1. Préambule – Qui sommes-nous
Le Règlement (EU) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement de données à caractère personnel et à la libre circulation de ces données, autrement appelé le Règlement général sur la protection des données (ci-après le « RGPD ») fixe, avec les autres textes applicables en la matière, le cadre juridique applicable aux traitements de données à caractère personnel.
Ces textes renforcent les droits et les obligations des responsables de traitements, des sous-traitants, des personnes concernées et des destinataires des données. Ils imposent notamment que les personnes concernées soient informées de leurs droits de manière concise, transparente, compréhensible et aisément accessible.
La société LABORATOIRES INELDEA, SAS au capital de 313.000 €, dont le siège social est 4ème avenue – 10ème rue _ ZI Carros – 06510 CARROS, enregistrée au RCS de Cannes sous le n° B 421 472 143, édite le Site internet EFFIDERM et met en œuvre les traitements de données à caractère personnel qui sont décrits dans ce document.
Nous accordons une grande importance à vos données à caractère personnel, et à travers ce document, nous vous fournissons toutes les informations nécessaires afin que vous sachiez ce que nous faisons avec vos données à caractère personnel, et afin que vous ayez connaissance des droits que vous pouvez faire valoir à tout moment.
Pour une bonne compréhension de la présente politique il est précisé que :
- « contact(s) » ou « clients » : personnes physiques en relation avec la Société (clients, prospects, relations, partenaires…) ;
- « données personnelles » désigne toute information concernant les contacts ou clients (c’est à dire vous) qui vous rend directement ou indirectement personnellement identifiable, notamment vos nom, prénom, adresse, numéro de téléphone, adresse de courriel, données bancaires, identifiant, mot de passe, cookies, adresse IP et autres informations qui permettent votre identification et que vous mettez à notre disposition à tout moment ;
- « responsable du traitement » : personne physique ou morale qui détermine les finalités et les moyens des traitements de données à caractère personnel définies dans la présente politique. Au titre de cette dernière, le responsable du traitement est la Société ;
- « sous-traitant » : personne physique ou morale qui traite des données à caractère personnel pour le compte du responsable du traitement. Il s’agit en pratique des prestataires avec lesquels la Société travaille et qui peuvent être amenés à avoir accès aux données à caractère personnel ;
- « personnes concernées » : désigne les personnes qui peuvent être identifiées, directement ou indirectement. Il s’agit notamment des « clients » et « contacts » ;
- « destinataires » : désigne les personnes physiques ou morales qui reçoivent communication des données à caractère personnel. Les destinataires des données peuvent donc être aussi bien des destinataires internes que des organismes extérieurs.
2. Objet
Pour satisfaire à ses besoins, la Société met en œuvre et exploite des traitements de données à caractère personnel relatifs à ses clients et contacts.
La présente politique a pour objet de satisfaire à l’obligation d’information mise à la charge de la Société et ainsi de formaliser les droits et les obligations des clients et contacts au regard du traitement de leurs données à caractère personnel.
La présente politique ne porte que sur les traitements dont la Société est responsable.
Le traitement de données à caractère personnel peut être géré directement par la Société ou par le biais d’un sous-traitant spécifiquement désigné par elle.
Cette politique est indépendante de tout autre document pouvant s’appliquer au sein de la relation contractuelle entre la Société et ses clients et contacts (cookies, contrats commerciaux ou de partenariats, etc…), ou entre les clients et les restaurants.
3. Principes généraux et engagements
Nous pouvons collecter vos Données Personnelles lorsque :
- vous visitez le Site ;
- vous créez un compte sur le Site ;
- vous passez une commande sur le Site ;
- vous vous inscrivez à la Newsletter ;
- vous envoyez une réclamation, posez une question ou nous faites parvenir toute autre remarque ;
- vous participez à un jeu concours sur le Site, ou les pages officielles des réseaux sociaux de la Société ; dans les conditions définies dans le règlement du jeu concours ;
- vous participer à notre programme de fidélité ;
- vous nous communiquez vos données personnelles sur le Site ou de quelque façon que ce soit.
Tout nouveau traitement, modification ou suppression d’un traitement existant sera porté à la connaissance des clients et contacts.
Sous réserve de ce qui est prévu ci-dessous du fait de ses obligations en matière de vigilance sanitaire, la Société ne traite pas de données sensibles au sens de l’article 9 du RGPD (c’est à dire toute les données qui révèle l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique ).
