L’HAPPY’ZA
Règles de confidentialité
Définitions générales
CLIENT : tout UTILISATEUR de l’application mobile L’HAPPY’ZA réalisant au moins une COMMANDE sur cette application mobile.
COMMANDE : toute succession d’actes conduisant le CLIENT à sélectionner des PRODUITS dans son panier et à valider l’achat de ces PRODUITS par un paiement. Une COMMANDE est confirmée par une confirmation de COMMANDE remise au CLIENT par e-mail.
DONNEE(S) À CARACTÈRE PERSONNEL (ou DCP) : au sens de l’article 4.1 du RGPD : « toute information se rapportant à une personne physique identifiée ou identifiable ; est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale; »
EDITEUR : il s’agit de la société par actions simplifiée ADIAL, au capital de 372 000,00 €, dont le siège social est situé 87 rue Alexandre Fleming 14100 LISIEUX, immatriculée au R.C.S de LISIEUX B sous le numéro 441 698 784
ENSEIGNE : il s’agit de la SAS NETTO SURYDISCOUNT , au capital de 70 000 €, dont le siège social est situé LE PARC DES VERCHERES, immatriculée au R.C.S de ST ETIENNE sous le numéro 851 515 205
EXPLOITANT : désigne la personne morale qui a pour activité professionnelle l’exploitation commerciale d’un distributeur automatique de pizza. L’EXPLOITANT est lié par contrat avec l’ENSEIGNE.
PRODUIT : Produit référencé et accessible sur l’application mobile L’HAPPY’ZA
RGPD : (Règlement Général sur la Protection des Données) Règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.
UTILISATEUR(S) : toute personne utilisant l’application mobile L’HAPPY’ZA.
VENDEUR : désigne ici l’EXPLOITANT du distributeur automatique sélectionné lors de la COMMANDE.
Qu’est-ce qu’une donnée personnelle ?
Une donnée personnelle est une notion définie par la réglementation, notamment la Loi Informatique et Libertés du 6 janvier 1978 modifiée, comme :
“Toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres”.
Plus concrètement, ce sont les noms, prénoms, adresses email ou postales, photos et vidéos d’une personne. Un numéro constitue également une donnée personnelle, notamment les numéros de carte bancaire, le code de fidélité, ou encore le numéro d’immatriculation d’un véhicule. D’une manière générale, toutes les informations qui permettent de d’identifier une personne, sont des données personnelles.
A l’inverse, lorsqu’une donnée est anonymisée, c’est-à-dire qu’il devient alors impossible d’identifier la personne concernée, elle n’est pas considérée comme une donnée à caractère personnel.
Quelles informations sont collectées à travers l’application mobile L’HAPPY’ZA
Les informations collectées lors de l’utilisation de l’application mobile L’HAPPY’ZA peuvent être des données relatives à :
- l’identification (nom, prénoms, date de naissance, adresse postale, adresse mail, identifiant/mot de passe, code de fidélité) ;
- la vie personnelle (genre, situation maritale, nombre d’enfants, nom et prénoms des enfants, date de naissance des enfants…) ;
- la vie professionnelle (fonction, entreprise, catégorie socio-professionnelle…) ;
- les achats, et notamment les préférences d’achats ;
- les données bancaires (coordonnées de carte de crédit) ; ces données ne sont pas conservées par l’EDITEUR, ni par l’ENSEIGNE ou le VENDEUR, ni par le marchand de paiement utilisé sur l’application mobile L’HAPPY’ZA.
- les données de géolocalisation ;
- des informations fournies lors des demandes d’information ou d’assistance ou l’achat de PRODUITS ou de SERVICES auprès de l’EDITEUR ou l’ENSEIGNE, y compris les informations nécessaires pour traiter vos COMMANDES avec le marchand de paiement concerné qui peut inclure le montant de toute transaction.
