Charte de protection des données personnelles

CHARTE DE PROTECTION DES DONNEES PERSONNELLES

 

1.  Nos engagements en matière de protection de vos données personnelles

 

Afin que vous puissiez naviguer sur le site ocito.net en toute tranquillité, nous, Mercialys, société anonyme au capital de 93 886 501 euros, immatriculée au RCS de Paris sous le numéro B 424 064 707, dont le siège est à Paris (75002), 16 rue du Quatre Septembre, agissant en tant que responsable du traitement, vous exposons comment nous collectons, traitons et utilisons vos données personnelles, pour vous apporter au quotidien de nouveaux services dans le respect de vos droits. En cette qualité, nous, Mercialys, avons défini les moyens et les finalités des traitements mis en œuvre par notre filiale éditrice du site internet ocito.net (la « marketplace »), la société Ocitô la Galerie, SAS au capital de 37000 euros dont le siège social est sis 16 rue du Quatre Septembre 75002 Paris.

Nous protégeons votre vie privée en assurant la protection, la confidentialité, la non-altération, la disponibilité et la sécurité des données personnelles que vous nous confiez sur l’ensemble de nos canaux de communication.

Nous prenons l’ensemble des mesures nécessaires afin de :

  • vous fournir une information claire et transparente sur la manière dont vos données personnelles seront collectées et traitées ;
  • mettre en place toutes les mesures techniques et organisationnelles nécessaires pour protéger vos données personnelles contre la divulgation, la perte, l’altération ou l’accès par un tiers non autorisé ;
  • conserver vos données personnelles uniquement le temps nécessaire aux fins du traitement ou du service déterminé ;
  • vous offrir à tout moment la possibilité d’accéder et de modifier vos données personnelles que nous traitons directement via vos espaces personnels sur notre site.

Pour atteindre ces objectifs, nous mettons en œuvre les mesures techniques et organisationnelles appropriées pour nous assurer que les traitements sont conformes au droit applicable en matière de protection des données personnelles.

 

1.1  A quelles occasions collectons-nous vos données personnelles ? 

Vos données personnelles peuvent être recueillies lorsque :

  • vous vous créez un compte sur notre marketplace, nos sites internet ou applications mobiles ;
  • vous passez commande de produits sur notre marketplace ocito.net ;
  • vous vous faites livrer des produits commandés à domicile depuis notre marketplace ocito.net.

 

1.2  Quelles sont les informations personnelles que nous collectons ?

 

Nous collectons les informations que vous nous fournissez aux occasions mentionnées ci-dessus notamment : vos nom, prénom, adresse postale, adresse de courrier électronique, numéro de téléphone fixe et mobile, date de naissance, centre commercial de rattachement, numéro de carte bancaire.

Ces données sont collectées par des formulaires qu’ils soient dématérialisés sur nos sites internet ou applications mobiles ou papier.

Nous collectons également des informations lors de votre utilisation de nos services. Ainsi nous pouvons collecter des données relatives :

 

  • aux produits que vous achetez sur ocito.net ;
  • aux identifiants de vos réseaux sociaux permettant une connexion simplifiée (Ex : ID Facebook connect) ;
  • aux réponses que vous nous fournissez lors du remplissage de questionnaires ou d’enquêtes de satisfaction.

 

Conformément à la règlementation, nous ne collectons pas les données qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, les données personnelles génétiques, les données personnelles biométriques aux fins d'identifier une personne physique de manière unique, les données personnelles concernant la santé ou les données personnelles concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique.

Ces catégories de données personnelles particulières ne font jamais l’objet d’une collecte ou d’un traitement par Mercialys.

 

2.  Comment utilisons-nous vos données ?

 

Nous traitons vos données personnelles de manière transparente et de façon sécurisée. Vos données personnelles sont collectées pour les finalités détaillées ci-après. Nous utilisons vos données conformément aux conditions de la présente Charte, aux conditions générales d’utilisation de nos services et ce dans une préoccupation constante de transparence et de sécurité de vos données.

Cas d’utilisation :

  • lorsque vous y avez consenti pour une ou plusieurs finalités spécifiques au moyen d’une déclaration écrite, y compris par voie électronique ;
  • lorsqu’elles sont nécessaires à l'exécution contractuelle des services proposés ;
  • pour le respect des obligations légales ou réglementaires de Mercialys ;
  • dans le cadre de nos intérêts légitimes, comme par exemple la lutte contre la

Ces traitements sont mis en œuvre en prenant en compte vos intérêts et vos droits fondamentaux en tant que clients. A ce titre, ils s’accompagnent de mesures et garanties pour assurer la protection de vos intérêts et de vos droits, tout en établissant un juste équilibre avec les intérêts légitimes et pertinent que nous poursuivons lorsque le traitement repose sur notre intérêt légitime.