Dans le cadre du respect de ses obligations légales imposées au responsable de traitement par les dispositifs de vigilance sanitaire prévus notamment par le code de la santé publique, la Société est amenée à collecter, enregistrer, analyser, le suivre, documenter, la transmettre et conserver des données relatives à l’ensemble des événements sanitaires indésirables. Ces données ne sont utilisées pour aucune autre finalité. Ce traitement est nécessaire pour des motifs d’intérêt public ; il a notamment pour objectif de garantir le respect de normes élevées de qualité et de sécurité des soins de santé et des médicaments, des dispositifs ou des produits conformément aux dispositions de l’article 9 du RGPD et de l’article 66 de la loi du 6 janvier 1978 modifiée.
Enfin, la Société ne recourt pas à des décisions individuelles automatisées.
4. Finalités des traitements – données traitées
La Société traite vos données pour les finalités suivantes :
- gérer la relation avec vous ;
- traiter et exécuter de vos commandes sur le Site (par exemple, suite à une commande ou dans le cadre du suivi d'un contrat vous recevrez un email afin de vous permettre de suivre votre commande ou l'exécution de votre contrat (confirmation de commandes, information sur la livraison de votre colis, information sur l'échéance de votre abonnement...)) et notamment réaliser les opérations nécessaires en cas de paiement en ligne ;
- traiter et résoudre toutes vos réclamations ou questions relatives à votre compte fidélité, à vos visites en restaurants, à vos commandes en ligne ;
- recueillir votre avis sur les produits que vous avez commandés ou sur les restaurants que vous avez visités (suite à un achat sur notre site ou en magasin nous pouvons solliciter votre avis par email par le biais de questionnaires. Ces enquêtes de satisfaction ou demandes d'avis peuvent être sollicités par des partenaires agréés. Vous pouvez vous opposez à ces enquêtes ou demande d'avis directement dans les emails qui vous sont envoyés ou en nous le signalant) ;
- gérer votre participation aux jeux concours et programmes de fidélité, cumul des points fidélités et remise des lots ;
- suivre, développer et améliorer le Site ou nos services ;
- vous envoyer des informations (Newsletter…) et des offres commerciales, concernant des produits et services existants ou nouveaux : Suite à la création de votre compte ou à un achat en magasin, si vous ne vous y êtes pas opposés, vous pouvez recevoir des informations et offres commerciales par email ou sms. Ces newsletters vous permettent de vous tenir informés de l'actualité et des avantages dont vous pouvez bénéficier sur nos marques sur des produits ou services analogues à ceux que vous avez déjà commandés ou consultés). Si vous ne vous y êtes pas opposé, vous pourrez recevoir des offres et informations par courrier postal, de la part des sociétés du groupe et des partenaires commerciaux. Si vous ne vous y êtes pas opposé (hors prospection par automate d'appel qui sera soumis à votre accord express) vous pourrez être contactés par nos opérateurs ou des partenaires pour vous proposer des offres et services. Si vous avez accepté de recevoir les offres des entités du groupe et « partenaires », vous pourrez recevoir des offres des autres sociétés du groupe par communication électronique (email, sms...) ainsi que des partenaires commerciaux sélectionnés. La base légale de ce traitement est le consentement. Vous pouvez à tout moment retirer votre consentement ou obtenir la liste de nos partenaires commerciaux .Si vous ne vous y êtes pas opposé, vous pourrez recevoir des offres et informations par courrier postal, de la part des sociétés du groupe et des partenaires commerciaux. Si vous ne vous y êtes pas opposé (hors prospection par automate d'appel qui sera soumis à votre accord express) vous pourrez être contactés par nos opérateurs ou des partenaires pour vous proposer des offres et services.
- répondre aux questions qui nous sont posées (par téléphone ou en ligne) ;
- répondre à nos obligations légales ou administratives, notamment s’agissant du respect de nos obligations en matière de vigilance sanitaire.
