Politique de confidentialité
La société EPICURIA (ci-après « EPICURIA ») est une société par actions simplifiée au capital de 600.000 euros, immatriculée au RCS de Bourges sous le numéro 452 936 321 dont le siège social est Zac Le César Rue du Bois des Chagnières - 18570 Le Subdray – France.
Soucieuse de la protection des données à caractère personnel, EPICURIA respecte la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés modifiée (ci-après la « Loi Informatique et Libertés ») et le règlement européen 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données dit règlement général sur la protection des données ou RGPD (ci-après le « RGPD »).
La présente politique de confidentialité (ci-après la "Politique de Confidentialité") vous informe sur les modalités selon lesquelles EPICURIA recueille et traite vos données à caractère personnel dans le cadre de son activité de vente sur son site Internet accessible à l’adresse : www.toc.fr (ci-après le « Site ») et plus généralement de votre utilisation du Site et de ses réseaux sociaux (Facebook, Instagram et YouTube).
Elle n’est pas de nature contractuelle et ne créé pas d’obligation au-delà de ce qui est déjà prévu par la réglementation précitée en matière de protection des données à caractère personnel.
Si vous êtes mineur ou incapable, vous déclarez avoir reçu le consentement de vos parents ou représentants légaux préalablement à la collecte et au traitement de vos données à caractère personnel par EPICURIA.
Lorsque vous êtes un mineur âgé de moins de quinze (15) ans, le traitement de vos données à caractère personnel ayant pour base légale votre consentement est subordonné à votre consentement et celui du ou des titulaires de l’autorité parentale à votre égard.
EPICURIA peut mettre à jour sa Politique de Confidentialité. Toute mise à jour sera portée préalablement à votre connaissance, et, lorsque votre consentement est nécessaire, EPICURIA procédera à son recueil.
Les termes de « responsable de traitement », « sous-traitant », « personne concernée », « données à caractère personnel », « traitement », « violation de données à caractère personnel », « état membre » ont le même sens que celui qui leur est attribué dans le RGPD et les termes qui en sont dérivés devront être interprétés de manière identique.
Article 1 - Responsable des traitements des données à caractère personnel
EPICURIA est responsable des traitements de vos données à caractère personnel réalisés dans le cadre de son activité de vente en ligne sur son Site, et plus généralement de votre utilisation du Site et de ses réseaux sociaux.
Pour toute question relative aux traitements de vos données à caractère personnel par EPICURIA, vous pouvez la contacter par :
- email à [email protected]
- courrier à DPO EPICURIA, Zac Le César Rue du Bois des Chagnières - 18570 Le Subdray – France
Article 2 - Données à caractère personnel collectées
Dans le cadre de ses activités, EPICURIA peut être amenée à collecter vos données à caractère personnel si :
- vous ou votre structure êtes ou avez été un client ou un prospect de EPICURIA ;
- vous avez visité ou utilisé le Site ;
- vous avez créé un compte personnel sur le Site ;
- vous avez contacté EPICURIA ou avez demandé à être contacté par EPICURIA par l’intermédiaire du formulaire en ligne sur le Site ;
- vous avez souhaité recevoir des newsletters, actualités et offres d’EPICURIA ;
- vous avez consulté, vous vous êtes abonné et/ou avez utilisé la page Facebook, la page Instagram ou la chaîne YouTube d’EPICURIA.
EPICURIA est susceptible de collecter vos données à partir de différentes sources. Elles peuvent lui être communiquées :
- par vous-même en créant un compte personnel sur le Site ;
- par vous-même en complétant le formulaire en ligne sur le Site pour contacter par EPICURIA ;
- par vous-même en commandant en ligne un ou plusieurs produits sur le Site ;
- par vous-même en sollicitant l’envoi de newsletters d’EPICURIA ;
- par vous-même à l’occasion de votre utilisation de la page Facebook, de la page Instagram ou de la chaîne YouTube d’EPICURIA ;
- par vous-même lors des échanges avec EPICURIA (notamment par télécopies, appels téléphoniques, sms, emails, etc.) ;
- Par le biais de cookies et autres traceurs sur Internet utilisés sur le Site – EPICURIA vous invite à cet égard à consulter sa politique de cookies.
