Vie privée
NOTE D’INFORMATION ÉTENDUE CONFORMÉMENT AUX ARTICLES. 12, 13 ET, LE CAS ÉCHÉANT, 14 DU GDPR – RÈGLEMENT (EU) 2016/679 RELATIF À LA PROTECTION DES PERSONNES PHYSIQUES À L’ÉGARD DU TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL (CI-APRÈS LE GDPR).
Le responsable du traitement des données fournit par la présente la note d’information conformément aux articles 12, 13 et, si nécessaire, 14 du RGPD concernant le traitement des données à caractère personnel fournies par le client/la personne concernée lorsqu’il/elle remplit et signe le contrat afin d’acheter les produits/services proposés à la vente par le responsable du traitement des données lui-même, lorsqu’il/elle télécharge spontanément des données à caractère personnel sur ce site web (en particulier en remplissant des formulaires) ou lorsqu’il/elle navigue simplement sur ce site.
1. le responsable du traitement et ses coordonnées
Le contrôleur des données est SCAN & GO S.R.L., dont le siège est Via Della Tecnica 34 A/b – 41051 – Castelnuovo Rangone (Modena) , P.I. 03463820369, tel. +39 059798545, e-mail AMMINISTRAZIONE@SCAN-GO.EU, web https://www.scan-go.eu/ (ci-après le Site).
Principes applicables au traitement
Conformément aux exigences du GDPR, le responsable du traitement s’efforce en permanence de veiller à ce que les données à caractère personnel soient :
- traitées de manière légale, équitable et transparente ;
- collectées pour des finalités déterminées, explicites et légitimes, et traitées ensuite d’une manière qui n’est pas incompatible avec ces finalités ;
- adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées ;
- exactes et, si nécessaire, mises à jour ;
- conservées pendant une période n’excédant pas la réalisation des finalités pour lesquelles elles sont traitées ;
- traitées, au moyen de mesures techniques et organisationnelles appropriées, afin d’en assurer la sécurité ;
- traité, s’il s’agit d’un consentement, par une décision librement prise par le client/intéressé, sur la base d’une demande présentée d’une manière clairement identifiable, sous une forme compréhensible et aisément accessible, dans un langage simple et clair.
Le responsable du traitement prend les mesures techniques et organisationnelles appropriées pour assurer la protection des données à caractère personnel dès la conception et pour veiller à ce que seules les données nécessaires à chaque finalité spécifique du traitement soient traitées par défaut.
Le responsable du traitement recueille et prend en considération les indications, remarques et avis du client/intéressé transmis aux adresses susmentionnées, afin de mettre en œuvre un système dynamique de gestion de la vie privée qui assure une protection efficace des personnes à l’égard du traitement de leurs données.
La présente note d’information peut faire l’objet de modifications, en fonction de l’évolution de la législation de référence et des mesures techniques et organisationnelles adoptées de temps à autre par le responsable du traitement des données ; le client/personne concernée est donc invité à visiter périodiquement cette section du site Web, afin de prendre connaissance des mises à jour et de la note d’information dans le texte en vigueur de temps à autre.
3. Modalités de traitement des données personnelles
Les données personnelles sont traitées manuellement et par des moyens électroniques, dans une logique strictement liée aux finalités indiquées ci-dessous et, dans tous les cas, de manière à garantir la sécurité et la confidentialité des données.
4. Finalité du traitement des données à caractère personnel
(4a) Finalités pour lesquelles le traitement des données est nécessaire
Les données personnelles fournies par le client/intéressé sont principalement traitées pour l’exécution du contrat et la gestion du crédit et, plus généralement, de la relation découlant du contrat lui-même.
La fourniture des données dans le Contrat ou ultérieurement, au cours de la relation contractuelle, pour les finalités de traitement en question est obligatoire ; par conséquent, la non-fourniture partielle ou inexacte de ces données rend impossible la conclusion et/ou l’exécution du Contrat et, pour le Client/intéressé, de profiter des produits/services offerts par le responsable du traitement, exposant potentiellement le Client/intéressé à une responsabilité pour rupture de contrat.
