Politique de confidentialité

POLITIQUE DE CONFIDENTIALITÉ

REGALIA 31

PRÉAMBULE

Le présent document définit la politique de traitement de données à caractère personnel mise en œuvre par la Société REGALIA 31, conformément au Règlement Européen 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (le «RGPD»)

1. DÉFINITIONS

Pour les besoins du présent document, les termes suivants «données à caractère personnel», «délégué à la protection des données», «traiter/traitement», «responsable du traitement», «destinataire», «sous-traitant» et «transférer/transfert» ont la même signification que celle qui leur est donnée dans le Règlement Européen 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques et morales à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (le «RGPD»).

2. GÉNÉRALITÉS CONCERNANT LE TRAITEMENT DES DONNÉES  CARACTÈRE PERSONNEL PAR LA SOCIÉTÉ REGALIA 31

Le responsable du traitement au sens de l'Art. 4, par. 7, du RGPD, ainsi que d'autres lois nationales des États membres concernant la protection des données et de toute autre disposition légale en matière de protection des données, est la société SARL REGALIA 31, représentée par sa gérante Madame Sandra DARNEY-COHEN.

Le délégué à la protection des données personnelles de la société REGALIA 31 est :

M. André BASSOU

Courriel : diag@regalia.com

  • Description du traitement de données par REGALIA 31

Des données à caractère personnel sont collectées dans le cadre du processus de commande de produits auprès de la société REGALIA 31, notamment via le site accessible à l’adresse http://www.regalia31.com/.

À cette occasion, les données sont transmises à nos services et enregistrées.

Les données suivantes sont collectées dans le cadre du processus de commande :

(1) Civilité, prénom et nom

(2) Adresse e-mail

(3) Adresse (rue, numéro, code postal, localité)

(4) Indication du numéro de téléphone

  • Finalité du traitement des données

Ces informations ont pour finalité notamment les opérations relatives à la gestion des clients, à la prospection, à la gestion des demandes de droit d’accès, de rectification et d’opposition, la gestion des impayés et du contentieux, à la gestion d’opérations promotionnelles, à la gestion des avis.

  • Durée de l’enregistrement

Les données sont effacées dès qu'elles ne sont plus indispensables au regard des finalités de leur collecte.

  • Droit des personnes concernées

Si des données à caractère personnel vous concernant sont traitées, vous êtes une « personne concernée » au sens du RGPD et vous disposez alors des droits suivants à l'encontre du responsable du traitement :

-  Droit d'accès

Vous avez le droit d’obtenir du responsable la confirmation que des données à caractère personnel vous concernant sont ou ne sont pas traitées par nos services.

Vous pouvez obtenir du responsable l’accès aux informations suivantes :

(1) les finalités du traitement des données à caractère personnel ;

(2) les catégories de données à caractère personnel traitées ;

(3) les destinataires et catégories de destinataires auxquels les données à caractère personnel vous concernant ont été ou seront communiquées ;

(4) la durée d’enregistrement des données à caractère personnel envisagée ou, au cas où des indications concrètes ne sont pas possibles à ce sujet, les critères utilisés pour déterminer la durée d’enregistrement ;

(5) l’existence d’un droit à la rectification ou à l’effacement des données à caractère personnel vous concernant, d’un droit à la limitation de leur traitement par le responsable ou d’un droit d’opposition à l’encontre de ce traitement ;

(6) l’existence d’un droit de réclamation auprès d’une autorité de contrôle ;

(7) toutes informations disponibles quant à la source des données à caractère personnel lorsque celles-ci ne sont pas collectées auprès de la personne concernée ;

(8) Vous avez le droit d’être informé(e) si les données à caractère personnel vous concernant sont ou ne sont pas transférées vers un pays tiers ou à une organisation internationale. Dans ce contexte, vous pouvez obtenir d’être informé(e) des garanties appropriées en ce qui concerne ce transfert conformément à l’Art. 46 du RGPD.

-  Droit de rectification

Vis-à-vis du responsable, vous avez le droit d’obtenir la rectification ou le complément de données à caractère personnel vous concernant dans la mesure où lesdites données sont inexactes ou incomplètes. Le responsable est tenu de procéder à la rectification dans les meilleurs délais.

  • Droit à l’effacement

Vous pouvez obtenir du responsable l’effacement, dans les meilleurs délais, de données à caractère personnel vous concernant, et le responsable a l’obligation d’effacer ces données dans les meilleurs délais lorsque l’un des motifs suivants s’applique :

(1) Les données à caractère personnel vous concernant ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d’une autre manière.

(2) Vous retirez votre consentement sur lequel est fondé le traitement conformément à l’Art. 6, par. 1, point a, ou à l'Art. 9, par. 2, point a, du RGPD, et il n’existe pas d’autre fondement juridique au traitement.