La collecte de certaines de vos données à caractère personnel est obligatoire :
- Pour la création et la gestion de votre compte personnel sur le Site, la collecte des données à caractère personnel suivantes est obligatoire : nom, prénom, adresse électronique, mot de passe, adresse postale et un numéro de téléphone. En cas de non-communication de ces informations obligatoires, EPICURIA ne sera pas en mesure de vous créer un compte personnel sur le Site. Ces exigences de fourniture de données ont un caractère contractuel.
- Pour la gestion et le traitement de vos demandes de contact et d’information, la collecte des données à caractère personnel suivantes est obligatoire : adresse électronique et objet de la demande. En cas de non-communication de ces informations obligatoires, EPICURIA ne sera pas en mesure de répondre à vos demandes. Ces exigences de fourniture de données ont un caractère contractuel.
- Pour la gestion et le traitement de vos commandes en ligne de produits sur le Site, la gestion et le suivi de la relation client, des réclamations, la collecte des données à caractère personnel suivantes est obligatoire : nom, prénom, coordonnées électroniques, postales et téléphoniques, données relatives aux contrats (numéro/référence de la commande, historique des commandes, montant, échanges avec le service client, etc.). En cas de non-communication de ces informations obligatoires, EPICURIA ne sera pas en mesure d’exécuter les commandes de produits effectuées sur le Site. Ces exigences de fourniture de données ont un caractère contractuel.
- Pour la gestion des actualités, newsletters et offres commerciales d’EPICURIA, la collecte de votre adresse électronique est obligatoire. En cas de non-communication de cette information obligatoire, EPICURIA ne sera pas en mesure de vous envoyer des actualités, newsletters et offres commerciales. Cette exigence de fourniture de données a un caractère règlementaire.
- Afin d’exercer vos droits, tels que rappelés à l’article 5 de la Politique de Confidentialité, la communication d’informations ou de documents justifiant de votre identité ou d’informations complémentaires sur la nature de vos demandes pourra être requise. La non-communication de ces informations obligatoires peut empêcher EPICURIA de répondre à vos demandes. Cette exigence de fourniture de données a un caractère règlementaire.
La collecte d’autres données à caractère personnel peut être obligatoire. Toutes les données à caractère personnel dont la collecte est obligatoire, la nature contractuelle ou règlementaire de cette obligation de fourniture, ainsi que les conséquences de l’absence de fourniture des données concernées sont alors portées à votre connaissance directement lors de la collecte.
Vous pouvez communiquer des données à caractère personnel dans le cadre de zones de texte libre disponibles sur le Site figurant dans le formulaire en ligne, et lors de votre utilisation des réseaux sociaux d’EPICURIA. EPICURIA vous informe que vous ne devez communiquer que des informations adéquates et pertinentes.
Vous ne devez pas rédiger de commentaires excessifs ou insultants, ni communiquer de données considérées comme sensibles au regard de l’article 9 du RGPD (origine raciale ou ethnique, opinions politiques, philosophiques ou religieuses, appartenance syndicale, données relatives à la santé ou à la vie sexuelle, infractions, condamnations, mesures de sûreté).
Les données à caractère personnel relatives aux cartes bancaires ne sont ni collectées ni traitées par EPICURIA. Les transactions sont entièrement traitées par le module de paiement sécurisé du partenaire bancaire d’EPICURIA.
Article 3 - Finalités et fondements juridiques des traitements de données à caractère personnel
En application de la Loi Informatique et Libertés et du RGPD, tout traitement de données à caractère personnel doit, pour être licite, reposer sur l’un des fondements juridiques énoncés à l’article 6 du RGPD.
Le tableau ci-dessous expose les différentes finalités pouvant être poursuivies lors des traitements de vos données et les fondements juridiques sur lesquels repose la poursuite de chacune de ces finalités.
