RGPD – CGV

Registre d’activités de traitement de données personnelles

Fiche 1 : Fichier des clients, et vente en ligne

Date de création : 1/05/2019
Date de mise à jour : 22/11/2021
Responsable du traitement : Marie-Janvière Gourguechon
Finalités :
Le traitement peut avoir tout ou partie des finalités suivantes :

  • effectuer les opérations relatives à la gestion des clients concernant : 
    • les devis; 
    • les réservations
    • les commandes ;  
    • les factures ; 
    • la comptabilité et en particulier la gestion des comptes clients ; un programme de fidélité au sein de l’entreprise ; 
    • le suivi de la relation client tel que la gestion des réclamations et du service après-vente ;
  • l’élaboration de statistiques commerciales ; 
  • L’organisation de jeux concours, de loteries ou de toute opération promotionnelle à l’exclusion des jeux d’argent et de hasard en ligne soumis à l’agrément de l’Autorité de Régulation des Jeux en Ligne ; 
  • La gestion des demandes de droit d’accès, de rectification et d’opposition ; 
  • La gestion des avis des personnes sur des services ou contenus

Données personnelles concernées / traitées

  • l’identité : civilité, nom, prénoms, adresse, numéro de téléphone (fixe et/ ou mobile), adresses de courrier électronique, code interne de traitement permettant l’identification du client. Une copie d’un titre d’identité peut être conservée aux fins de preuve de l’exercice d’un droit d’accès, de rectification ou d’opposition ou pour répondre à une obligation légale ; 
  • les données relatives aux moyens de paiement : relevé d’identité postale ou bancaire, numéro de chèque, numéro de carte bancaire, date de fin de validité de la carte bancaire, cryptogramme visuel (ce dernier ne devant pas être conservé, conformément à l’article 5) ; 
  • les données relatives à la transaction telles que le numéro de la transaction, le détail du séjour, ou du service souscrit ; 
  • les données relatives au suivi de la relation commerciale : demandes de devis, date du séjour, montant, historique des réservaions et des prestations de services, correspondances avec le client et service après-vente, échanges et commentaires des clients,
  • les données relatives aux règlements des factures : modalités de règlement, remises consenties, reçus, soldes et impayés n’entraînant pas une exclusion de la personne du bénéfice d’un droit, d’une prestation ou d’un contrat soumis à autorisation de la Commission telle que prévue par les dispositions de l’article 25-I-4° de la loi du 6 janvier 1978 modifiée. 
  • les données nécessaires à la réalisation des actions de fidélisation, 
  • les données relatives à l’organisation et au traitement des jeux concours, de loteries et de toute opération promotionnelle telles que la date de participation, les réponses apportées aux jeux concours et la nature des lots offerts ; 
  • les données relatives aux contributions des personnes qui déposent des avis sur des produits, services ou contenus, notamment leur pseudonyme ;

Données sensibles

Les données sensibles collectées : Pas de données
Les données exclues : Pas de données

Les durées de conservation

Concernant les données relatives à la gestion de clients: 

Les données à caractère personnel relatives aux clients ne peuvent être conservées au-delà de la durée strictement nécessaire à la gestion de la relation commerciale. Toutefois, les données permettant d’établir la preuve d’un droit ou d’un contrat, ou conservées au titre du respect d’une obligation légale, peuvent faire l’objet d’une politique d’archivage intermédiaire pour une durée n’excédant pas la durée nécessaire aux finalités pour lesquelles elles sont conservées, conformément aux dispositions en vigueur (notamment mais non exclusivement celles prévues par le code de commerce, le code civil et le code de la consommation). 

Concernant les pièces d’identité

En cas d’exercice du droit d’accès ou de rectification, les données relatives aux pièces d’identité peuvent être conservées pendant le délai prévu à l’article 9 du code de procédure pénale (soit un an). En cas d’exercice du droit d’opposition, ces données peuvent être archivées pendant le délai de prescription prévu à l’article 8 du code de procédure pénale (soit trois ans). 

