POLITIQUE DE CONFIDENTIALITÉ
Préambule
Le Règlement général sur la protection des données (RGPD) est entré en vigueur le 25 mai 2018 et vient compléter la législation en matière de protection des données à caractère personnel.
Pour votre information, une donnée à caractère personnel correspond à toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres (nom, prénom, adresse, mail, téléphone, numéro de contrat, numéro CB, …).
Un traitement de données à caractère personnel désigne toute opération sur ce type de données (collecte, stockage, transmission, suppression, …), que cela soit sur papier ou informatique. Le responsable de traitement est la personne qui détermine les finalités de chaque traitement et les moyens pour atteindre ces finalités.
Pour les sociétés SNGR, GHANTY ROYAL, CARTE MODE, et GHANTY SERVICES, membres du Groupe GHANTY, ci-après désignées comme « les Sociétés du Groupe », la protection de vos données est une priorité.
Aussi, dans un souci de transparence, la présente Politique de Confidentialité a pour objectif notamment de vous expliquer pourquoi vos données personnelles sont collectées et traitées par les Sociétés du Groupe, en leur qualité de co-responsables de traitement, comment celles-ci sont traitées, quels sont les droits dont vous disposez sur vos données et comment vous pouvez les exercer.
Les Sociétés du Groupe se réservent le droit de modifier à tout moment la présente Politique de Confidentialité. Toute modification prendra effet immédiatement.
Par conséquent, nous vous invitons à consulter régulièrement notre Politique, accessible depuis toutes les pages du Site et ce, afin de vous tenir informé de la dernière version en ligne applicable. Pour les changements que nous estimons les plus significatifs, une notification sera faite sur le site ou transmise par courriel. Nous vous invitons également à vérifier la date indiquée sur la présente Politique afin de connaître la date de la dernière mise à jour.
1- POURQUOI LES SOCIÉTÉS DU GROUPE ONT-ELLES BESOIN DE COLLECTER VOS DONNÉES ?
Les données que les Sociétés du Groupe collectent sont nécessaires pour leur permettre de répondre aux finalités suivantes :
- Assurer la gestion des demandes reçues via le présent site ;
- Réalisation des pré-inscriptions et inscriptions au Programme de fidélité la Carte Fid’ ;
- Création d’un compte adhérent et mise en œuvre de sa gestion,
- Assurer la mise en œuvre du programme de fidélité la Carte Fid’(cumul de points, attribution d’Offres de fidélité, transmission des communications informatives, gestion des réclamations,…) ;
- Réalisation d’actions de profilage sur la base des historiques d’achats de l’adhérent au Programme, et ce afin que les Offres de fidélité proposées, correspondent à son profil d’achat. Sans ce profilage, l’adhérent ne pourra bénéficier d’Offres adaptées. Il est donc essentiel au bon fonctionnement du programme Carte Fid’ ;
- Réalisation d’actions de prospection commerciale (envoi de messages publicitaires et promotionnels, organisation de jeux concours, loteries et opérations promotionnelles,…) ;
- Dépôt de cookies selon les conditions décrites dans la Politique Cookies du présent site ;
- Gestion des demandes d’exercice des droits reconnus aux personnes concernées au titre de la règlementation applicable au traitement des données personnelles ;
- Tenue de la comptabilité générale et des comptabilités auxiliaires ;
- Réalisation de recueils d’avis et leur gestion, réalisation d’enquêtes de satisfaction et d’études clients (sondages, tests produits,…) ;
- Gestion de l’inscription à la newsletter et son envoi.
De façon générale, les Sociétés du Groupe ne traitent aucune de vos données à des fins incompatibles avec celles pour lesquelles elles ont été collectées, sauf accord préalable de votre part.
2- QUELLES SONT LES DONNÉES QUE LES SOCIÉTÉS DU GROUPE COLLECTENT ?
Les Sociétés du Groupe collectent différents types de données personnelles vous concernant :
- Les données personnelles que vous nous communiquez directement :
- Lorsque vous remplissez un formulaire sur le site,
- Lorsque vous adhérez au Programme de fidélité,
- Lorsque vous contactez le service client pour poser une question, introduire une réclamation, …
- De façon générale, lorsque vous échangez avec les Sociétés du Groupe de toute autre manière.
La communication de vos données personnelles est volontaire. Toutefois, certaines informations, identifiées par un astérisque, seront indispensables pour traiter votre demande.
