Politique de confidentialité et données personnelles

PlaceDesCartes.fr assure à l'Utilisateur une collecte et un traitement des informations personnelles dans le respect de la vie privée conformément à la loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés et déclaré à la CNIL sous le numéro 1799422.

En vertu des articles 39 et 40 de la loi en date du 6 janvier 1978, l'Utilisateur dispose d'un droit d'accès, de rectification, de suppression et d'opposition de ses données personnelles en nous contactant :

• par mail à service-client@placedescartes.fr ;
• par voie postale à l’adresse suivante : « Placedescartes – Service Client, 10 rue Pierre SEMARD, 69007 Lyon ».

Objectifs poursuivis par le traitement

Le traitement a les finalités suivantes :

• effectuer les opérations relatives à la gestion des clients concernant : les commandes ; les livraisons ; les factures ; la gestion des comptes clients ; un programme de fidélité ; le suivi de la relation client tel que la réalisation d'enquêtes de satisfaction, la gestion des réclamations et du service après-vente ; la sélection de clients pour réaliser des études ou sondages.
• effectuer des opérations relatives à la prospection :
  • la gestion d'opérations techniques de prospection (ce qui inclut notamment les opérations techniques comme la normalisation, l'enrichissement et la déduplication) ;
  • la sélection de personnes pour réaliser des actions de fidélisation, de prospection, de sondage, et de promotion ;
  • la réalisation d'opérations de sollicitations ;
• l'élaboration de statistiques commerciales ;
• l'organisation de jeux concours, de loteries ou de toute opération promotionnelle ;
• la gestion des demandes de droit d'accès, de rectification et d'opposition ;
• la gestion des impayés et du contentieux ;
• la gestion des avis des personnes sur des produits, services ou contenus.

Données personnelles concernées

a) l'identité : civilité, nom, prénoms, adresse, numéro de téléphone (fixe et/ou mobile), adresse de courrier électronique, date de naissance, code interne de traitement permettant l'identification du client. Une copie d'un titre d'identité peut être conservée aux fins de preuve de l'exercice d'un droit d'accès, de rectification ou d'opposition ou pour répondre à une obligation légale ;

b) les données relatives aux moyens de paiement : relevé d'identité postale ou bancaire, numéro de carte bancaire (seuls les 4 premiers et les 4 derniers chiffres sont conservés au delà de la transaction), date de fin de validité de la carte bancaire, cryptogramme visuel (ce dernier n'est pas conservé au delà de la transaction) ;

c) les données relatives à la transaction telles que le numéro de la transaction, le détail de l'achat, de l'abonnement, du bien ou du service souscrit ;

d) la situation familiale, économique et financière : vie maritale, nombre de personnes composant le foyer, nombre et âge du ou des enfant(s) au foyer, profession, domaine d'activité, catégorie socioprofessionnelle ;

e) les données relatives au suivi de la relation commerciale : produits achetés, quantité, montant, périodicité, adresse de livraison, historique des achats, retour des produits, origine de la vente (vendeur, représentant, partenaire, affilié) ou de la commande, correspondances avec le client et service après-vente, échanges et commentaires des clients et prospects, personne(s) en charge de la relation client ;

f) les données relatives aux règlements des factures : modalités de règlement, remises consenties, reçus, soldes et impayés;

g) les données nécessaires à la réalisation des actions de fidélisation, de prospection, d’étude, de sondage, de test produit et de promotion, la sélection des personnes ne pouvant résulter que de l’analyse des données listées précédemment ;

h) les données relatives à l'organisation et au traitement des jeux concours, de loteries et de toute opération promotionnelle telles que la date de participation, les réponses apportées aux jeux concours et la nature des lots offerts ;

i) les données relatives aux contributions des personnes qui déposent des avis sur des produits, services ou contenus, notamment leur pseudonyme ;

j) les données de connexion (date, heure, adresse Internet, protocole de l'ordinateur du visiteur, page consultée) pourront être exploitées à des fins de mesure d'audience;

Durée de conservation des données

Concernant les données relatives à la gestion de clients et de prospects :

Les données à caractère personnel relatives aux clients ne sont pas conservées au-delà de la durée strictement nécessaire à la gestion de la relation commerciale.