Concernant les données relatives aux cartes bancaires

Les données relatives aux cartes bancaires doivent être supprimées une fois la transaction réalisée, c’est-à-dire dès son paiement effectif, qui peut être différé à la réception du bien, augmenté, le cas échéant, du délai de rétractation prévu pour les contrats conclus à distance et hors établissement, conformément à l’article L. 221-18 du code de la consommation. 

Dans le cas d’un paiement par carte bancaire, le numéro de la carte et la date de validité de celle-ci peuvent être conservés pour une finalité de preuve en cas d’éventuelle contestation de la transaction, en archives intermédiaires, pour la durée prévue par l’article L. 133-24 du code monétaire et financier, en l’occurrence treize mois suivant la date de débit. Ce délai peut être étendu à quinze mois afin de prendre en compte la possibilité d’utilisation de cartes de paiement à débit différé. Ces données doivent être utilisées uniquement en cas de contestation de la transaction. Les données conservées à cette fin doivent faire l’objet de mesures de sécurité, telles que décrites à l’article 8 de la présente norme et à l’article 5 de la délibération n° 2013-358 du 14 novembre 2013 susvisée. 

 De manière générale, les données relatives au cryptogramme visuel ne doivent pas être conservées au-delà du temps nécessaire à la réalisation de chaque transaction, y compris en cas de paiements successifs ou de conservation du numéro de la carte pour les achats ultérieurs. 

Lorsque la date d’expiration de la carte bancaire est atteinte, les données relatives à celles-ci doivent être supprimées

Destinataires des données

  • le personnel habilité au sein de l’entreprise

Peuvent être destinataires des données : 

  • le prestataire du logiciel hôtelier : Amenitiz

Les motifs

Nécessaire à l’exécution d’un contrat
Consentement de la personne

Information droits informatiques et libertés / RGPD

Au moment de la collecte des données, la personne concernée est informée, de l’identité du responsable du traitement, des finalités du traitement, du caractère obligatoire ou facultatif des réponses à apporter, des conséquences éventuelles, à leur égard, d’un défaut de réponse, des destinataires des données, de l’existence et des modalités d’exercice de ses droits d’accès, de rectification et d’opposition au traitement de ses données. 

Le contrôle du respect de ces obligations est assuré par les services de la Direction générale de la concurrence, de la consommation et de la répression des fraudes du ministère de l’Economie, de l’Industrie et du Numérique.

La participation à un jeu-concours ou une loterie ne peut être conditionnée à la réception de prospection directe de la part du responsable de traitement ou de ses partenaires, de même que l’achat d’un bien, le bénéfice d’une réduction ou la fourniture d’un service.

Lorsque la collecte des données intervient par voie orale, l’intéressé est mis en mesure d’exercer son droit d’opposition ou de donner son consentement avant la collecte de ses données.

Après la collecte des données :

  • la personne concernée a le droit de s’opposer, sans frais, à ce que ses données soient utilisées à des fins de prospection, notamment commerciale, par le responsable actuel du traitement ou celui d’un traitement ultérieur. Cette opposition peut intervenir à tout moment et n’a pas à être motivée ;
  • les messages adressés à des fins de prospection directe, au moyen des dispositifs visés par l’article L. 34-5 du CPCE, doivent mentionner des coordonnées permettant de demander à ne plus recevoir de telles sollicitations. 
  • Le responsable du traitement auprès duquel le droit d’opposition a été exercé informe sans délai de cette opposition tout autre responsable de traitement qu’il a rendu destinataire des données à caractère personnel qui font l’objet de l’opposition.

Conformément à l’article 39 de la loi, toute personne peut demander au responsable de  traitement la communication, sous une forme accessible, des données à caractère personnel la concernant ainsi que toute information quant à l’origine de celles-ci. Le droit de rectification s’exerce dans les conditions prévues à l’article 40 de la loi

Dans tous les cas, le responsable de traitement doit ménager la possibilité pour la personne concernée d’exercer ses droits si des données à caractère personnel la concernant restent traitées indépendamment de la clôture du compte et de la suppression des données de celui-ci.

