DÉCLARATION DE CONFIDENTIALITÉ

1. Nom et coordonnées du responsable du traitement ainsi que du/de la délégué-e à la protection des données

La présente déclaration de confidentialité s’applique au traitement des données par :

Responsable : Calida Group Digital GmbH (ci-après Calida Group Digital)

Gewerbepark BWB 2, 83052 Bruckmühl, Allemagne

Téléphone : +49 8062 72133-10

Fax : +49 8062 72133-499

Le/la délégué-e à la protection des données de Calida Group Digital est joignable à l’adresse indiquée ci-avant par courrier, à l’attention du service de protection des données, ainsi que par e-mail à l’adresse [email protected].

2. Collecte et enregistrement de données à caractère personnel ainsi que nature, finalité et utilisation de ces données

a) Visite sur notre site Internet

Lorsque vous vous rendez sur notre site Internet www.calida.com, le navigateur que vous utilisez sur votre appareil envoie automatiquement des informations au serveur de notre site. Ces informations sont enregistrées temporairement dans un fichier journal. Les informations suivantes sont alors collectées sans intervention de votre part et enregistrées jusqu’à leur suppression automatique :

• l’adresse IP de l’appareil à l’origine de la demande ;

• la date de l’heure de l’accès ;

• le nom de l’URL du fichier consulté ;

• le site Internet vous ayant redirigé vers notre site (URL de référence) ;

• le type et la version de votre navigateur ainsi que d’autres informations transférées via votre navigateur (comme le système d’exploitation de votre appareil, le nom de votre fournisseur d’accès, l’origine géographique, la langue choisie, etc.).

Nous traitons les données susmentionnées aux fins suivantes :

• pour garantir le bon fonctionnement de la connexion du site Internet ;

• pour assurer une utilisation confortable de notre site Internet ;

• pour analyser la sécurité et la stabilité du système ;

• à d’autres fins administratives.

Le traitement des données est réalisé sur la base juridique de l’art. 6, paragraphe 1, première phrase, point f) RGPD (pour le traitement des données) et l’art. 25, paragraphe 2, point 2 TTDSG (pour la mise à disposition technique). Notre intérêt légitime résulte des finalités de la collecte de données énumérées ci-avant. En aucun cas n’utilisons-nous les données collectées dans le but d’obtenir des renseignements à votre sujet. Le traitement des données est nécessaire à l’utilisation du site Internet.

Qui plus est, nous utilisons des cookies et des services d’analyse lorsque vous vous rendez sur notre site Internet. Vous trouverez de plus amples explications à ce sujet aux points 5 et 6 de la présente déclaration de confidentialité.

La durée de conservation des données dépend des finalités poursuivies. En règle générale, elles sont supprimées à la fermeture du navigateur ou à la suppression des cookies.

b) Commande en tant qu’invité

Lorsque vous souhaitez commander des produits en tant qu’invité-e sur notre site Internet, nous collectons les informations suivantes :

• votre civilité ainsi que vos nom et prénom ;

• une adresse e-mail valide ;

• une adresse ;

• des données de paiement selon le moyen de paiement que vous avez choisi (p. ex. les données d’une carte de crédit, des coordonnées bancaires ou les données d’un compte PayPal) ;

• Dans le cas d’un achat sur facture : date de naissance, numéro de téléphone.

Ces données sont collectées :

• pour permettre de vous identifier en votre qualité de partenaire contractuel ;

• afin de vérifier la plausibilité des données saisies ;

• pour traiter le paiement de votre commande ;

• aux fins de la gestion d’éventuelles demandes en garantie et de la constatation d’éventuelles prétentions à votre encontre.

Le traitement des données intervient alors à votre demande et est nécessaire, en vertu de l’art. 6, paragraphe 1, première phrase, point b) RGPD, aux fins indiquées de l’exécution du contrat et de mesures précontractuelles.

Afin de garantir le traitement correct et aisé de votre commande et d’accélérer l’examen d’éventuelles demandes de précisions, vous pouvez en outre nous transmettre d’autres données telles que :

• votre numéro de téléphone et

• une autre adresse de livraison.

L’indication de ces données est facultative. Ce traitement intervient sur la base juridique de l’art. 6, paragraphe 1, première phrase, point f) RGPD. Notre intérêt légitime réside dans la mise à disposition d’autres canaux de communication et d’adresses de livraison.

Choix de l’option de livraison « Click & Collect »

Si vous choisissez l’option de livraison dans l’un de nos magasins (« Click & Collect »), nous transférons votre adresse e-mail au magasin concerné de sorte qu’il vous informe dès lors qu’il reçoit vos articles et que vous pouvez les récupérer. Le traitement des données intervient alors à votre demande et est nécessaire,

en vertu de l’art. 6, paragraphe 1, première phrase, point b) RGPD, aux fins indiquées de l’exécution du contrat et de mesures précontractuelles.

Les données à caractère personnel que nous collectons sont conservées jusqu’à l’expiration de l’obligation de garantie légale, puis effacées automatiquement, à moins que nous ne soyons tenus de les conserver plus longtemps en vertu de l’article 6, paragraphe 1, première phrase, point c) RGPD, du fait d’obligations de conservation et de documentation relevant du droit fiscal et du droit commercial (découlant du HGB, du code pénal allemand, du StGB ou de l’AO) ou que vous ayez consenti à leur conservation plus longue en vertu de l’article 6, paragraphe 1, première phrase, point a) RGPD. Vous pouvez révoquer votre consentement à tout moment avec effet pour l’avenir.

c) Création d’un compte utilisateur

Vous pouvez créer sur notre site Internet un compte utilisateur protégé par un mot de passe dans lequel nous enregistrerons vos données personnelles. Vous bénéficierez ainsi d’un confort optimal pour gérer vos commandes grâce à un processus de gestion simple, rapide et personnalisé.

Si vous souhaitez créer un compte utilisateur protégé par un mot de passe sur notre site Internet, nous aurons besoin des informations suivantes à votre sujet :

• votre civilité ainsi que vos nom et prénom ;

• votre adresse et

• une adresse e-mail valide.

Pour créer un compte utilisateur, vous devez aussi indiquer un mot de passe de votre choix qui, avec votre adresse e-mail, vous permettra d’accéder à votre compte. Vous pouvez consulter et modifier à tout moment les données enregistrées à votre sujet depuis votre compte utilisateur.

Vous pouvez aussi indiquer votre numéro de téléphone afin d’accélérer le traitement d’éventuelles demandes de précisions. La fourniture de votre numéro de téléphone est facultative ; elle n’est pas nécessaire à la création du compte utilisateur.

Qui plus est, vous pouvez indiquer votre date de naissance afin que nous puissions vous offrir une surprise (p. ex. une réduction ou une offre spéciale) si vous êtes inscrit-e dans la liste de diffusion de notre newsletter.

Nous ne conservons vos données personnelles dans un compte utilisateur que si vous y avez consenti librement en vertu de l’article 6, paragraphe 1, première phrase, point a) RGPD. Vous pouvez révoquer votre consentement à tout moment avec effet pour l’avenir.

Il n’est pas nécessaire de créer un compte utilisateur pour utiliser notre site ni pour passer des commandes. Nous vous offrons aussi la possibilité de passer des commandes en tant qu’invité-e (cf. point 2 b)). Dans ce cas, vous devrez toutefois indiquer à nouveau toutes vos données à chaque nouvelle commande.

Une fois votre compte utilisateur supprimé, vos données sont automatiquement effacées, à moins que nous ne soyons tenus de les conserver plus longtemps en vertu de l’article 6, paragraphe 1, première phrase, point c) RGPD, du fait d’obligations de conservation et de documentation relevant du droit fiscal et du droit commercial (découlant du HGB, du code pénal allemand, du StGB ou de l’AO) ou que vous ayez consenti à leur conservation plus longue en vertu de l’article 6, paragraphe 1, première phrase, point a) RGPD. Vous pouvez révoquer votre consentement à tout moment avec effet pour l’avenir.

d) En cas d’inscription à notre newsletter

Nous proposons des newsletters contenant des recommandations personnalisées de produits de notre gamme et des informations sur nos offres spéciales (par exemple des jeux-concours, des réductions, des offres exceptionnelles). Dans le cadre de l’élaboration et de l’envoi de newsletters, nous traitons des données à caractère personnel vous concernant, y compris des informations relatives à votre activité en ligne, et travaillons avec Emarsys eMarketing Systems GmbH, Willi-Schwabe-Straße 1, 12489 Berlin, Allemagne (ci-après : « Emarsys »).

Si vous y avez explicitement consenti conformément à l’article 6, paragraphe 1, première phrase, point a) RGPD, nous utilisons votre adresse e-mail dans le but de vous envoyer régulièrement notre newsletter. Pour recevoir la newsletter, il suffit d’indiquer une adresse e-mail.

Vous recevrez ensuite un e-mail vous invitant à valider votre inscription à la newsletter (« double opt-in »). Cela nous permet de vérifier que la demande d’inscription a bien été effectuée en votre nom.