Finalités poursuivies | Fondements juridiques |
Gestion et traitement des demandes de contact et d’information Gestion des comptes personnels sur le Site Gestion et traitement des commandes de produits effectuées sur le Site Gestion des échanges avec les clients et prospects Gestion de la relation commerciale Gestion de la comptabilité |
Exécution par EPICURIA d’un contrat auquel est partie la personne concernée ou de mesures précontractuelles prises à la demande de la personne concernée ou intérêts légitimes d’EPICURIA (exercice de ses activités), selon les cas |
Gestion des abonnements aux newsletters, et envoi de messages d’actualités, de newsletters, d’offres commerciales à destination des clients et prospects d’EPICURIA |
Intérêts légitimes d’EPICURIA (promotion de ses activités) ou consentement, selon les cas |
Gestion des réclamations, des impayés, des précontentieux et des contentieux
|
Intérêts légitimes d’EPICURIA (défendre ses droits et intérêts) ou respect des obligations légales d’EPICURIA, selon les cas |
Gestion de l’exercice de vos droits (et notamment, tenue d’une liste d’opposition à la réception des différents envois)
| Respect des obligations légales d’EPICURIA |
Bon fonctionnement et amélioration permanente du Site, de ses services et de ses fonctionnalités Réalisation de mesures d’audience sur le Site | Consentement (recueilli par le biais du bandeau d’information sur les cookies) |
Article 4 - Destinataires des données à caractère personnel
Les données à caractère personnel collectées par EPICURIA sont destinées selon les cas au personnel habilité du service client, service après-vente, comptabilité, marketing, commercial et/ou webmaster d’EPICURIA.
EPICURIA peut être amenée à communiquer des données :
- à ses sous-traitants et à leurs propres sous-traitants (prestataires de transport, prestataires informatiques, prestataires techniques, prestataires de services de paiement, prestataires de vérification d’identité, fournisseurs des solutions analytiques, entreprises de recouvrement et organismes de crédit, cabinets comptables et experts-comptables, cabinets d’avocats, cabinets d’audit, prestataires marketing, tiers susceptibles de déposer des cookies sur les terminaux lorsque vous y consentez). Les sous-traitants d’EPICURIA sont tenus d’une obligation de confidentialité et de sécurité, ainsi que d’autres obligations énumérées dans le RGPD ;
- aux autorités financières, judiciaires, administratives ou agences d’Etat, organismes publics et autorités de régulation auprès desquels EPICURIA peut, notamment dans le cadre d’une procédure, d’un litige, d’un contrôle et/ou d’une requête, être tenue de divulguer certaines données, sur demande et dans la limite de ce qui est permis par la réglementation ;
- à ses ayants droit ou successeurs éventuels.
Conformément à l’article 19 du RGPD, EPICURIA notifiera à chaque destinataire auquel vos données à caractère personnel auront été communiquées toute demande de rectification, d’effacement ou de limitation du traitement effectué conformément à l'article 16, à l'article 17, paragraphe 1 ou à l'article 18 du RGPD (voir ci-dessous à l’article 6.), à moins qu'une telle communication se révèle impossible ou exige des efforts disproportionnés.
