Politique de confidentialité

Vincennes, le 22 Janvier 2020

Préambule :

Aurélie Penndu-Ouaknine, auto-entrepreneur éditeur du site biosuperfood-france accorde une grande importance à la protection des données à caractères personnels de ses visiteurs, prospects et clients. Elle s’engage à traiter ces données personnelles dans le respect des lois et règlementation applicables. En France, la protection des données personnelles est encadrée par la loi du 6 Janvier 1978 dites « informatique et libertés ». La loi du 20 juin 2018 relative à la protection des données personnelles a modifié la loi « Informatique et Libertés » pour l’adapter aux dispositions du Règlement Général sur la Protection des Données (RGPD), applicable partout en Europe depuis le 25 mai 2018.

Les principes mis en Place  : 

Etude de la conformité des traitements des données à caractères personnels dès la conception du site.
Mise en place d’un registre de traitement (en cours d’étude dans le Legiscope).
Mise en place d’un registre sous-traitant (en cours d’étude dans le Legiscope).
Mise en place d’un registre des notifications des violations de données personnelles (en cours d’étude).
appliquer au mieux le principe de minimisation des données.
mettre en place les mentions légales RGPD au niveau de chaque traitement de collecte.

Définitions

Les données à caractère personnel : Les données à caractère personnel ou données personnelles sont toutes les informations se rapportant à une personne physique identifiée ou identifiable.

Responsable des traitements : La personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement. 

Traitement des données personnelles : Par traitement des données, on entend toute opération effectuée sur des données à caractère personnel, de manière automatisée ou manuelle, comme, par exemple, la collecte, l’enregistrement, la conservation, la modification, la consultation, la diffusion ou l’effacement des données à caractère personnel. 

Responsable des traitements

Le responsable des traitements est Aurélie Penndu-Ouaknine (auto-entrepreneur). Domiciliée au 106 rue de Fontenay, 94300 vincennes. Email : aurelie.penndu@gmail.com

Donnée à caractère personnel collectées

Nous collectons les données personnelles suivantes : Nom de famille, prénom, adresse email, adresse postale, ville, code postal, département, moyen de paiement, adresse IP.

Traitement des données à caractère personnel 

Les données collectée ont pour finalité de traitement :

La gestion de la relation avec nos visiteursprospects et clients. 

Traitement d’adhésion a une newsletter permettant de communiquer à la personne des informations sur les actualités, articles de blog,  ainsi que nos offres de produits et services.  Seul l’email est collecté dans le principe de minimisation. La base juridique pour ce traitement est le consentement de la personne concernée (art. 6.1.a)

Traitement du formulaire de contact permettant de communiquer directement avec le responsable du traitement pour toutes questions concernant le produit ou service ou la réglementation. Le prénom, le nom de famille, l'adresse email et un texte décrivant la demande sont collectés. La base juridique pour ce traitement est le consentement de la personne concernée (art. 6.1.a)

Exécution des commandes de produits passées sur notre site internet.

Traitement des commandes passées sur le site internet permettant l’exécution du contrat conclu lors du paiement. Les données nécessaires au traitement de la prestation sont le nom de famille, prénom, adresse email, adresse postale, ville, code postal, département, moyen de paiement. Ces données conditionnent la conclusion du contrat. La base juridique pour ce traitement est une relation contractuelle (art. 6.1.b). Le détail se trouve dans les Conditions Générales de vente.

Traitement automatisé de la facture permettant de répondre à nos obligations légales.  La base juridique pour ce traitement est de répondre à une obligation légale (art. 6.1.c).

Base légale régissant les traitements

Conformément au Règlement Général sur la Protection des Données (RGPD), le responsable des traitements ne traite des données personnelles que dans les cas suivants :

Avec votre consentement (art. 6.1.a)
Lorsqu’il existe une relation contractuelle (art. 6.1.b)
Pour répondre à une obligation légale (art. 6.1.c)

Destinataires des données à caractère personnel 

Les données son exploitées par detox-trs-france et sont transmises aux sous-traitants gérant la commande et la facturation, le paiement, l'email marketing, l'hébergement du site. Elles peuvent aussi être transmise à toute autorité légale autorisée à accéder aux données personnelles.

