POLITIQUE DE CONFIDENTIALITE ET DE PROTECTION DES DONNEES DE LA PLATEFORME byflox.com (V05.20)
Conformément au Règlement (UE) 2016/679 portant sur la Protection des Données à caractère personnel [ci-après « le Règlement »], EMHA SERVICES (ByFLOX) et les Fleuristes Partenaires sont conjointement responsables du traitement des données collectées pour leur compte via la plateforme web byflox.com [ci-après dénommé « la Plateforme »].
A ce titre, ByFLOX et ses Partenaires fleuristes s’engagent dès lors à respecter l’ensemble des règles et obligations de protection des données à caractère personnel prévues par le Règlement.
1. Rappel des définitions clés
- « Données à caractère personnel » : toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée « personne concernée ») ; est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
- « Traitement » : toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction.
- « Responsable du traitement » : la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l'Union ou le droit d'un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l'Union ou par le droit d'un État membre.
- « Sous-traitant » : la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.
- « Destinataire » : la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui reçoit communication de données à caractère personnel, qu'il s'agisse ou non d'un tiers. Toutefois, les autorités publiques qui sont susceptibles de recevoir communication de données à caractère personnel dans le cadre d'une mission d'enquête particulière conformément au droit de l'Union ou au droit d'un État membre ne sont pas considérées comme des destinataires; le traitement de ces données par les autorités publiques en question est conforme aux règles applicables en matière de protection des données en fonction des finalités du traitement.
- « Tiers » : une personne physique ou morale, une autorité publique, un service ou un organisme autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, placées sous l'autorité directe du responsable du traitement ou du sous-traitant, sont autorisées à traiter les données à caractère personnel.
- « Consentement » de la personne concernée : toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement.
- « Violation de données à caractère personnel» : une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données.
2. Finalités et modalités de traitement
L’Utilisateur de la Plateforme [ci-après « l’Utilisateur »] est notamment informé que toute information qu’il consent communiquer sur la Plateforme byflox.com est utile à ByFLOX et ses Partenaires fleuristes dans leur fourniture de services et notamment la gestion des commandes et livraisons des produits. Ces informations sont exclusivement destinées aux services internes de ByFLOX et à chaque partenaire fleuriste concerné par une commande ou référencé comme « fleuriste favori ».
Les coordonnées de l’Utilisateur ne seront en aucun cas cédées à des tiers, que ce soit à titre gratuit ou onéreux, sans le consentement préalable de l’Utilisateur.
Les modalités des traitements de données opérés sur la Plateforme sont les suivantes :
- les finalités poursuivies sont :
- La création d’un compte client et sa gestion par ByFLOX;
- La gestion des commandes et des livraisons de produits ;
- La mise à disposition d’un service de paiement en ligne sécurisé (STRIPE) et la gestion des paiements par ByFLOX ;
- La gestion des fleuristes partenaires et de leurs e-boutiques
- La gestion des favoris (fleuristes et destinataires de commande)
- La mise à disposition d’un formulaire de contact et sa gestion par ByFLOX ;
- La mise à disposition d’un formulaire d’inscription à la Newsletter et l’envoi de newsletters par voie de courrier électronique (par ByFLOX et/ou le Partenaire fleuriste identifié comme « favori ») ;
- La mise à disposition d’un service après-vente externalisé (ADDECOM Ouest) ;
- L’intégration de cookies de navigation permettant certaines fonctionnalités de la Plateforme ainsi que de la mesure d’audience et de performance ;
- L’hébergement et la maintenance de la Plateforme.