Article 5 - Vos droits
Vous disposez dans les conditions définies aux articles 15 et suivants du RGPD, sauf exceptions :
- du droit d'obtenir la confirmation que vos données à caractère personnel sont ou ne sont pas traitées et, lorsqu'elles le sont, l'accès auxdites données à caractère personnel ainsi qu’à plusieurs informations sur les traitements d’EPICURIA (droit d’accès – article 15 du RGPD) ;
- du droit d'obtenir la rectification de vos données à caractère personnel qui sont inexactes (droit de rectification – article 16 du RGPD) ;
- du droit d'obtenir d’EPICURIA l'effacement de vos données à caractère dans certains cas (droit d’effacement ou "à l’oubli" – article 17 du RGPD) ;
- du droit d'obtenir la limitation des traitements dans certains cas (droit à la limitation du traitement – article 18 du RGPD) ;
- du droit de recevoir les données à caractère personnel que vous avez fournies à EPICURIA, dans un format structuré, couramment utilisé et lisible par machine, et/ou de demander à EPICURIA de transmettre ces données à un autre responsable du traitement, lorsque le traitement est fondé sur le consentement ou sur le contrat et que le traitement est effectué à l'aide de procédés automatisés (droit à la portabilité des données – article 20 du RGPD) ;
- du droit de ne pas faire l’objet d'une décision fondée exclusivement sur un traitement automatisé produisant des effets juridiques vous concernant ou vous affectant de manière significative de façon similaire (droit de ne pas faire l’objet d’une décision individuelle automatisée – article 22 du RGPD) ;
- du droit d’obtenir pour des raisons tenant à votre situation particulière, qu’EPICURIA ne procède plus aux traitements de vos données à caractère personnel dans certains cas (droit d’opposition – article 21.1. du RGPD) ;
- du droit de s'opposer au traitement de vos données à caractère personnel à des fins de prospection (droit d’opposition à la prospection – article 21.2. du RGPD) ;
- du droit de retirer à tout moment votre consentement au traitement de vos données à caractère personnel lorsque celui-ci est fondé sur ledit consentement, et ce, sans porter atteinte à la licéité du traitement effectué avant ce retrait (article 7.3. du RGPD).
L’existence ou non de ces différents droits dépend notamment du fondement juridique du traitement concerné par la demande. Ces droits ne sont pas non plus sans limites et, dans certains cas, EPICURIA pourra donc refuser votre demande (par exemple, pour des motifs légitimes impérieux pour ce qui concerne le droit d’opposition). Ainsi, dans certaines hypothèses, il se peut qu’EPICURIA réponde que votre demande ne peut pas donner lieu à une réponse positive de sa part, et vous expliquera la raison pour laquelle elle ne peut y déférer.
Vous disposez également du droit de définir, modifier et révoquer à tout moment des directives relatives à la conservation, à l'effacement et à la communication de vos données à caractère personnel après votre décèsen application de l’article 40-1 de la Loi Informatique et Libertés. Ces directives peuvent être générales ou particulières. EPICURIA peut uniquement être dépositaire des directives particulières concernant vos données à caractère personnel qu’elle traite. Les directives générales peuvent être recueillies et conservées par un tiers de confiance numérique certifié par la Commission Nationale de l’Informatique et des Libertés (ci-après la « CNIL »). Vous avez aussi le droit de désigner un tiers auquel vos données à caractère personnel pourront être communiquées après votre mort. Vous vous engagez alors à informer ce tiers de votre démarche et du fait que des données permettant de l’identifier sans ambiguïté seront transmises à EPICURIA, à lui communiquer la présente Politique de Confidentialité.
Dans le respect des conditions posées par la réglementation, vous pouvez exercer vos droits en écrivant à EPICURIA à l’adresse électronique suivante : [email protected] ou à l’adresse postale suivante : DPO EPICURIA, Zac Le César Rue du Bois des Chagnières - 18570 Le Subdray – France.
En cas de doute raisonnable de la part d’EPICURIA sur votre identité, EPICURIA pourra être amenée à vous demander des informations ou documents supplémentaires afin de vérifier votre identité (par exemple, dans certains cas, une copie du recto en noir et blanc de votre carte d’identité).
EPICURIA s’efforcera de donner suite à vos demandes dans un délai raisonnable et, en tout état de cause, dans les délais fixés par la réglementation en vigueur.
Vous disposez également du droit d’introduire une réclamation auprès de l’autorité de contrôle compétente, qui est en France, la CNIL et de former un recours contre EPICURIA auprès des tribunaux compétents si vous estimez qu’elle a porté atteinte à vos droits en matière de données à caractère personnel. Vous pourrez réclamer la réparation intégrale du préjudice subi.
Article 6 - Durée de conservation de vos données à caractère personnel
Les données à caractère personnel sont conservées pendant le temps strictement nécessaire aux finalités décrites ci-dessus à l’article 3.