Données personnelles des personnes mineures
Aucune information personnelle de personnes mineures n’est collectée, les PRODUITS et SERVICES proposés dans l’application mobile L’HAPPY’ZA n’étant destinés qu’aux catégories de personnes capables de souscrire à un acte d’achat.
C’est la raison pour laquelle il est demandé systématiquement aux personnes qui souscrivent aux SERVICES, de renseigner leur date de naissance.
Si une personne mineure renseigne une fausse date de naissance pour accéder aux PRODUITS et SERVICES de l’application mobile L’HAPPY’ZA en se faisant passer pour une personne majeure, nous ne sommes pas en mesure de le vérifier. En revanche, à première demande émanant de l’un de ses proches, ses données seront supprimées de l’ensemble des bases, après avoir effectué toutes les vérifications utiles.
Nous encourageons d’ailleurs les parents et tuteurs légaux à demander à leurs enfants de ne jamais donner leurs données personnelles, sans autorisation, lorsqu’ils sont en ligne.
Pourquoi recueillir des données personnelles ?
Lorsqu’un CLIENT décide de passer une COMMANDE sur l’application mobile L’HAPPY’ZA, certaines informations sont nécessaires pour pouvoir traiter sa COMMANDE et lui permettre de créer un compte utilisateur.
Certaines données comme celles du panier d’achat ou le montant de ce panier, permettent ensuite d’adapter l’offre et de fournir un SERVICE personnalisé comme par exemple la possibilité de recommander un panier dont le contenu est identique à celui d’une précédente COMMANDE.
Si vous acceptez de recevoir des informations ou des offres commerciales, celles-ci pourront être adaptées à votre profil d’utilisateur ou d’acheteur, grâce au traitement de vos historiques d’achat. C’est ce que l’on appelle la “publicité ciblée”.
ADIAL s’engage, conformément à la réglementation, à appliquer le principe de « minimisation » des données, à savoir collecter uniquement les données nécessaires.
Traitement des données
Définition du Responsable du Traitement des DCP
NETTO SURYDISCOUNT et le VENDEUR reconnaissent qu’ADIAL ne traite pas de DCP en son nom et/ou pour son compte. ADIAL fournit cependant via le présent contrat, l’accès aux fonctionnalités de son logiciel, lequel permet de le faire. Les présentes dispositions organisent donc les responsabilités d’ADIAL d’une part et de NETTO SURYDISCOUNT et du VENDEUR d’autre part, au regard de l’ensemble des dispositions légales relatives à la protection des données personnelles et dans un souci d’information des personnes visées par la collecte et le traitement de leurs DCP.
NETTO SURYDISCOUNT et le VENDEUR déclarent et acceptent :
- qu’ils déterminent seules les finalités et moyens relatifs au(x) traitement (s) des DCP
- qu’ils sont et demeurent seules responsables du ou des TRAITEMENTS réalisés via les logiciels mis à disposition par ADIAL
- qu’ils assument seules toutes les conséquences juridiques se rapportant directement ou indirectement à des litiges, contentieux et/ou engagements de responsabilités liés au Traitement des DCP
- qu’ils sont tenues de gérer la réponse aux droits des personnes concernant leurs DCP.
Nécessité d’un contrat pour la sous-traitance de traitement de données par ADIAL
Toute demande de l’ENSEIGNE ou du VENDEUR visant à solliciter de l’EDITEUR une démarche ayant pour but de traiter des DCP devra faire l’objet d’un contrat dûment signé entre les parties sur la base de l’article 28.3 du RGPD : « Le traitement par un sous-traitant est régi par un contrat ou un autre acte (…) qui lie le sous-traitant à l’égard du responsable du traitement, définit l’objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées, et les obligations et les droits du responsable du traitement (…) »).
En l’absence d’un tel contrat spécifique, l’ENSEIGNE ou du VENDEUR renoncent expressément à engager la responsabilité de l’EDITEUR pour toutes les conséquences juridiques qui pourraient se rapporter directement ou indirectement à des litiges, contentieux et/ou engagements de responsabilités liés au TRAITEMENT des DCP.