5. Traitements et types de données collectées par traitement
1° Création d’un compte client pour s’inscrire au programme de fidélité et/ou passer commande
Données non techniques |
Données techniques (sur le Site) |
|
|
2° Passer commande en mode invité (sans création de compte)
Données non techniques |
Données techniques (sur le Site) |
|
|
3° Commentaires et questions adressés au service clients
Données non techniques |
Données techniques (sur le Site) |
|
|
4° Newsletter
Données non techniques |
Données techniques (sur le Site) |
|
|
5° Participation à un jeu concours / programme de fidélité
Données non techniques |
Données techniques (sur le Site) |
|
|
6° Vigilance sanitaire
Données non techniques |
Données techniques (sur le Site) |
|
|
Le paiement de vos commandes
Lorsque vous payez sur nos sites, vos paiements sont sécurisés. La Société ne collecte pas vos données de paiement mais seulement un identifiant de paiement et une partie des chiffres de votre carte bancaire pour vous permettre de reconnaître la carte qui a servi au dernier paiement. L'intégralité de vos coordonnées bancaires sont collectées uniquement par notre prestataire de services de paiement certifié PCI-DSS (norme de sécurité bancaire) qui permet de garantir la sécurité des paiements.
6. Bases légales
Les traitements reposent sur :
- l’exécution d’un contrat auquel vous êtes partie pour les traitements liés à votre compte, aux commandes, et aux jeux concours ;
- l’intérêt légitime pour ce qui concerne la rubrique « service client », les avis client, la prospection commerciale,
- le consentement pour ce qui concerne les éventuelles données sensibles que vous nous communiquez,
- le respect de nos obligations réglementaires, et notamment le respect des obligations légales imposées au responsable de traitement par les dispositifs de vigilance sanitaire prévus notamment par le code de la santé publique.
7. Destinataires des données
La Société s’assure que les données ne soient accessibles qu’aux destinataires internes ou externes autorisés suivants :
- Selon le cas et en fonction des finalités du traitement : mandataires sociaux et salariés de la Société, entités du Groupe en lien avec l’activité ;
- Si nécessaire, salariés des prestataires techniques (sous-traitants) de la Société concourant au fonctionnement du Site, des pages officielles des réseaux sociaux de la Société, et qui concourent à l’exécution de votre commande, perçoivent votre paiement, vous envoient des informations et des offres commerciales.
- Les organismes publics, exclusivement pour répondre aux obligations légales de la Société,
- Les auxiliaires de justice, les officiers ministériels.
La Société s’assure du respect par ses sous-traitants de ses obligations en vertu de la réglementation applicable. La Société s’engage notamment à signer avec tous ses sous-traitants un contrat écrit et impose aux sous-traitants les mêmes obligations en matière de protection des données. De plus, la Société se réserve le droit de procéder à un audit auprès de ses sous-traitants afin de s’assurer du respect des dispositions de la réglementation applicable.
A l’exception de la communication aux personnes définies ci-dessus, vos données à caractère personnel ne feront pas l’objet de communications, cessions, locations ou échanges au bénéfice de quelques tiers que ce soit.
8. Transfert de données à caractère personnel
Si c’est nécessaire pour les finalités décrites ci-dessus, il est possible que vos données fassent, pour des raisons techniques, l’objet d’un transfert dans un pays tiers. Lorsque le pays concerné ne bénéficie pas d’une décision d’adéquation (ce qui signifie qu’ils offrent à vos données à caractère personnel un degré de protection équivalent à celui qui est en cours sur le territoire de l’Union Européenne), la Société s’assure que le transfert est encadré par l’une des mesures de garantie appropriées suivantes :
- des clauses contractuelles types approuvées par la CNIL,
- notre adhésion à un code de conduite approuvé en vigueur,
- le respect d’un mécanisme de certification certifié par un organisme agréé,
- des règles d’entreprises contraignantes approuvées par la CNIL.
Vous pouvez obtenir une copie des garanties en question en le demandant dans les conditions définies ci-dessous à l’article 11.
9. Durée de conservation
La durée de conservation des données est définie par la Société au regard des contraintes légales et contractuelles qui pèsent sur elle.
La plupart des données (par exemple informations de votre compte client et historique de commandes sont conservées tant que vous êtes un client « actif » et pendant une durée de 5 ans à compter de votre dernière activité (par exemple achat, connexion à votre compte ou échéance d'un contrat ou d'une garantie. Vos données sont ensuite archivées avec un accès restreint pour une durée supplémentaire pour des raisons limitées et autorisées par la loi (paiement, garantie, litiges ...). Passé ce délai, elles sont supprimées.