- Les données à caractère personnel traitées sur la Plateforme sont :
| Catégorie de données | Données pouvant être collectées | Données obligatoires |
|---|---|---|
| Données d’identification | Nom, prénom, date de naissance, identifiant de connexion, mot de passe | Nom, prénom, identifiant de connexion, mot de passe |
| Données de contact | Adresse mail personnel, téléphone fixe personnel, téléphone mobile personnel, adresse postale | Adresse mail personnel, téléphone personnel du destinataire (fixe ou mobile, au choix) |
| Données de consommation | Historique de commandes, fleuristes favoris, destinataires favoris, dates importantes, avis | Historique de commandes |
| Données de facturation | Factures, suivi et historique des paiements | Facture, historique des paiements |
| Données de paiement | Nom de titulaire, n° de carte bancaire, cryptogramme | Ces données sont externalisées sur la Plateforme de paiement en ligne sécurisé STRIPE et ne sont en aucun cas collectées par byflox.com et ses partenaires fleuristes. |
| Données de fonctionnement | N° de commande, ID client | N° de commande, ID client |
| Données de localisation | Ville sélectionnée manuellement par l’Utilisateur (donnée non-enregistrée) | Par défaut sélection à l’échelle nationale (France métropolitaine) |
| Données de connexion | Adresse IP, date de connexion, cookies | Aucune |
Toute autre donnée pouvant être communiquée par l’Utilisateur dans le cadre d’un formulaire mis à sa disposition ne saurait être anticipée par ByFLOX et ses Partenaires fleuristes. Néanmoins, celles-ci feront l’objet d’une protection similaire aux données demandées ou exigées. Si des données sensibles (tels que santé, appartenance politique, croyance religieuse, orientation sexuelle etc.) étaient transmises, celles-ci seraient automatiquement supprimées. L’Utilisateur ne doit en aucun cas transmettre des informations intimes et hautement personnelles sur la Plateforme (ex : données sur son état de santé, données sur son orientation sexuelle). Ces informations ne concernent pas ByFLOX et ses Partenaires fleuristes.
- Les catégories de personnes concernées sont les Utilisateurs de la Plateforme, au sens large. Plus spécifiquement, la cible principale de la Plateforme sont les Clients finaux de la Plateforme (qu’ils soient identifiés par un Compte Utilisateur ou non, dès lors qu’ils ont passé une commande sur byflox.com). Les Destinataires des produits (sélectionnés par l’Utilisateur client) sont également des personnes concernées puisque certaines données comme leur nom et prénom et leur adresse postale peuvent être communiquées par l’Utilisateur client. Attention, L’Utilisateur client est alors responsable de la véracité des informations qu’il transmet sur la Plateforme byflox.com et du consentement de ses Destinataires (qu’ils soient identifiés comme « favoris » ou non).
- La durée de conservation des données varie en fonction des finalités poursuivies et des catégories de données collectées par la Plateforme :
| Catégorie de données | Durée de conservation | Mode de suppression |
|---|---|---|
| Données d’identification, données de contact, données de consommation, données de fonctionnement | - 5 ans à compter de la dernière connexion de l’Utilisateur à la Plateforme ; OU - Immédiatement en cas de suppression de compte par l’Utilisateur | Suppression automatique |
| Données de facturation | 10 ans à compter de l’émission de la facture | Suppression semi-automatique (validation humaine) |
| Données de paiement | Aucune données personnelles conservée | Service externalisé, aucun enregistrement |
| Données de localisation | Jusqu’à expiration de la session, non conservées | Expiration automatique |
| Données issues du formulaire de contact | 3 ans à compter du dernier échange provenant du prospect | Suppression semi-automatique (validation humaine) |
| Données de connexion | 13 mois maximum | Suppression automatique |
| Données de statistiques | Aucune données personnelles conservées | Anonymisation automatique |
3. Droits des personnes concernées
Conformément aux dispositions du chapitre III du Règlement, toute personne concernée par les traitements de données de la Plateforme byflox.com bénéficie d’un droit d’accès, de rectification, de limitation, d’effacement et de portabilité des informations qui la concernent, qu’elle peut exercer en s’adressant :
- Directement auprès du Partenaire fleuriste concerné par sa demande (cf. coordonnées dans la section « Mes Commandes » puis « Mes Fleuristes » de son Compte client.)