Si vous ne vous êtes pas abonné-e à notre newsletter, nous utiliserons votre adresse e-mail régulièrement, après une commande, afin de vous envoyer notre newsletter contenant des informations sur des produits similaires à ceux que vous avez commandés, dans la mesure où vous ne vous y êtes pas opposé-e. Le traitement de données personnelles dans ce contexte est autorisé au titre de nos intérêts légitimes en matière de marketing direct, conformément à l’article 6, paragraphe 1, première phrase, point f) RGPD.

Vous pouvez vous désabonner à tout moment de notre newsletter, sans avoir à fournir de motif, en cliquant sur le lien correspondant dans l’e-mail, directement dans votre compte utilisateur ou encore en envoyant un message à [email protected]. Une fois désabonné-e, vous ne recevrez plus de newsletter.

Notre newsletter est proposée exclusivement à titre d’information personnalisée dans le but d’attirer votre attention uniquement sur les offres qui vous intéressent et qui correspondent à vos besoins. C’est pourquoi, outre votre adresse e-mail, nous utilisons également d’autres informations disponibles vous concernant, comme vos données client figurant dans votre compte utilisateur, l’historique de vos achats et votre activité sur le site (par exemple, votre liste d’envies, le contenu de votre panier, vos recherches de produits, votre carte CALIDA friends+forever ou encore les pages produits que vous avez consultées) afin de vous proposer des contenus personnalisés. Dans ce contexte, votre comportement d’achat et votre activité sur la boutique en ligne sont enregistrés sur la base de votre consentement ou de nos intérêts légitimes en matière d’optimisation des activités de marketing direct ; ces informations sont analysées afin de sélectionner les contenus adaptés et associées à votre compte utilisateur. Les informations de votre profil ne sont ni utilisées à d’autres fins ni transmises à des tiers.

Vous trouverez de plus amples informations sur le traitement des données relatives à l’inscription à la newsletter auprès du service Emarsys dans la présente politique de confidentialité.

Les données traitées dans ce cadre seront supprimées une fois leur finalité atteinte ; en règle générale, lorsque vous vous désinscrivez de la newsletter.

e) Utilisation de notre formulaire de contact

Pour toute question, nous vous offrons la possibilité de nous contacter à l’aide d’un formulaire à remplir sur notre site Internet. Dans ce formulaire, vous devez indiquer une adresse e-mail valide ainsi que vos nom et prénom afin que nous sachions qui est l’auteur de la demande et que nous soyons en mesure d’y répondre. L’indication du numéro de téléphone est facultative.

Le traitement de données réalisé en vue de cette prise de contact intervient, en vertu de l’article 6, paragraphe 1, première phrase, point a) RGPD, sur la base du consentement que vous nous octroyez librement. Vous pouvez révoquer votre consentement à tout moment avec effet pour l’avenir.

En règle générale, les données à caractère personnel que nous collectons en vue de l’utilisation du formulaire de contact sont automatiquement effacées une fois votre demande traitée.

f) Courrier publicitaire

Nous utilisons l’adresse que vous nous avez fournie après une commande, afin de vous envoyer régulièrement par voie postale des informations sur nos produits et offres dans la mesure où vous ne vous y êtes pas opposé-e. Dans ce cadre, nous traitons votre nom et votre adresse conformément à l’article 6, paragraphe 1, phrase 1, point f) RGPD et sur la base de notre intérêt légitime d’informer notre clientèle sur notre offre produit.

g) En cas de participation à un jeu-concours

Si vous participez à l’un de nos jeux-concours sur notre site Internet, nous utilisons les données vous concernant (nom, adresse, adresse électronique, éventuellement sexe et date de naissance) que vous avez indiquées dans l’écran de saisie. Nous utilisons les données pour l’organisation du jeu-concours afin de déterminer si vous êtes autorisé-e à y participer, de vous indiquer si vous avez remporté un prix et d’améliorer nos futurs jeux-concours. Dans ce cadre, nous travaillons avec Emarsys eMarketing Systems GmbH, Willi-Schwabe-Straße 1, 12489 Berlin, Allemagne (ci-après : « Emarsys »). Le traitement des données dans le cadre du jeu-concours intervient sur la base juridique de l’article 6, paragraphe 1, point a) RGPD, dans la mesure où vous nous donnez librement votre consentement. Le traitement des données requises pour l’exécution du jeu-concours en question repose sur l’article 6, paragraphe 1, point b) RGPD.

L’archivage et le traitement des données sont réalisés aussi longtemps que cela est nécessaire pour l’organisation du jeu-concours. En règle générale, une fois le jeu-concours terminé, nous supprimons les données à caractère personnel vous concernant fournies dans le cadre du jeu-concours dans les deux semaines qui suivent, dans la mesure où vous n’avez pas accepté une utilisation à d’autres fins.

En règle générale, les données à caractère personnel des personnes gagnantes sont supprimées au plus tard 3 ans après la fin de l’année suivant la fin du jeu-concours. Il n’est pas possible de les supprimer plus tôt, car les participations doivent pouvoir être retracées dans le cadre d’un recours juridique.

Emarsys se charge pour nous de l’envoi de la confirmation de participation au jeu-concours et d’une éventuelle notification de gain en utilisant votre adresse électronique et votre nom. Vous trouverez de plus amples informations sur le transfert de données à Emarsys au point 3. g) de la présente politique de confidentialité.

3. Transfert de données à des tiers

Vos données à caractère personnel ne sont pas transférées à des tiers à des fins autres que celles indiquées ci-après.

a) Transfert à CALIDA SA

Vos données à caractère personnel sont également transférées à la société CALIDA SA, Industrie Münigen, Bahnhofstrasse CH-6208 Oberkirch, Suisse. La Suisse est considérée comme un pays tiers au sens du RGPD (cf. point 4). La Commission a rendu pour la Suisse une décision d’adéquation par laquelle elle atteste que ce pays offre un niveau de protection des données comparable à celui garanti au sein de l’UE.

Le transfert des données intervient dans le cadre de la responsabilité conjointe à des fins de sauvegarde des données, d’administration interne et de garantie d’une gestion centrale de la clientèle.

Ce transfert est réalisé sur la base de l’art. 6, paragraphe 1, première phrase, point f) RGPD, les finalités indiquées étant à considérer comme les intérêts légitimes au sens de ce règlement.

b) Exécution de contrats

Vos données à caractère personnel sont transférées à des tiers dans la limite autorisée par la loi et pour autant que cela soit nécessaire à la gestion des relations contractuelles avec vous au sens de l’article 6, paragraphe 1, première phrase, point b) RGPD. Le transfert de telles données à des entreprises de transport aux fins de la livraison des marchandises que vous avez commandées entre notamment dans ce cadre. Les tiers ne sont autorisés à utiliser les données transférées qu’aux fins citées.

c) Gestion des paiements

Dans le cadre de l’exécution du contrat, il nous arrive de faire appel à des prestataires de paiement pour gérer les paiements. Il peut nous être nécessaire, dans ce cadre, de transférer à un prestataire le montant de vos achats et, le cas échéant, d’autres données vous concernant. Les catégories de données transmises dépendent du prestataire et de l’option choisie. Tout transfert réalisé par nos soins de vos données à caractère personnel à des prestataires intervient sur la base de l’article 6, paragraphe 1, première phrase, point f) RGPD en vue de l’exécution du contrat et sur la base d’intérêts légitimes. Au sens du règlement précité, nous possédons un intérêt légitime à pouvoir vous proposer l’option de paiement concernée. Vous trouverez ci-après des informations plus précises sur ces prestataires.

Adyen : pour tout paiement par carte bancaire ou prélèvement SEPA, la gestion de paiement est assurée par notre fournisseur de paiement Adyen (Adyen N.V., Simon Carmiggeltstraat 6 - 50, 1011 DJ Amsterdam, Pays-Bas). Ainsi, votre adresse IP, les informations relatives à votre commande telles que le montant de la facture, votre numéro client, votre adresse e-mail, un identifiant de paiement ainsi que les données relatives à la carte bancaire utilisée ou les données de votre compte seront transmis à Adyen afin de finaliser la procédure de paiement. Adyen transmettra également ces informations à des tiers si cela s’avère nécessaire pour la procédure de paiement (p. ex. établissement de paiement, banque).

Adyen est entièrement responsable du traitement des données de paiement nécessaire à la gestion du paiement. La saisie et le transfert des données sont cryptés. Par conséquent, nous n’avons aucun accès à ces informations. Vous trouverez ici de plus amples informations relatives à la protection des données en lien avec Adyen.

Par le biais d’Adyen d’autres services de paiement sont proposés. Ainsi, votre adresse IP, vos données client, les données relatives à votre commande et à votre facture ainsi que les données de paiement liées au service de paiement concerné seront transmises à Adyen, si cela s’avère nécessaire afin de vous proposer d’autres services de paiement sur notre site. Vous trouverez ci-après des informations sur les différents services de paiement ainsi qu’une éventuelle intégration sur notre site par le biais d’Adyen.