Toutefois, les données permettant d’établir la preuve d’un droit ou d’un contrat, ou conservées au titre du respect d’une obligation légale, peuvent faire l’objet d’une politique d’archivage intermédiaire pour une durée n’excédant pas la durée nécessaire aux finalités pour lesquelles elles sont conservées, conformément aux dispositions en vigueur.

Par ailleurs, les données des clients utilisées à des fins de prospection commerciale peuvent être conservées pendant un délai de trois ans à compter de la fin de la relation commerciale (par exemple, à compter d’un achat, de la date d’expiration d’une garantie, du terme d’un contrat de prestations de services ou du dernier contact émanant du client).

Les données à caractère personnel relatives à un prospect non client peuvent être conservées pendant un délai de trois ans à compter de leur collecte par le responsable de traitement ou du dernier contact émanant du prospect.

Au terme de ce délai de trois ans, le responsable de traitement pourra reprendre contact avec la personne concernée afin de savoir si elle souhaite continuer à recevoir des sollicitations commerciales. En l’absence de réponse positive et explicite de la personne, les données seront supprimées ou archivées conformément aux dispositions en vigueur.

Concernant les pièces d’identité :

En cas d'exercice du droit d'accès ou de rectification, les données relatives aux pièces d'identité peuvent être conservées pendant le délai prévu à l'article 9 du code de procédure pénale (soit un an). En cas d'exercice du droit d'opposition, ces données peuvent être archivées pendant le délai de prescription prévu à l'article 8 du code de procédure pénale (soit trois ans).

Concernant les données relatives aux cartes bancaires :

Les données relatives aux cartes bancaires sont supprimées une fois la transaction réalisée, c’est-à-dire dès son paiement effectif, qui peut être différé à la réception du bien, augmenté, le cas échéant, du délai de rétractation prévu pour les contrats conclus à distance et hors établissement, conformément à l’article L. 221-18 du code de la consommation.

Dans le cas d’un paiement par carte bancaire, le numéro de la carte (4 premiers et 4 derniers chiffres) et la date de validité de celle-ci peuvent être conservés pour une finalité de preuve en cas d’éventuelle contestation de la transaction, en archives intermédiaires, pour la durée prévue par l’article L. 133-24 du code monétaire et financier, en l’occurrence treize mois suivant la date de débit. Ce délai peut être étendu à quinze mois afin de prendre en compte la possibilité d’utilisation de cartes de paiement à débit différé. Ces données seront utilisées uniquement en cas de contestation de la transaction.

Les données relatives aux cartes bancaires peuvent être conservées plus longtemps sous réserve d’obtenir le consentement exprès du client, préalablement informé de l’objectif poursuivi (notamment, faciliter le paiement des clients réguliers). La durée de conservation n'excédera alors pas la durée nécessaire à l’accomplissement de la finalité visée par le traitement. Il est possible de revenir à tout moment sur le consentement donné pour la conservation des données de la carte, afin de faciliter les achats ultérieurs, en contactant le service client.

De manière générale, les données relatives au cryptogramme visuel ne sont pas conservées au-delà du temps nécessaire à la réalisation de chaque transaction, y compris en cas de paiements successifs ou de conservation du numéro de la carte pour les achats ultérieurs.

Lorsque la date d’expiration de la carte bancaire est atteinte, les données relatives à celles-ci sont supprimées.

Concernant la gestion des listes d'opposition à recevoir de la prospection :

Lorsqu'une personne exerce son droit d'opposition à recevoir de la prospection, les informations permettant de prendre en compte son droit d'opposition sont conservées au minimum trois ans à compter de l'exercice du droit d'opposition. Ces données ne sont en aucun cas être utilisées à d'autres fins que la gestion du droit d'opposition et seules les données nécessaires à la prise en compte du droit d’opposition sont conservées (par exemple, l’adresse électronique).