Mesures de sécurité et confidentialité / mesures de sécurité à prévoir

Mesures de protection des logiciels : 

  • Données stockées sur un répertoire protégé par un mot de passe.
  • Le réseau est chiffré (SSL).
  • Antivirus 
  • Les logiciels métiers demandent une identification.

Sauvegarde des données

La sauvegarde des données fait partie du plan de sauvegarde informatique globale de l’entreprise.

Autres mesures : 

Les versions papiers des documents sont stockées dans une armoire fermée à clé, elle-même stockée dans un bureau fermé à clé lui-même dans un local fermé à clé (ou ayant un contrôle d’accès)

Fiche 2 : sites internet

Date de création : 2020
Date de mise à jour : 22/11/2021
Responsable du traitement : Marie-Janvière Gourguechon, 2528 Avenue du Général de Gaulle, 62730 Marck

Finalités

Gestion d’un site internet 

Finalité 1 : Préparation et publication de contenus 

Finalité 2 : Mise en ligne des formulaires de contact, sondages, questionnaires, formulaires, utilisation des services en ligne proposés par l’entreprise… 

Finalité 3 : Administration technique interne ou en lien avec les prestataires (cookies, mesures d’audiences, boutons sociaux, maintenance interne ou tierce, hébergement, registraire de noms de domaine, certification, équipements, …) 

Finalité 5 : Production de statistiques d’audience

Données personnelles concernées/traitées

  • Personnels de l’entreprise en charge de la publication des contenus et de l’administration technique du site web (Identité, fonctions, coordonnées) 
  • Les données relatives à la navigation sur le sites web (horodatage, adresse IP des usagers, données techniques relatives à l’équipement et au navigateur utilisés par les internautes, cookies) et sur les plateformes numériques via des boutons de partage et des médias (cookies et autres traceurs) 
  • Données relatives à la gestion des contacts (horodatage et objet de la demande, suivi, suites apportées, statistiques) 
  • Données relatives à la gestion des publications (objet, livrable, suivi, statistiques) 
  • Données relatives à la gestion des prestations techniques (horodatage et objet des demandes, suivi, suites données, statistiques) 
  • Statistiques d’audience du site web et d’utilisation des services en ligne proposés par l’entreprise.

Les données sensibles

Les données sensibles collectées : Non
Les données exclues : Pas de données

Les durées de conservation

Cookies : La durée de validité de ce consentement est de 13 mois maximum. 
Formulaire de contact : le temps de traitement de la demande
Les données de préparation des publications (commande, suivi, contenu éditorial) sont conservées près la mise en ligne. 

  • Les données des journaux (logs) sont conservées.
  • Les données nécessaires à la production de statistiques d’audience et d’utilisation des services en ligne sont conservées dans un format ne permettant pas l’identification des personnes par leur adresse IP, et comportent un identifiant (relatif au cookie) conservé pour une durée maximale de treize mois sauf opposition de la personne concernée.

Destinataires des données

Peuvent être destinataires des données : L’hébergeur du site web : Hostinger

Les motifs

Consentement de la personne

Informations droits informatiques et libertés/RGPD

Lorsque les données sont recueillies par voie de questionnaires, ceux-ci doivent porter mention des prescriptions figurant aux 1°, 2°, 3° et 6° de l’article 32 de la loi du 6 janvier 1978 modifiée. Cette disposition vise les questionnaires au sens large et, notamment, les formulaires à compléter sur un site web. 