Si vous donnez votre accord, vos données de paiement seront enregistrées de manière cryptée par Adyen. Par ailleurs, il convient de préciser que nous n’avons pas accès à ces données. En effet, nous enregistrons seulement un extrait des informations de paiement (p. ex. les quatre derniers chiffres du numéro de votre carte bancaire) afin de pouvoir vous suggérer par la suite des moyens de paiement que vous auriez déjà saisis via votre compte client. Vous pouvez à tout moment vous opposer à l’enregistrement ultérieur de vos données de paiement. Vos données seront alors immédiatement supprimées dans la mesure où celles-ci ne sont plus nécessaires pour des paiements effectués.

PayPal : nous proposons la gestion de paiements via le prestataire de paiements PayPal (Europe) S.a.r.l. et Cie, S.C.A. 22-24 Boulevard Royal, L-2449 Luxembourg (« PayPal »). Si vous décidez d’utiliser le service de PayPal pour votre paiement, vous serez redirigé-e vers le site Internet de ce prestataire où vous pourrez vous connecter à l’aide de vos identifiants et procéder au paiement. Dès lors que vous êtes redirigé-e vers le site Internet de PayPal, nous n’avons pas accès aux données collectées par PayPal. Vous trouverez ici de plus amples informations relatives à la protection des données par PayPal.

Amazon Pay : nous proposons la gestion de paiements via le prestataire de paiements Amazon Payments Europe s.c.a., 38 avenue J.F. Kennedy, L-1855 Luxembourg (« Amazon Pay »). Si vous décidez d’utiliser le service d’Amazon Pay pour votre paiement, vous serez redirigé-e vers le site Internet de ce prestataire, où vous pourrez vous connecter à l’aide de vos identifiants et procéder au paiement. Dès lors que vous êtes redirigé-e vers le site Internet d’Amazon Pay, nous n’avons pas accès aux données collectées par Amazon Pay. Vous trouverez ici de plus amples informations relatives à la protection des données par Amazon Pay.

Klarna : lors de la sélection des options de paiement de Klarna (« paiement sur facture », « virement instantané » et « prélèvement »), nous transmettrons à Klarna Bank AB (publ), Sveavägen 46, 111 34 Stockholm, Suède (« Klarna ») des données à caractère personnel vous concernant, telles que vos coordonnées et données de commande. Klarna pourra ainsi déterminer si vous pouvez prétendre aux options de paiement qu’elle propose, et adapter les options de paiement selon vos besoins. Le virement bancaire instantané et le prélèvement automatique de Klarna seront intégrés via Adyen. (Voir plus haut). Pour en savoir plus sur la protection des données assurée par Klarna, consultez les dispositions relatives à ce sujet et ce lien .

d) Vérification de l’identité et contrôle de solvabilité

En cas de prestation anticipée de notre part, par exemple si vous effectuez des achats sur facture, nous pouvons obtenir des renseignements sur votre solvabilité au moyen de méthodes mathématiques et statistiques.

Pour ce faire, nous transférons vos données à caractère personnel nécessaires à ce contrôle de solvabilité (nom, prénom, adresse, code postal, lieu, date de naissance, numéro de téléphone et, en cas de paiement par prélèvement, coordonnées bancaires indiquées) à un prestataire externe. Dans confions les activités de vérification de l’identité et de contrôle de solvabilité à la société creditpass GmbH, Mehlbeerenstr. 2, 82024 Taufkirchen b., Munich.

À la lumière de vos données à caractère personnel, creditpass GmbH nous donne des informations sur la probabilité statistique d’un défaut de paiement de votre part. La collecte, la conservation et le transfert sont ainsi réalisés en vue du contrôle de solvabilité et dans notre intérêt vis-à-vis de la prévention d’un défaut de paiement, ainsi qu’à des fins de prévention de la fraude sur la base de l’art. 6, paragraphe 1, première phrase, points b) et f) RGPD. Au vu de ces informations, une probabilité statistique de risque de défaut et, par conséquent, votre capacité de paiement (solvabilité) sont calculées. Si le résultat du contrôle de solvabilité est positif, la commande sur facture est possible. Si le résultat du contrôle de solvabilité est négatif, le système de notre boutique en ligne ne vous permettra pas de procéder à un paiement sur facture. Les renseignements sur la solvabilité peuvent contenir des valeurs de probabilité (« scoring ») calculées via des méthodes mathématiques et statistiques scientifiquement reconnues et s’appuyant sur des données telles que votre adresse et votre date de naissance.

Dès lors que nous prenons de manière automatisée des décisions produisant des effets juridiques, vous avez le droit d’obtenir des informations sur la logique sous-jacente ainsi que sur l’importance et les conséquences prévues de ce traitement de données. Vous pouvez faire examiner la décision automatisée que nous avons prise en exprimant votre point de vue et avez le droit d’obtenir de notre part une intervention humaine.

Vous trouverez de plus amples informations à ce sujet dans la déclaration de confidentialité de la société creditpass GmbH https://creditpass.de/service/datenschutz/. Vous pouvez aussi vous adresser directement à creditpass : [email protected].

Les données traitées dans ce cadre seront supprimées une fois leur finalité atteinte ; en règle générale, à la fin de la relation contractuelle

e) Protection de nos systèmes contre une utilisation abusive

Nous utilisons sur notre site Internet le service Google reCAPTCHA de Google Cloud Platform LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, États-Unis (ci-après « Google »). Le but de ce service est de veiller à ce que des offres données soient effectivement demandées par des personnes et d’exclure autant que possible une utilisation abusive via des saisies ordonnées de manière automatisée.

Google traite différentes informations à cet effet, notamment l’adresse IP de l’appareil utilisé pour émettre la demande, mais aussi d’autres informations permettant d’établir l’existence d’une action humaine.

Ce traitement de données intervient sur la base d’une mise en balance générale d’intérêts au sens de l’art. 6, paragraphe 1, point f) RGPD (pour le traitement des données) et de l’art. 25, paragraphe 2, point 2) TTDSG (pour la mise à disposition technique). À cet égard, la protection de nos systèmes informatiques et la garantie du bon fonctionnement de notre site Internet sont à considérer comme des intérêts légitimes au sens de la loi. Il s’agit également d’une nécessité technique.

Google affirme ne pas recouper l’adresse IP transmise dans le cadre de reCAPTCHA avec des données provenant d’autres services de Google. Les données traitées peuvent être transférées sur des serveurs situés aux États-Unis et dans d’autres pays tiers insuffisamment sûrs pour y être traitées.

La Commission européenne a certifié, par une décision d’adéquation, que certains pays tiers assurent un niveau de protection des données équivalent à celui du RGPD. Vous trouverez un aperçu des pays tiers bénéficiant d’une telle décision d’adéquation ici.

Vous trouverez de plus amples informations relatives à la protection des données dans le cadre de reCaptcha dans les Règles de confidentialité de Google .

Nous n’enregistrons pas votre adresse IP dans le cadre du service reCaptcha.

f) Solution de caisse mobile

Dans le cadre de notre solution de caisse mobile (tablettes) en boutique, nous vous offrons la possibilité d’utiliser les tablettes pour acheter nos produits et consulter vos données client.

Dans le cadre de notre solution de caisse mobile (« omnicanale »), nous transférons vos données de base client ainsi que des données relatives à votre historique de commandes (cf. chiffres 2.b et c) à la société CaperWhite GmbH, Ludwigstr. 73A 70176 Stuttgart, Allemagne.

La société CALIDA SA, membre de notre groupe, a conclu un contrat de sous-traitance avec CaperWhite GmbH, au sens de l’article 28 du RGDP. En vertu de ce contrat, CaperWhite GmbH s’engage à agir conformément au Règlement général sur la protection des données et à garantir les droits des personnes concernées.

Le transfert de données intervient sur la base de nos intérêts légitimes et de ceux de la société CALIDA SA en vertu de l’art. 6, paragraphe 1, première phrase, point f) RGPD. Notre intérêt légitime réside dans l’optimisation et l’amélioration de la gestion de la clientèle et de notre éventail d’offres.

Les données traitées dans ce cadre seront supprimées une fois leur finalité atteinte ; en règle générale, à la fin de la relation contractuelle.

g) Transfert à emarsys et shipcloud

Dans le cadre de nos offres, nous pouvons être amenés à vous envoyer des notifications et à vous fournir ainsi des informations. Dans ce cas, nous transmettons vos données à caractère personnel à des tiers qui nous aident dans le cadre de l’envoi des notifications. Le transfert des données à caractère personnel à des tiers est nécessaire aux fins de nos intérêts légitimes conformément à l’article 6, paragraphe 1, première phrase, point f) RGPD. Notre intérêt est de pouvoir vous informer du statut de votre commande.

aa) Transfert à Emarsys

Nous travaillons avec le prestataire Emarsys pour vous envoyer des notifications. Emarsys se charge pour nous d’envoyer par exemple des confirmations de commande, des confirmations d’expédition, des annulations, des confirmations de participation ou de gain dans le cadre d’un jeu-concours, mais aussi des notifications en rapport avec des comptes utilisateur et d’autres messages de confirmation.