 

2.1  Pour quelles finalités utilisons-nous vos données ?

 

Gestion des clients, du programme de fidélité et des prospects

Nous utilisons et conservons vos données personnelles afin d’effectuer les opérations relatives à la gestion des clients (ouvertures de comptes, contrats, commandes, livraisons, facturation, comptabilité et en particulier la gestion des comptes clients, programme de fidélité, suivi de la relation client) et les opérations relatives à la prospection. Dans ce cadre, nous vous offrons notamment la possibilité d’adhérer à notre programme de fidélité pour créditer vos achats sur votre compte fidélité et vous faire bénéficier d’avantages particuliers.

Base légale : exécution d’un contrat pour la gestion de la relation client.

Base légale : consentement pour la prospection.

Amélioration de votre expérience client en ligne

Avec votre consentement, nous analysons vos données personnelles afin d’améliorer votre expérience client.

Communications client

Ces analyses nous permettent de vous proposer des services complémentaires ou des offres promotionnelles ou d’afficher ou de vous envoyer des publicités qui répondent, dans la mesure du possible, à vos habitudes de consommation et à vos centres d’intérêts.

Base légale : consentement.

Exigence légale ou réglementaire

Nous pouvons être tenus de communiquer vos données personnelles en cas de demandes légitimes d’autorités publiques, notamment pour répondre à des exigences en matière de tenue de comptabilité, de contrôle fiscal ou de sécurité nationale.

Base légale : obligation légale.

Autres cas

Dans tous les autres cas, vous serez avertis des traitements que Mercialys envisage de faire.

 

2.2  Qui sont les destinataires de vos données personnelles ?

 

Nous veillons à ce que seules des personnes habilitées au sein de Mercialys (et sa filiale Ocitô la Galerie) puissent accéder à vos données personnelles lorsque cet accès est nécessaire à l’exécution de notre relation commerciale (à savoir le personnel habilité du service marketing, du service commercial, des services chargés de traiter la relation client et la prospection, des services administratifs, des services logistiques et informatiques et des services chargés du contrôle, ainsi que le personnel habilité de nos sous-traitants).

Nous partageons vos données personnelles avec différents destinataires, qui participent à la bonne exécution de vos commandes et de nos services :

Paiement

Les paiements étant opérés par l’intermédiaire du prestataire de paiement en ligne Stripe, cette société est destinataire des données bancaires que vous fournissez au moment de votre commande. A ce titre, Stripe a conçu et mis en œuvre un système de transaction sécurisé et veille à l’intégrité et la confidentialité des données. Nous vous invitons à vous référez à la politique de confidentialité de Stripe pour plus de détails (stripe.com).

 

Exécution de vos commandes

Pour l’exécution de vos commandes (en ce compris leur livraison ou leur collecte directe en magasin par vos soins), sont destinataires de vos données personnelles nos partenaires qui mettent dans le commerce les produits présentés sur le site ocito.net et nos partenaires qui assurent la livraison des produits.

 

Contentieux

En cas de contentieux, des auxiliaires de justice, des autorités judiciaires et des officiers ministériels peuvent être amenés à avoir accès à vos données personnelles, dans le cadre de leur mission d’assistance juridique et de représentation.

 

Statistiques

Nous mesurons l’audience du site ocito.net grâce à Google Analytics. Ce service collecte des données statistiques pour mesurer l’audience de notre site.

 

Publicité ciblée

En cas de consentement de votre part, nos prestataires de publicité ciblée peuvent également être destinataires des données personnelles strictement nécessaires à la réalisation des prestations que nous leur aurons confiées.

 

Les opérations avec un prestataire destinataire de vos données font l’objet d’un contrat afin de vous assurer de la protection de vos données et du respect de vos droits. Certaines données personnelles peuvent aussi être adressées à des tiers pour satisfaire aux obligations légales, réglementaires ou conventionnelles ou aux autorités légalement habilitées.

 

2.3  Où sont stockées vos données personnelles ?

 

Les données sont stockées dans le respect de la législation française et de la réglementation européenne.

Si notre prestataire intervient en dehors de l’Union Européenne, nous protégeons la confidentialité de vos informations personnelles et vos droits en utilisant les clauses contractuelles de protection des données recommandées par la Commission européenne.