L’utilisation d’un service de communication au public en ligne (site web) :

La présente norme s’applique dans le cas où le responsable de traitement utilise un service de communication au public en ligne pour réaliser les finalités définies à l’article 2. Des données de connexion (date, heure, adresse Internet, protocole de l’ordinateur du visiteur, page consultée) pourront être exploitées à des fins de mesure d’audience. Dans ce cas, le consentement préalable des personnes n’est pas nécessaire, à condition qu’elles disposent d’une information claire et complète délivrée par l’éditeur du site web, d’un droit d’opposition, d’un droit d’accès aux données collectées. Ces dernières ne doivent pas être recoupées avec d’autres traitements tels que les fichiers clients. L’information relative à la finalité et aux droits des personnes peut être présente dans les courriers électroniques envoyés, sur la page d’accueil du site, et dans ses conditions générales d’utilisation par exemple. Concernant l’exercice du droit d’opposition à l’analyse de sa navigation, l’outil permettant de désactiver la traçabilité mise en œuvre par l’outil d’analyse de fréquentation doit remplir les conditions suivantes :

  • un accès et une installation aisés pour tous les internautes sur l’ensemble des terminaux, des systèmes d’exploitation et des navigateurs web ; 
  • aucune information relative aux internautes ayant décidé d’exercer leur droit d’opposition ne doit être transmise à l’éditeur de l’outil d’analyse de fréquentation. Par ailleurs, tout abonné ou utilisateur d’un service de communications électroniques doit être informé de manière claire et complète, sauf s’il l’a été au préalable, par le responsable du traitement ou son représentant : 
  • de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement; 
  • des moyens dont il dispose pour s’y opposer. Ces accès ou inscriptions ne peuvent avoir lieu qu’à condition que l’abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son accord qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle. Ces dispositions ne sont pas applicables si l’accès aux informations stockées dans l’équipement terminal de l’utilisateur ou l’inscription d’informations dans l’équipement terminal de l’utilisateur : 
  • soit a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ;
  • soit est strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur.

Les cookies de mesure d’audience peuvent être déposés et lus sans recueillir le consentement des personnes lorsqu’ils remplissent les conditions visées à l’article 6 de la délibération n° 2013- 378 du 5 décembre 2013, portant adoption d’une recommandation relative aux cookies et aux 61 autres traceurs visés par l’article 32-II de la loi du 6 janvier 1978.

De manière générale, pour l’ensemble des traitements mis en œuvre pour les finalités définies à l’article 2 de la présente norme qui utilisent des données collectées par le biais des technologies visées à l’article 32-II de la loi, la présente norme renvoie aux recommandations de la délibération n° 2013-378 du 5 décembre 2013

Lorsque l’utilisation d’un service de communication au public en ligne donne lieu à la création d’un compte par l’utilisateur, les données doivent être effacées dès que le compte est supprimé, sous réserve des exceptions listées à l’article 5 de la norme.

S’agissant des comptes n’étant plus utilisés depuis un certain laps de temps par l’utilisateur, un délai doit être fixé pour déterminer la durée à partir de laquelle ces comptes doivent être considérés comme des comptes inactifs. Au terme de ce délai, les données relatives au compte inactif doivent être supprimées. Le responsable de traitement doit avertir l’utilisateur par tous les moyens disponibles avant de procéder à cette suppression et lui donner la possibilité de manifester sa volonté contraire. Il est envisageable que la personne concernée donne son consentement spécifique pour que tout ou partie des données soient archivées par le responsable de traitement, pour une durée déterminée et raisonnable, en vue d’une réactivation future du compte

Le laps de temps au terme duquel un compte doit être considéré comme inactif doit être défini par le responsable de traitement conformément aux dispositions de l’article 6.5° de la loi du 6 janvier 1978 modifiée. A titre indicatif, une durée de deux ans semble par exemple appropriée pour un compte créé sur un site de rencontres.

Avant de déposer ou lire un cookie, l’éditeur du site doit : 

  • informer les internautes de la finalité des cookies 
  • obtenir leur consentement 
  • fournir aux internautes un moyen de les refuser.

L’obligation de recueil du consentement s’impose aux responsables de sites, aux éditeurs d’applications mobiles, aux régies publicitaires, aux réseaux sociaux, aux éditeurs de solutions de mesure d’audience qui ont l’entière responsabilité de se mettre en accord avec la loi. 