- Les données personnelles que nous collectons automatiquement
Nous collectons automatiquement certaines informations vous concernant lorsque vous accédez au Site, notamment, les informations sur votre navigation. Les Sociétés du Groupe utilisent des cookies et d’autres technologies de suivi pour collecter des informations vous concernant lorsque vous interagissez avec le Site.
Pour en savoir plus sur les cookies et la manière de les désactiver, veuillez consulter la Politique Cookies.
3- SUR QUEL FONDEMENT JURIDIQUE REPOSE LES TRAITEMENTS DE VOS DONNÉES ?
Les Sociétés du Groupe collectent vos données personnelles pour les finalités décrites au point 1 de la présente Politique. Dans tous les cas, vos données sont uniquement collectées lorsque leur collecte et leur traitement reposent sur un fondement juridique à savoir :
L’exécution des relations contractuelles et de mesures précontractuelles avec les Sociétés du Groupe.
Ce fondement juridique vise les finalités de traitement suivantes :
- Réalisation des pré-inscriptions et inscriptions au Programme de fidélité la Carte Fid’ ;
- Création d’un compte adhérent et mise en œuvre de sa gestion,
- Mise en œuvre du programme de fidélité la Carte Fid’ comme décrit dans les Conditions générales du Programme ;
- Réalisation d’actions de profilage sur la base des historiques d’achats de l’adhérent au Programme, et ce afin que les Offres de fidélité proposées, correspondent à son profil d’achat.
Sur cette base juridique contractuelle, tout refus de communiquer vos données personnelles empêchera l’adhésion et l’exécution du Programme Carte Fid’.
Le respect d’une obligation légale à laquelle les Sociétés du Groupe sont soumises, soit :
- La gestion des demandes d’exercice des droits reconnus aux personnes concernées au titre de la règlementation applicable au traitement des données personnelles ;
- La tenue de la comptabilité générale et des comptabilités auxiliaires.
Votre consentement
Sous réserve d’avoir obtenu votre consentement préalable, les Sociétés du Groupe peuvent traiter vos données pour :
- Réaliser des actions de prospection commerciale comme indiquée ci-dessus,
- Déposer des cookies dans les conditions décrites dans la Politique Cookies du présent site.
À tout moment, vous pouvez revenir sur votre choix et retirer votre consentement, selon les modalités décrites dans la section 5.2 de la présente Politique, sans toutefois remettre en cause la légalité du traitement reposant sur le consentement et mis en œuvre avant le retrait.
Les intérêts légitimes des Sociétés du Groupe :
Les Sociétés du Groupe pourront traiter vos données personnelles aux fins de poursuite de leur intérêt légitime notamment, pour :
- Assurer la gestion des demandes reçues via le présent site ;
- Réaliser des recueils d’avis et assurer leur gestion, réaliser des enquêtes de satisfaction et des études clients (sondages, tests produits,…)
- Gérer l’inscription à la newsletter et son envoi ;
4- COMBIEN DE TEMPS SONT CONSERVÉES VOS DONNÉES ?
Vos données sont conservées par les Sociétés du Groupe pendant le temps nécessaire à la réalisation des finalités visées au point 1 des présentes, majorées des délais légaux de prescription et plus précisément :
- Concernant les données nécessaire à l’exécution des relations contractuelles ou de mesures précontractuelles avec les Sociétés du Groupe ou au respect d’une obligation légale
Les Sociétés du Groupe conservent les données tant que l’adhérent ne s’est pas désinscrit du programme de fidélité.
Par ailleurs, passé un délai de 3 ans sans achat dans les boutiques partenaires ou activité sur le compte en ligne, l’adhérent sera considéré comme inactif. Il en sera alors averti afin de savoir s’il souhaite poursuivre son adhésion au programme de fidélité. Sans retour de sa part passé un délai de 15 jours, son compte et ses données seront supprimés des bases actives des Sociétés du Groupe.
Lesdites données, tout comme les données des personnes ayant mis fin à leur adhésion, pourront néanmoins être conservées en archivage intermédiaire, et ce aux fins de répondre à des obligations comptables ou fiscales ou à des fins probatoires en cas de contentieux, dans la limite du délai de prescription applicable.