- Par voie postale à ByFLOX à l’adresse suivante :
- Via l’adresse mail suivante mesdonnees.personnelles@byflox.fr
EMHA SERVICES (byflox.com)
Lieu-dit Marigné
Saint-Rémy-la-Varennes
49250 BRISSAC LOIRE AUBANCE
Tout Utilisateur, Client ou Destinataire privilégiant une communication par voie postal ou par voie de courriel devra accompagner son message de l’objet « Exercice de mon droit de ... » ainsi que d’une copie de justificatif d’identité prouvant qu’il agit bien en qualité de personne concernée.
Conformément aux dispositions du même chapitre, la personne concernée peut également s’opposer à ce que ses données fassent l’objet d’un traitement par ByFLOX et/ou ses Partenaires fleuristes. Hors cadre contractuel, le consentement fourni au traitement de données peut être retiré à tout moment par la personne concernée. L’exercice de ces droits se fait également via le courriel susvisé et selon les mêmes exigences.
ByFLOX et ses Partenaires fleuristes informent également l’Utilisateur que celui-ci peut introduire une réclamation auprès d’une autorité de contrôle. En France, l’autorité de contrôle est la Commission Nationale de l’Informatique et des Libertés (CNIL) :
3 place de Fontenoy - TSA 80715
75334 PARIS CEDEX 07
www.cnil.fr
4. Sécurité
ByFLOX et ses Partenaires fleuristes s’engagent à mettre en œuvre toutes les mesures organisationnelles, techniques et structurelles permettant d’assurer la sécurité physique et logique des données personnelles de l’Utilisateur et à les maintenir jusqu’à suppression desdites données. Il s’engage également à notifier aux Utilisateurs ainsi qu’à l’Autorité de contrôle compétente (la CNIL en France) toute violation de données personnelles dans les soixante-douze (72) heures ouvrées suivant la découverte d’une telle violation.
Ces règles sont appliquées également par les Sous-traitants ultérieurs de ByFLOX et ses Partenaires fleuristes, qui sont précisément sélectionnés pour leur niveau de protection des données. Cet engagement constitue une composante déterminante et essentielle du contrat de partenariat entre ByFLOX et ses Partenaires fleuristes ainsi que des contrats de sous-traitance individuellement conclus par ByFLOXet par les Partenaires fleuristes avec leurs sous-traitants respectifs.
5. Sous-traitance ultérieures et destinations des données
ByFLOX informe les Utilisateurs qu’il bénéficie de l’appui nécessaire de plusieurs sous-traitants ultérieurs (ci-après les « Sous-traitants ultérieur ») dans le cadre des traitements de données suivants :
| Traitement concerné | Sous-traitant ultérieur | Coordonnées | Lien vers politique de confidentialité (si accessible) |
|---|---|---|---|
| Envoi de mailing, communications groupées ou automatiques | MAILJET (Paris - 75) | 13-13 bis, rue de l’Aubrac 75012 Paris, FRANCE | https://fr.mailjet.com/privacy-policy/ |
| Hébergement de la Plateforme | AMAZON WEB SERVICES EMEA (Luxembourg) | 38, avenue John F. Kennedy L 1855 Luxembourg, LUXEMBOURG | https://aws.amazon.com/fr/compliance/gdpr-center/ |
| Maintenance de la Plateforme | CODEKRAFT (Angers – 49) | 25, rue Lenepveu 49100 ANGERS, FRANCE | https://www.codekraft.fr/ |
| Service de paiement en ligne | STRIPE (Etats-Unis) | 510, Townsend Street San Francisco, CA 94103 (EU) | https://stripe.com/fr/privacy |
| Centre d’appel et service après-vente | ADDECOM OUEST (Doué-en-Anjou – 49) | 1B, Avenue du Général Leclerc 49700 Doué-en-Anjou | Non accessible en ligne |
| Mesure d’audience de la Plateforme | GOOGLE Inc. (Etats-Unis) | MOUNTAIN VIEW, CA 94043 (EU) | https://policies.google.com/privacy?hl=fr-CA |
Au même titre que ByFLOX , les Partenaires fleuristes peuvent également faire appel à des sous-traitants ultérieurs lorsque cela est nécessaires à la mise en œuvre des services de la Plateforme. Ils peuvent notamment faire appel à des sociétés de livraison spécialisées dans le cadre du service de livraison des produits.
