Données Personnelles : Politique de sécurité & confidentialité
Mise à jour : 08 juin 2021
Rappel des Définitions
Les termes employés ci-après ont, dans les Conditions Générales de Vente, la signification suivante :
« CLIENT » : toute personne physique qui agit à des fins qui n’entrent pas dans le cadre de son activité commerciale, industrielle, artisanale ou libérale
« SITE » : désigne www.ciotaboats.com
« UTILISATEUR » : toute personne physique qui visite le SITE
Données personnelles
Lors de la commande hors ligne, les données nominatives de L’UTILISATEUR ou du CLIENT feront l’objet d’un traitement informatique par le VENDEUR pour :
– le traitement de la question ou de la commande du CLIENT,
– gérer la facturation et la commande de L’UTILISATEUR ou du CLIENT,
– analyser les commandes en général et le fonctionnement du SITE,
et si L’UTILISATEUR ou le CLIENT a choisi cette option, lui envoyer des e-mails : newsletters pratiques, offres commerciales ou promotionnelles, jeux-concours, ventes spéciales…
Conformément à la loi Informatique et Libertés n° 78-17 du 6 janvier 1978 modifiée, le client dispose à tout moment d’un droit d’accès et de rectification des données le concernant. Pour cela, les UTILISATEURS ou CLIENTS peuvent à tout moment modifier leurs informations ou se désinscrire en accédant à leur compte ou en cliquant sur le lien hypertexte prévu à cet effet en bas de chaque mail reçu par courrier électronique. Le SITE est également conçu pour être particulièrement attentif aux besoins de ses clients. C’est la raison pour laquelle CiotaBoats.com fait usage de cookies. Le cookie a un but statistique (mesure audience, trafic, provenance…) et doit également signaler le passage du Client sur le SITE. Pour une 1ère visite, le SITE vous demandera votre autorisation à ce sujet. Vous avez plus de détails plus loin dans cette page.
POLITIQUE DE SÉCURITÉ
PRÉAMBULE
Le responsable de traitement traite les données personnelles collectées dans le cadre de son activité de façon à leur garantir une sécurité appropriée, grâce à des mesures concrètes de sécurité techniques et organisationnelles qui doivent être respectées par toute personne ayant accès à ces données.La collecte des données à caractère personnel des prospects et clients se limite au strict nécessaire, conformément au principe de minimisation des données, et indique aux personnes concernées quelles sont les finalités poursuivies par le recueil de ces données, si fournir ces données revêt un caractère facultatif ou obligatoire pour gérer les demandes et qui pourra en prendre connaissance. Le responsable de traitement est le VENDEUR.
Afin de protéger au mieux l’intégrité des données à caractère personnel en sa possession et conformément à la règlementation applicable, le VENDEUR met en œuvre plusieurs types de mesures de sécurisation :
– des mesures sur les données elles-mêmes
– des mesures générales de sécurité du système informatique
– des mesures organisationnelles.
MESURES SUR LES DONNÉES PERSONNELLES
Le VENDEUR attribue à chacun de ses salariés un poste de travail fixe pourvu de droits d’accès aux bases de données des prospects et clients limités en fonction de leur mission au sein de l’entreprise telle que déterminées dans leur contrat.
Tout accès administrateur aux bases de données est subordonné à l’introduction d’un mot de passe spécifique protégé.
Les mots de passe internes sont modifiés plusieurs fois dans l’année à une fréquence connue uniquement du personnel de l’entreprise. Les utilisateurs du SITE qui passent une commande en ligne doivent valider leur inscription par la création d’un compte client ou la saisie d’une adresse électronique valide et d’un moyen de paiement valide renseignés au moment du passage de commande. La suppression de ses informations peut se faire directement sur son compte CLIENT, en contactant le VENDEUR par mail. Toutes les informations sont stockées sur les serveurs d’OVH sans copie sur les postes de travail des salariés.
MESURES GÉNÉRALES DE SÉCURITÉ DU SYSTÈME
Sécurité physique. Les serveurs sont hébergés chez OVH qui en assurent l’intégrité contre toute destruction ou intrusion. La double authentification est nécessaire pour la connexion. Les postes de travail de l’Enseigne sont situés dans une pièce fermée et possèdent un mot de passe sécurisé pour son allumage ainsi qu’un mot de passe pourl’administration du site.
Eloignement des sources de risque.