À ces fins, nous transférons vos données (nom, prénom, adresse e-mail, adresse, adresse d’expédition, adresse de livraison, données du compte) à Emarsys uniquement dans le but de traiter votre commande en ligne.

Nous avons conclu avec Emarsys un contrat de sous-traitance en vertu duquel Emarsys s’engage à agir conformément à nos instructions et à garantir les droits des personnes concernées. Vous trouverez ici de plus amples informations relatives à la protection des données par Emarsys.

bb) Transfert à shipcloud

Dans le cadre de l’exécution du contrat, nous travaillons également avec le prestataire shipcloud GmbH, Heinz-Fangman-Straße 2-4, Haus 4, 42287 Wuppertal (« shipcloud »). shipcloud se charge pour nous de l’envoi de la confirmation d’expédition (livraison complète et/ou partielle de la marchandise) et de l’envoi de votre facture relative à votre commande. Vous pouvez également suivre votre commande et obtenir des informations sur le statut de vos éventuels retours via le service de shipcloud. À ces fins, nous transférons vos données (nom, prénom, adresse e-mail, adresse, adresse d’expédition, adresse de livraison, données du compte) à shipcloud uniquement dans le but de traiter votre commande en ligne.

Nous avons conclu avec shipcloud un contrat de sous-traitance en vertu duquel shipcloud s’engage à agir conformément à nos instructions et à garantir la protection des droits des personnes concernées. Vous trouverez ici de plus amples informations relatives à la protection des données par shipcloud.

4. Transfert dans des pays tiers

Dans le cadre du traitement des données, il peut y avoir un transfert de données vers des pays tiers, c’est-à-dire vers des destinataires situés en dehors de l’UE ou de l’Espace économique européen (EEE). Dans la mesure où la Commission européenne décide qu’un pays tiers assure un niveau de protection adéquat (cf. art. 45, paragraphe 3 RGPD), aucune mesure supplémentaire n’est nécessaire pour le transfert de données. En cas de transfert de données à des destinataires basés aux États-Unis, ce transfert s’effectue sur la base du cadre transatlantique de protection des données (Transatlantic Data Privacy Framework, DPF) du 10.07.2023, dans la mesure où le destinataire dispose d’une certification correspondante. Une liste des entreprises actuellement certifiées est disponible ici. Dans les autres cas, ainsi que pour les transferts de données vers d’autres pays tiers dits non sécurisés, un transfert de données n’a lieu que si les conditions des articles 46 et suivants du RGPD sont remplies. Concrètement, cela signifie qu’un transfert vers des pays tiers n’a lieu que

si le destinataire a prévu des garanties appropriées, au sens de l’art. 46 RGPD, pour protéger les données à caractère personnel ;

si vous avez donné votre consentement explicite au transfert après que nous vous avons informé des risques, conformément à l’art. 49, paragraphe 1, point a) RGPD ;

si le transfert est nécessaire à l’exécution d’obligations contractuelles entre vous et nous ou

si une autre dérogation visée à l’art. 49 RGPD s’applique.

Dans chaque cas, vous serez informé-e de l’application des bases légales susmentionnées.

Les transferts de données vers des destinataires ayant leur siège aux États-Unis, qui ne disposent pas d’une certification DPF et qui n’assurent pas un niveau de protection adéquat au sens de l’art. 46 RGPD se font exclusivement avec votre consentement au sens de l’art. 49, paragraphe 1, point a) RGPD. Nous attirons votre attention sur le fait que, pour les destinataires situés aux États-Unis et ne disposant pas de la certification DPF, il n’est pas possible de garantir un niveau de protection des données adéquat comparable à celui de l’UE. En cas de transfert de données à caractère personnel aux États-Unis, il existe un risque que les autorités étasuniennes puissent obtenir l’accès à ces données en vertu des programmes de surveillance PRISM et UPSTREAM reposant sur l’article 702 du FISA (Foreign Intelligence Surveillance Act, loi sur la surveillance du renseignement extérieur) ainsi que sur la base du décret présidentiel (Executive Order) n° 12333 ou de la directive stratégique présidentielle (Presidential Policy Directive) n° 28. Or, les citoyens de l’UE n’ont aucune possibilité de protection juridictionnelle effective contre ces accès, aux États-Unis ou dans l’UE.

5. Cookies et technologies similaires

Nous utilisons sur notre site des cookies ou d’autres fonctions et technologies similaires (par exemple des balises Web). Les cookies sont de petits fichiers textes que votre navigateur crée et enregistre automatiquement sur votre appareil (ordinateur portable, tablette, smartphone, etc.) lors de vos visites sur notre site. Ils ne contiennent aucun virus, cheval de Troie ni autre logiciel malveillant, et sont donc sans danger pour votre appareil.

Les cookies contiennent des informations en lien avec l’appareil utilisé, mais ne nous permettent pas de vous identifier directement.

Dans le cadre de notre offre en ligne, nous utilisons des balises Web (aussi appelées pixel invisibles ou espions). Il s’agit de petits graphiques imbriqués dans le code HTML de nos pages. Les balises Web n’archivent ni ne modifient directement aucune information sur votre appareil. Elles ne contiennent en outre aucun virus, cheval de Troie ni autre logiciel malveillant, et sont donc sans danger pour votre appareil.

Ces balises envoient à un serveur Web votre adresse IP, l’URL de référence de la page Web consultée, la date et l’heure de consultation de la balise, le navigateur utilisé ainsi que des informations sur le cookie précédemment créé. Ces données permettent d’effectuer des mesures d’audience et d’autres analyses statistiques visant à optimiser notre offre.

L’utilisation de cookies et de balises Web permet, d’une part, de vous offrir plus de confort dans l’utilisation de notre offre. Nous utilisons ainsi des cookies de session, qui nous permettent de savoir que vous avez déjà consulté certaines pages de notre site Internet ou que vous vous êtes déjà connecté-e à votre compte utilisateur, ou encore d’afficher votre panier. Ces cookies sont effacés automatiquement dès que vous quittez notre site. Les données traitées par ces cookies sont nécessaires aux fins de la préservation de nos intérêts légitimes ainsi que d’intérêts légitimes de tiers au sens de l’art. 6, paragraphe 1, première phrase, point f) RGPD et, d’un point de vue technique, conformément à l’art. 25, paragraphe 2, point 2 TTDSG, afin de fournir un service que vous avez demandé.

Nous utilisons aussi des cookies temporaires, conservés pendant une période définie sur votre appareil, afin d’optimiser la convivialité. Si vous vous rendez à nouveau sur notre site pour bénéficier de nos services, ces cookies permettent de savoir que vous avez déjà consulté notre site et de retrouver les réglages et saisies que vous avez réalisés précédemment pour que vous n’ayez pas besoin de les répéter. Les données traitées par ces cookies sont nécessaires aux fins de la préservation de nos intérêts légitimes ainsi que d’intérêts légitimes de tiers au sens de l’art. 6, paragraphe 1, première phrase, point f) RGPD et, d’un point de vue technique, conformément à l’art. 25, paragraphe 2, point 2 TTDSG, afin de fournir un service que vous avez demandé.

La plupart des navigateurs acceptent automatiquement les cookies. Toutefois, vous pouvez configurer votre navigateur de sorte à empêcher l’enregistrement des cookies ou à ce qu’un message apparaisse avant chaque création de cookies. Si vous désactivez intégralement les cookies, il se peut néanmoins que vous ne puissiez pas utiliser toutes les fonctions de notre site Internet.

Nous utilisons également des cookies et balises Web pour récolter des données statistiques sur l’utilisation de notre site Internet et les analyser en vue de l’optimisation de notre offre (cf. point 6). Si vous vous rendez à nouveau sur notre site, nous saurons ainsi automatiquement que vous avez déjà consulté notre site. Ces cookies et balises Web sont automatiquement effacés au bout d’un laps de temps défini.

Nous n’utilisons de tels cookies et balises Web qu’à condition que vous y ayez consenti via l’outil de gestion des cookies. Nous traitons les données traitées via les cookies et balises Web sur la base de votre consentement en vertu de l’art. 6, paragraphe 1, point a) RGPD et de l’art. 25, paragraphe 1 TTDSG.

Vous pouvez retirer votre consentement à tout moment via l’outil de gestion des cookies. Ce retrait n’affecte pas la licéité des traitements déjà réalisés. L’outil de gestion des cookies est disponible à tout moment via le bouton « Paramètres des cookies », tout en bas de notre site.

a) Gestion du consentement avec Usercentrics

Nous utilisons sur notre site Internet le service de gestion du consentement de l’entreprise Usercentrics GmbH, Rosental 4, 808331 Munich, Allemagne (ci-après « Usercentrics »), en vue de la gestion des consentements vis-à-vis de l’utilisation de cookies et de technologies similaires.