Voici la liste des sous-traitants :

Solution de gestion de commande et facturation : ThriveCart de la société WebActix Ltd
Solution de paiement sécurisée : Stripe et PayPal
solution d'email marketing (autorépondeur) : ActiveCampaign
Solution permettant l'hébergement du site sur le nom de domaine detox-trs-france.com : OVH

Durée de conservation

Les données personnelles sont conservées pendant la durée légale maximale de 36 mois. 

Traitement de commande livraison : La durée de traitement des données est limitée au temps de traitement de la commande livraison. 

Traitement de la liste email (prospect et client) : La durée de traitement des données est limitée au temps pendant lequel la personne est inscrite à nos services de communication, étant entendu qu'elle peut retirer son consentement et se désinscrire à tout moment en cliquant sur le lien de désinscription en bas de chaque email.

Transfert des données hors UE

Les prestataires ayant recours au traitement de l'email marketing (autorépondeur) et le module commande facturation sont situé hors UE. Les processeurs de paiement sélectionnés ayant une portée mondiale (stripe et PayPal), les données peuvent aussi être situées hors UE.

Le prestataire pour la solution d'autorépondeur est Activecampaign  basé aux États Unis. Ce prestataire est certifié par rapport au bouclier de protection des données UE-USA, permettant de respecter les obligations en matière de protection des données dans le cas de transfert des données personnelles hors UE. La certification est enregistrée à la page suivante https://www.privacyshield.gov/list

Le prestataire pour la solution de commande facturation est ThrivesCart de la société WebActix Ltd  dont les serveurs se situent aussi aux États Unis. En tant qu'entreprise néo-zélandaise, ThrivesCart n'est pas en mesure de s'auto-certifier dans le cadre du bouclier de protection de la vie privée UE-USA, mais s'est engagé publiquement à conclure un accord équivalent. Un client  originaire de l'UE a le droit d'accéder à une copie des informations personnelles détenues, de demander la correction, la modification ou la suppression de ces informations lorsqu'elles sont inexactes ou traitées en violation des principes du cadre Privacy Shield.  Pour exercer ce droit le responsable des traitements pourra faire une demande au délégué à la protection des données et représentant de l'UE de WebActix Ltd. 

Pour le premier moyen de paiement par carte bancaire, le prestataire STRIPE de portée mondiale est certifié par rapport au bouclier de protection des données UE-USA permettant de respecter les obligations en matière de protection des données dans le cas de transfert des données personnelles hors UE. La certification est enregistrée à la page suivante https://www.privacyshield.gov/list

Pour le second moyen de paiement PayPal, de portée mondiale, la société a mis en place, pour les transferts de vos données personnelles au sein des sociétés liées à PayPal, un Règlement d'entreprise contraignant approuvé par les autorités de surveillance compétentes (disponible ici).


Prise de décision automatisée -profilage

Aucune décision automatisée ne sera prise sur la base des données personnelles collectées

Politique relative aux cookies

Si vous déposez un commentaire sur notre site, il vous sera proposé d’enregistrer votre nom, adresse de messagerie et site web dans des cookies. C’est uniquement pour votre confort afin de ne pas avoir à saisir ces informations si vous déposez un autre commentaire plus tard. Ces cookies expirent au bout d’un an.

Si vous vous rendez sur la page de connexion, un cookie temporaire sera créé afin de déterminer si votre navigateur accepte les cookies. Il ne contient pas de données personnelles et sera supprimé automatiquement à la fermeture de votre navigateur.

Lorsque vous vous connecterez, nous mettrons en place un certain nombre de cookies pour enregistrer vos informations de connexion et vos préférences d’écran. La durée de vie d’un cookie de connexion est de deux jours, celle d’un cookie d’option d’écran est d’un an. Si vous cochez « Se souvenir de moi », votre cookie de connexion sera conservé pendant deux semaines. Si vous vous déconnectez de votre compte, le cookie de connexion sera effacé.