ByFLOX et ses Partenaires fleuristes certifient avoir étudié et choisi leurs Sous-traitants pour leurs niveaux de protection des données personnelles conformes aux exigences du Règlement. Les Sous-traitants se sont engagés, au même titre que ByFLOX et ses Partenaires fleuristes, à respecter les dispositions dudit Règlement et à permettre par tout moyen à ByFLOX et ses Partenaires fleuristes de répondre à leurs obligations légales concernant notamment les droits des personnes concernées mentionnées ci-dessus.
Les Sous-traitants ultérieurs se sont également engagés à ne pas sous-traiter les données sans l’accord préalable de leur responsable de traitement (ByFLOX ou Partenaire fleuriste).
ByFLOX et ses Partenaires fleuristes s’engagent également à ce que les données personnelles collectées sur la Plateforme soient toujours traitées et hébergées au sein de l’Union Européenne ou d’un pays ou organisme reconnu comme disposant d'un niveau de sécurité adéquat par la Commission Européenne.
6. Cookies
Comme susvisé, certaines informations sont collectées au moyen de cookies (de petits fichiers texte placés sur le disque dur du visiteur qui stockent des informations les concernant et qui peuvent être consultés par la Plateforme).
Sur la Plateforme, ByFLOX et ses Partenaires fleuristes utilisent les cookies suivants :
| 1. COOKIES FONCTIONNELS | |||
|---|---|---|---|
| Nom | Usage | Domaine | Durée de vie |
| #Nom_Session | Cookies de session, horodatage connexion | byflox.com | - 30 minutes par défaut ; ou - 13 mois si l’Utilisateur coche la case « rester connecté » |
| 2. COOKIES ACCESSOIRES | |||
|---|---|---|---|
| Nom | Usage | Domaine | Durée de vie |
| Google Analytics | Mesure d’audience | google.com | 13 mois |
| Facebook pixel | Mesure d'audience et création d'audience de retargeting | facebook.com | 3 mois |
| Hotjar | Comprendre et simplifier l'expérience utilisateur | hotjar.com | 365 jours |
| COOKIES ACCESSOIRES (Suite) | ||||
|---|---|---|---|---|
| Nom du Cookie | Fonction | Données collectées | Durée de vie | Lieux |
| _ga | Utilisé pour mesurer les intéractions des utilisateurs avec les formulaires de contact et les liens permettant le téléchargement d’éléments à l’intérieur du site web | Pas de donnée à caractère personnel car les adresses IP enregistrées ont été «anonymisées», c’est-à-dire que la localité ne peut pas être plus précise que la donnée «Ville ». | 13 mois | Etats-Unis |
| _gid | Il stocke et met à jour une valeur unique pour chaque page visitée. | Pas de donnée à caractère personnel collectée | 1 jour | Etats-Unis |
| _gat_UA-168773254-1 | Utilisé pour limiter le débit des demandes, ce qui limite la collecte de données sur les sites à fort trafic. | 1 min | Etats-Unis | |
| tarteaucitron | Utilisé pour permettre aux internautes la désactivation du suivi d’audience. | Acceptation des cookies | 1 an | France |
| __stripe_mid | Permet de vérifier que la transaction est bien effectuée par un humain | Comportement sur le site | 1 an | Etats-Unis |
| __stripe_sid | Permet de vérifier que la transaction est bien effectuée par un humain | Comportement sur le site | 30 minutes | Etats-Unis |
| firstname | Retenir les options sélectionnées pendant la transaction afin de livrer le produit | Prénom | session | France |
| id | Retenir les options sélectionnées pendant la transaction afin de livrer le produit | Identifiant de l'internaute | session | France |
| sellerImg | Retenir les options sélectionnées pendant la transaction afin de livrer le produit | image du vendeur | session | France |
| sellerName | Retenir les options sélectionnées pendant la transaction afin de livrer le produit | nom du vendeur | session | France |
| sessionId | Retenir les options sélectionnées pendant la transaction afin de livrer le produit | ID de session | session | France |