Pour éviter que des sources de risques, humaines ou d’intelligence artificielle, portent atteinte aux données à caractère personnel, le VENDEUR veille à :
– S’éloigner des zones géographiques dangereuses pour l’intégrité des données (zone inondable, centrale nucléaire, etc.) ;
– S’installer dans les locaux sécurisés (détecteurs de fumée) ;
– Contrôler les compétences informatiques de ses employés ;
– Ne pas opérer de transferts de données en dehors de l’Union Européenne ou à l’attention de pays ne présentant pas un niveau de protection adéquat.
MESURES ORGANISATIONNELLES
Organisation de la politique de confidentialité. Le VENDEUR a élaboré, en parallèle de la présente Politique, une Politique de confidentialité mentionnée plus bas.
Notification à l’autorité de contrôle d’une violation de données à caractère personnel. En cas de violation de données, l’Enseigne le notifie :
– à la CNIL dans les meilleurs délais et si possible 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques. La notification s’effectue via le formulaire dédié
(https://www.cnil.fr/sites/default/files/typo/document/CNIL_Formulaire_Notification_de_Violations.pdf)
OU
– au responsable de traitement principal dans la cas où l’Enseigne traiterait les données comme sous-traitant
– à la personne concernée par courrier électronique à l’adresse mail renseignée lors de l’inscription, dans les plus brefs délais si cela répond à une exigence légale, et notamment lorsque la violation de données est susceptible d’engendrer un risque élevé pour les droits et libertés de cette personne.
Gestion des personnels Les personnes intervenant pour l’Enseigne sont sensibilisés à la Politique de sécurité, à laquelle ils adhèrent expressément, avant d’avoir accès aux bases de données. Le personnel n’aura accès qu’aux données nécessaires au traitement de la commande du produit ou du service.
POLITIQUE DE CONFIDENTIALITÉ
PRÉAMBULE
Le VENDEUR s’engage à ce que la collecte et le traitement de vos données soient effectués de manière licite, loyale et transparente, conformément au règlement général sur la protection des données (RGPD) et à la Loi informatiques et Libertés de 1978 modifiée.
La collecte des données à caractère personnel de ses prospects et clients se limite au strict nécessaire, conformément au principe de minimisation des données, et indique quelles sont les finalités poursuivies par le recueil de ces données, si fournir ces données revêt un caractère facultatif ou obligatoire pour gérer les demandes et qui pourra en prendre connaissance.
NATURE DES DONNÉES COLLECTÉES Dans le cadre des commandes hors ligne ou de l’utilisation du site, le VENDEUR est susceptible de collecter les catégories de données suivantes concernant ses UTILISATEURS ou CLIENTS :
>Données d’état-civil, d’identité, d’identification (nom, prénom, adresses mail, numéro de téléphone, société, poste, n° de TVA, de SIRET, adresse postale…)
>Données de connexion (adresses IP, journaux d’événements…)
Le VENDEUR s’engage à tenir par écrit un registre de toutes les catégories d’activités de traitement effectuées en tant que responsable de traitement des données susvisées.
INFORMATION ET DROITS DES UTILISATEURS/CLIENTS Par la présente, le VENDEUR vous informe clairement sur les traitements de données à caractère personnel qu’il met en œuvre dans le cadre de son activité, comment les données sont collectées, utilisées et protégées.
Tout UTILISATEUR ou CLIENT dispose du droit de demander au responsable de traitement, c’est-à-dire au VENDEUR :
– l’accès aux données à caractère personnel fournies ;
– la rectification ou l’effacement de celles-ci ;
– une limitation du traitement relatif à sa personne ;
– de s’opposer au traitement ;
– à la portabilité des données ;
– d’introduire une réclamation auprès de la CNIL.
SOUS-TRAITANCE Le VENDEUR s’engage à ce que ses sous-traitants présentent des garanties contractuelles suffisantes quant à la mise en œuvre de mesure techniques et organisationnelles appropriées, afin que le traitement réponde aux exigences du règlement européen sur la protection des données. Le VENDEUR pourra faire appel à un ou plusieurs sous-traitant(s) pour mener des activités de traitement spécifiques qui seront soumis aux conditions de la présente Politique. Tout sous-traitant ne sera pas autorisé à faire lui-même appel à un sous-traitant sans l’autorisation écrite préalable du VENDEUR.
A date, ces sous-traitants sont :
– OVH pour la partie web et e-mails,
COMMUNICATION DES DONNÉES PERSONNELLES À DES TIERS
Communication aux autorités sur la base des obligations légales. Sur la base des obligations légales, vos données personnelles pourront être divulguées en application d’une loi, d’un règlement ou en vertu d’une décision d’une autorité réglementaire ou judiciaire compétente. De manière générale, nous nous engageons à nous conformer à toutes les règles légales qui pourraient empêcher, limiter ou réglementer la diffusion d’informations ou de données et notamment à se conformer à la Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés et au Règlement général sur la protection des données (RGPD) de l’Union européenne.
