Politique de traitement des données personnelles
La présente Politique de Traitement des Données (« PTD ») applicable au Service Kiliba, qui complète les Conditions Générales d’Utilisation (« CGU »), fournit des informations relatives à la collecte, au traitement, à l'utilisation et à la protection des informations et données personnelles de l’Utilisateur et de ses Membres. Les termes et expressions figurant avec une majuscule et utilisés dans la présente PTD, qui ne sont pas définis ci-après, ont la même signification que celle qui leur est attribuée par les CGU.
1. Traitement des données à caractère personnel
L’utilisation du Service nécessite le transfert, la collecte, le traitement et l’utilisation des données personnelles de l’Utilisateur et des Membres.
Par conséquent, les données à caractère personnel fournies par l’Utilisateur lors de l’utilisation du Service font l’objet d’un traitement automatisé par la Société, ce que l’Utilisateur reconnaît et accepte expressément.
Pour l’application des présentes, l’Utilisateur est le responsable du traitement des données à caractère personnel fournies, la Société agissant exclusivement en qualité de sous-traitant de l’Utilisateur. L’Utilisateur et la Société s’engagent à respecter les dispositions de la loi n° 78-17 du 6 janvier 1978 ainsi que du règlement UE 2016/679 du Parlement européen et du Conseil du 27 avril 2016.
Par les présentes, l’Utilisateur autorise expressément la Société, agissant en qualité de sous-traitant, à traiter pour son compte les données à caractère personnel nécessaires pour procéder à la réalisation et à la distribution automatisées de courriers électroniques publicitaires à destination de ses Membres. La responsabilité individuelle de la Société est limitée aux activités de traitement des données effectuées par la Société conformément à la présente PTD.
2. Finalités du traitement
Les finalités du traitement opéré par la Société sont :
- de fournir à l’Utilisateur un outil d’automatisation d’envoi de courriers électroniques à ses Membres ;
- d’adresser automatiquement aux Membres de l’Utilisateur des courriers électroniques de type « newsletters », évènements, promotions, nouveautés, etc. ;
- d’adresser automatiquement aux Membres de l’Utilisateur des courriers électroniques de relance, leur permettant de finaliser leur commande ;
- d’adresser automatiquement aux Membres de l’Utilisateur des courriers électroniques publicitaires leurs présentant de nouveaux produits, ou des produits similaires ou connexes à ceux qu’ils ont commandés ou consultés sur le Site e-commerce ;
- de fournir à l’Utilisateur une information statistique sur les campagnes publicitaires réalisées au moyen du Service ;
- de gérer les demandes d’exercice de droits effectuées par les Utilisateurs.
3. Données à caractère personnel traitées
Les données à caractère personnel traitées sont les suivantes :
- Pour les Membres : adresse email ;nom ;prénom ;adresse postale ;date d’anniversaire ;genre ;identifiant ;liste des achats réalisés sur le Site e-commerce ;date des achats réalisés sur le Site e-commerce ;date d’inscription sur le Site e-commerce ;liste des produits consultés sur le Site e-commerce ;liste des produits ajoutés au panier sur le Site e-commerce ;date de la dernière connexion au Site e-commerce ;adresse IP.
Ces données sont collectées périodiquement dans les Bases de données du Site e-commerce de l’Utilisateur.
- Pour les Utilisateurs : nom et lien du Site e-commerce ; email professionnel ; nom ; prénom ; numéro de téléphone ; date de la dernière connexion à la Plateforme ; adresse IP.
4. Catégories de personnes concernées
Les catégories de personnes concernées sont l’Utilisateur et des personnes physiques, qu’ils soient consommateurs, professionnels ou commerçants, ayant créé un compte sur le Site e-commerce de l’Utilisateur et ayant accepté, le cas échéant l’utilisation de leurs adresses de courrier électronique à des fins commerciales.
L’Utilisateur s’engage à informer et à obtenir l’autorisation expresse des Membres concernant l’utilisation par l’Utilisateur et par la Société de leurs données à caractère personnel au moment de la collecte de leurs données personnelles, ou à disposer de toute autre base légale l’autorisant à collecter et traiter les données à caractère personnel, et garantit la Société contre toutes conséquences préjudiciables, à quelque titre que ce soit, liées à l’utilisation desdites données.
