RGPD

1 Champ d’application

La présente politique s’applique au traitement des données personnelles des personnes physiques situées en France ou dans l’Union européenne par Domxironix. Que vous soyez un visiteur de notre site, un utilisateur enregistré ou un client ayant passé commande, dès lors que vous vous trouvez géographiquement dans l’UE, vos données personnelles sont protégées par la présente politique.

Plus précisément, cette politique s’applique lorsque nous fournissons des biens ou des services à des utilisateurs situés en France, ou lorsque nous surveillons leur comportement sur notre site (par exemple via l’analyse des Cookies). Même si le traitement a lieu en dehors de l’UE (par exemple si nos serveurs sont situés dans un pays non-membre), la présente politique s’applique dès lors que vous, en tant que personne concernée, vous trouvez sur le territoire de l’UE.

Cette politique s’applique aux données personnelles stockées sous forme électronique, telles que le nom, l’adresse email, l’adresse postale que vous fournissez lors de votre inscription, ainsi que les informations techniques collectées via les Cookies. Elle s’applique également aux données stockées sous forme papier structurée (par exemple les enregistrements de commandes ou les factures que nous sommes tenus d’imprimer et de conserver pour des raisons légales).

Veuillez noter que les activités purement personnelles ou domestiques ne relèvent pas du champ d’application de la présente politique. Par exemple, si vous achetez un produit sur notre site pour un usage personnel, cela relève d’un traitement commercial et non d’une exemption domestique. La véritable exemption domestique concerne les activités privées sans aucune dimension commerciale (par exemple, noter manuellement les coordonnées d’un ami). Étant une boutique en ligne, la grande majorité de nos traitements ne bénéficie pas de cette exemption.

2 Principes fondamentaux

Dans le traitement de vos données personnelles, nous respectons strictement les six principes fondamentaux énoncés par le RGPD. Ces principes constituent le socle de toutes nos activités de traitement.

Licéité, loyauté et transparence

Nous ne traitons vos données que dans le cadre légalement autorisé. Chaque activité de traitement repose sur une base légale au titre de l’article 6 du RGPD (votre consentement, l’exécution d’un contrat, une obligation légale ou notre intérêt légitime). Nous vous informons de manière transparente sur la manière dont nous traitons vos données, sans langage flou ni trompeur. Le principe de loyauté nous interdit de traiter vos données d’une manière qui vous causerait un préjudice indu.

Limitation des finalités

Lorsque nous collectons vos données personnelles, nous vous informons clairement de la finalité poursuivie. Par exemple, nous collectons votre adresse de livraison pour livrer votre commande, et votre adresse email pour vous envoyer la confirmation de commande. Nous n’utilisons pas vos données à d’autres fins incompatibles avec la finalité initiale. Si nous devions utiliser vos données pour une nouvelle finalité, nous vous en informerions à l’avance et, si nécessaire, recueillerions un nouveau consentement.

Minimisation des données et exactitude

Nous ne collectons que les données strictement nécessaires à la réalisation de la finalité poursuivie. Par exemple, nous n’avons pas besoin de connaître votre situation maritale ou votre profession pour traiter une commande ; nous ne posons donc pas ces questions. Nous prenons des mesures raisonnables pour garantir que les données que nous détenons sont exactes, complètes et à jour. Vous pouvez à tout moment corriger les informations inexactes via votre compte.

Limitation de la conservation

Nous ne conservons pas vos données personnelles indéfiniment. La durée de conservation est déterminée en fonction de la finalité du traitement et des exigences légales. Par exemple, les informations de commande sont conservées pendant 10 ans pour satisfaire aux obligations fiscales françaises. Passé ce délai, nous supprimons ou anonymisons vos données.

Intégrité et confidentialité

Nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données contre tout traitement non autorisé ou illicite, ainsi que contre toute perte, destruction ou endommagement accidentels. Ces mesures incluent le chiffrement TLS, le contrôle d’accès, des audits de sécurité réguliers, etc. Seuls les employés qui ont besoin de connaître vos données pour l’exécution de leurs missions y ont accès, et ils sont soumis à des obligations strictes de confidentialité.

3 Vos droits

Conformément au RGPD, vous disposez des huit droits suivants en tant que personne concernée. Ces droits visent à vous maintenir le contrôle sur vos propres données personnelles.