En modifiant ou en publiant une publication, un cookie supplémentaire sera enregistré dans votre navigateur. Ce cookie ne comprend aucune donnée personnelle. Il indique simplement l’ID de la publication que vous venez de modifier. Il expire au bout d’un jour.

Contenu embarqué depuis d’autres sites

Les articles de ce site peuvent inclure des contenus intégrés (par exemple des vidéos, images, articles…). Le contenu intégré depuis d’autres sites se comporte de la même manière que si le visiteur se rendait sur cet autre site.

Ces sites web pourraient collecter des données sur vous, utiliser des cookies, embarquer des outils de suivis tiers, suivre vos interactions avec ces contenus embarqués si vous disposez d’un compte connecté sur leur site web.

Sécurité des données

Nous ne partageons ni ne vendons vos données à des tiers commerciaux.

Nous avons sélectionné les solutions du marché qui sont leaders dans leur domaine et réputées pour leur sérieux concernant la sécurité des données :  ThriveCart, ActiveCampaign, stripe, PayPal.  

Pour exemple Stripe a été audité par un auditeur certifié PCI et est certifié PCI Service Provider Level 1. Il s'agit du niveau de certification le plus rigoureux disponible dans l'industrie des paiements. Pour ce faire, stripe utilise les meilleurs outils et pratiques de sécurité de leur catégorie afin de maintenir un haut niveau de sécurité.

Droit de la personnes dont les données sont collectées

Conformément au Règlement Général sur la Protection des Données (RGPD), vous avez les droits ci- dessous que vous pouvez exercer en  envoyant votre demande aux responsable des traitements.

Le droit d'information :  vous avez le droit de  demander des informations sur le traitement de vos données à caractère personnel.
Le droit d'accès : vous avez le droit d’obtenir l’accès aux données à caractère personnel détenues à votre sujet. 
Le droit de rectification : vous avez le droit de demander que les données à caractère personnel incorrectes, inexactes ou incomplètes soient corrigées. 
Le droit à la limitation des traitements : Vous avez le droit de demander la limitation du traitement de vos données à caractère personnel dans des cas précis.
Le droit à l'oubli :  Vous avez le droit de demander que les données à caractère personnel soient effacées lorsqu’elles ne sont plus nécessaires ou si leur traitement est illicite.
Le droit à la portabilité des données : vous avez le droit de récupérer vos données personnelles, dans un format utilisé et lisible par machine, pour un usage personnel ou pour les transférer à un autre organisme.
Le droit d'opposition : vous avez le droit de vous opposer au traitement de vos données à caractère personnel à des fins de prospection ou pour des raisons liées à votre situation particulière.
Prise de décision automatisée : Vous pouvez demander que les décisions fondées sur un traitement automatisé qui vous concernent ou vous affectent de manière significative et fondées sur vos données à caractère personnel soient prises par des personnes physiques et non uniquement par des ordinateurs. Dans ce cas, vous avez également le droit d’exprimer votre avis et de contester les dites décisions.

Pour toutes les demandes avec un motif légitime validé, par mesure de sécurité une preuve d'identité sera exigée. Nous répondrons à toute demande légitime dans un délai de 3 mois. Nous vous tiendrons informé de la procédure. Le responsable de traitement  sera en droit, le cas échéant, de s’opposer aux demandes manifestement infondées, abusives de par leur caractère systématique, répétitif, ou leur nombre.

Droit de recours auprès des autorités compétentes

  • En cas de dommage matériel ou moral lié à la violation du RGPD, vous disposez d’un droit de recours. Vous pouvez déposer une réclamation auprès de la Commission Nationale Informatique et Libertés (CNIL).

Information en cas de vol de données

L'incident sera documenté  conformément à la legislation dans notre application Legiscope et comme la procédure l'impose la CNIL notifiée.

Le responsable des traitements, dans le cas de risque élevé, notifiera le/les personnes concernée(s).