Les données à caractère personnel fournies par le client/partie intéressée peuvent également être traitées si cela est nécessaire pour remplir une obligation légale à laquelle le responsable du traitement est soumis, pour sauvegarder les intérêts vitaux du client/partie intéressée ou d’une autre personne physique, pour exécuter une mission d’intérêt public ou dans le cadre de l’exercice de prérogatives de puissance publique dont est investi le responsable du traitement, ou pour poursuivre les intérêts légitimes du responsable du traitement ou de tiers, à condition que ne prévalent pas les intérêts ou les libertés et droits fondamentaux du client/partie intéressée ; même dans ces cas, la fourniture des données est obligatoire et, par conséquent, la non-fourniture des données, ou la communication partielle ou inexacte des données, peut exposer le client/intéressé à d’éventuelles responsabilités et sanctions prévues par le système juridique.
(4b) Autres finalités du traitement après consentement spécifique et exprès du client/de la personne concernée
Outre les finalités du traitement énoncées ci-dessus, les données à caractère personnel fournies/acquises peuvent être traitées sous réserve du consentement du client/de la personne concernée, qui doit être exprimé en cochant la case correspondante. <<Consentement>> sur le Contrat ou sur le Site (ou en utilisant d’autres applications sociales ou web du responsable du traitement), également dans le but de réaliser des études de marché et d’effectuer des communications commerciales et promotionnelles, par téléphone (également en utilisant le numéro de téléphone portable fourni) et par des systèmes de contact automatisés (e-mail, sms, mms, fax, etc.), sur les produits/services du responsable du traitement ou des sociétés du groupe auquel le responsable du traitement peut appartenir.
Le consentement aux fins du traitement visé au présent point (4b) est facultatif ; par conséquent, après un éventuel refus, les données ne seront traitées qu’aux fins indiquées au point (4a) ci-dessus, sauf dans les cas spécifiés ci-dessous en référence aux intérêts légitimes du responsable du traitement ou de tiers
5. Catégories de données à caractère personnel traitées
Le responsable du traitement traite principalement des données d’identification/contact (nom, prénom, adresses, type et numéro de documents d’identification, numéros de téléphone, adresses électroniques, données fiscales/facturières, sauf autres) et, si des transactions commerciales sont envisagées, des données financières (de nature bancaire, en particulier les identifiants de compte courant, les numéros de carte de crédit, sauf autres liées aux transactions commerciales susmentionnées).
Les traitements que le responsable du traitement met en œuvre, que ce soit pour l’exécution du Contrat ou en vertu du consentement exprès du Client/Intéressé, ne portent généralement pas sur des catégories particulières de données à caractère personnel, dites sensibles (révélant l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses, l’état de santé ou l’orientation sexuelle, etc.), ni sur des données génétiques et biométriques ou des données dites judiciaires (relatives à des condamnations pénales et à des infractions).
Toutefois, il n’est pas exclu que le responsable du traitement, afin d’exécuter ses obligations au titre du contrat, doive stocker et/ou ait besoin de traiter des données sensibles, génétiques et biométriques ou judiciaires, du client/parti ou de tiers, dont le client/parti dispose en sa qualité de responsable du traitement ; dans ce cas, le traitement par le responsable du traitement a lieu en vertu, dans les conditions et dans les limites prévues par la désignation du responsable du traitement lui-même en tant que sous-traitant des données par le client/parti.
Le responsable du traitement traite également, en sa qualité de responsable du traitement des données relatives au site et, éventuellement, en tant que sous-traitant des données désigné (dans les conditions énoncées ci-dessus) par le client/intéressé, des données dites de navigation. Les systèmes informatiques et les procédures logicielles utilisés pour faire fonctionner les sites Internet acquièrent, au cours de leur fonctionnement normal, certaines données personnelles dont la transmission est implicite dans l’utilisation des protocoles de communication Internet. Il s’agit d’informations qui ne sont pas collectées pour être associées à des sujets identifiés, mais qui, par leur nature même, pourraient permettre d’identifier la personne concernée. Cette catégorie d’informations comprend les données de géolocalisation, les adresses IP, le type de navigateur, le système d’exploitation, le nom de domaine et les adresses des sites web consultés ou quittés, les informations sur les pages visitées par les utilisateurs à l’intérieur du site, le temps d’accès, la durée de séjour sur la page individuelle, l’analyse du chemin interne et d’autres paramètres relatifs au système d’exploitation et à l’environnement informatique de l’utilisateur. Il s’agit d’informations qui, de par leur nature, permettent d’identifier les utilisateurs par le biais de traitements et d’associations avec des données détenues par des tiers.