Droit d’être informé

Vous avez le droit de recevoir des informations claires, transparentes et compréhensibles sur la manière dont nous traitons vos données personnelles. C’est l’objet même de notre Politique de Confidentialité. Ce droit inclut la connaissance de notre identité, les données que nous traitons, les finalités, la durée de conservation, les éventuels destinataires, etc.

Droit d’accès

Vous avez le droit d’obtenir la confirmation que nous traitons ou non vos données personnelles. Si c’est le cas, vous avez le droit d’en obtenir une copie. Ce droit vous permet de vérifier que notre traitement est conforme à la loi.

Droit de rectification

Si vous constatez que les données personnelles que nous détenons sur vous sont inexactes ou incomplètes, vous avez le droit de demander leur rectification ou leur complément. Vous pouvez également modifier directement vos informations via votre compte (par exemple, mettre à jour votre adresse ou votre numéro de téléphone).

Droit à l’effacement (droit à l’oubli)

Dans certaines circonstances, vous avez le droit d’obtenir l’effacement de vos données personnelles. Ces circonstances incluent : les données ne sont plus nécessaires au regard de la finalité initiale ; vous retirez votre consentement et il n’existe pas d’autre base légale ; vous vous opposez avec succès ; les données ont été traitées illicitement ; ou le droit de l’UE ou d’un État membre impose l’effacement. Attention : si une obligation légale nous impose de conserver certaines données (par exemple les factures pendant 10 ans), ce droit peut être limité.

Droit à la limitation du traitement

Dans certaines circonstances, vous avez le droit de demander la limitation (le gel) du traitement de vos données. Les circonstances incluent : vous contestez l’exactitude des données ; le traitement est illicite mais vous ne souhaitez pas l’effacement ; nous n’avons plus besoin des données mais vous en avez besoin pour la constatation ou la défense de droits en justice ; ou vous vous êtes opposé au traitement dans l’attente de la vérification. Pendant la limitation, nous ne faisons que stocker vos données sans autre traitement.

Droit d’opposition

Vous avez le droit de vous opposer à tout moment, pour des raisons tenant à votre situation particulière, à un traitement fondé sur notre intérêt légitime. À moins que nous ne démontrions des motifs légitimes et impérieux (par exemple, la prévention d’une fraude grave), nous cesserons le traitement. Pour les traitements à des fins de marketing direct, vous disposez d’un droit d’opposition absolu et sans condition.

Droit à la portabilité

Vous avez le droit de recevoir les données personnelles que vous nous avez fournies, traitées sur la base du consentement ou de l’exécution d’un contrat, et par des moyens automatisés, dans un format structuré, couramment utilisé et lisible par machine (par exemple JSON ou CSV). Lorsque techniquement possible, vous pouvez demander la transmission directe de ces données à un autre responsable de traitement.

Droit de retirer votre consentement

Si notre traitement est fondé sur votre consentement explicite (par exemple, Cookies non nécessaires, abonnement à une newsletter), vous pouvez retirer ce consentement à tout moment. Le retrait n’affecte pas la licéité du traitement effectué avant le retrait. Le retrait est aussi simple que l’octroi du consentement.

Disposition particulière pour les utilisateurs âgés de moins de 15 ans

Si vous avez moins de 15 ans, vous avez besoin de l’autorisation de vos parents ou de votre tuteur légal pour utiliser nos services et fournir vos données personnelles. Nous pouvons vous demander, ainsi qu’à votre représentant légal, de fournir des justificatifs raisonnables pour vérifier votre âge. Si nous découvrons que nous traitons les données d’un utilisateur de moins de 15 ans sans autorisation parentale, nous supprimerons ces données dans les meilleurs délais, sauf si la loi nous oblige à les conserver.

4 Obligations des sous-traitants

Dans certains cas, nous devons confier le traitement de vos données personnelles à des sous-traitants (également appelés “responsables de traitement”) – par exemple nos transporteurs (DHL, FedEx, UPS), notre passerelle de paiement, notre plateforme d’envoi d’emails, nos prestataires d’hébergement, etc. Nos relations avec ces sous-traitants sont strictement encadrées par le RGPD.

Selon le RGPD, nos sous-traitants doivent respecter les obligations suivantes :

Traitement uniquement sur instruction écrite

Les sous-traitants ne peuvent traiter vos données que sur instruction écrite de notre part. Ils ne peuvent pas utiliser vos données à des fins non autorisées (par exemple, créer leur propre base de données marketing). Si un sous-traitant estime qu’une instruction enfreint le RGPD, il doit nous en informer immédiatement.