- Concernant les données recueillies sur la base de votre consentement
- Les données utilisées aux fins de prospection commerciale seront conservées jusqu’au retrait du consentement de la personne concernée, ou à défaut, pour une durée de 3 ans à compter du dernier contact que vous avez eu avec l’une des Sociétés du Groupe (par exemple un achat dans l’une des enseignes partenaires; un clic sur un lien hypertexte contenu dans un courrier électronique, une demande d’information…). Au terme de ce délai de trois ans, vous serez contacté aux fins de savoir si vous souhaitez continuer à recevoir des sollicitations commerciales.
- Voir la Politique Cookies , pour plus d’information sur les durées de conservation des données collectées par l’intermédiaire des cookies déposés sur le site.
- Concernant les données recueillies sur la base de l’intérêt légitime des Sociétés du Groupe :
- Assurer la gestion des demandes reçues via le présent site : les données collectées seront conservées durant le temps de traitement de la demande ;
- Réaliser des recueil d’avis et assurer leur gestion, réaliser des enquêtes de satisfaction et des études clients (sondages, tests produits,…) : les données collectées seront conservées jusqu’à 3 ans à compter de leur réalisation ;
- Gestion de l’inscription à la newsletter et son envoi : les données collectées seront conservées jusqu’à la désinscription de la personne concernée ou à défaut, pour une durée de 3 ans à compter du dernier contact avec la société.
Pour de plus amples informations sur les durées de conservation de vos données, vous pouvez vous rapprocher du DPO des Sociétés du Groupe comme décrit au 5.2 des présentes.
5- QUELLES SONT VOS DROITS ET COMMENT LES EXERCER ?
5-1 Vos droits sur vos données
Droit d’accès à vos données
Vous pouvez obtenir des Sociétés du Groupe la confirmation que vos données sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès à l’ensemble des données et informations qui sont détenues.
Droit de rectification de vos données
Vous pouvez obtenir des Sociétés du Groupe, dans les meilleurs délais, la rectification des données vous concernant qui seraient inexactes ou erronées. Vous pouvez également demander à ce que vos données soient complétées, le cas échéant.
Droit à l’effacement de vos données
Sauf exceptions légales, vous pouvez demander aux Sociétés du Groupe l’effacement, dans les meilleurs délais, de vos données, si notamment, vous estimez que le traitement réalisé sur vos données n’est plus nécessaire au regard des finalités pour lesquelles elles ont été collectées.
Droit à la portabilité de vos données
Vous avez la possibilité de récupérer une partie de vos données dans un format ouvert et lisible par une machine ou de demander aux Sociétés du Groupe de les transmettre à un autre organisme. Seules sont concernées par ce droit, les données que vous avez fournies activement et consciemment (par exemple, les données que vous avez renseignées dans un formulaire en ligne) ou les données générées lors de l’utilisation d’un service ou d’un dispositif dans le cadre de la conclusion ou de la gestion de votre contrat, et qui sont traitées de manière automatisée, sur la base du consentement ou de l’exécution d’un contrat.
Droit d’opposition
Vous pouvez vous opposer à ce que vos données soient utilisées par les Sociétés du Groupe pour un objectif précis. Vous devez alors mettre en avant des raisons tenant à votre situation particulière, sauf en cas de prospection commerciale, à laquelle vous pouvez vous opposer sans motif et à tout moment (Voir point 5.2 de la présente Politique).
Droit à la limitation du traitement de vos données
Vous pouvez demander aux Sociétés du Groupe de conserver vos données sans pouvoir les utiliser, dans l’un des cas suivants :
- vous contestez l’exactitude des données utilisées,
- vous vous opposez à ce que vos données soient traitées,
- en cas d’usage illicite mais vous vous opposez à leur effacement,
- vous en avez besoin pour la constatation, l’exercice ou la défense de droits en justice.
Droit de retirer votre consentement au traitement de vos données
Lorsque le traitement de vos données personnelles est fondé sur votre consentement (envoi de nos offres commerciales électroniques, par exemple), vous avez la possibilité de retirer, à tout moment, votre consentement (Voir point 5.2 de la présente Politique).
De même, pour retirer votre consentement aux cookies, vous pourrez le faire selon les modalités mentionnées dans la Politique cookies.