Données à caractère personnel concernées |
Durée de conservation totale
|
Données utilisées dans le cadre des contrats de vente conclus par l’intermédiaire du Site Données traitées dans notre outil de messagerie électronique
|
Pendant la période durant laquelle la responsabilité d’EPICURIA peut être engagée (en tenant compte des éventuelles interruptions ou suspensions des délais de prescription civile ou pénale applicables) |
Documents comptables (par exemple : factures) | 10 ans à compter de leur émission |
Données relatives à la gestion d’un impayé |
2 ans à compter de la résolution de l’impayé d’un consommateur 5 ans à compter de la résolution de l’impayé d’un professionnel
|
Données issues des cookies | 13 mois à compter de leur collecte |
Données liées aux directives concernant le sort de vos données après votre décès | Aussi longtemps que les données concernées par les directives seront conservées |
Données relatives à l’exercice d’un droit d’accès, de rectification ou d’effacement | 5 ans à compter de la fin de la procédure liée à votre demande |
Données relatives à l’exercice d’un droit d’opposition | 6 ans à compter de la fin de la procédure liée à votre demande |
Données relatives à l’exercice d’un droit à la limitation d’un traitement | 5 ans à compter de la fin de la limitation du traitement |
Données utilisées en vue de la prospection commerciale Données utilisées pour répondre aux différentes demandes de contact et d’information | 3 ans à compter de leur collecte par EPICURIA ou du dernier contact émanant de vous |
A l’issue des durées précédemment listées, vos données feront l’objet soit d’une suppression, soit d’une anonymisation.
Par exception, en cas de précontentieux ou contentieux, toutes ou certaines de vos données pourront faire l’objet d’une conservation prolongée si celles-ci s’avèrent utiles pour ledit précontentieux ou contentieux.
Article 7 - Transfert de vos données en dehors de l’Union Européenne
EPICURIA recourt à des partenaires ou prestataires auxquels elle a besoin de transférer tout ou partie des données qu’elle collecte et traite. Les serveurs de certains de ces acteurs sont situés en dehors de l’Union Européenne, vos données sont alors amenées à être transférées en dehors de l’Union Européenne.
EPICURIA s’assure que ces transferts de données à caractère personnel hors de l’Union Européenne soient effectués conformément à la Politique de Confidentialité. Lorsque l’Etat de destination des données à caractère personnel non membre de l’Union Européenne n’a pas été officiellement reconnu comme offrant un niveau de protection adéquat par la Commission Européenne, EPICURIA s’engage à fournir les garanties appropriées pour protéger vos données à caractère personnel, conformément à l’article 46 du RGPD, notamment par l’utilisation de clauses contractuelles types approuvées par la Commission Européenne. EPICURIA veille en outre à ce que vous disposez toujours de droits opposables et de voies de droit effectives.
Les transferts susceptibles d’intervenir et les précautions prises sont décrits ci-dessous.
Entité | Pays de destination de vos données |
Protection mise en œuvre (Privacy Shield, Clauses contractuelles types, Règles d’entreprise contraignantes (BCR), Décision d’adéquation de la Commission européenne)
|
Google Analytics et Google Maps | Etats-Unis |
Privacy Shield (https://support.google.com/analytics/answer/7105316?hl=fr)
|
Partenaires exerçant hors de l’Espace Économique Européen (si nécessaire et avec votre accord) | Le pays de destination varie selon le cas concerné | La mesure de protection dépend du pays concerné et est vérifié si un tel transfert est envisagé dans le cadre du dossier. |
Article 8 - Sécurité des données à caractère personnel
EPICURIA fait ses meilleurs efforts en prenant toutes les mesures appropriées pour assurer la sécurité et la confidentialité de vos données à caractère personnel pour empêcher qu’elles soient endommagées ou déformées ou que des tiers non autorisés y aient accès et en fassent une utilisation abusive.
EPICURIA met en œuvre des mesures techniques et organisationnelles afin de garantir une sécurité appropriée de vos données à caractère personnel, notamment : gestion et contrôle de l’accès aux données à caractère personnel ; installation et utilisation d’antivirus et pare-feu ; accès restreint aux serveurs par un identifiant et un mot de passe et un réseau privé virtuel (VPN sécurisé) ; évaluation régulière de l’intégrité des moyens de protection ;