le remplissage de formulaires. Vous pouvez configurer votre navigateur pour qu'il bloque ces cookies ou vous en avertisse, mais certaines parties du site ne fonctionneront alors pas. Ces cookies ne stockent aucune information personnelle identifiable.

Cookies utilisés

bande_médiane

__stripe_sid

OptanonConsent

OptanonAlertBoxClosed

__cfduid

Catégories

Cookies

m.stripe.network
  • nsr

Cookies de performance

Ces cookies nous permettent de compter les visites et les sources de trafic afin de mesurer et d'améliorer les performances de notre site. Ils nous aident à savoir quelles sont les pages les plus et les moins populaires et à voir comment les visiteurs se déplacent sur le site. Toutes les informations collectées par ces cookies sont agrégées et donc anonymes. Si vous n'autorisez pas ces cookies, nous ne saurons pas quand vous avez visité notre site et nous ne pourrons pas contrôler ses performances.

Cookies utilisés

_gat

_ga

_gid

_hjIncludedInSample

Cookies fonctionnels

Ces cookies permettent au site web d'offrir une fonctionnalité et une personnalisation accrues. Ils peuvent être mis en place par nous ou par des fournisseurs tiers dont nous avons ajouté les services à nos pages. Si vous n'autorisez pas ces cookies, certains ou l'ensemble de ces services risquent de ne pas fonctionner correctement.

Cookies utilisés

2c.cId

PrestaShop-2c437fbd8168b0e59448d567e0d824bb

_omappvs

_omappvp

flp_checksum

Cookies de ciblage

Ces cookies peuvent être installés sur notre site par nos partenaires publicitaires. Ils peuvent être utilisés par ces sociétés pour établir un profil de vos intérêts et vous montrer des publicités pertinentes sur d'autres sites. Ils ne stockent pas d'informations directement personnelles, mais sont basés sur l'identification unique de votre navigateur et de votre appareil Internet. Si vous n'autorisez pas ces cookies, la publicité sera moins ciblée.

Catégories

Cookies

chatra.io
  • __cfduid

chat.chatra.io
  • galaxy-sticky

facebook.com
  • datr
  • fr
  • lu

google.com
  • APISID
  • SSID
  • PREF
  • SID
  • SAPISID
  • HSID

youtube.com
  • VISITOR_INFO1_LIVE
  • PREF
  • GPS
  • YSC
  • LOGIN_INFO

pinterest.com

  • __utma
  • __pinterest_sess
  • __utmv

shareaholic.com

  • c_id
  • shr_br

doubleclick.net
  • id

Versions

  • Version initiale : 01 janvier 2015
  • Version précédente : 01 mai 2020(Télécharger le PDF)
  • Version actuelle modifiée : 23 juillet 2025
Produit ajouté à la liste de souhaits
Produit ajouté pour comparer.
Vous suivez cette marque avec succès
group_work Consentement aux cookies