Communication à des tiers en fonction des paramètres du compte. Vos données personnelles sont strictement confidentielles et ne peuvent être divulguées à des tiers.
Communication à des tiers pour sollicitation commerciale pour des produits et services équivalents. Si vous avez été en contact avec notre SITE, la marque ou un salarié, nous pouvons, de manière occasionnelle, vous tenir informé de nos nouveaux produits, actualités et offres spéciales, par courriel, par courrier postal quant à des produits ou services similaires ou complémentaires aux produits ou services qui ont fait l’objet de votre commande.
Communication à des tiers partenaires. Aucune donnée personnelle ne sera mise à la disposition de partenaires extérieures. Vos données restent confidentielles.
Communication à des tiers pour marketing direct. Nous ne partagerons pas des informations avec des partenaires publicitaires. Vous ne recevrez pas des communications promotionnelles en dehors de nos propres communications. Vos données restent confidentielles.
Engagement sur l’applicabilité de la politique de confidentialité. En cas de communication de vos données personnelles à un tiers, le VENDEUR s’assurera que ce dernier est tenu d’appliquer des conditions de confidentialité identiques à celle du SITE.
COLLECTE DES DONNÉES DU TERMINAL
Collecte des données de profilage et des données techniques à des fins de fourniture du service. Certaines des données techniques de votre appareil sont collectées automatiquement par le SITE. Ces informations incluent notamment votre adresse IP, fournisseur d’accès à Internet, configuration matérielle, configuration logicielle, type et langue du navigateur… La collecte de ces données est nécessaire à la bonne fourniture des services (mise à jour du site par rapport aux éventuels bugs remontés).
Collecte des données techniques à des fins publicitaires, commerciales et statistiques. Les données techniques de votre appareil sont automatiquement collectées et enregistrées par le SITE, à des fins publicitaires, commerciales et statistiques. Ces informations nous aident à personnaliser et à améliorer continuellement votre expérience sur notre SITE. Nous ne collectons ni ne conservons aucune donnée nominative (nom, prénom, adresse…) éventuellement attachée à une donnée technique.
COOKIES
Durée de conservation des cookies. Conformément aux recommandations de la CNIL, la durée maximale de conservation des cookies est de 13 mois au maximum après leur premier dépôt dans le terminal de l’UTILISATEUR, tout comme la durée de la validité du consentement de l’UTILISATEUR à l’utilisation de ces cookies. Le consentement de l’UTILISATEUR devra donc être renouvelé à l’issue de ce délai.
Finalité cookies. Les cookies peuvent être utilisés pour des fins statistiques notamment pour optimiser les services rendus à l’UTILISATEUR, à partir du traitement des informations concernant la fréquence d’accès, la personnalisation des pages ainsi que les opérations réalisées et les informations consultées. Vous êtes informé que le SITE est susceptible de déposer des cookies sur votre terminal. Le cookie a a donc un but de statistiques (audience…) ; il enregistre également des informations relatives à la navigation sur le service (les pages que vous avez consultées, la date et l’heure de la consultation, si les pop up se sont déjà affichés, d’où vous venez…) que le SITE pourra lire lors de vos visites ultérieures afin de vous proposer une expérience optimisée sur le SITE ; votre exposition publicitaire (réseaux, site web, pop up…).
Droit de l’UTILISATEUR vous pouvez refuser les cookies, la désactivation entraînant un fonctionnement dégradé du service. Vous reconnaissez avoir été informé que le SITE peut avoir recours à des cookies, et l’y autorisez. Vous avez eu une bannière d’information à la 1ère connexion sur le SITE. Si vous ne souhaitez pas que des cookies soient utilisés sur votre terminal, la plupart des navigateurs vous permettent de désactiver les cookies en passant par les options de réglage. Toutefois, vous êtes informé que certains services sont susceptibles de ne plus fonctionner correctement.
Association possible des cookies avec des données personnelles pour permettre le fonctionnement du service. Le SITE peut être amené à recueillir des informations de navigation via l’utilisation de cookies.
CONSERVATION DES DONNEES TECHNIQUES
Les données techniques sont conservées pour la durée strictement nécessaire à la réalisation des finalités visées ci-avant
DÉLAI DE CONSERVATION DES DONNÉES PERSONNELLES [ET D’ANONYMISATION]
Conservation des données pendant la durée de la relation contractuelle. Conformément à l’article 6-5° de la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, les données à caractère personnel faisant l’objet d’un traitement ne sont pas conservées au-delà du temps nécessaire à l’exécution des obligations définies lors de la conclusion du contrat ou de la durée prédéfinie de la relation contractuelle.