Limitation de responsabilité de l’EDITEUR
En l’absence de faute avérée de l’EDITEUR retenue par un jugement au fond passé en force de jugée et insusceptible de recours juridictionnel, l’ENSEIGNE relève et garantit intégralement et à première demande, l’EDITEUR de toutes les conséquences juridiques et pécuniaires dommageables qui pourraient l’affecter directement ou indirectement du fait d’une violation des obligations légales et/ou réglementaires relatives à la protection des DCP.
Devoir d’information, de conseil et d’alerte du CLIENT par L’EDITEUR
L’EDITEUR a mis en place les outils logiciels permettant à la l’ENSEIGNE de se conformer aux dispositions du RGPD. Toutefois, en cas d’identification d’une difficulté impliquant potentiellement la violation d’une ou plusieurs dispositions du RGPD relative aux DCP des CLIENTS, il appartient à l’ENSEIGNE d’informer les CLIENTS.
Déclaration de conformité au RGPD
Le VENDEUR et l’ENSEIGNE ont au regard des lois en vigueur la qualité de responsable du traitement des données qu’elles exploitent. Ils garantissent à l’EDITEUR qu’ils ont procédé à l’ensemble des obligations qui leur incombent au terme de la loi n°78-17 du 6 janvier 1978 dite « Informatique & Libertés » et du RGPD. Pour les besoins du respect de ses obligations, ils sont informés par l’EDITEUR que la localisation des serveurs de l’EDITEUR est la suivante : OVH – SAS au capital de 10 000 000 € – RCS Roubaix – Tourcoing 424 761 419 00045 – Code APE 6202A N° TVA : FR 22 424 761 419 – Siège social : 2 rue Kellermann – 59100 Roubaix – France. Concernant la transmission de DCP, le VENDEUR et l’ENSEIGNE garantissent qu’ils ont informé les personnes physiques concernées de l’usage qui en est fait.
Comment s’opposer au traitement de ses données personnelles ?
Les informations que le CLIENT accepte de confier, à travers l’utilisation de l’application mobile L’HAPPY’ZA, restent ses données personnelles et nul ne saurait le priver de son droit fondamental de disposer de ses données.
Le CLIENT a donc le droit de s’opposer ou de limiter certains traitements de ses données personnelles.
Si le CLIENT souhaite accéder, rectifier ou même demander l’effacement de ses données des systèmes d’information de l’ENSEIGNE et des VENDEURS qui lui sont liés par contrat, il lui suffit d’écrire par mail à l’adresse suivante : pdv08987@mousquetaires.com.
Le CLIENT peut aussi en se connectant à l’application mobile L’HAPPY’ZA, dans la rubrique “Mon Compte”, accéder et modifier certaines données.
Le CLIENT dispose également du droit à la portabilité de certaines données. S’il souhaite exercer ce droit, il lui est demandé de bien vouloir contacter l’ENSEIGNE l’adresse email ci-dessus également.
Si l’exercice des droits du CLIENT entraîne des conséquences, notamment des restrictions ou des interdictions d’accès aux PRODUITS ou SERVICES de la marque, l’information lui sera alors délivrée de manière claire afin qu’il soit en mesure de prendre sa décision de manière éclairée et transparente.
Moyens mis en œuvre pour assurer la protection des données personnelles
L’ENSEIGNE et les VENDEURS mettent en œuvre des actions pour répondre aux exigences de la réglementation, et permettre de réduire le risque d’atteinte aux données personnelles.
Dans le cadre de l’obligation de gestion des comptes CLIENTS prévue par le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, l’EDITEUR rappelle à L’ENSEIGNE et aux VENDEURS qu’ils tiennent à jour un registre des traitements de données personnelles (article 30 du RGPD), auquel le CLIENT peut accéder en tout ou partie, sur demande motivée, adressée à pdv08987@mousquetaires.com.
