Politique de traitement des données personnelles

Articles 13-14 du Règlement (UE) 2016/679 (RGPD) · Décret législatif 196/2003 tel que modifié par le décret législatif 101/2018

Version 1.0 — mise à jour le : XXXX

1. Responsable du traitement

Le responsable du traitement des données personnelles collectées via le présent site e-commerce est l’entité indiquée dans le tableau ci-dessous. Pour toute question relative au traitement de ses données, la personne concernée peut contacter le Responsable aux coordonnées indiquées ci-après.

Dénomination sociale : XXXX S.r.l. / S.p.A.
Siège social : Via XXXX, n. XXXX – XXXX [Ville], Italie
N° TVA / Code fiscal : XXXX
E-mail Privacy : privacy@XXXX.it
PEC (si disponible) : XXXX@pec.it
DPO (le cas échéant) : dpo@XXXX.it — si applicable

Lorsque le Responsable a désigné un Délégué à la protection des données (DPO) conformément à l’art. 37 RGPD, celui-ci peut être contacté à l’adresse e-mail dédiée indiquée dans le tableau.

2. Données personnelles traitées

2.1 Données fournies volontairement par l’utilisateur
Données d’identification et de contact : nom, prénom, adresse e-mail, numéro de téléphone.
Données de facturation et de livraison : adresse complète, code postal, ville, pays et — pour les assujettis à la TVA — code fiscal et numéro de TVA.
Identifiants de connexion : nom d’utilisateur et mot de passe stocké sous forme chiffrée (hashing + salting) ; le Responsable n’a jamais accès au mot de passe en clair.
Données de paiement : gérées directement par des prestataires tiers certifiés PCI-DSS ; le Responsable ne stocke ni n’a accès aux données de carte de crédit/débit.
Communications et demandes : messages envoyés via formulaire de contact, chat ou e-mail d’assistance.

2.2 Données collectées automatiquement
Données de navigation : adresse IP (anonymisée lorsque possible), navigateur, système d’exploitation, pages visitées, durée des sessions, URL de provenance.
Cookies et technologies similaires : selon les modalités décrites dans la Cookie Policy distincte, disponible en bas du site.

2.3 Données de catégories particulières
Le Responsable ne collecte ni ne traite de données relevant de catégories particulières au sens de l’art. 9 RGPD (santé, opinions politiques, données biométriques, etc.). Si un tel traitement devenait nécessaire à l’avenir, un consentement explicite et distinct sera requis avant la collecte.

3. Finalités, bases juridiques et durées de conservation

Le tableau suivant illustre de manière transparente les finalités du traitement, la base juridique correspondante et la durée de conservation des données avant suppression ou anonymisation irréversible.

Finalité — Base juridique — Conservation
Gestion des commandes, paiements et livraisons — Art. 6.1.b Exécution du contrat — 10 ans (obligation fiscale)
Inscription et gestion du compte — Art. 6.1.b Exécution du contrat — Durée du compte + 24 mois
Obligations fiscales et comptables — Art. 6.1.c Obligation légale — 10 ans
Service client et réclamations — Art. 6.1.b/f Contrat / Intérêt légitime — 3 ans après clôture
Marketing et newsletter (avec consentement) — Art. 6.1.a Consentement — Jusqu’au retrait
Profilage et offres personnalisées (opt-in) — Art. 6.1.a Consentement — 24 mois / retrait
Prévention des fraudes et sécurité informatique — Art. 6.1.f Intérêt légitime — 12 mois
Statistiques agrégées anonymes — Art. 6.1.f Intérêt légitime — Indéterminé (anonymes)

Le consentement donné pour le marketing ou le profilage peut être retiré à tout moment sans conséquence négative, sans porter atteinte à la licéité du traitement effectué avant le retrait.

4. Destinataires des données

Les données personnelles sont communiquées uniquement aux sujets qui en ont strictement besoin. Le Responsable ne vend, ne cède ni ne diffuse les données à des tiers pour leurs propres finalités.

Prestataires de paiement : traitent les données en tant que sous-traitants (art. 28 RGPD) selon les standards PCI-DSS.
Transporteurs : reçoivent nom, adresse et téléphone uniquement pour la livraison.
Fournisseurs cloud, hébergement et IT : sous-traitants avec mesures de sécurité adéquates.
Plateformes e-mail marketing et CRM : uniquement avec consentement.
Conseillers juridiques, fiscaux et auditeurs : responsables autonomes.
Autorités judiciaires et administratives : destinataires obligatoires selon la loi.

5. Transfert des données hors UE

Les données sont principalement traitées dans l’Espace économique européen (EEE). En cas de transfert vers des pays tiers, celui-ci se fait uniquement avec garanties adéquates :

Décision d’adéquation de la Commission européenne (art. 45 RGPD).
Clauses contractuelles types (SCC) (art. 46 RGPD), éventuellement complétées par des mesures supplémentaires.

La liste des transferts est disponible sur demande à privacy@XXXX.it.

6. Droits de la personne concernée

L’utilisateur peut exercer ses droits à tout moment en écrivant à privacy@XXXX.it. Réponse sous 30 jours (prolongeable à 60 jours pour demandes complexes).

Accès — Art. 15
Rectification — Art. 16
Effacement — Art. 17
Limitation — Art. 18
Portabilité — Art. 20
Opposition — Art. 21
Retrait du consentement
Réclamation auprès de l’autorité de contrôle

7. Cookies et technologies de suivi

Le site utilise des cookies techniques nécessaires et, avec consentement, des cookies analytiques et de profilage. Les préférences peuvent être modifiées à tout moment via le panneau dédié.

8. Newsletter et communications commerciales

L’envoi est conditionné au consentement préalable de l’utilisateur. Celui-ci peut le retirer à tout moment via lien de désinscription, paramètres du compte ou e-mail.

9. Mineurs

Le site est réservé aux personnes âgées de 18 ans ou plus. Les données de mineurs sont supprimées immédiatement en cas de collecte involontaire.

10. Mesures de sécurité

Le Responsable adopte des mesures techniques et organisationnelles conformes à l’art. 32 RGPD :

Chiffrement HTTPS/TLS
Hash des mots de passe (bcrypt, Argon2)
Accès restreint avec MFA
Sauvegardes et plan de reprise
Formation du personnel

En cas de violation de données, notification sous 72 heures (art. 33 RGPD).

11. Conservation des données

Les données sont conservées uniquement le temps nécessaire :

10 ans pour obligations fiscales et contractuelles

Ensuite, elles sont supprimées ou anonymisées de façon irréversible.

12. Modifications de la politique

Le Responsable peut mettre à jour cette politique à tout moment. Les modifications importantes seront communiquées aux utilisateurs.

13. Législation applicable et autorité de contrôle

Conformité au RGPD, au Code Privacy italien et aux lois applicables.
Autorité : Garante per la protezione dei dati personali (Italie).

14. Contacts

E-mail : privacy@XXXX.it
Adresse : XXXX S.r.l., Via XXXX, Italie
DPO : dpo@XXXX.it

Le Responsable répond sans retard injustifié, conformément à l’art. 12 RGPD.

Document conforme au RGPD et à la législation italienne · Version 1.0 — XXXX