L’Utilisateur est tenu de mettre en œuvre un dispositif permettant aux Membres d’exercer leurs droits relatifs à leurs données à caractère personnel. Il est tenu de documenter par écrit toute instruction donnée à la Société concernant le traitement des données à caractère personnel des Membres confiées à cette dernière.
5. Bases légales
Les traitements des données personnelles de l’Utilisateur et des Membres sont fondés sur l’exécution du contrat conclu entre l’Utilisateur et la Société et sur une obligation légale à laquelle est soumise la Société.
6. Durée de conservation des données à caractère personnel
Les données à caractère personnel des Membres sont conservées tant que le Compte Utilisateur de l’Utilisateur est actif, ainsi que pendant un délai supplémentaire de trente (30) jours en cas de résiliation de l’Abonnement de l’Utilisateur. Un compte est considéré comme inactif lorsque l’Utilisateur ne s’est pas connecté à la Plateforme pendant une durée supérieure ou égale à un (1) an et n’a plus réglé les forfaits mensuels ou annuels correspondants dans ce délai.
Les données personnelles de l’Utilisateur sont conservées pendant la durée de son Abonnement et pendant un délai supplémentaire de cinq (5) ans à compter de la fin de son Abonnement.
A toute fin utile, l’Utilisateur est informé que la Société se réserve le droit de procéder à l’archivage des données personnelles qu’elle a pu être amenée à collecter en exécution des présentes, pour la durée de prescription des actions en responsabilité. Dans ce cas, les données archivées sont stockées sur un serveur sécurisé auquel seul le dirigeant de la Société peut accéder, et ce, exclusivement dans le cadre d’un contentieux dont la résolution nécessite la communication judiciaire desdites données.
7. Sécurité des données à caractère personnel
Tout accès frauduleux au Service est interdit et sanctionné pénalement, tout comme le sont le maintien, l’altération et l’entrave à un système de traitement automatisé de données, ainsi que l’introduction, la suppression ou la modification frauduleuses de données. La Société fait ses meilleurs efforts, conformément aux règles de l’art, pour sécuriser le Service et l’accès aux données personnelles eu égard à la complexité d’Internet. L’Utilisateur reconnaît qu’en raison des caractéristiques et des contraintes du réseau Internet, les données à caractère personnel collectées ne peuvent pas être protégées contre toute forme d’intrusion, y compris par voie de piratage.
La Société s’engage à mettre en œuvre les mesures de sécurité suivantes pour le traitement des données à caractère personnel :
- le chiffrement complet des données à caractère personnel qui sont collectées pendant leur transfert et pour leur enregistrement, au moyen du protocole HTTPS ;
- la suppression des données à caractère personnel collectées des Membres à l’issue d’un délai de trente (30) jours à compter de la date de demande expresse de l’Utilisateur ;
- la suppression de la totalité des données à caractère personnel collectées des Membres à l’issue d’un délai de trente (30) jours en cas de résiliation par l’Utilisateur de l’Abonnement ;
- la réalisation par les sous-traitants de la Société de sauvegardes redondantes et chiffrées sur plusieurs sites permettant d’assurer le fonctionnement du Service.
En cas d’expiration ou de résiliation des présentes, la Société s’engage à détruire les données à caractère personnel des Membres qui lui ont été confiées, en ce compris toutes les copies existantes dans les systèmes d’information de la Société et de ses sous-traitants, dans un délai de trente (30) jours, le tout sous réserve des dispositions de l’article 6 ci-dessus. La Société fournira à l’Utilisateur, à sa demande, une attestation écrite de destruction à l’issue de ce délai.
8. Hébergement des données à caractère personnel
Les données à caractère personnel collectées sont hébergées :
-en France à Gravelines (59820) auprès de l’hébergeur OVH, Société par Actions Simplifiée au capital social de 10.174.560 €, dont le siège social est situé 2 rue Kellermann - 59100 Roubaix – France, immatriculée au Registre du Commerce et des Sociétés de LILLE sous le numéro unique d’identification 424 761 419 - sales@ovh.net
- à Stockholm (Suède - Stockholm eu-north-1) auprès de l’hébergeur
Amazon Web Services EMEA, Société de droit étranger, dont le siège social est situé : L 1855 38, avenue John F. KENNEDY, Luxembourg, immatriculée au Registre du Commerce et des Sociétés de NANTERRE sous le numéro d’identification 831 001 334 - aws-EU-privacy@amazon.com
9. Transfert des données à caractère personnel
L’Utilisateur est informé et doit obtenir le consentement exprès de ses Membres au transfert de leurs données personnelles hors de l’Union Européenne, aux Etats-Unis d’Amérique.