Conservation des données anonymisées au-delà de la relation contractuelle Nous conservons les données personnelles pour la durée strictement nécessaire à la réalisation des finalités décrites dans la présente Politique. Au-delà de cette durée, elles seront conservées à des fins exclusivement statistiques et ne donneront lieu à aucune exploitation, de quelque nature que ce soit.
Suppression des données après suppression du compte Des moyens de purge de données sont mis en place afin d’en prévoir la suppression effective dès lors que la durée de conservation ou d’archivage nécessaire à l’accomplissement des finalités déterminées ou imposées est atteinte. Conformément à la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, vous disposez par ailleurs d’un droit de suppression sur vos données que vous pouvez exercer à tout moment en prenant contact avec l’Éditeur.
Suppression des données après 3 ans d’inactivité Pour des raisons de sécurité, si vous ne vous êtes pas authentifié sur le SITE ou que vous n’avez pas eu un comportement actif (clic sur un lien) pendant une période de trois ans, vous recevrez un e-mail vous invitant à vous connecter dans les plus brefs délais, sans quoi vos données seront supprimées de nos bases de données.
INDICATIONS EN CAS DE FAILLE DE SÉCURITÉ DÉCELÉE PAR LE SITE
Information de l’Utilisateur en cas de faille de sécurité. Nous nous engageons à mettre en œuvre toutes les mesures techniques et organisationnelles appropriées grâce à des moyens de sécurisation physiques et logistiques afin de garantir un niveau de sécurité adapté au regard des risques d’accès accidentels, non autorisés ou illégaux, de divulgation, d’altération, de perte ou encore de destruction des données personnelles vous concernant. Dans l’éventualité où nous prendrions connaissance d’un accès illégal aux données personnelles vous concernant stockées sur nos serveurs ou ceux de nos prestataires, ou d’un accès non autorisé ayant pour conséquence la réalisation des risques identifiés ci-dessus, nous nous engageons à :
– Vous notifier l’incident dans les plus brefs délais si cela répond à une exigence légale ;
– Examiner les causes de l’incident ;
– Prendre les mesures nécessaires dans la limite du raisonnable afin d’amoindrir les effets négatifs et préjudices pouvant résulter dudit incident Limitation de la responsabilité
En aucun cas les engagements définis au point ci-dessus relatifs à la notification en cas de faille de sécurité ne peuvent être assimilés à une quelconque reconnaissance de faute ou de responsabilité quant à la survenance de l’incident en question.
TRANSFERT DES DONNÉES PERSONNELLES A L’ÉTRANGER Transfert des données dans des pays avec un niveau de protection équivalent
Le SITE s’engage à respecter la réglementation applicable relative aux transferts des données vers des pays étrangers et notamment selon les modalités suivantes :
– Le SITE transfère les données personnelles de ses UTILISATEURS / CLIENTS vers des pays reconnus comme offrant un niveau de protection équivalent.
– Le SITE transfère les données personnelles de ses UTILISATEURS / CLIENTS en dehors des pays reconnus par la CNIL comme ayant un niveau de protection suffisant : le SITE a obtenu une autorisation de la CNIL pour procéder à ce transfert. Pour connaître la liste de ces pays : CNIL – La protection des données dans le monde
MODIFICATION DE LA POLITIQUE DE CONFIDENTIALITÉ
En cas de modification des présentes, le SITE s’engage à ne pas baisser le niveau de confidentialité de manière substantielle sans l’information préalable des personnes concernées
DROIT APPLICABLE ET LANGUE
La présente Politique de Confidentialité est régie par le droit français. Elles sont rédigées en français. Dans le cas où elles seraient traduites en une ou plusieurs langues, seul le texte français ferait foi en cas de litige. La nullité d’une clause n’entraîne pas la nullité de la Politique de confidentialité. L’inapplication temporaire ou permanente d’une ou plusieurs clauses des présentes par le SITE ne saurait valoir renonciation de sa part aux autres clauses des présentes qui continuent à produire leurs effets.
LITIGES ET ATTRIBUTION DE JURIDICTION TOUT LITIGE AUXQUELS LA POLITIQUE DE CONFIDENTIALITE POURRAIT DONNER LIEU, NOTAMMENT CONCENRNANT SA VALIDITE, SON INTERPRETATION ET SON EXECUTION, LEURS CONSEQUENCES ET LEURS SUITES SERONT SOUMIS AU TRIBUNAUX COMPETENTS DANS LE RESSORT DE LA VILLE DE MARSEILLE (13)