Politique de
Confidentialité
Conforme au Règlement Général sur la Protection des Données (RGPD) — UE 2016/679
1. Responsable du traitement
Le responsable du traitement de vos données personnelles est :
| Société | LABO PHOTO GRIS SOURIS |
| Forme juridique | SAS — Société par actions simplifiée |
| SIRET | 810 300 061 00019 |
| N° TVA intracommunautaire | FR73 810 300 061 |
| Adresse | 11 rue de l’Annonciade, 69001 Lyon |
| Représentant légal | Sabrina Steinmüller |
| Contact RGPD | labo@labo-gris-souris.com |
2. Données collectées
Données de compte client
Lors de la création d’un compte sur notre boutique en ligne, nous collectons : nom, prénom, adresse e-mail, mot de passe (chiffré), numéro de téléphone, adresse postale de livraison et de facturation.
Données de commande
Lors de toute commande, nous collectons les informations nécessaires au traitement : détail des produits commandés, format et options choisis, fichiers images numériques uploadés pour impression, adresse de livraison, mode de paiement (référence de transaction uniquement — les données bancaires complètes ne transitent pas par nos serveurs).
Données de fidélité
Votre historique de commandes, le solde de points fidélité et les bons d’achat générés sont associés à votre compte client.
Données de communication
Adresse e-mail et préférences de communication lorsque vous vous inscrivez à notre newsletter ou prenez contact avec nous.
Données de navigation
Adresse IP, type de navigateur, pages visitées et durée de visite — collectées via les cookies strictement nécessaires au fonctionnement de la boutique (voir section 8).
3. Finalités & bases légales
| Finalité | Base légale (RGPD) |
|---|---|
| Gestion des commandes, livraisons et service après-vente | Art. 6.1.b — Exécution du contrat |
| Facturation et comptabilité | Art. 6.1.c — Obligation légale (Code de commerce, 10 ans) |
| Gestion du compte client et programme de fidélité | Art. 6.1.b — Exécution du contrat |
| Envoi de la newsletter et communications marketing | Art. 6.1.a — Consentement explicite (désinscription possible à tout moment) |
| Réponse aux demandes de contact et réclamations | Art. 6.1.f — Intérêt légitime |
| Prévention des fraudes et sécurité du site | Art. 6.1.f — Intérêt légitime |
| Respect des obligations légales (LCEN, Code de la consommation) | Art. 6.1.c — Obligation légale |
4. Durées de conservation
| Catégorie de données | Durée de conservation |
|---|---|
| Données du compte client actif | Durée de la relation commerciale + 3 ans après la dernière commande |
| Données de facturation & pièces comptables | 10 ans (obligation légale — Code de commerce, art. L123-22) |
| Fichiers images uploadés pour commande | 3 mois après livraison de la commande, puis suppression définitive |
| Données newsletter / prospection | Jusqu’à désinscription ou 3 ans sans interaction |
| Données de contact (formulaire) | 3 ans à compter du dernier contact |
| Données de navigation (cookies de session) | Durée de la session (supprimés à la fermeture du navigateur) |
| Cookies persistants | 13 mois maximum (recommandation CNIL) |
| Logs serveur (sécurité) | 12 mois |
À l’issue de ces délais, vos données sont supprimées ou anonymisées de manière irréversible.
5. Sous-traitants & destinataires
Nous faisons appel aux prestataires suivants, qui traitent vos données en qualité de sous-traitants et dans le seul cadre de la prestation qu’ils nous fournissent :
| Prestataire | Rôle | Données transmises | Localisation |
|---|---|---|---|
| OVH SAS | Hébergement du site et des données | Toutes les données du site | France (Roubaix) |
| Stripe Inc. | Paiement par carte bancaire | Données de paiement (traitement direct, non stockées par nous) | UE + USA (Clauses contractuelles types) |
| PayPal (Europe) | Paiement PayPal | Données de paiement (traitement direct) | Luxembourg (UE) |
| Brevo (Sendinblue) | Envoi de la newsletter et e-mails transactionnels | Adresse e-mail, prénom, historique d’ouverture | France (Paris) — UE |
| La Poste | Livraison des commandes | Nom, adresse postale de livraison | France |
| Automattic (WordPress) | Plateforme CMS / WooCommerce | Logs techniques | USA (Clauses contractuelles types) |
Nous ne vendons, ne louons et ne cédons jamais vos données personnelles à des tiers à des fins commerciales.