Mise en place de mesures de sécurité appropriées

Les sous-traitants doivent mettre en œuvre des mesures techniques et organisationnelles appropriées pour garantir la sécurité de vos données, notamment le chiffrement, le contrôle d’accès, les pare-feu, des tests de sécurité réguliers, etc. Le niveau de ces mesures doit être au moins équivalent aux nôtres.

Assistance pour répondre aux demandes des personnes concernées

Lorsque vous exercez vos droits (accès, effacement, etc.) et que notre réponse nécessite l’assistance d’un sous-traitant (par exemple pour récupérer vos données dans leurs systèmes), celui-ci doit coopérer activement et fournir les informations nécessaires sans délai.

Notification des violations de données

Si un sous-traitant découvre une violation de vos données personnelles (par exemple une attaque informatique ou un accès non autorisé par un employé), il doit nous en informer immédiatement après en avoir pris connaissance, sans délai. Nous décidons ensuite, en fonction de la gravité de la violation, s’il convient d’informer la CNIL et les personnes concernées.

Tenue d’un registre des activités de traitement

Les sous-traitants doivent tenir un registre de toutes les activités de traitement effectuées pour notre compte, y compris les catégories de traitements, les transferts, les mesures de sécurité, etc. Ce registre doit être accessible à la CNIL et à nous-mêmes sur demande.

Désignation d’un délégué à la protection des données (DPO) et notification à la CNIL

Si les activités principales du sous-traitant impliquent des traitements à grande échelle de données sensibles ou de surveillance, le sous-traitant doit désigner un DPO. Certaines activités peuvent également nécessiter une notification préalable à la CNIL. Nous veillons à ce que nos sous-traitants respectent ces obligations.

Nous ne contractons qu’avec des sous-traitants offrant des garanties suffisantes (compétence, fiabilité, ressources). Le contrat qui les lie à nous énonce clairement les obligations ci-dessus et permet à la CNIL et à nous-mêmes de procéder à des audits.

5 Transferts de données

Lorsque nous transférons vos données personnelles vers un pays situé en dehors de l’Espace Économique Européen (EEE), le RGPD exige que ces données bénéficient d’un niveau de protection suffisant. L’EEE comprend les États membres de l’UE ainsi que l’Islande, le Liechtenstein et la Norvège. Si vous vous trouvez en France et que nous transférons vos données vers un autre pays de l’EEE, cela n’est généralement pas considéré comme un “transfert” nécessitant des garanties supplémentaires.

Cependant, lorsque nous transférons vos données vers un pays hors EEE (par exemple, certains services cloud que nous utilisons peuvent avoir des serveurs aux États-Unis), nous devons garantir que l’un des standards de protection suivants est respecté :

Décision d’adéquation de la Commission européenne

La Commission européenne peut reconnaître qu’un pays hors EEE offre un niveau de protection équivalent à celui de l’EEE. Actuellement, les pays bénéficiant d’une décision d’adéquation incluent le Japon, le Royaume-Uni, Israël, la Nouvelle-Zélande, etc. Les transferts vers ces pays ne nécessitent pas d’autorisation supplémentaire.

Clauses contractuelles types (SCC)

Pour les pays ne bénéficiant pas d’une décision d’adéquation, nous nous appuyons généralement sur les clauses contractuelles types approuvées par la Commission européenne. Ces clauses sont des contrats juridiques entre l’exportateur de données (nous) et l’importateur (le sous-traitant hors EEE) qui imposent des obligations spécifiques pour protéger vos données. Vous pouvez nous demander une copie des SCC (éventuellement après expurgation des informations commerciales confidentielles).

Mesures de protection complémentaires

Même lorsque nous utilisons les SCC, nous pouvons prendre des mesures complémentaires en fonction de la destination et des risques : chiffrement de bout en bout des données en transit, chiffrement fort des données au repos avec gestion stricte des clés d’accès, audits techniques des sous-traitants, etc.

Information importante : Notre boutique en ligne étant principalement destinée aux utilisateurs français, nous faisons de notre mieux pour stocker vos données sur des serveurs situés dans l’EEE. Nous privilégions les fournisseurs de services qui s’engagent à ne pas transférer vos données hors EEE. Ce n’est que pour certaines activités spécifiques (par exemple quelques outils d’analyse dont la maison mère se trouve aux États-Unis) que des transferts hors EEE peuvent avoir lieu. Dans ces cas, nous garantissons la mise en place des mesures de protection décrites ci-dessus.