Finalité du traitement | Base légale | Durée de conservation en base opérationnelle | Archivage |
Gestion des commandes de produits ou services | Exécution du contrat auquel vous êtes partie | 5 ans à compter de la dernière activité | 5 ans |
Utilisation du compte | Exécution du contrat auquel vous êtes partie | 5 ans à compter de la dernière activité | 5 ans |
Connaissance client et analyse statistique | Exécution du contrat auquel vous êtes partie | 5 ans | 5 ans |
Envoi de messages par email ou sms (prospection commerciale électronique | Intérêt légitime | 3 ans à compter de la dernière activité | N/A |
Envoi de courriers commerciaux (prospection commerciale par voie postale y compris profilage) | Intérêt légitime | 3 ans à compter de la dernière activité | N/A |
Démarchage par téléphone (prospection commerciale téléphonique y compris profilage) | Intérêt légitime | 3 ans à compter de la dernière activité | N/A |
Envoi de messages par email ou sms (prospection commerciale électronique y compris profilage) par des TIERS | Consentement | 3 ans à compter de la dernière activité | N/A |
Publicité ciblée / profilage publicitaire au profit de la Société | Intérêt légitime | 3 ans | N/A |
Publicité ciblée / profilage publicitaire au bénéfice de tiers | Consentement | 13 mois à compter du dépôt des cookies publicitaires | N/A |
Partage des données au sein du groupe à des fins de connaissance client | Intérêt légitime | 3 ans à compter de la dernière activité | N/A |
Prévention de la fraude | Intérêt légitime | 3 ans à compter de l'inscription sur une liste d'alerte | 2 ans |
Vigilance sanitaire | Obligation légale | Durée d’utilisation courante des données | Pendant la durée légale ou réglementaire applicable à chaque vigilance sanitaire ou en l’absence de durée légale ou réglementaire, 70 ans à compter de la date du retrait du marché du médicament, du dispositif ou du produit. |
De manière générale, les données permettant d’établir la preuve d’un droit ou d’un contrat, devant être conservées au titre du respect d’une obligation légale, le seront pendant la durée prévue par la loi en vigueur.
Au terme de la durée de conservation définie pour chacune des catégories de données à caractère personnel traitée, et sous réserve des dispositions permettant un archivage strictement nécessaire à l’exercice d’un droit et à la preuve de ce droit pour la durée des délais de prescription applicables ou en vertu des obligations légales auxquelles la Société est soumises, la Société :
- détruit les données à caractère personnel, ou
- conserve ces données personnelles sous une forme anonymisée de manière irréversible, de sorte que ces données ne constituent plus des données à caractère personnel au sens de la réglementation applicable.
Il est rappelé aux clients et contacts que la suppression ou l’anonymisation sont des opérations irréversibles et que la Société n’est plus, par la suite, en mesure de les restaurer.
10. Vos droits
1° Droit d’accès
Les clients et contacts disposent traditionnellement d’un droit de demander à la Société la confirmation que des données les concernant sont ou non traitées.
Les clients et contacts disposent également d’un droit d’accès.
Les clients et contacts ont le droit de demander une copie de leurs données à caractère personnel faisant l’objet du traitement auprès de la Société. Toutefois, en cas de demande de copie supplémentaire, la Société pourra exiger la prise en charge financière de ce coût par les clients et contacts.
Si les clients et contacts présentent leur demande de copie des données par voie électronique, les informations demandées lui seront fournies sous une forme électronique d’usage courant, sauf demande contraire.
Les clients et contacts sont informés que ce droit d’accès ne peut pas porter sur des données dont la loi n’autorise pas la communication.
2° Droit de rectification
Afin de permettre une mise à jour régulière de ses données à caractère personnel, la personne concernée pourra solliciter la Société.
La Société ne pourra se voir reprocher une absence de mise à jour si le client ou le contact n’actualise pas ses données.
3° Autres droits
Dans les conditions définies par les textes applicables, les clients et contacts disposent également, dans certains cas, d’un droit à l’effacement (article 17 du RGPD), d’un droit d’opposition (article 21 du RGPD), d’un droit à la limitation (article 18 du RGPD), d’un droit à la portabilité de leurs données (article 20 du RGPD), du droit de définir des directives relatives au sort de leurs données à caractère personnel après leur mort (art. 32 de la loi du 6 janvier 1978 modifiée).