6. Transferts hors Union Européenne
Certains de nos sous-traitants (Stripe, Automattic) sont établis aux États-Unis. Ces transferts sont encadrés par des Clauses Contractuelles Types (CCT) approuvées par la Commission européenne, conformément à l’article 46 du RGPD, garantissant un niveau de protection adéquat de vos données.
Brevo, notre prestataire de newsletter, est une société française dont les serveurs sont situés en Union Européenne — aucun transfert hors UE n’est effectué pour ce traitement.
7. Vos droits
Conformément au RGPD (articles 15 à 22), vous disposez des droits suivants sur vos données personnelles :
Droit d’accès
Obtenir une copie de toutes les données vous concernant que nous détenons.
Droit de rectification
Faire corriger toute donnée inexacte ou incomplète vous concernant.
Droit à l’effacement
Demander la suppression de vos données, sauf obligation légale de conservation.
Droit à la limitation
Suspendre temporairement le traitement de vos données dans certains cas.
Droit à la portabilité
Recevoir vos données dans un format structuré et lisible par machine.
Droit d’opposition
Vous opposer à tout moment au traitement fondé sur notre intérêt légitime, ou à la prospection commerciale.
Retrait du consentement
Retirer à tout moment votre consentement à la newsletter via le lien de désinscription présent dans chaque e-mail.
Droit de réclamation
Introduire une réclamation auprès de la CNIL si vous estimez que vos droits ne sont pas respectés.
Pour exercer l’un de ces droits, contactez-nous à :
labo@labo-gris-souris.com — ou par courrier postal : Labo Photo Gris Souris, 11 rue de l’Annonciade, 69001 Lyon.
Nous répondons dans un délai de 30 jours (prorogeable à 3 mois pour les demandes complexes).
Vous pouvez également déposer une réclamation auprès de la CNIL : www.cnil.fr — 3 Place de Fontenoy, 75007 Paris.
9. Sécurité des données
Nous mettons en œuvre les mesures techniques et organisationnelles appropriées pour protéger vos données contre tout accès non autorisé, perte, destruction ou altération :
- Connexion sécurisée HTTPS (certificat SSL) sur l’ensemble du site
- Données bancaires traitées exclusivement par Stripe et PayPal (PCI-DSS compliant) — jamais stockées sur nos serveurs
- Mots de passe clients chiffrés (hachage bcrypt)
- Hébergement OVH en datacenter sécurisé en France
- Sauvegardes régulières chiffrées (plugin WPvivid)
- Plugin de sécurité WordPress actif (Really Simple Security)
- Accès aux données restreint aux seules personnes habilitées
En cas de violation de données susceptible d’engendrer un risque pour vos droits et libertés, nous notifierons la CNIL dans les 72 heures et vous en informerons dans les meilleurs délais, conformément à l’article 33 du RGPD.
10. Modifications de la politique
Nous nous réservons le droit de modifier la présente politique de confidentialité à tout moment, notamment pour nous conformer à l’évolution de la réglementation ou de nos pratiques. La date de dernière mise à jour est indiquée en haut de cette page.
En cas de modification substantielle affectant vos droits, nous vous en informerons par e-mail ou par une notification visible sur le site avant l’entrée en vigueur des changements.
La version en vigueur est toujours disponible à l’adresse : labo-gris-souris.com/confidentialite