6 Autorité de contrôle et sanctions

En France, l’autorité de contrôle en matière de protection des données est la Commission Nationale de l’Informatique et des Libertés (CNIL). La CNIL dispose de pouvoirs étendus d’enquête et de sanction pour garantir le respect du RGPD.

Effectuer des contrôles

La CNIL a le droit d’effectuer des contrôles sur place ou à distance pour vérifier notre conformité au RGPD. Les contrôles peuvent inclure la consultation de nos registres de traitement, des entretiens avec nos collaborateurs, l’examen de nos mesures de sécurité, etc. La CNIL peut nous demander de fournir tout document ou information relatif au traitement des données.

Suspendre ou interdire un traitement non conforme

Si la CNIL constate qu’une de nos activités de traitement enfreint le RGPD, elle peut nous adresser un avertissement formel et nous accorder un délai pour nous mettre en conformité. Si nous ne respectons pas ce délai, ou si l’infraction est particulièrement grave, la CNIL peut ordonner la suspension ou l’interdiction définitive de cette activité de traitement.

Sanctions pécuniaires (amendes)

La CNIL peut infliger des amendes administratives en fonction de la nature, de la gravité, de la durée de l’infraction, ainsi que des mesures correctives que nous aurions prises. Deux niveaux d’amende existent : pour certaines infractions moins graves (par exemple, non-tenue du registre des traitements), le plafond est de 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial de l’exercice précédent (le montant le plus élevé étant retenu). Pour les infractions plus graves (violation des principes fondamentaux, méconnaissance des droits des personnes, transferts non autorisés hors EEE), le plafond est de 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial (le montant le plus élevé étant retenu).

Autres mesures correctrices

Outre les amendes, la CNIL peut prononcer d’autres mesures, notamment un rappel à l’ordre public, une injonction (avec ou sans astreinte) de cesser certains traitements, une limitation temporaire ou définitive du traitement, ou encore une ordonnance de notifier aux personnes concernées des informations supplémentaires sur une violation de données.

Votre droit de réclamation

Si vous estimez que notre traitement de vos données personnelles enfreint le RGPD, vous avez le droit d’introduire une réclamation auprès de la CNIL. La réclamation peut être déposée en ligne via le site de la CNIL (www.cnil.fr) ou par voie postale. Nous vous encourageons à nous contacter d’abord, afin que nous puissions comprendre votre problème et chercher une solution amiable.

7 Déclaration de conformité

En tant que boutique en ligne proposant des biens à des utilisateurs français, nous nous engageons à respecter pleinement le RGPD. Voici notre déclaration d’engagement :

Garantir un contrôle continu par l’utilisateur sur ses données

Nous considérons que vos données vous appartiennent et ne sont pas notre actif. Les droits que le RGPD vous accorde sont inaliénables. Nous n’entravons pas votre accès à la rectification ou à l’effacement par des conditions obscures ou des procédures complexes. Vous pouvez gérer directement la plupart de vos données via votre compte, ou nous contacter pour les autres opérations.

Assurer une transparence et une responsabilité dans le traitement des données

Toutes nos activités de traitement sont entièrement divulguées dans notre Politique de Confidentialité et notre Politique relative aux Cookies. Nous ne modifions jamais la finalité ou les modalités de traitement à votre insu. Si nous devons modifier un traitement, nous vous en informons à l’avance et, si nécessaire, recueillons un nouveau consentement. Nos collaborateurs sont formés à la confidentialité et à la protection des données.

Réduire les risques de confidentialité par des mesures techniques et organisationnelles

Nous appliquons les principes de “Privacy by Design” et “Privacy by Default”. Dès la conception de nos services, nous intégrons la protection de la vie privée (par exemple, nous ne collectons que les données minimales nécessaires, nos paramètres de Cookies sont par défaut les plus stricts). Nous réalisons régulièrement des analyses d’impact relatives à la protection des données (AIPD) pour identifier et réduire les risques éventuels.

Analyse d’impact relative à la protection des données

Pour les traitements susceptibles de présenter un risque élevé pour vos droits et libertés (par exemple, utilisation massive de Cookies pour l’analyse comportementale), nous réalisons une AIPD avant de débuter le traitement. L’AIPD décrit le traitement, évalue les risques et détaille les mesures prises pour les atténuer. Si les risques restent incontrôlables, nous consulterons la CNIL.