L’ENSEIGNE et les VENDEURS sont seuls juges de la nécessité pour leurs activités respectives de la mise en place d’un délégué à la protection des données (DPO) en charge de s’assurer de la tenue et de la mise à jour régulière de ce registre sur la base des dispositions prévues par la réglementation. Notamment, pour chaque nouveau traitement mis en œuvre par l’EDITEUR sur demande faisant l’objet d’un contrat de la part de l’ENSEIGNE ou d’un VENDEUR, le DPO, dans le cadre d’une procédure interne de validation préalable, contrôle sa finalité et sa légitimité au regard des besoins de l’entreprise mais aussi et surtout au regard du risque d’atteinte à la protection des données et à la vie privée des personnes concernées. Il a notamment pour mission de s’assurer que chacun des traitements envisagés par l’ENSEIGNE ou les VENDEURS respecte les principes de respect de la vie privée dès la conception d’une solution ou d’une application.
Enfin, s’agissant des mesures de sécurité mise en œuvre pour protéger les données personnelles de tout risque de divulgation non autorisée ou d’atteinte à leur intégrité, l’ENSEIGNE et les VENDEURS ont déployé les moyens à leur disposition auprès de leurs équipes respectives et de leurs prestataires afin de réduire au minimum les risques de failles de sécurité.
L’EDITEUR s’efforce de maintenir une surveillance des systèmes. Les applications de l’EDITEUR sont analysées à la recherche de failles de sécurité et de vulnérabilités et l’EDITEUR prend les précautions nécessaires pour éviter la perte, l’abus ou l’altération de données personnelles. Lorsque certaines prestations nécessitent de faire appel à un tiers, l’EDITEUR sélectionne ses prestataires sur la base de critères de sécurité et de confidentialité préalablement définis au regard des enjeux, et exige systématiquement de ses sous-traitants, un niveau de sécurité qui garantit un niveau de protection suffisant des données personnelles qu’ils traitent pour son compte.
Localisation des données personnelles
Les données personnelles des CLIENTS sont stockées chez des prestataires de services, dans leurs Data centers situés exclusivement en France (OVH – SAS au capital de 10 000 000 € – RCS Roubaix – Tourcoing 424 761 419 00045 – Code APE 6202A N° TVA : FR 22 424 761 419 – Siège social : 2 rue Kellermann – 59100 Roubaix – France).
L’EDITEUR exige toujours de ses prestataires de services d’hébergement que les données qui lui sont confiées soient hébergées en France.
Si, pour des raisons techniques ou pour des besoins spécifiques liés à la maintenance de certaines applications, des données personnelles sont accessibles par des tiers situés en dehors de l’Espace économique européen, l’EDITEUR s’est assurée au préalable que ces derniers garantissent un niveau de protection suffisant de ces données, en leur faisant signer les clauses contractuelles types de la Commission Européenne.
Durée de conservation des données personnelles
L’ENSEIGNE et les VENDEURS déclarent avoir pour objectif de toujours conserver les données personnelles de manière sûre et sécurisée, uniquement pendant la durée nécessaire à la réalisation de la finalité poursuivie par le traitement.
Dans cette perspective, sont prises des mesures physiques, techniques et organisationnelles appropriées pour empêcher, dans toute la mesure du possible, toute conservation de données personnelles au-delà d’une durée maximum de 26 mois, exception faite des données à conserver nécessairement pour répondre aux prescriptions légales.
Au-delà de ce délai, l’ENSEIGNE propose par email aux CLIENTS de purger automatiquement et sélectivement les données des bases.
Modification de la politique de protection des données personnelles
La présente Politique de Protection des Données Personnelles peut être mise régulièrement à jour, notamment pour tenir compte des changements apportés à la loi et à la réglementation. Dans le cas où un CLIENT dispose d’un compte enregistré, le CLIENT sera informé de toute modification de la Politique par courrier électronique à l’adresse e-mail liée à son compte.
Ces modifications entrent en vigueur immédiatement au moment où elles sont téléchargeables et consultables sur l’application mobile L’HAPPY’ZA.