Dans ce cadre, la date et l’heure de la visite, des informations sur le navigateur, le consentement et l’appareil utilisé ainsi que l’adresse IP rendue anonyme de l’appareil à l’origine de la demande sont traitées. Ce traitement intervient sur la base juridique de l’art. 6, paragraphe 1, point f) RGPD. La collecte et la gestion de consentements nécessaires au plan juridique sont à considérer comme des intérêts légitimes au sens du règlement précité.

En règle générale, votre consentement est conservé jusqu’à sa révocation ou la suppression du cookie. La révocation d’un consentement préalablement octroyé est enregistrée pendant trois ans.

b) Google Tag Manager

Nous utilisons sur notre site Internet le service Google Tag Manager de Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irlande

(ci-après « Google »). Google Tag Manager nous permet de gérer les outils au sujet desquels nous vous donnons des informations dans la présente politique de confidentialité. Des précisions concernant chacun de ces outils sont fournies dans des paragraphes distincts du présent document.

Le Tag Manager (qui implémente les balises) permet quant à lui de déclencher d’autres balises qui collectent à leur tour des données dans certaines circonstances. Google Tag Manager n’accède pas à ces données. Si une désactivation est réalisée au niveau d’un domaine ou d’un cookie, celle-ci est maintenue pour toutes les balises de suivi implémentées à l’aide de Google Tag Manager. Google Tag Manager lui-même ne stocke ni ne lit aucune information sur les terminaux des utilisateurs. Ce service ne procède pas non plus à des analyses de données autonomes. Toutefois, lors de la consultation d’une page, Google Tag Manager transmet votre adresse IP à Google et l’y enregistre le cas échéant. Une transmission aux serveurs de Google LLC. aux États-Unis est possible.

Vous trouverez ici de plus amples informations sur le service Google Tag Manager.

Ce traitement n’est effectué que si vous nous avez donné votre consentement exprès en vertu de l’art. 6, paragraphe 1, point a) RGPD (au traitement des données) et en vertu de l’art. 25, paragraphe 1, première phrase TTDSG (à la mise à disposition technique). Vous pouvez révoquer votre consentement à tout moment avec effet pour l’avenir.

La durée de conservation des données s’élève en règle générale à 90 jours.

6. Services utilisés pour le suivi et le ciblage

Les mesures de suivi et de ciblage indiquées ci-après et mises en œuvre par nos soins sont réalisées sur la base de votre consentement en vertu de l’article 6, paragraphe 1, première phrase, point a) RGPD (au traitement des données) et en vertu de l’art. 25, paragraphe 1, première phrase TTDSG (à la mise à disposition technique). Vous pouvez révoquer votre consentement à tout moment avec effet pour l’avenir.

Par le biais des mesures de suivi mises en place, nous souhaitons adapter notre site Internet aux besoins des internautes et l’optimiser en continu. Par ailleurs, nous utilisons ces mesures de suivi pour collecter des données statistiques sur l’utilisation de notre site Internet et les analyser en vue d’optimiser notre offre.

Via les mesures de ciblage utilisées, nous souhaitons veiller à ce que la publicité qui s’affiche sur vos appareils coïncide avec vos centres d’intérêt effectifs ou présumés.

De plus amples informations sont indiquées dans les paragraphes consacrés aux différents outils de suivi et de ciblage.

a) Criteo

Sur notre site Internet,

• le type et la version de votre navigateur,

• le système d’exploitation utilisé ;

• le nom d’hôte de l’appareil utilisé (adresse IP),

• la date et l’heure de consultation du serveur, ainsi que d’autres informations relatives à vos centres d’intérêt potentiels

sont collectés et enregistrés à des fins marketing et d’optimisation conformément à l’art. 26 RGDP, en responsabilité conjointe avec le service Criteo SA, 32 rue Blanche, 75009 Paris, France.

Ces technologies de Criteo permettent d’évaluer nos campagnes et contenus publicitaires. Des profils d’utilisateur peuvent être créés sous des pseudonymes sur la base de ces données. Des cookies (cf. point 5) sont utilisés à cet effet. Les données collectées au moyen de la technologie Criteo ne sont pas utilisées sans le consentement exprès de la personne concernée pour identifier personnellement le/la visiteur-euse de ce site Internet ; elles ne sont pas non plus corrélées avec des données à caractère personnel relatives à la personne porteuse du pseudonyme. Criteo analyse l’activité en ligne à l’aide d’un algorithme, puis peut afficher des recommandations de produits ciblées sous forme de bannières publicitaires personnalisées sur d’autres sites Internet (« éditeurs »).

Toute autre utilisation et tout transfert à des tiers sont exclus. Vous trouverez de plus amples informations sur la technologie de Criteo dans la Politique de confidentialité Criteo.

L’utilisation de Criteo génère l’installation d’autres balises de partenaires contractuels de Criteo.

Vous trouverez ici une liste des éditeurs et réseaux pour lesquels des balises sont installées.

Vous pouvez aussi désactiver intégralement les services de Criteo via le lien suivant :

https://www.criteo.com/fr/privacy/disable-criteo-services-oninternet-browsers/

Notez que même si vous désactivez l’affichage de publicités personnalisées de Criteo et d’autres partenaires publicitaires, vous continuerez à recevoir des publicités, mais ces dernières coïncideront moins bien avec vos centres d’intérêt/aux pages que vous avez consultées.

Dans le cadre de l’utilisation de Criteo, nous avons également la possibilité de compléter les conversions avec d’autres données personnelles afin d’améliorer la précision de la mesure des conversions et de combler les lacunes de collecte. Cela nous permet également d’effectuer une attribution ultérieure des interactions publicitaires aux conversions. Ce traitement nous permet de déterminer et de définir plus précisément le succès de certaines mesures publicitaires. Nous avons ainsi pour objectif d’afficher aux visiteurs-euses de notre site Internet des publicités qui correspondent à leurs intérêts et de rendre notre offre attrayante sur notre site Internet, ainsi que dans le cadre de la diffusion d’annonces publicitaires sur Google.

Lorsqu’une conversion est effectuée sur notre site Internet (p. ex. l’achat d’un produit dans la boutique en ligne), des données personnelles (en général l’adresse e-mail) sont collectées. Ces données personnelles sont collectées par Criteo et hachées à l’aide de l’algorithme de hachage unidirectionnel SHA256. Ces valeurs de hachage sont ensuite transmises à Criteo, qui les compare avec ses propres informations et données personnelles avant de les mettre à notre disposition sous forme de statistiques anonymes afin d’améliorer la mesure des conversions.

Nous avons conclu avec Criteo un « Joint Data Controller Agreement » (JCA) afin de définir les responsabilités de chacun vis-à-vis des obligations découlant du RGPD.

Toutefois, vous pouvez, dans le cadre de la responsabilité conjointe, faire valoir vos droits en tant que personne concernée vis-à-vis de l’un ou l’autre des responsables conjoints.

Voici les coordonnées du délégué à la protection des données de Criteo :

Délégué à la protection des données, 32 rue Blanche, 75009 Paris, FRANCE

E-mail : [email protected]

Vous trouverez de plus amples informations sur la technologie de Criteo dans la Politique de confidentialité Criteo : https://www.criteo.com /fr/privacy/.

Les données seront supprimées une fois leur finalité atteinte.

b) Google Marketing Plattform (Google Analytics et Google Doubleclick)

Nous utilisons sur notre site Internet la Google Marketing Plattform de Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irlande (ci-après « Google »). Ce service associe les produits Google DoubleClick Digital Marketing et Google Analytics. Dans ce cadre, des profils d’utilisation associés à des pseudonymes et des cookies sont utilisés. Les informations obtenues via les cookies concernant votre utilisation de ce site Internet sont notamment les suivantes :

• le type et la version de votre navigateur ;

• le système d’exploitation utilisé ;

• l’URL de référence (page consultée précédemment) ;

• le nom d’hôte de l’appareil utilisé (adresse IP) ;

• la date et l’heure de consultation du serveur.

Vous trouverez ici de plus amples informations relatives à la protection des données par la Google Marketing Plattform.

aa) Analytics 4

Dans le cadre d’Analytics 4, des informations sont utilisées pour analyser l’utilisation du site Internet, compiler des rapports sur les activités enregistrées sur le site Web et fournir d’autres services liés à l’utilisation du site Internet et d’Internet aux fins d’études de marché et de conception de ces pages Internet en fonction des besoins.

Les adresses IP sont rendues anonymes : il est donc impossible de s’en servir pour vous identifier (« IP masking »)

Selon la portée de votre consentement, nous utilisons les fonctions promotionnelles de Google Analytics. Ces fonctionnalités établissent des rapports relatifs aux groupes cibles et aux caractéristiques démographiques telles que l’âge, le sexe et les centres d’intérêt des visiteurs-euses de nos pages ainsi que des rapports sur nos campagnes marketing. Les données collectées à ces fins proviennent de campagnes lancées par l’intermédiaire des services de Google, de publicités ciblées de Google, du Réseau Display de Google ainsi que de données des visiteurs-euses de partenaires tiers.