Concernant les statistiques de mesure d'audience :

Les informations stockées dans le terminal des utilisateurs (ex : cookies), ou tout autre élément utilisé pour identifier les utilisateurs et permettant leur traçabilité, ne sont pas conservés au-delà de treize mois. Les nouvelles visites ne prolongent pas la durée de vie de ces informations.
Les données de fréquentation brutes associant un identifiant ne sont pas conservées plus de treize mois. Au-delà de ce délai, les données sont soit supprimées, soit anonymisées. 

Destinataires des données

Dans la limite de leurs attributions respectives, peuvent avoir accès aux données personnelles :

• le personnel habilité du service marketing, du service commercial, des services chargés de traiter la relation client et la prospection, des services administratifs, des services logistiques et informatiques ainsi que leurs responsables hiérarchiques ;
• le personnel habilité des services chargés du contrôle (commissaire aux comptes, services chargés des procédures internes du contrôle...) ;
• le personnel habilité des sous-traitants dès lors que le contrat signé entre les sous-traitants et le responsable du traitement fait mention des obligations incombant aux sous-traitants en matière de protection de la sécurité et de la confidentialité des données (article 35 de la loi du 6 janvier 1978 modifiée) et précise notamment les objectifs de sécurité devant être atteints.

Peuvent être destinataires des données :

• les partenaires, les sociétés extérieures ou les filiales d'un même groupe de sociétés dans les conditions prévues par l'article 6 de la norme ;
• les organismes, les auxiliaires de justice et les officiers ministériels, dans le cadre de leur mission de recouvrement de créances ;
• l’organisme en charge de la gestion de la liste d’opposition au démarchage téléphonique

Sécurité et confidentialité

Toutes précautions utiles sont prises pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées ou endommagées ou que des tiers non autorisés y aient accès.

Les accès aux traitements de données nécessitent une authentification des personnes accédant aux données, au moyen d'un code d'accès et d'un mot de passe individuels, suffisamment robustes et régulièrement renouvelés, ou par tout autre moyen d'authentification. Tous les mots de passes sont hachés au moyen d'algorithmes fiables et sécurisés et aucun mot de passe n'est stocké en clair.

Afin de se prémunir contre toute atteinte à la confidentialité des données traitées, les données transitant sur des canaux de communication non sécurisés font l'objet de mesures techniques (Notamment le protocole HTTPS) visant à rendre ces données incompréhensibles à toute personne non autorisée.

Les accès aux données relatives aux moyens de paiement font l'objet de mesures de traçabilité permettant de détecter a posteriori tout accès illégitime aux données et de l'imputer à la personne ayant accédé illégitimement à ces données.

Lorsqu'un moyen de paiement à distance est utilisé, le responsable de traitement (Ingenico ePayments) a mis en place les mesures organisationnelles et techniques appropriées afin de préserver la sécurité, l'intégrité et la confidentialité des numéros de cartes bancaires contre tout accès, utilisation, détournement, communication ou modification non autorisés en recourant à des systèmes de paiement sécurisés conformes à l'état de l'art et à la réglementation applicable (notamment le chiffrement des données par l'intermédiaire d'un algorithme réputé « fort »).

Lorsque le responsable de traitement conserve les numéros de carte bancaire pour une finalité de preuve en cas d'éventuelle contestation de la transaction, ces numéros font l'objet de mesures techniques visant à prévenir toute réutilisation illégitime, ou toute ré-identification des personnes concernées (stockage des numéros de carte bancaire sous forme hachée avec utilisation d'une clé secrète).

De manière générale, s’agissant de mesures de sécurité à mettre en place pour les données relatives aux cartes bancaires, la norme renvoie vers l’article 5 de la délibération n° 2013-358 du 14 novembre 2013.

Concernant les pièces d’identité, celles-ci ne sont accessibles qu’à un nombre de personnes restreint, et des mesures de sécurité sont mises en œuvre afin d’empêcher toute réutilisation détournée de ces données.