Ce transfert intervient dans le processus de traitement des courriers électroniques, les sous-traitants situés aux Etats-Unis d’Amérique ont conclu avec la Société un contrat comprenant les clauses contractuelles types de la Commission Européenne dans leur version à jour de juin 2021 et s’engageant à respecter les dispositions du règlement européen nᵒ 2016/679, dit Règlement Général sur la Protection des Données. Les données collectées peuvent également être transférées à des tiers autres que les sous-traitants de la Société sous forme de statistiques totalement et irréversiblement anonymes.
10. Engagements de la Société
La Société s’engage à :
- traiter les données uniquement pour les seules finalités qui font l’objet de la sous-traitance ;
- traiter les données conformément aux instructions documentées de l’Utilisateur ;
- garantir la confidentialité des données à caractère personnel traitées dans le cadre des présentes ;
- assurer le chiffrement des données collectées sur les Bases de données de l’Utilisateur, tant pour leur transfert que pour leur enregistrement sur la Plateforme ;
- veiller à ce que les personnes autorisées à traiter les données à caractère personnel en vertu des présentes s’engagent à respecter la confidentialité desdites données et reçoivent la formation nécessaire à cet effet ;
- prendre en compte, dans le cadre du développement et de la mise à jour du Service, les principes de protection des données dès la conception et de protection des données par défaut.
11. Sous-traitants
La Société est expressément autorisée à faire appel à d’autres sous-traitants pour mener des activités de traitement spécifiques nécessaires au fonctionnement du Service. Les sous-traitants auxquels la Société est autorisée à faire appel sont les suivants :
- Twilio et Sendgrid pour l’envoi des courriers électroniques au moyen du protocole SMTP ;
- OVH pour l’hébergement et la sauvegarde des données collectées ;
- AWS pour l’hébergement et la sauvegarde des données collectées ;
- Salesforce pour le suivi des ventes sur le Site e-commerce ;
- Hubspot pour le suivi des prospects et des messages vers la base de données de KILIBA ;
- Profile pour la maintenance évolutive de la Plateforme (accès au code du module prestashop de l’Utilisateur) ;
- Intercom pour le support de messagerie de la Plateforme (chat) ;
- Amplitude pour le suivi de navigation des Utilisateurs sur la Plateforme ;
- Etheractive Studio pour l’analyse de données (à des fins uniquement statistiques) en lien avec la Plateforme.
En cas de changement de sous-traitant, la Société s’engage à en informer l’Utilisateur préalablement, en précisant les activités de traitement sous-traitées, l’identité et les coordonnées du sous-traitant et les dates du contrat de sous-traitance. L’Utilisateur dispose d’un délai minimum de trente (30) jours à compter de la date de réception de cette information pour présenter ses objections. Cette sous-traitance ne peut être effectuée que si l’Utilisateur n'a pas émis d'objection pendant le délai convenu.
Tout sous-traitant de la Société est tenu de respecter les obligations des présentes pour le compte et selon les instructions de l’Utilisateur. Il appartient à la Société de s’assurer que ses sous-traitants présentent les mêmes garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences de la législation en vigueur. Si un sous-traitant de la Société ne remplit pas ses obligations en matière de protection des données, cette dernière demeure pleinement responsable à l’égard de l’Utilisateur de ses obligations.
12. Cookies
L’Utilisateur est informé que le Plug-in utilise des cookies qui sont installés directement sur les terminaux des Membres lors de la connexion au Site e-commerce.
Les cookies sont des petits fichiers contenant diverses informations textuelles, se composant généralement de lettres et de chiffres. Ils sont déposés sur le terminal du Membre (ordinateur, tablette, smartphone...) via son navigateur lorsque celui-ci se connecte sur le Site e-commerce.