Votre identité ne nous est pas divulguée directement. Ces rapports nous permettent de mieux encore évaluer le comportement des utilisateurs-trices vis-à-vis de nos offres en ligne et d’optimiser la façon d’approcher nos groupes d’intérêts.

Nous utilisons également la fonctionnalité « Conversions avancées » dans le cadre de Google Analytics. Cette fonctionnalité nous permet de mesurer et d’analyser plus précisément les conversions sur l’ensemble des canaux et de combler les lacunes de collecte. Ce traitement nous permet de déterminer et de définir plus précisément le succès de certaines mesures publicitaires. Nous avons ainsi pour objectif d’afficher aux visiteurs-euses de notre site Internet des publicités qui correspondent à leurs intérêts et de rendre notre offre attrayante sur notre site Internet, ainsi que dans le cadre de la diffusion d’annonces publicitaires sur Google.

Lorsqu’une conversion est effectuée sur notre site Internet (p. ex. l’achat d’un produit dans la boutique en ligne), des données personnelles (en général l’adresse e-mail) sont collectées. Ces données personnelles sont collectées par Google Analytics et hachées à l’aide de l’algorithme de hachage unidirectionnel SHA256. Ces valeurs de hachage sont ensuite transmises à Google, qui les compare avec ses propres informations et données personnelles avant de les mettre à notre disposition sous forme de statistiques anonymes afin d’améliorer la mesure des conversions. Une comparaison réussie a lieu chez Google, en particulier lorsque la personne concernée possède également un profil ou un compte chez Google.

En règle générale, les données utilisateur ainsi collectées sont automatiquement supprimées au bout de 14 mois.

bb) DoubleClick Digital Marketing

Dans le cadre de DoubleClick Digital Marketing, des informations sont collectées et analysées pour optimiser les encarts publicitaires. Les technologies utilisées nous permettent de vous proposer de la publicité coïncidant précisément avec vos centres d’intérêt. Nos contenus ayant suscité votre intérêt sont notamment recensés. Ces informations nous permettent également de vous proposer des offres sur des pages de tiers coïncidant tout particulièrement à vos centres d’intérêt que nous avons identifiés en fonction de votre historique de navigation.

La collecte et l’analyse de votre activité en ligne sont effectuées uniquement sous des pseudonymes et ne nous permettent pas de vous identifier.

En règle générale, les données utilisateur ainsi collectées sont automatiquement supprimées au bout de 14 mois.

c) Google Ads

Nous utilisons Google Ads, un service de Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irlande (ci-après : « Google »). Ce service nous permet d’élaborer, de recenser à des fins statistiques, d’optimiser et d’afficher des contenus publicitaires répondant aux besoins de notre clientèle.

Google Ads utilise des cookies et balises Web si vous avez été redirigé-e vers notre site Internet via une publicité Google. Si vous consultez certaines pages de notre site et que le cookie n’a pas encore expiré, Google et nous apprenons que vous avez cliqué sur cette publicité et avez été redirigé-e vers cette page.

Chaque client Google Ads reçoit un cookie différent. Par conséquent, les cookies ne peuvent pas être suivis via les sites Internet de clients Google Ads. Les informations obtenues via le cookie de conversion permettent d’établir des statistiques de conversion pour les clients Google Ads ayant opté pour le suivi de conversion. En tant que clients Google Ads, nous obtenons des informations telles que le nombre total d’utilisateurs-trices ayant cliqué sur une publicité et ayant été redirigés vers une page dotée d’une balise de suivi de conversion. Nous ne recevons toutefois aucune information qui nous permettrait de vous identifier. Ces cookies expirent au bout de 30 jours.

De plus, nous utilisons ce que l’on appelle la « conversion avancée ». Lorsqu’une conversion est effectuée sur notre site Internet (p. ex. l’achat d’un produit dans la boutique en ligne), des données personnelles (en général l’adresse e-mail) sont collectées. Ces données personnelles sont saisies dans la balise de suivi des conversions et hachées à l’aide de l’algorithme de hachage unidirectionnel SHA256. Ces valeurs de hachage sont ensuite transmises à Google, qui les compare avec ses propres informations et données personnelles avant de les mettre à notre disposition sous forme de statistiques anonymes afin d’améliorer la mesure des conversions. Une comparaison réussie a lieu chez Google, en particulier lorsque la personne concernée possède également un profil ou un compte chez Google. Les données sont conservées jusqu’à ce qu’elles soient utilisées à d’autres fins.

Qui plus est, nous utilisons la balise de reciblage Google Ads, qui collecte et évalue des informations sur votre utilisation de ce site Internet. Cet outil nous permet de vous proposer des contenus susceptibles de vous intéresser sur d’autres sites Internet. Google affirme ne pas corréler les données collectées lors du reciblage avec des données à caractère personnel enregistrées le cas échéant par ses soins. En outre, Google rend ces données anonymes. Les données de reciblage basées sur des balises sont conservées 30 jours.

d) Pixel Meta, Custom Audience et API de conversion

Nous utilisons sur notre site Internet les services Pixel, Custom Audience et API de conversion de Meta Platforms Ireland Ltd., 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irlande.

Nous utilisons les services susmentionnés pour l’analyse et l’optimisation de notre offre en ligne ainsi que pour l’exploitation rentable de ce site Internet.

Pour ce faire, Meta utilise le pixel Meta. Nous utilisons également l’API de conversion. Le pixel Meta est installé lorsque vous vous rendez sur notre site Internet ou que vous réagissez à l’une de nos annonces publiées sur Meta, parce que vous cliquez sur un lien qui vous redirige vers notre site, par exemple. Ce pixel nous permet de suivre l’efficacité des annonces publicitaires Facebook à des fins statistiques et d’étude de marché ; il nous indique si les utilisateurs-trices ont été redirigés vers notre site Internet après avoir cliqué sur une annonce Meta (une manipulation que l’on appelle une « conversion »). En plus du pixel Meta, nous utilisons également ce que l’on appelle « l’API Conversions ». Grâce à l’API Conversions, Meta envoie un identifiant unique au serveur dès que vous cliquez sur une publicité Facebook. Nous utilisons ce service pour afficher les Facebook Ads que nous diffusons uniquement aux utilisateurs-trices de Facebook ayant également manifesté un intérêt pour notre offre en ligne ou présentant certaines caractéristiques (p. ex. des intérêts pour certains thèmes ou produits, déterminés sur la base des sites Internet visités) que nous transmettons à Facebook (appelées « Custom Audiences »). À l’aide du pixel Meta et de l’API Conversions, Meta est en mesure de déterminer les visiteurs-euses de notre offre en ligne, même sur plusieurs terminaux, comme groupe cible pour l’affichage d’annonces (appelées « Facebook Ads »). Dans ce contexte, d’autres cookies sont également installés, dans lesquels sont enregistrées des données personnelles sur l’utilisation de ce site Internet. Il s’agit par exemple du site Internet consulté, des termes de recherche utilisés, des données de connexion et de l’en-tête HTTP (adresse IP, informations sur le navigateur, référent). Lorsque nous transmettons des données à Facebook à des fins de comparaison à l’aide du pixel et de l’API Conversions, celles-ci sont d’abord cryptées localement dans le navigateur avant d’être envoyées à Facebook via une connexion sécurisée https, et ce, dans le seul but d’établir une comparaison avec les données également cryptées par Meta. Custom Audience ne permet pas de vous identifier. Toutefois, les données sont enregistrées et traitées par Meta, ce qui permet d’établir un lien avec le profil de l’utilisateur concerné.

Nous sommes, avec Meta, responsables conjoints de l’utilisation de Facebook Custom Audience au sens de l’art. 26 RGPD. Nous avons conclu un contrat de responsabilité conjointe afin de définir les responsabilités de chacun vis-à-vis des obligations découlant du RGPD. En vertu de ce contrat, nous répondons de l’information des utilisateurs-trices de notre site Internet, tandis que Meta est responsable du traitement de demandes concernant les droits des personnes concernées au sens des art. 15 à 21 RGPD en ce qui concerne les données à caractère personnel stockées par Meta après leur traitement commun. Toutefois, vous pouvez, dans le cadre de la responsabilité conjointe, faire valoir vos droits en tant que personne concernée vis-à-vis de l’un ou l’autre des responsables conjoints.

Vous trouverez ici de plus amples informations sur la protection des données par Meta.

Pour de plus amples informations sur Meta en tant que responsable du traitement des données et sur le/la délégué-e à la protection des données de Meta, vous pouvez consulter la Politique d’utilisation des données de Meta disponible ici. Vous pouvez contacter ici le/la délégué-e à la protection des données de Meta.

En règle générale, les données utilisateur collectées dans ce cadre sont supprimées au bout de 180 jours.

e) Emarsys Web Extend et Smart Insight

Nous utilisons les services Emarsys Web Extend et Smart Insight de la société Emarsys eMarketing Systems AG Willi-Schwabe-Straße 1, 12489 Berlin (ci-après : « Emarsys ») afin d’analyser l’activité en ligne des visiteurs-euses de notre site Internet et de personnaliser notre newsletter.