4° Droit d’introduire une réclamation auprès de la CNIL
Les clients et contacts concernés par le traitement de leurs données à caractère personnel sont informés de leur droit d’introduire une plainte auprès d’une autorité de contrôle, à savoir la Cnil en France, s’ils estiment que le traitement de données à caractère personnel les concernant n’est pas conforme à la règlementation européenne de protection des données, à l’adresse suivante :
Cnil – Service des plaintes : 3, place de Fontenoy – TSA 80715 – 75334 PARIS CEDEX 07 Tél : 01 53 73 22 22 |
11. Comment exercer vos droits
La demande doit être adressée par mail à dpo@ineldea.com ou par courrier a l’adresse LABORATOIRES INELDEA – 10ième rue, 4ième avenue, 06510 CARROS à l’attention du responsable de la protection des données.
Les personnes concernées sont informées qu’il s’agit de droits qui ne peuvent être exercés que par elles. Pour satisfaire à cette obligation, la Société vérifiera l’identité de la personne concernée.
Il est rappelé que si les demandes d'une personne concernée sont manifestement infondées ou excessives, notamment en raison de leur caractère répétitif, la Société pourra exiger le paiement de frais raisonnables qui tiennent compte des coûts administratifs supportés pour fournir les informations, procéder aux communications ou prendre les mesures demandées ; ou refuser de donner suite à ces demandes.
12. Caractère facultatif ou obligatoire des réponses
Les clients et contacts sont informés sur chaque formulaire de collecte des données à caractère personnel du caractère obligatoire ou facultatif des réponses par la présence d’un astérisque.
Dans le cas où des réponses sont obligatoires et où vous ne les fournissez pas, vous ne pourrez pas soit vous inscrire au programme fidélité, soit aller au bout de la commande en ligne.
13. Liens vers les sites tiers
Nous pourrons vous présenter des liens avec d’autres sites web. C’est notamment le cas des rubriques « nous rejoindre » et « devenir franchisé ». Néanmoins, nous ne serons pas responsables du contenu ou des politiques de collecte d'information sur ces sites web. Si vous visitez les sites web de tierces personnes, nous vous recommandons de vérifier leurs politiques en matière de collecte d’information et de protection de la vie privée. Nous n'acceptons aucune responsabilité à cet égard. Veuillez vérifier ces politiques avant de communiquer vos données personnelles à ces sites web.
14. Communication électronique (email, sms)
Dès lors que vous avez accepté de recevoir des offres (Newsletter et/ou offres commerciales) de la part la Société, vous avez à tout moment la possibilité de vous désabonner en cliquant sur le lien qui vous est proposé ou par les autres moyens qui vous sont proposés.
15. Droit d’usage concédé à la Société
La Société se voit concéder par les clients et contacts un droit d’usage et de traitement de leurs données à caractère personnel pour les finalités définies ci-dessus.
16. Sécurité
La Société met en œuvre les mesures de sécurité qu’elle estime appropriées pour lutter contre la destruction, la perte, l’altération ou la divulgation non autorisée des données de manière accidentelle ou illicite. Parmi ces mesures figurent principalement :
- l’utilisation de mesures de sécurité pour l’accès aux locaux (fermeture des bureaux, badges, etc.) ;
- login et password pour toutes nos applications métiers ;
- la gestion des habilitations pour l’accès aux données ;
- VPN dans le cadre des connexions à distance ;
- Audits de sécurité réalisés régulièrement (tests d’intrusion…).
Pour ce faire, la Société peut se faire assister de tout tiers de son choix pour procéder, aux fréquences qu’il estimera nécessaires, à des audits de vulnérabilité ou des tests d’intrusion.
La Société s’engage, en cas de changement des moyens visant à assurer la sécurité et la confidentialité des données à caractère personnel, à les remplacer par des moyens d’une performance supérieure. Aucune évolution ne pourra conduire à une régression du niveau de sécurité.
17. Violation des données
En cas de violation de données à caractère personnel, et à moins que la violation en question ne soit pas susceptible d'engendrer un risque pour les droits et libertés des personnes concernées, la Société s’engage à le notifier à la Cnil dans les conditions prescrites par la réglementation applicable.
Si ladite violation fait porter un risque élevé pour les clients et contacts et que les données n’ont pas été protégées, la Société :
- en avisera les clients et contacts concernés ;
- communiquera aux clients et contacts concernés les informations et recommandations nécessaires.
18. Registre des traitements
La Société dispose d’un registre des traitements.
19. Évolution
La présente politique peut être modifiée ou aménagée à tout moment en cas d’évolution légale, jurisprudentielle, des décisions et recommandations de la Cnil ou des usages.
Toute nouvelle version de la présente politique sera portée à la connaissance des clients et contacts, en ligne sur le Site.