Droit de donner des directives post mortem
Vous avez la possibilité de définir des directives relatives à la conservation, à l’effacement et à la communication de vos données après votre décès. Ces directives définissent la manière dont vous souhaitez que soient exercés, après votre décès, vos droits sur vos données. Vous pouvez nous transmettre ces directives en nous adressant un courrier, mentionnant en objet « Directives post mortem », à l’adresse suivante :SNGR– « A l’attention du DPO » ZI du Bel Air, 206 Rue François CUDENET 97450 SAINT LOUIS. Vous pouvez, à tout moment, modifier ou révoquer vos directives.
Droit d’introduire une réclamation auprès de la CNIL
Si vous considérez que vos droits ne sont pas respectés ou que la protection de vos données n’est pas assurée conformément au RGPD, vous pouvez, à tout moment, introduire une réclamation auprès d’une autorité de contrôle compétente (en France, la CNIL), directement sur le Site de la CNIL ou par voie postale à : CNIL – 3 Place de Fontenoy – TSA 80715 – 75334 PARIS CEDEX 07.
5-2 L’exercice de vos droits
Pour exercer l’un de ces droits, vous pouvez adresser votre demande par courriel à : [email protected] ou, par voie postale :SNGR– « A l’attention du DPO» ZI du Bel Air, 206 Rue François CUDENET 97450 SAINT LOUIS,.
Toute demande doit préciser en objet, le motif de la demande (exercice du droit d’accès, d’opposition, …). Elle devra également préciser les éléments nécessaires à l’identification du demandeur. En outre en cas de doute légitime sur l’identité de ce dernier, la transmission d’un document d’identité pourra être sollicité.
Le DPO des Sociétés du Groupe vous adressera sa réponse dans un délai maximum d’un (1) mois, à compter de la date de réception de votre demande. Ce délai peut toutefois être prolongé de deux (2) mois en raison de la complexité et du nombre de demandes.
Si vous estimez, après avoir contacté les Sociétés du Groupe, que vos droits Informatique et Libertés ne sont pas respectés, vous pouvez adresser une réclamation à la CNIL.
Prospection et publicité ciblée
Dès lors que vous avez accepté de recevoir des offres commerciales de la part des Sociétés du Groupe, vous pouvez, à tout moment, revenir sur votre choix en cliquant sur le lien de désinscription, ou en renvoyant STOP, comme indiqué dans les SMS qui vous sont envoyés. Si vous avez accepté de recevoir des newsletters , vous pourrez à tout moment, manifester votre souhait de ne plus en être destinataire, grâce au lien de désinscription présent dans chaque newsletter.
De manière générale, pour toute question relative à la présente politique de protection des données ou pour toute demande relative à la gestion de vos données personnelles, vous pouvez adresser votre demande par email ou par courrier, comme indiqué ci-dessus.
6- AVEC QUI LES SOCIÉTÉS DU GROUPE PARTAGENT-T-ELLE VOS DONNÉES ?
Les Sociétés du Groupe sont également susceptibles de transmettre vos données aux entités suivantes lorsque cela est rendu nécessaire pour répondre à l’une des finalités visées au point 1 des présentes :
- le personnel habilité du service marketing, du service SI, du service client, ainsi que le personnel habilité rattaché à la Direction des Sociétés du Groupe ;
- les services des Sociétés du Groupe chargés du contrôle de gestion et finance (commissaire aux comptes, services chargés des procédures internes du contrôle…) ;
- le personnel habilité des sous-traitants auxquels les Sociétés du Groupe font appel (prestataires impliqués dans la gestion et la mise en œuvre du Programme de fidélité, fournisseurs de solutions de bureautiques cloud, développeur et hébergeur du Site, prestataires chargés de la maintenance des solutions logicielles hébergeant les données personnelles, etc.), dès lors que le contrat signé avec ce sous-traitant fait bien mention des obligations lui incombant en vertu de l’article 28 du RGPD ;
7- VOS DONNÉES SONT-ELLES TRANSFÉRÉES HORS UE ?
Certaines des données collectées pourront être amenées à être transférées hors UE, par le biais de nos sous-traitants.
Dans ce cas, nous apportons une attention toute particulière à ce que ces derniers traitent vos données dans le plus strict respect de la règlementation en vigueur en matière de protection des données personnelles.
Ainsi lorsque ces sous-traitants sont situés dans un pays ne faisant pas l’objet d’une décision d’adéquation par la Commission Européenne, reconnaissant un niveau de protection équivalent à celui prévu par l’Union Européenne, un contrat-type est rédigé afin de se conformer au modèle établi par la Commission Européenne, dont une copie peut toujours être sollicitée auprès de notre DPO (voir 5.2).