| stayConnected | Retenir les options sélectionnées pendant la transaction afin de livrer le produit | Cochage de l'option de recontact | session | France |
| storeSearch_address | Retenir les options sélectionnées pendant la transaction afin de livrer le produit | Adresse des magasins cherchés | session | France |
| storeSearch_dateTime | Retenir les options sélectionnées pendant la transaction afin de livrer le produit | Date de retrait des fleurs | session | France |
| storeSearch_isPickUp | Retenir les options sélectionnées pendant la transaction afin de livrer le produit | Option de retrait, livraison ou retrait | session | France |
| storeSearch_placeId | Retenir les options sélectionnées pendant la transaction afin de livrer le produit | ID du vendeur sélectionné, pour s'assurer que les fleurs sont bien commandés chez un fleuriste unique | session | France |
| tokenSeller | Retenir les options sélectionnées pendant la transaction afin de livrer le produit | Identifiant du fleuriste | session | France |
| userAddress | Retenir les options sélectionnées pendant la transaction afin de livrer le produit | Adresse de livraison | session | France |
| userPlaceId | Retenir les options sélectionnées pendant la transaction afin de livrer le produit | Adresse de facturation | session | France |
| userToken | Retenir les options sélectionnées pendant la transaction afin de livrer le produit | Identifiant de l'utilisateur | session | France |
| Retenir les options sélectionnées pendant la transaction afin de livrer le produit | adresse mail | session | France | |
| _fbp | Avoir les résultats de nos campagnes Facebook, optimisation des données de l'algorithme facebook | Données de navigation sur le site | 3 mois | Etats-Unis |
| _gid | Remarketing sur Google Ads | Types de sites visités | 1 jour | Etats-Unis |
| _hjAbsoluteSessionInProgress | Première page visitée lors de l'ouverture de la session hotjar | Première page visitée lors de l'ouverture de la session hotjar | 30 minutes | Etats-Unis |
| _hjFirstSeen | Permet d'identifier la première session de nouveaux utilisateurs | Nombre de fois où l'utilisateur est vnu sur le site | 30 minutes | Etats-Unis |
| _hjSessionUser | Permet à Hotjar de reconnaître le site sur lequel vous vous trouvez | Site web en cours de visite | 1 an | Etats-Unis |
| _hjSession | Enregistre les échanges avec hotjar pour reprendre le chat où vous l'avez laissé | Chat en cours | 30 minutes | Etats-Unis |
| _hjTLDTest | Permet de faciliter le stockage des cookies hotjar avec un nom unique | aucune | session | Etats-Unis |
| 3. COOKIES SECURITÉ | |||
|---|---|---|---|
| Nom | Usage | Domaine | Durée de vie |
| Stripe | Protection contre la fraude | stripe.com | 365 jours |
ByFLOX et ses Partenaires fleuristes informent alors l’Utilisateur qu’il peut s’opposer à l’enregistrement de cookies en réglant les paramètres du gestionnaire de cookies pop-up, présent en bas de la page web. Seuls les cookies obligatoires au bon fonctionnement de la Plateforme ne peuvent faire l’objet d’une opposition de la part de l’Utilisateur. De même que, si l’Utilisateur refuse les cookies dit « fonctionnels », il reconnaît que des fonctionnalités de la Plateforme pourraient ne pas fonctionner correctement.
De manière générale, ByFLOX et ses Partenaires fleuristes précisent à l’Utilisateur que si celui-ci souhaite s’opposer à la collecte des cookies, il peut le faire en configurant son navigateur (cf. conseils de la CNIL).
7. Mise à jour de la Politique de confidentialité et de protection des données personnelles
La politique de confidentialité est susceptible d’être modifiée ou aménagée à tout moment. Vous êtes invités à la consulter régulièrement sur la Plateforme byflox.com.
Dernière modification : 12/05/2020.