Vous trouverez de plus amples informations sur le traitement des données relatives à l’inscription à la newsletter dans la présente politique de confidentialité sous « Inscription à notre newsletter ».

Dans ce cadre, des profils d’utilisation sont créés sous des pseudonymes et des cookies et snippets JavaScript utilisés.

Des informations sur l’utilisation de notre site Internet (par exemple l’adresse IP ou encore des informations de navigation telles que les références des produits consultés ou ajoutés au panier) sont traitées via Emarsys Web Extend.

Nous utilisons les informations collectées via Web Extend afin d’enrichir les profils clients existants et de pouvoir proposer des contenus personnalisés. Il s’agit d’informations telles que des confirmations de réception et de lecture d’e-mails, des informations sur votre ordinateur, votre connexion à Internet, le système d’exploitation et la plate-forme que vous utilisez, votre historique de navigation sur notre site ou l’historique de vos commandes, la date et l’heure de votre visite sur la page d’accueil, ou encore les produits/articles que vous avez consultés.

Ces données sont associées à un éventuel compte utilisateur existant. Emarsys Smart Insights nous permet d’analyser les informations reçues.

En règle générale, les données sont conservées pendant 13 mois.

f) AWIN

Nous utilisons le réseau publicitaire de la société AWIN AG, Eichhornstraße 3, 10785 Berlin, Allemagne (ci-après « AWIN »).

AWIN nous permet de fournir des contenus publicitaires et d’analyser le succès de nos campagnes.

Dans le cadre de son service, AWIN enregistre à des fins de documentation de transactions (p. ex. de prospects et de ventes) des cookies sur les appareils d’internautes consultant notre site Internet. Ces cookies ont uniquement pour buts la bonne identification du succès d’un support publicitaire et la facturation correspondante dans le cadre du réseau publicitaire.

Un cookie ne renseigne que sur le moment où l’utilisateur-trice d’un appareil a cliqué sur un support publicitaire donné. Les cookies de suivi contiennent une suite de chiffres individuelle, mais ne pouvant pas être attribuée à un utilisateur-trice précis-e, qui renseignent sur :

• le programme partenaire d’un annonceur ;

• l’éditeur ;

• la date de l’heure de l’action de l’utilisateur (clic ou consultation). Ce faisant, AWIN collecte également des informations sur l’appareil via lequel la transaction a été effectuée, par exemple le système d’exploitation et le navigateur utilisés. AWIN a également recours à ces fins à des procédés de suivi de session et de prise d’empreinte.

Nous avons conclu avec AWIN un contrat de responsabilité conjointe au sens de l’art. 26 RGPD et sommes responsables du traitement des données conjointement avec AWIN.

Dans ce contrat, nous avons défini les responsabilités d’AWIN et les nôtres vis-à-vis de l’exécution des obligations découlant du RGPD.

Toutefois, vous pouvez, dans le cadre de la responsabilité conjointe, faire valoir vos droits en tant que personne concernée vis-à-vis de l’un ou l’autre des responsables conjoints. Les deux responsables sont responsables à parts égales de l’exécution des obligations d’information en matière de protection des données.

g) Balise de suivi Yahoo!

Nous utilisons la balise de suivi Yahoo! de Yahoo EMEA Limited 5-7 Point Square, North Wall Quay Dublin 1 Irlande - Ireland pour mesurer l’efficacité de nos campagnes et pouvoir attribuer des mesures publicitaires efficaces.

Il s’agit d’une balise « pageview ». Lorsqu’un-e visiteur-euse clique sur une campagne publicitaire Calida (p. ex. sur yahoo.com), les sous-pages du domaine Calida visitées ultérieurement sont associées à cette campagne afin de pouvoir mesurer son efficacité. Les données permettant une identification personnelle ne sont pas transmises.

Pour les prestataires ayant leur siège principal aux États-Unis, cette décision ne s’applique que si le transfert de données est fondé sur le cadre de protection des données UE-États-Unis du 10.07.2023 (Data Privacy Framework, DPF). C’est le cas du destinataire en question. Le destinataire fonde donc le transfert de données sur des clauses contractuelles types de la Commission européenne afin de mettre en œuvre toutes les mesures appropriées pour garantir un niveau de protection des données suffisant. Vous en trouverez une copie ici.

La durée de conservation des données s’élève en règle générale à 90 jours.

h) Hotjar

Nous utilisons le service Hotjar Level 2, St Julian’s Business Centre, 3, Elia Zammit Street, St Julian’s STJ 1000, Malte (ci-après « Hotjar ») afin de satisfaire au mieux les besoins de nos utilisateurs-trices et d’optimiser l’offre sur notre site Internet et son utilisation.

La technologie de Hotjar nous permet de mieux comprendre les expériences de nos utilisateurs-trices (par exemple, le temps qu’ils passent sur quelles pages, les liens sur lesquels ils cliquent, ce qu’ils aiment et ce qu’ils n’aiment pas, etc.) et nous aide à adapter notre offre aux commentaires des utilisateurs-trices. Hotjar utilise des cookies et d’autres technologies pour collecter des informations sur les comportements de nos utilisateurs-trices et sur leurs terminaux, notamment l’adresse IP de l’appareil (uniquement collectée et stockée sous forme anonyme pendant leur utilisation du site Internet), la taille de l’écran, le type d’appareil utilisé (Unique Device Identifiers), des informations sur le navigateur utilisé, l’emplacement (pays uniquement) et la langue préférée pour consulter notre site Internet.

La durée de conservation des données s’élève en règle générale à 365 jours.

i) Pinterest Tag

Nous utilisons Pinterest Tag de Pinterest Europe Ltd, Palmerston House, 2nd Floor, Fenian Street, Dublin 2, Ireland.

Cette balise permet de collecter, de stocker et d’analyser des informations sur le comportement de navigation des visiteurs-euses du site Internet sous forme de pseudonyme. Ces informations peuvent être attribuées à la personne utilisatrice à l’aide d’autres informations que Pinterest a enregistrées sur l’utilisateur-trice, par exemple en raison de la possession d’un compte sur le réseau social « Pinterest ». Pinterest analyse le comportement de navigation à l’aide d’un algorithme et peut ensuite afficher des recommandations de produits ciblées sous forme de bannières publicitaires personnalisées sur le compte Pinterest de l’utilisateur.

Dans le cadre de l’utilisation de Pinterest Tag, nous avons également la possibilité de compléter les conversions avec d’autres données personnelles afin d’améliorer la précision de la mesure des conversions et de combler les lacunes de collecte. Cela nous permet également d’effectuer une attribution ultérieure des interactions publicitaires aux conversions. Ce traitement nous permet de déterminer et de définir plus précisément le succès de certaines mesures publicitaires. Nous avons ainsi pour objectif d’afficher aux visiteurs-euses de notre site Internet des publicités qui correspondent à leurs intérêts et de rendre notre offre attrayante sur notre site Internet, ainsi que dans le cadre de la diffusion d’annonces publicitaires sur Google.

Lorsqu’une conversion est effectuée sur notre site Internet (p. ex. l’achat d’un produit dans la boutique en ligne), des données personnelles (en général l’adresse e-mail) sont collectées. Ces données personnelles sont saisies dans la balise Pinterest et hachées à l’aide de l’algorithme de hachage unidirectionnel SHA256. Ces valeurs de hachage sont ensuite transmises à Pinterest, qui les compare avec ses propres informations et données personnelles avant de les mettre à notre disposition sous forme de statistiques anonymes afin d’améliorer la mesure des conversions. Une comparaison réussie a lieu sur Pinterest, en particulier lorsque la personne concernée possède également un profil ou un compte sur Pinterest.

Nous traitons les données avec Pinterest dans le cadre d’une responsabilité conjointe en vertu de l’art. 26 RGPD. Nous avons conclu à cet effet un contrat de responsabilité conjointe. Par conséquent, nous sommes responsables de la fourniture des informations relatives à la protection des données et de l’implémentation sécurisée des balises Pinterest sur notre site Internet, conformément à la législation sur la protection des données. Pinterest est notamment responsable de la sécurité des données et du respect des droits des personnes concernées (art. 15-20 RGPD).

j) RTB House

Nous utilisons la technologie de ciblage de RTB House, Kurfürstendamm 226, 10719 Berlin, Allemagne, pour mener des campagnes publicitaires personnalisées.

Pour la réalisation de ces campagnes, nous traitons certaines données relatives aux activités en ligne des utilisateurs sur ce site Internet. Ces données peuvent inclure : des identifiants en ligne (par exemple, identifiant de cookie/publicité mobile), des informations sur certaines pages visitées, des produits consultés ou ajoutés au panier avec horodatage, des produits achetés, ainsi que des détails techniques sur l’appareil et le programme de recherche. Sur la base de ces données, RTB House mène des campagnes publicitaires et présente des annonces personnalisées aux utilisateurs.