Les durées de conservations des données respectent les recommandations de la CNIL et/ou les obligations légales :

 

Catégories de données personnelles

Règles de conservation active

Données de votre compte client

3 ans après le dernier contact client

Données de votre programme de fidélité

3 ans après le dernier contact client

Données personnelles de connexion pour les sites internet

3 ans après le dernier contact client

Cookies

Durée de validité 13 mois

Données d’achat

3 ans après le dernier achat

Données comportementales

Pas de limitation pour les données anonymisées

Données prospects

3 ans après le dernier contact prospect

 

Au terme de ces durées, nous pouvons procéder à l’archivage des données, notamment pour répondre aux délais de prescriptions des actions en justice.

2.4  Gestion des cookies

A l’occasion de la consultation de notre site internet, nous pouvons être amenés, si vous l’acceptez, à déposer sur votre ordinateur, grâce à votre logiciel de navigation, des cookies.

Les cookies nous permettent pendant leur durée de validité ou d’enregistrement, d’identifier votre ordinateur lors de vos prochaines visites. Des partenaires ou prestataires de Mercialys, ou des sociétés tierces, peuvent également être amenés à déposer des cookies sur votre ordinateur.

Certains cookies sont indispensables à la navigation sur notre site, notamment pour la bonne exécution des fonctionnalités du site, leur suppression peut entrainer des difficultés. Seul l’émetteur d’un cookie est susceptible de lire ou de modifier les informations contenues dans ce cookie.

La liste des cookies et leur finalité figure dans le bandeau d’informations relatives aux cookies qui apparait lors de la navigation sur le site. Elle est également consultable, avec de plus amples informations sur les cookies ici.

 

Comment exercer vos droits ? Dans l’objectif de vous permettre de contrôler nos usages de vos données personnelles, vous bénéficiez, dans les conditions définies par la loi, des droits suivants :

  • Droit d’accès : vous pouvez obtenir des informations relatives aux traitements de vos données personnelles et leur copie ;
  • Droit de rectification : vous pouvez solliciter la correction de vos données personnelles que vous estimez incomplètes ou inexactes ;
  • Droit à l’effacement : vous pouvez solliciter l’effacement de vos données personnelles ;
  • Droit à la limitation du traitement : vous pouvez demander la limitation de traitement de vos données personnelles ;
  • Droit à la portabilité de vos données personnelles : vous avez le droit à ce que les données personnelles que vous nous avez fournies vous soient rendues ou, lorsque cela est possible techniquement, transférées à un tiers, dans une forme lisible par machine (à la différence du droit d’accès) ;
  • Droit de retirer votre consentement si le traitement est opéré sur la base légale de votre consentement ;
  • Droit de saisir la Commission Nationale de l’Informatique et des Libertés (cnil.fr) de toute éventuelle réclamation ;
  • Droit de définir des directives relatives à la conservation, à l’effacement ou à la communication de vos données personnelles après votre décès ;
  • Droit d’opposition : vous bénéficiez d’un droit d’opposition par lequel vous pouvez vous opposer au traitement de vos données personnelles pour des motifs liés à votre situation particulière, sachant qu’en cas de prospection, vous disposez d’un droit d’opposition absolu.

 

Vous pouvez exercer vos droits :

  • en cliquant sur le formulaire présent sur le site internet du centre
  • par mail : aide@ocito.net
  • par courrier en vous adressant à MERCIALYS Direction Marketing & Communication à l’adresse suivante : 16-18 rue du Quatre Septembre CS 36812 75082 Paris Cedex

 

Si vous souhaitez des précisions sur le contenu de ces droits, merci de nous contacter aux adresses susmentionnées.

Nous vous fournissons nos éléments de réponses à vos demandes dans les meilleurs délais et en tout état de cause dans un délai d'un mois à compter de la réception de vos demandes.

 

3.  Nos mesures de sécurisation des données

  • Nos engagements de sécurité et de confidentialité

Respecter votre droit à la protection, à la sécurité et à la confidentialité de vos données, est notre priorité.

Mercialys met en place des mesures de sécurité organisationnelles et techniques adaptées au degré de sensibilité des données personnelles pour les protéger contre toute intrusion malveillante, toute perte, altération ou divulgation à des tiers non autorisés.

Lors de l’élaboration, de la conception, de la sélection et de l’utilisation de nos services qui reposent sur le traitement de données personnelles, Mercialys prend en compte dès leur conception le droit à la protection des données personnelles.

A ce titre, nous procédons par exemple à la pseudonymisation ou à l’anonymisation, selon les cas, des données personnelles dès que cela est possible ou nécessaire.