Le site peut également utiliser des cookies, qu’il s’agisse de cookies de session (qui ne sont pas stockés sur l’ordinateur de l’utilisateur et disparaissent à la fermeture du navigateur) ou de cookies persistants, pour la transmission d’informations personnelles ou, en tout état de cause, de systèmes permettant de retrouver les intéressés.
6. Source des données personnelles
Les données personnelles que le responsable du traitement traite sont collectées directement par le responsable du traitement auprès du Client/client au moment et pendant la navigation de ce dernier sur le Site (ou en utilisant d’autres applications sociales ou web du responsable du traitement), ou, également par le biais de son propre personnel de vente, au moment ou à la suite de la signature du Contrat, pendant l’exécution de ce dernier, ou à partir de sources publiques.
Comme indiqué ci-dessus, le responsable du traitement, en tant que sous-traitant chargé de cette tâche, afin d’exécuter les obligations découlant du Contrat, peut stocker et/ou traiter des données, en particulier des données de navigation, potentiellement aussi des données sensibles, génétiques et biométriques ou judiciaires, de tiers, que le Client/concerné a, en sa qualité de responsable du traitement, acquises, avec le consentement de ces tiers, au moment de, et pendant, la navigation de ces tiers sur le Site (ou à l’aide d’autres applications sociales ou web référençables par le responsable du traitement).
7. Intérêts légitimes
Les intérêts légitimes du responsable du traitement ou de tiers peuvent constituer une base juridique valable pour le traitement, à condition qu’ils ne prévalent pas sur les intérêts ou les libertés et droits fondamentaux de la personne concernée. En général, ces intérêts légitimes peuvent exister lorsqu’il existe une relation pertinente et appropriée entre le responsable du traitement et la personne concernée, par exemple lorsque la personne concernée est un client du responsable du traitement. Il est notamment dans l’intérêt légitime du responsable du traitement de traiter les données à caractère personnel de la personne concernée/client : à des fins de prévention de la fraude, à des fins de marketing direct, pour assurer la libre circulation de ces données au sein du groupe d’entreprises auquel le responsable du traitement peut appartenir, ou en rapport avec le trafic, pour assurer la sécurité du réseau et de l’information, c’est-à-dire la capacité d’un réseau ou d’un système à résister à des événements imprévus ou à des actes illicites susceptibles de compromettre la disponibilité, l’authenticité, l’intégrité et la confidentialité des données.
8. circulation des données à caractère personnel
(8a) Divulgation de données à caractère personnel – catégories de destinataires
Outre les employés et les collaborateurs à divers titres du responsable du traitement (qui sont autorisés à traiter les données par le responsable du traitement sur la base d’instructions opérationnelles écrites adéquates, afin de garantir la confidentialité et la sécurité des données), certains traitements peuvent également être effectués par des tiers auxquels le responsable du traitement confie certaines activités, ou parties de celles-ci, fonctionnelles aux finalités visées au point 4a), donc en exécution d’obligations contractuelles ou légales, notamment, mais de manière inévitablement non exhaustive les partenaires commerciaux et/ou techniques ; les sociétés qui fournissent des services bancaires et financiers ; les sociétés qui fournissent des services d’archivage de documents ; les sociétés de recouvrement de créances ; les sociétés d’audit et de certification des états financiers ; les sociétés de notation ; les parties qui fournissent au responsable du traitement des données une assistance professionnelle et des conseils ; les sociétés qui fournissent une assistance à la clientèle ; les sociétés d’affacturage, les sociétés de titrisation de crédit ou d’autres cessionnaires de crédits ; les sociétés du groupe auquel le responsable du traitement des données peut appartenir ; les parties qui fournissent des informations commerciales ; les sociétés de services informatiques. Les sujets appartenant aux catégories susmentionnées traitent les données personnelles en qualité de responsables autonomes du traitement ou de sous-traitants, en se référant à des opérations de traitement spécifiques qui font partie des services contractuels que ces sujets exécutent pour le compte du responsable du traitement ; le responsable du traitement donne aux sous-traitants des instructions opérationnelles écrites adéquates, en particulier en ce qui concerne l’adoption de mesures de sécurité minimales, afin d’être en mesure de garantir la confidentialité et la sécurité des données.