(3) Vous vous opposez au traitement conformément à l'Art. 21, par. 1, du RGPD et il n’existe pas de motif légitime impérieux pour le traitement, ou vous vous opposez au traitement conformément à l’Art. 21, par. 2, du RGPD.

(4) Les données à caractère personnel vous concernant ont été traitées de manière illicite.

(5) Les données à caractère personnel doivent être effacées pour respecter une obligation légale qui est prévue par le droit de l'Union ou par le droit de l'État membre auquel le responsable est soumis.

(6) Les données à caractère personnel vous concernant ont été collectées dans le cadre de l’offre de services de la société de l’information conformément à l’Art. 8, par. 1, du RGPD.

Exception du droit à effacement

Le droit à l’effacement n’existe pas lorsque le traitement est nécessaire :

(1) pour exercer le droit à la liberté d’expression et à l’information ;

(2) pour respecter une obligation légale requérant le traitement d’après le droit de l’Union ou le droit de l’État membre auquel est soumis le responsable, ou pour exécuter une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable (par ex. obligations de conservation imposées par le droit du commerce ou le droit fiscal) ;

(3) pour des motifs d’intérêt public dans le domaine de la santé publique conformément à l’Art. 9, par. 2, points h et i, et à l'Art. 9, par. 3, du RGPD ;

(4) à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l’Art. 89, par. 1, du RGPD, dans la mesure où le droit visé au point a) est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs de ce traitement, ou

(5) pour faire valoir, exercer ou défendre des droits en justice.

-Droit à notification

Si vous avez fait valoir votre droit à la rectification ou à l’effacement de données ou à la limitation du traitement vis-à-vis du responsable, ce dernier est alors tenu de notifier cette rectification ou cet effacement de données ou cette limitation du traitement à chaque destinataire auquel les données à caractère personnel vous concernant ont été communiquées, à moins que ceci se révèle impossible ou exige des efforts disproportionnés.

Vous avez le droit d’être informé(e) par le responsable au sujet de ces destinataires.

-Droit à opposition

Vous avez le droit de vous opposer à tout moment, pour des raisons tenant de votre situation particulière, à un traitement des données à caractère personnel vous concernant fondé sur l’Art. 6, par. 1, point e ou f, du RGPD ; ceci s’applique également à un profilage fondé sur ces dispositions.

Les registres informatisés conservés dans les systèmes informatiques de la société REGALIA 31 dans des conditions raisonnables de sécurité, seront considérés comme les preuves des communications, des commandes et des paiements intervenues entre les parties. L'archivage des bons de commande et des factures est effectué sur un support fiable et durable pouvant être produit à titre de preuve.

3. OBLIGATIONS DE REGALIA 31

3.1. Obligations générales

La société REGALIA 31 s'engage à :

(i) Traiter les données à caractère personnel collectées uniquement dans le cadre de son activité professionnelle.

(ii) Respecter la réglementation applicable aux données à caractère personnel traitées ;

(iii) Veiller à ce que les personnes autorisées à accéder aux données à caractère personnel en vertu du présent Contrat reçoivent la formation nécessaire en matière de protection des données à caractère personnel ;

(iv) Communiquer le nom et les coordonnées du DPO désigné à toute personne en faisant la demande ;

(v) Ne pas concéder, louer, céder ou autrement communiquer à une autre personne, tout ou partie des données à caractère personnel, même à titre gratuit, ainsi que ne pas utiliser les données à caractère personnel à d’autres fins que celles prévues ;

(vi) Prendre en compte, s'agissant de ses outils, produits, applications ou Services SaaS, les principes de protection des données dès leur conception.

3.2. Sécurité, confidentialité, violation et destruction des données

La société REGALIA 31 s'engage à :

(i) Prendre toute précaution utile afin de préserver la confidentialité et la sécurité des données à caractère personnel, et notamment, empêcher qu’elles ne soient déformées, endommagées ou communiquées à tout tiers non autorisé, et plus généralement, à mettre en œuvre les mesures techniques et d’organisation appropriées pour protéger les données à caractère personnel contre la destruction accidentelle illicite, la perte accidentelle, l’altération, la diffusion ou l’accès non autorisés, notamment, lorsque le traitement comporte des transmissions de données dans un réseau, ainsi que, contre toute forme de traitement illicite, étant précisé que ces mesures doivent assurer, compte tenu de l'état de l'art, un niveau de sécurité approprié au regard des risques présentés par les traitements et la nature des données à protéger ;

(ii) Mettre en place des habilitations pour restreindre l’accès des personnes aux données à caractère personnel et ne communiquer les données à caractère personnel qu'aux personnes ayant besoin d'en connaître, en veillant à ce que ces personnes soient soumises à une obligation contractuelle ou légale de confidentialité et de sécurité appropriée ;

(iii) Mettre à jour les mesures de sécurité compte tenu de l'évolution de la technique, sans qu'il ne puisse résulter une diminution du niveau de sécurité ;