Tenue du registre des traitements

Conformément à l’article 30 du RGPD, nous tenons un registre de toutes nos activités de traitement, incluant les catégories de traitements, les catégories de personnes concernées, les destinataires, les transferts, les durées de conservation et une description générale des mesures de sécurité. Ce registre est accessible à la CNIL sur demande.

Procédure de notification des violations de données

Nous avons mis en place une procédure claire pour gérer les violations de données. En cas de violation, nous évaluons dans les 72 heures la gravité de l’incident et décidons de notifier ou non la CNIL. Si la violation est susceptible d’entraîner un risque élevé pour vos droits et libertés (par exemple, compromission d’informations financières), nous vous en informerons sans délai, en précisant la nature de la violation et les mesures que vous pouvez prendre pour vous protéger.

8 Coordonnées

Pour toute question relative à la présente politique RGPD, ou pour exercer l’un de vos droits, veuillez nous contacter via les coordonnées ci-dessous.

Adresse email : solutions@domxironix.com
(Nous recommandons l’email pour les demandes au titre du RGPD, avec l’objet “Demande RGPD” et votre nom)

Numéro de téléphone : +1(917) 937-6594
(Munissez-vous de votre numéro de commande ou de votre email d’inscription pour faciliter l’identification)

Adresse postale : 15655 Dupage Blvd,Taylor,MI,48180
(Cette adresse est uniquement pour la correspondance. Pour les demandes relatives aux données, utilisez de préférence un envoi suivi)

Horaires : Montag bis Freitag, von 9:00 bis 18:00 Uhr (CET)
Soit du lundi au vendredi de 9h00 à 18h00 (heure CET), hors jours fériés français.

Nous nous engageons à répondre à toute demande relative à la protection des données dans un délai de 30 jours. Pour les demandes complexes, nous vous informerons d’une éventuelle prolongation (ne dépassant pas 60 jours) dans les 30 premiers jours.

9 Représentant au titre de l’article 27 du RGPD

Conformément à l’article 27 du RGPD, lorsqu’un responsable de traitement ou un sous-traitant n’est pas établi dans l’UE mais propose des biens ou des services à des personnes concernées situées dans l’UE (qu’ils soient payants ou non) ou surveille leur comportement, il doit désigner par écrit un représentant dans l’UE.

Nous avons désigné, conformément à l’article 27 du RGPD, un représentant au sein de l’Union européenne chargé des questions relatives à la protection des données, et notamment de l’assistance aux personnes concernées pour l’exercice de leurs droits (accès, rectification, effacement, etc.), ainsi que des relations avec les autorités de contrôle (dont la CNIL en France).

Périmètre de responsabilité de notre représentant

Notre représentant dans l’UE est habilité à recevoir les demandes, requêtes ou plaintes émanant des autorités de contrôle ou des personnes concernées. Il nous transmet ces informations dans les meilleurs délais, et peut assurer une communication préliminaire avec les autorités si nécessaire. Notre représentant ne participe pas aux décisions internes relatives au traitement des données et ne se substitue pas à nous en matière de responsabilité.

Comment contacter notre représentant

Si vous vous trouvez dans l’UE et souhaitez adresser votre demande relative à la protection des données à notre représentant plutôt qu’à nous directement, veuillez contacter notre service client par email pour obtenir les coordonnées complètes de notre représentant. Le représentant ne traite que les questions liées à la conformité RGPD, et non les demandes générales concernant les commandes, les retours ou l’assistance produit.

Veuillez nous contacter à l’adresse solutions@domxironix.com pour obtenir les coordonnées précises (nom, adresse postale, email) de notre représentant dans l’UE. Nous fournirons ces informations dans un délai raisonnable (généralement 5 jours ouvrables).

Ce que vous pouvez demander à notre représentant

Vous pouvez contacter notre représentant pour les sujets suivants : demander l’accès, la rectification ou l’effacement de vos données personnelles ; vous opposer ou demander la limitation de notre traitement ; vous plaindre de l’absence de réponse à une demande antérieure ; ou obtenir des informations sur nos activités de traitement dans l’UE.

Nous espérons que la désignation d’un représentant dans l’UE facilitera pour tous les utilisateurs situés en France l’accès à un interlocuteur dédié pour les questions de protection des données. Nous nous engageons à répondre avec diligence à toutes les demandes transmises par notre représentant, dans les délais prévus par la loi.