Toutes les données personnelles étant confidentielles, leur accès est limité aux collaborateurs de Mercialys ou prestataires agissant pour le compte de Mercialys, qui en ont besoin dans le cadre de l’exécution de leurs missions. Toutes les personnes ayant accès à vos données sont liées par un devoir de confidentialité et s’exposent à des mesures disciplinaires et/ou autres sanctions si elles ne respectent pas ces obligations.

Les opérations avec un tiers destinataire font l’objet d’un contrat afin d’assurer la protection de vos données personnelles et du respect de vos droits.

Nous sommes totalement engagés pour une protection efficace des données personnelles que vous nous confiez. Dans ce souci permanent de sécurité et de protection, nous vous encourageons à faire preuve de prudence pour empêcher tout accès non autorisé à vos données personnelles et à protéger vos terminaux (ordinateur, smartphone, tablette) contre tout accès non souhaité, voire malveillant, par un mot de passe robuste, qu’il est recommandé de changer régulièrement. Si vous partagez un terminal, nous vous recommandons de vous déconnecter après chaque utilisation.

 

3.2  Notre délégué à la protection des données personnelles

Notre délégué à la protection des données personnelles (DPO) est disponible pour répondre à vos questions à l’adresse suivante : privacy@mercialys.com

4.  Glossaire 

« Anonymisation » est définie comme « le résultat du traitement des données personnelles afin d’empêcher, de façon irréversible, toute identification 1 » ;

« Collecter », s’entend du fait de recueillir des données à caractère personnel. Cette collecte peut s’effectuer, notamment, à l’aide de questionnaires ou de formulaires en ligne ;

« Consentement », votre consentement s’entend de toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle vous acceptez, par une déclaration ou par un acte positif clair, que des données à caractère personnel vous concernant fassent l'objet d'un traitement ;

« Données à caractère personnel » ou « données personnelles », désignent toute information se rapportant à une personne physique identifiée ou identifiable; qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ;

 

« Droits protégeant vos données personnelles » : désigne l’ensemble des droits fondamentaux tels que décrit dans la réglementation européenne 2 portant sur :

  • le droit à l’information ;
  • le droit d’accès ;
  • le droit de rectification ;
  • le droit à l’effacement ou droit à l’oubli ;
  • le droit à la portabilité ;
  • les droits d’opposition ;
  • le droit à la limitation du traitement ;
  • le droit de définir des directives relatives à la conservation, l’effacement et la communication de ses données personnelles après sa

 

« Limitation de traitement » s’entend du marquage de données à caractère personnel conservées, en vue de limiter leur traitement futur3 ;

« Minimisation » associé à celui de « données » évoque une limitation apportée à la collecte ou à l’utilisation d’informations ;

 « Produits ou services » s’entendent de l’ensemble des produits et services y compris technologiques (sites, applications et services associés) proposés ou qui seront proposés par Mercialys ;

« Prospection commerciale » s’entend comme la recherche de clients, le fait qu’elle soit commerciale signifie qu’elle est relative au commerce, qu’elle y a trait4 ;

« Pseudonymisation » s’entend par toute mesure de sécurité technique et organisationnelle qui consiste à remplacer un identifiant afin de garantir que les données à caractère personnel ne soient pas attribuées à une personne physique identifiée ou identifiable ;

« Relation commerciale » regroupe l’ensemble des relations entre Mercialys et ses clients comme, par exemple, lors de vos achats de produits ou services, de l’utilisation du service après- vente, de votre participation à des jeux en lignes, du retour de vos produits, de vos réclamations, de votre participation à des enquêtes de satisfaction ou dans le cadre de votre programme de fidélité ;

« Responsable de traitement » est la personne ou l'organisme qui, seul ou conjointement, détermine les objectifs et les modalités de traitement de vos données personnelles ;

 « Services en ligne » s’entendent des services numériques proposés par Mercialys tels que site internet, applications, services associés ou services mobiles ;

« Sous-traitant » est celui qui traite des données à caractère personnel pour le compte de la personne, de la structure ou de l’organisme responsable du traitement ;

« Tiers » se réfère à toute personne autre que Mercialys et vous-même ;

« Traitement des données personnelles » signifie toute opération ou groupe d’opérations appliqué à vos données, quel que soit le support de service en ligne en question et le procédé utilisé.

 

Document mis à jour le 05/05/22

1 G29 avis 05/2014 du 10 avril 2014 sur les Techniques d’anonymisation (WP216)

2 RÈGLEMENT (UE) 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016, art. 15 à 21 et art. 23

3 RÈGLEMENT (UE) 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016, art. 4

4 Dictionnaire Larousse, 2017