8- COMMENT LES SOCIÉTÉS DU GROUPE SÉCURISENT-ELLES LE TRAITEMENT DE VOS DONNÉES ?
Les Sociétés du Groupe mettent en œuvre toutes les mesures techniques, physiques et organisationnelles pour assurer la sécurité et la confidentialité de vos données lors de la collecte, du traitement et du transfert de vos données.
Les infrastructures des Sociétés du Groupe sont protégées contre les logiciels malveillants (virus, spyware, …) ; la sécurité de votre terminal relève de votre responsabilité.
En cas de violation de données à caractère personnel, c’est-à-dire en cas d’incident de sécurité, d’origine malveillante ou non et se produisant de manière intentionnelle ou non, ayant comme conséquence de compromettre l’intégrité, la confidentialité ou la disponibilité de vos données personnelles, nous nous engageons à respecter les obligations suivantes :
Le « registre des violations » contient les éléments suivants :
- la nature de la violation ;
- les catégories et le nombre approximatif des personnes concernées ;
- les catégories et le nombre approximatif de fichiers concernés ;
- les conséquences probables de la violation ;
- les mesures prises pour remédier à la violation et, le cas échéant, pour limiter les conséquences négatives de la violation ;
- le cas échéant, la justification de l’absence de notification auprès de la CNIL ou d’information aux personnes concernées.
Pour autant, et conformément à la réglementation en vigueur, nous ne sommes pas tenus de vous informer d’une violation dans les cas suivants :
- vos données à caractère personnel sont protégées par des mesures les rendant incompréhensibles pour toute personne qui n’est pas autorisée à y avoir accès ;
- des mesures ont été prises afin que le risque ne soit plus susceptible de se matérialiser ;
- cette communication exige pour nous des efforts disproportionnés, ne disposant notamment d’aucun élément permettant de vous contacter pour vous en informer.
9- CHAMPS OBLIGATOIRES
Les champs indiqués par un astérisque dans nos formulaires sont obligatoires. Les conséquences en cas de défaut de réponse sont uniquement l’absence de prise en compte de votre demande. L’obligation de fourniture des données demandées est contractuelle, car nécessaire à l’exécution du contrat auquel vous être partie ou de mesures précontractuelles réalisées à votre demande, notamment en cas de demande d’informations.
10- POLITIQUE DE COOKIES
Voir Politique de cookies
11- RÉSEAUX SOCIAUX
Les Sociétés du Groupe sont présentes sur les Réseaux Sociaux via notamment ses pages Facebook, TikToc, YouTube, Instagram.
L’accès à ces Réseaux Sociaux implique au préalable votre acceptation de leurs conditions contractuelles, incluant leurs engagements au regard du RGPD pour les traitements effectués par ces derniers, et ce indépendamment de nos pages sur lesdits Réseaux Sociaux. Pour en savoir plus sur la protection de vos Données Personnelles lors de la navigation sur ces Réseaux Sociaux, les Sociétés du Groupe vous invite à consulter leurs politiques de confidentialité respectives :
12- PRIVACY BY DESIGN / BY DEFAULT
Les Sociétés du Groupe s’engagent à intégrer la protection des données à caractère personnel dès la conception d’un projet, d’un service ou de tout autre outil lié à la manipulation de données personnelles, notamment la minimisation des données à caractère personnel, la limitation des finalités de la collecte de données, le respect de l’intégrité et de la confidentialité des données, la limitation des durées de conservation.
13- ACCOUNTABILITY
Afin de respecter le principe d’Accountability, les Sociétés du Groupe:
- adoptent des procédures internes dans le but d’assurer le respect du RGPD (charte informatique, charte de protection des données à caractère personnel) ;
- conservent une trace documentaire de tout traitement effectué sous leur responsabilité ou de celle de leurs sous-traitants (tenue du registre des traitements, accords de confidentialité des salariés et des prestataires, procédures de gestion des demandes d’exercice de droits…) ;
- réalisent des analyses d’impact (PIA) pour les traitements présentant des risques particuliers au regard des droits et libertés.
L’objectif est de fournir une documentation riche permettant de démontrer à tout instant le respect des règles relatives à la protection des données.