LES COOKIES NÉCESSITANT UNE INFORMATION PRÉALABLE ET UNE DEMANDE DE CONSENTEMENT, SONT, 

  • les cookies liés aux opérations relatives à la publicité ; 
  • les cookies des réseaux sociaux générés par les boutons de partage de réseaux sociaux lorsqu’ils collectent des données personnelles sans consentement des personnes concernées ; 
  • certains cookies de mesure d’audience. 
  • Tant que la personne n’a pas donné son consentement, ces traceurs ne peuvent être déposés ou lus sur son terminal.

L’internaute doit être informé par l’apparition d’un bandeau : 

  • des finalités précises des cookies utilisés ; 
  • de la possibilité de s’opposer à ces cookies et de changer les paramètres en cliquant sur un lien” en savoir plus et paramétrer les cookies” présent dans le bandeau ; 
  • du fait que la poursuite de sa navigation vaut accord au dépôt de Cookies sur son terminal.

CERTAINS COOKIES SONT DISPENSÉS DU RECUEIL DE CE CONSENTEMENT.

Il s’agit des cookies et des traceurs strictement nécessaires à la fourniture d’un service expressément demandé par l’utilisateur. Ainsi, par exemple, les traceurs suivants ne requièrent pas de consentement : 

  • les cookies de “ panier d’achat “ pour un site marchand ; 
  • les cookies “ identifiants de session “, pour la durée d’une session, ou les cookies persistants limités à quelques heures dans certains cas ; 
  • les cookies d’authentification ; 
  • les cookies de session créés par un lecteur multimédia ; 
  • les cookies de session d’équilibrage de charge (“ load balancing “) ; 
  • certaines solutions d’analyse de mesure d’audience (analytics) ; 
  • les cookies persistants de personnalisation de l’interface utilisateur (choix de langue ou de présentation).

Mesures de sécurité et confidentialité / Mesures de sécurité à prévoir

Autres mesures : 

FOCUS SUR CERTAINS OUTILS PERMETTANT DE S’OPPOSER AUX COOKIES HTTP 

Le recours aux paramètres du navigateur peut, dans certaines hypothèses, permettre aux internautes d’exercer valablement leur choix. 

Les paramètres du navigateur être utilisés pour s’opposer aux cookies tiers uniquement si : 

  • L’internaute a été informé avant le dépôt des cookies, de leurs finalités 
  • l’ensemble des cookies déposés sur votre site sont des cookies HTTP : Les paramètres du navigateur ne permettent pas, en l’état actuel de la technique, de gérer des technologies autres que les cookies HTTP. Ils ne pourraient donc être regardés comme satisfaisants en cas d’utilisation d’autres technologies que les cookies HTTP, tels que les pixels invisibles, les cookies flash, ou les techniques de fingerprinting.
  • l’ensemble des cookies déposés sur votre site sont des cookies tiers : c’est à dire, des cookies placés par le serveur d’un domaine distinct de celui du site visité. Dans le cas contraire, vous devrez mettre en place un autre mécanisme pour gérer les choix de vos utilisateurs. 
  • Si vous utilisez la solution de mesure d’audience de Google (ou une autre solution s’appuyant sur des “first party” cookies), il vous faudra donc ajouter le script de demande de consentement disponible ici 
  • Il n’est pas concevable de proposer aux internautes de bloquer tous les cookies dans les paramètres de son navigateur. Certains “first party” cookies (cookies déposés et lus pas le site web consulté par l’internaute) sont essentiels au fonctionnement des sites web. Le refus de ces cookies peut avoir pour conséquence de priver l’internaute d’un accès à certains services. En ce sens, cette hypothèse est à exclure. 

Conditions Générales de Vente

Maecenas a volutpat elit. Praesent vel orci ut lectus porttitor rhoncus. Etiam euismod tincidunt sem. Cras maximus est at ipsum tristique consectetur. Vestibulum massa ligula, porta ut tempus in, sollicitudin in ligula. Nulla facilisi. Curabitur quis imperdiet mi, in euismod purus. Pellentesque dignissim mattis lorem sit amet consectetur. Fusce eget elit nunc.