Cette opération permet de reconnaître l’appareil du Membre dès qu’une connexion est établie entre le serveur du Site e-commerce et le navigateur du Membre.
L’objectif principal d’un cookie est donc tout simplement de permettre au serveur du Site e-commerce d’adapter son contenu afin de personnaliser la visite du Membre sur ledit Site.
Les cookies utilisés par le Plug-in permettent de garantir la sécurité et le fonctionnement de ce dernier et de la Plateforme.
Ils permettent aussi d’assurer le suivi de navigation des Membres sur le Site e-commerce (cookies nécessaires).
Ces cookies ne nécessitent pas le consentement des Membres.
Cependant, le Membre est libre de refuser le dépôt de ces cookies sur son navigateur.
En sa qualité de responsable du traitement, il appartient à l’Utilisateur d’informer ses Membres de l’installation et de l’utilisation de ces cookies, et de permettre aux Membres qui le souhaiteraient d’en refuser l’installation sur leurs terminaux.
L’Utilisateur est informé que si le Membre refuse le dépôt de ces cookies sur son terminal, le Plug-in ne pourra fonctionner correctement.
En cas de refus de la part du Membre, l’Utilisateur s’expose à une utilisation dégradée de la Plateforme.
Les cookies nécessaires utilisés par le Plug-in sont les suivants :
13. Assistance
Dans la mesure du possible, la Société apportera à l’Utilisateur son aide afin de permettre à ce dernier de mettre en œuvre ses obligations en matière de demandes d’exercice des droits des personnes concernées (droit d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du traitement, droit à la portabilité des données, droit de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage)). Ces prestations pourront donner lieu, dans les conditions légales applicables, à une facturation aux conditions tarifaires en vigueur.
Lorsque les personnes concernées adressent directement à la Société des demandes d’exercice de leurs droits, cette dernière adressera lesdites demandes dès réception à l’Utilisateur par courrier électronique.
La Société notifiera à l’Utilisateur toute violation de ses données à caractère personnel dans les meilleurs délais après en avoir eu connaissance et par tous moyens écrits (y compris par correspondances électroniques).
La Société transmettra à l’Utilisateur toute information utile afin de lui permettre de notifier cette violation auprès de l’autorité de contrôle compétente (CNIL).
La Société apportera son aide à l’Utilisateur en cas de réalisation par ce dernier d’analyses d’impact relatives à la protection des données ainsi que pour la consultation préalable de l’autorité de contrôle compétente (CNIL). Cette aide pourra donner lieu, dans les conditions légales applicables, à une facturation aux conditions tarifaires en vigueur.
14. Délégué à la protection des données
Pour toute question relative à la présente PTD, l’Utilisateur peut contacter le délégué à la protection des données de la Société à l’adresse email suivante : dpo@kiliba.com
15. Registre des traitements
La Société déclare tenir par écrit un registre de toutes les catégories d’activités de traitement effectuées pour le compte de l’Utilisateur comprenant :
- le nom et les coordonnées de l’Utilisateur pour le compte duquel elle agit, des éventuels sous-traitants et, le cas échéant, du délégué à la protection des données ;
- les catégories de traitements effectués pour le compte de l’Utilisateur ;
- le cas échéant, les transferts de données à caractère personnel vers un pays tiers, y compris l'identification de ce pays tiers et les documents attestant de l'existence de garanties appropriées ;
- une description générale des mesures de sécurité techniques et organisationnelles mises en œuvre dans le cadre du traitement des données à caractère personnel pour le compte de l’Utilisateur.
La Société met à la disposition de l’Utilisateur la documentation nécessaire pour démontrer le respect de toutes ses obligations et pour permettre la réalisation d'audits, y compris des inspections, par l’Utilisateur, et contribuer à ces audits. Ces prestations pourront faire, dans les conditions légales applicables, l'objet d’une facturation aux conditions tarifaires en vigueur.
16. Informations de contact
La Société peut être contactée :
- par courrier électronique : support@kiliba.com ;
- par courrier postal : KILIBA - Données personnelles - 127-129, rue d’Aguesseau – 92100 Boulogne-Billancourt
17. Langue
La présente PDT est rédigée en langue française.
Dans le cas où elle serait traduite en une ou plusieurs langues étrangères, seule la version française fera foi en cas de litige.