GDPR

1. Finalité du document

Le présent document expose notre cadre interne de conformité au Règlement général sur la protection des données (RGPD) ainsi qu’aux réglementations applicables dans l’Union européenne en matière de commerce électronique et de publicité en ligne.

Il s’agit d’un document de gouvernance et de conformité réglementaire destiné à formaliser nos engagements juridiques, techniques et organisationnels. Il ne constitue pas une politique de confidentialité destinée à informer individuellement les utilisateurs sur le traitement de leurs données.

2. Cadre juridique applicable

Nos activités sont exercées conformément :

• au RGPD (UE 2016/679) ;
• aux législations nationales applicables en matière de protection des données ;
• aux règles européennes relatives à la protection des consommateurs ;
• aux exigences des plateformes de diffusion publicitaire et marchande, notamment Google Merchant Center (GMC).

Nous intégrons ces exigences dans nos processus internes, nos contrats et nos systèmes techniques.

3. Gouvernance et responsabilité

Nous avons mis en place une structure interne de gouvernance des données comprenant :

• une identification claire des responsabilités liées aux traitements ;
• une cartographie des traitements de données ;
• un registre des activités de traitement conformément à l’article 30 du RGPD ;
• des procédures d’évaluation des risques.

Lorsque requis, nous désignons un point de contact interne chargé de superviser la conformité aux obligations en matière de protection des données.

4. Bases juridiques des traitements

Chaque activité de traitement repose sur une base juridique valide, notamment :

• l’exécution d’un contrat de vente ;
• le respect d’une obligation légale ;
• l’intérêt légitime dûment évalué ;
• le consentement préalable lorsque requis (notamment pour certaines opérations marketing ou technologies de suivi).

Aucun traitement n’est effectué en l’absence d’un fondement juridique documenté.

5. Protection des données dès la conception et par défaut

Conformément au principe de « privacy by design » et « privacy by default », nous intégrons la protection des données :

• dès la phase de conception des services numériques ;
• dans la configuration par défaut des outils ;
• dans la limitation des accès internes ;
• dans la minimisation des données collectées.

Les paramètres par défaut sont configurés de manière à limiter le traitement aux données strictement nécessaires.

6. Sécurité des systèmes et gestion des risques

Nous appliquons des mesures techniques et organisationnelles proportionnées aux risques identifiés, notamment :

• chiffrement des communications ;
• protocoles sécurisés pour les paiements ;
• systèmes de détection d’accès non autorisés ;
• sauvegardes sécurisées ;
• procédures internes de gestion des incidents.

En cas de violation de données personnelles présentant un risque pour les personnes concernées, nous appliquons les obligations de notification prévues par le RGPD.

7. Encadrement des sous-traitants

Tous les prestataires traitant des données pour notre compte sont sélectionnés selon des critères stricts de conformité.

Des accords contractuels spécifiques prévoient :

• des obligations de confidentialité ;
• des exigences de sécurité ;
• des restrictions d’utilisation des données ;
• des mécanismes encadrant les transferts internationaux.

Nous réalisons, lorsque nécessaire, des évaluations complémentaires des garanties offertes par ces partenaires.

8. Transferts de données hors Union européenne

Tout transfert vers un pays tiers repose sur :

• une décision d’adéquation adoptée par la Commission européenne ;
• ou des clauses contractuelles types ;
• ou tout autre mécanisme reconnu conforme au RGPD.

Des évaluations d’impact sont réalisées lorsque le niveau de protection du pays destinataire l’exige.

9. Conservation et suppression des données

Des politiques internes définissent :

• les durées de conservation applicables selon la nature des données ;
• les obligations légales de conservation ;
• les procédures de suppression ou d’anonymisation sécurisée ;
• les contrôles réguliers des bases de données.

Aucune donnée n’est conservée au-delà de la durée nécessaire aux finalités prévues.

10. Conformité aux exigences de Google Merchant Center et aux règles européennes de transparence

Dans le cadre de la diffusion de nos produits via Google Merchant Center :

• les informations produits (prix, disponibilité, caractéristiques) sont exactes et mises à jour ;
• les frais de livraison, délais et conditions de retour sont clairement indiqués ;
• les pages de destination sont cohérentes avec les annonces publiées ;
• aucune pratique trompeuse, dissimulation d’informations ou contenu interdit n’est utilisé ;
• les mécanismes de collecte de données liés aux technologies publicitaires respectent les exigences européennes en matière de consentement.

Nous veillons également à ce que nos communications commerciales respectent les règles européennes relatives aux pratiques commerciales loyales.

11. Droits des personnes concernées et procédures internes

Nous avons établi des procédures permettant :

• la réception et le traitement des demandes d’exercice de droits ;
• la vérification d’identité lorsque nécessaire ;
• le respect des délais légaux de réponse ;
• la documentation des demandes reçues.

Ces mécanismes garantissent l’effectivité des droits reconnus par le RGPD.

12. Contrôle interne et amélioration continue

Notre programme de conformité inclut :

• des audits internes périodiques ;
• des revues de conformité technique ;
• des mises à jour contractuelles lorsque la réglementation évolue ;
• des formations régulières du personnel.

Nous adoptons une approche d’amélioration continue afin d’assurer un niveau élevé et durable de conformité réglementaire.

13. Actualisation

Le présent document peut être modifié afin de refléter toute évolution législative, réglementaire ou opérationnelle. La version en vigueur est celle publiée sur notre site au moment de sa consultation.