(iv) Notifier aux Clients toute violation de données à caractère personnel, accompagnée de toute documentation utile dans les meilleurs délais et au plus tard huit (8) heures après en avoir pris connaissance, notamment afin de se conformer à l’obligation de notifier à la CNIL toute violation de données dans les conditions visées à l'article 33 du RGPD ;

(v) Mettre en place les mesures nécessaires à la protection des données à caractère personnel en cas de violation des données, en consultation avec ses clients pour limiter tout effet négatif sur les personnes affectées par la violation ;

(vi) Respecter les durées de conservation des données à caractère personnel ;

3.3. Assistance

La société REGALIA 31 s'engage à :

(i) Aider et collaborer avec les personnes concernées afin de garantir le respect des obligations leur incombant, conformément à la réglementation applicable en matière de protection des données à caractère personnel ;

(ii) Fournir aux personnes concernées l'information relative aux traitements de collecte de données à caractère personnel.

(iii) Répondre dans les meilleurs délais à toute demande de personnes concernées portant sur les données à caractère personnel traitées, afin de permettre à ces personnes de prendre en compte, dans les délais impartis, les éventuelles requêtes des intéressés (droit d’accès, droit de rectification, droit à l’effacement, etc.), et de manière plus générale tenir compte de la nature du traitement et aider ses interlocuteurs par des mesures techniques et organisationnelles appropriées à s'acquitter de leurs obligations de donner suite aux demandes dont les personnes concernées le saisissent en vue d'exercer leurs droits;

(iv) Lorsque les personnes concernées exercent auprès d’un cocontractant des demandes d’exercice de leurs droits, adresser ces demandes dès leur réception par courrier électronique aux adresses email qui devront être communiquées par le Cocontractant à la société REGALIA 31.

Le cocontractant assurera, à défaut d'instruction écrite contraire de sa part, le traitement de ces demandes ;

(v) Fournir aux interlocuteurs toute information et toute assistance nécessaires pour permettre à ces derniers de respecter leurs obligations en cas de violation de données à caractère personnel (incluant au minimum la nature de la violation, les catégories et le nombre approximatif de personnes concernées et de données à caractère personnel touchées par la violation, ainsi que les conséquences probables de la violation) ;

3.4. Sous-traitance ultérieure

La société REGALIA 31 s'engage à ne pas sous-traiter l'exécution des traitements sans en informer les personnes concernées.

La société REGALIA 31 demeure en tout état de cause pleinement responsable de l'exécution, par tout sous-traitant de second rang (préalablement agréé), des obligations lui incombant et s'engage :

(i) À répercuter auprès de ses sous-traitants les engagements et obligations auxquels elle est tenue au titre du Contrat ;

(ii) À communiquer à tout cocontractant, sur demande de celui-ci, les termes des contrats conclus avec ses sous-traitants de second rang ;

3.5. Transferts de données à caractère personnel hors-UE

La société REGALIA 31 s'engage, que ce soit à raison des Prestations qu'elle réalise ou à raison des Prestations réalisées dans le cadre d'un recours à la sous-traitance autorisée selon les conditions du Contrat, à ne pas transférer les données à caractère personnel traitées dans le cadre du Contrat, hors de l'Union Européenne ou des pays dits de « protection adéquate » sans l'autorisation préalable et écrite du cocontractant, ce dernier devant en effet pouvoir procéder, préalablement au transfert :

(i) À la mise en place de garanties appropriées telles que prévues par la réglementation applicable en matière de protection des données à caractère personnel (BCR sous-traitants, clauses types de protection des données adoptées par la Commission responsable du traitement/sous-traitant, adhésion de l'importateur au UE-US Privacy Shield arrangement, code de conduite ou mécanisme de certification approuvés),

(ii) À la réalisation des formalités et à l'obtention le cas échéant de l’autorisation préalable de transférer les données personnelles sur la base d'un engagement de l'importateur des données personnelles recueilli dans le cadre d'un mécanisme alternatif de protection des données à caractère personnel accepté par la CNIL et,

(iii) À l'information des personnes concernées.

Néanmoins, si la société REGALIA 31 est tenue de procéder à de tels transferts en vertu du droit applicable, celle-ci s'engage à informer immédiatement les personnes concernées, sauf impossibilité légale.

3.6. Audit

Sur première demande de toute personne concernée, et dans un délai raisonnable, la société REGALIA 31 s'engage à mettre à sa disposition toutes les informations nécessaires pour démontrer le respect de ses obligations telles qu'énoncées aux présentes et lui incombant en tant que sous-traitant et à permettre la réalisation d'audit(s), y compris des inspections par les personnes concernées ou un autre auditeur mandaté et contribuer à ces audits.

Toute personne concernée pourra particulièrement contrôler l'adéquation des mesures techniques et organisationnelles prises par la société REGALIA 31.