Nous avons conclu avec RTB House un contrat de sous-traitance en vertu duquel RTB House s’engage à traiter les données personnelles conformément à nos instructions ainsi qu’à garantir la protection des droits des personnes concernées. Vous trouverez ici de plus amples informations relatives à la protection des données par RTB House.

La durée de conservation des données s’élève en règle générale à 500 jours.

7. Services de cartographie

a) Google Maps

Nous utilisons sur notre site Internet l’offre Google Maps de Google LLC., 1600 Amphitheatre Parkway, Mountain View, CA 94043, États-Unis (ci-après « Google ») afin d’afficher une carte interactive.

Le traitement des données intervient sur la base de votre consentement préalable en vertu de l’art. 6, paragraphe 1, première phrase, point a) RGPD (au traitement des données) et en vertu de l’art. 25, paragraphe 1, première phrase TTDSG (à la mise à disposition technique).

Vous pouvez révoquer votre consentement à tout moment avec effet pour l’avenir.

Lorsque ce service est activé, Google collecte des informations relatives à l’appareil, des données d’historique, y compris l’adresse IP, ainsi que des informations de localisation. La simple consultation de notre site Internet ne génère pas le transfert de données à Google.

La durée de conservation des données s’élève en règle générale à 18 mois.

b) MaxMind

Si vous cherchez une boutique autour de vous à l’aide de cartes intégrées, votre adresse IP est transférée au prestataire MaxMind, Inc., 14 Spring Street, 3rd Floor Waltham, MA 02451, États-Unis (ci-après « MaxMind ») afin de déterminer votre localisation approximative (p. ex. pays, ville, arrondissement). Les données relatives à votre localisation sont supprimées dès que vous quittez notre site.

Vous pouvez bloquer la géolocalisation à l’aide d’un réglage dans le logiciel de votre navigateur. Nous vous informons toutefois que dans ce cas, vous ne pourrez peut-être plus utiliser toutes les fonctions (p. ex. outil Storefinder) de ce site Internet.

La durée de conservation des données s’élève en règle générale à 30 jours.

8. Label de qualité Trusted Shops

Nous utilisons le service Trusted Shops GmbH, Subbelrather Str. 15c, 50823 Cologne.

Si, pendant ou après votre commande, vous nous avez donné votre consentement en vertu de l’article 6, paragraphe 1, première phrase, point a) RGPD en cochant la case correspondante ou en cliquant sur le bouton prévu à cet effet (« Évaluer plus tard »), nous transférons votre adresse e-mail au prestataire afin que ce dernier vous envoie un e-mail vous rappelant que vous avez la possibilité de laisser une évaluation. Vous pouvez retirer ce consentement à tout moment en envoyant un message à l’adresse indiquée ci-après ou en contactant directement Trusted Shops.

Ce traitement de données vise à préserver nos intérêts légitimes vis-à-vis d’une commercialisation optimale de notre offre au sens de l’art. 6, paragraphe 1, première phrase, point f) RGPD.

À chaque consultation du « Trustbadge » de Trusted Shops, le serveur Web enregistre automatiquement un fichier journal de serveur, qui contient par exemple votre adresse IP, la date et l’heure de l’accès, les données transférées et le fournisseur d’accès utilisé (données d’accès) et garde une trace de la consultation. Ces données d’accès ne sont pas exploitées et sont automatiquement écrasées au plus tard sept jours après la fin de votre visite du site Internet.

La durée de conservation des données s’élève en règle générale à 180 jours.

9. Bons d’achat SOVENDUS

Lorsque vous effectuez des achats sur www.calida.com, nous vous offrons la possibilité de recevoir des bons d’achat de sites Internet via le réseau de la société Sovendus GmbH Hermann-Veit-Straße 6, 76135 Karlsruhe.

Dès que vous choisissez l’un des bons d’achat, nous transmettons au prestataire, sous forme cryptée et sous un pseudonyme, la valeur de hachage de votre adresse e-mail et votre adresse IP, à moins que vous ne vous y opposiez. En outre, nous transférons à des fins de facturation à Sovendus, sous un pseudonyme, le numéro de commande, la valeur de la commande avec indication de la devise, l’identifiant de session, le code du bon et l’horodatage.

Le transfert de vos données à SOVENDUS repose sur la base juridique de l’art. 6, paragraphe 1, première phrase, point f) RGPD. Notre intérêt légitime est de mettre à votre disposition cette offre facultative de bons d’achat.

La durée de conservation des données est de 7 jours.

10. Droits de la personne concernée

Vos droits, en tant que personne concernée, sont les suivants :

en vertu de l’art. 15 RGPD, vous avez le droit d’obtenir l’accès à vos données à caractère personnel traitées par nos soins. Vous pouvez notamment obtenir l’accès aux finalités du traitement, aux catégories de données à caractère personnel concernées, aux catégories de destinataires auxquels vos données à caractère personnel ont été ou seront communiquées, à la durée de conservation envisagée, à l’existence du droit à la rectification, à l’effacement ou à la limitation du traitement des données ou du droit de s’opposer à ce traitement, au droit d’introduire une réclamation, à la source de vos données si ces dernières n’ont pas été collectées par nos soins, ainsi qu’à l’existence d’une prise de décision automatisée, y compris un profilage, et à des informations utiles sur les termes d’une telle prise de décision automatisée ;

en vertu de l’art. 16 RGPD, vous avez le droit d’obtenir, dans les meilleurs délais, la rectification de vos données à caractère personnel conservées par nos soins qui sont inexactes ou incomplètes ;

en vertu de l’art. 17 RGPD, vous avez le droit d’obtenir l’effacement de vos données à caractère personnel conservées par nos soins dans la mesure où ce traitement est nécessaire à l’exercice du droit à la liberté d’expression et d’information, pour respecter une obligation légale, pour des motifs d’intérêt public ou à la constatation, à l’exercice ou à la défense de droits en justice ;

en vertu de l’art. 18 RGPD, vous avez le droit d’obtenir la limitation du traitement de vos données à caractère personnel si vous contestez l’exactitude des données, si le traitement est illicite, mais que vous vous opposez à leur effacement et si nous n’avons plus besoin des données, mais qu’elles vous sont encore nécessaires pour la constatation, l’exercice ou la défense de droits en justice, ou encore si vous vous êtes opposé-e au traitement en vertu de l’article 21 RGPD ;

en vertu de l’art. 20 RGPD, vous avez le droit de recevoir vos données à caractère personnel que vous nous avez fournies dans un format structuré, couramment utilisé et lisible par machine ou d’obtenir leur transmission à un autre responsable du traitement ;

en vertu de l’art. 7, paragraphe 3 RGPD, vous avez le droit de retirer à tout moment le consentement que vous nous avez octroyé. En conséquence, nous n’aurons plus le droit de procéder au traitement de données qui s’appuyait sur votre consentement, et

en vertu de l’art. 77 RGPD, vous avez le droit d’introduire une réclamation auprès d’une autorité de contrôle. En règle générale, vous pouvez vous adresser à cet effet à l’autorité de contrôle de votre résidence habituelle, de votre lieu de travail ou du siège de notre entreprise.

11. Droit d’opposition

Si vos données à caractère personnel sont traitées sur la base d’intérêts légitimes en vertu de l’art. 6, paragraphe 1, première phrase, point f) RGPD, vous avez le droit, en vertu de l’article 21 RGPD, de vous opposer au traitement de vos données à caractère personnel pour des raisons tenant à votre situation particulière ou si votre opposition porte sur une prospection. Dans le cas d’une prospection, vous possédez un droit d’opposition général que vous pouvez faire valoir sans avoir à justifier d’une situation particulière.

Si vous souhaitez exercer votre droit d’opposition, il vous suffit d’envoyer un e-mail à l’adresse [email protected].

12. Sécurité des données

Toutes les données que vous nous confiez directement sont transférées après avoir été cryptées à l’aide du protocole répandu et sécurisé TLS (Transport Layer Security). TLS est un protocole sûr et éprouvé, utilisé notamment dans le secteur des banques en ligne. L’établissement d’une connexion TLS sécurisée se reconnaît notamment à la présence d’un « s » dans l’adresse HTTP (soit https://..), dans la barre d’adresse de votre navigateur, ou au symbole de serrure dans la partie inférieure de votre navigateur.

Qui plus est, nous appliquons des mesures de sécurité techniques et organisationnelles pour protéger vos données contre toute manipulation accidentelle ou intentionnelle, toute perte partielle ou complète, toute destruction ou tout accès par des tiers non autorisés. Nos mesures de sécurité sont améliorées en continu en fonction des progrès technologiques.

13. Actualité et modification de la présente déclaration de confidentialité

La présente déclaration de confidentialité est actuellement valable dans sa version de mai 2024.

Le développement de notre site Internet et des offres qui y sont publiées ainsi que la modification des prescriptions légales ou réglementaires peuvent nécessiter l’adaptation de la présente politique de confidentialité. Vous pouvez consulter et imprimer la version en vigueur de la déclaration de confidentialité sur notre site Internet, sous www.calida.com/cms/informations-legales-et-generales/Protection-des-donnees/.