Certains traitements peuvent être effectués par des tiers auxquels le responsable du traitement confie certaines activités ou une partie d’entre elles, également en relation avec les finalités visées au point 4b), parmi lesquels, toutefois, de manière inévitable et non exhaustive : les partenaires commerciaux et/ou techniques ; les sociétés qui fournissent des services de marketing sur une base institutionnelle ; les agences de publicité ; les parties qui fournissent une assistance et des conseils en matière de concours et d’opérations d’attribution de prix. Les sujets appartenant aux catégories susmentionnées traitent les données personnelles en qualité de responsables autonomes du traitement ou de sous-traitants, pour des traitements spécifiques relevant des services contractuels que les sujets eux-mêmes exécutent pour le compte du responsable du traitement ; le responsable du traitement donne aux sous-traitants des instructions opérationnelles écrites adéquates, notamment en ce qui concerne l’adoption de mesures de sécurité minimales, afin de pouvoir garantir la confidentialité et la sécurité des données.
Une liste, soumise à une mise à jour périodique, des responsables du traitement avec lesquels le responsable du traitement entretient des relations est disponible sur demande écrite adressée au siège du responsable du traitement.
Les données à caractère personnel peuvent également être communiquées, sur demande, aux autorités compétentes dans le cadre de l’exécution d’obligations découlant de réglementations légales obligatoires.
(8b) Transfert de données à caractère personnel vers des pays tiers
Les données à caractère personnel du Client/Partie intéressée peuvent également être transférées à l’étranger, soit vers des pays de l’Union européenne, soit vers des pays hors de l’Union européenne et, dans ce dernier cas, soit sur la base d’une décision d’adéquation, soit dans le cadre et avec les garanties adéquates prévues par le GDPR (donc, notamment, en présence de clauses contractuelles types de protection des données approuvées par la Commission européenne), soit, en dehors des cas susmentionnés lorsqu’une ou plusieurs des exceptions prévues par le GDPR s’appliquent (notamment en vertu du consentement exprès du Client/Client privilégié, ou pour l’exécution d’un contrat conclu entre le responsable du traitement et une autre personne physique ou morale au profit du Client/Client privilégié, notamment pour l’exécution des activités qui lui ont été confiées par le responsable du traitement pour l’exécution du Contrat conclu avec le Client/Client privilégié). En cas de transfert de données vers des pays situés en dehors de l’Union européenne, le Client/Partie est autorisé, sur demande écrite adressée au siège du responsable du traitement, à connaître les garanties adéquates, ou plutôt les exceptions, légitimant le traitement transfrontalier. Il est entendu, en cas de transfert de données vers des pays hors de l’Union européenne, que pour toute demande concernant les données, y compris pour l’exercice des droits reconnus par le GDPR au Client/Partie intéressée, ce dernier peut toujours s’adresser valablement au responsable du traitement.
9. Critères de détermination de la durée de conservation des données à caractère personnel
Aux fins énoncées au point (4a) ci-dessus, la durée de conservation des données à caractère personnel communiquées par le Client/commanditaire, et leur traitement éventuel, coïncide avec la durée de prescription des droits/obligations (juridiques, fiscaux, etc.) découlant du Contrat : en principe 10 ans, donc, sauf survenance d’événements interruptifs de la prescription qui pourraient, de fait, prolonger cette durée.
Aux fins du point (4b) ci-dessus, la période de conservation des données communiquées par le client/client privilégié et le traitement potentiel qui en découle prennent fin avec la révocation du consentement précédemment donné par le client/client privilégié ou, à défaut, un an après la fin de toute relation entre le responsable du traitement des données et le client/client privilégié.
10. Droits du client/de la partie intéressée
Le responsable du traitement reconnaît – et facilite l’exercice, par le client/intéressé, de – tous les droits prévus par le GDPR, en particulier le droit de demander l’accès à ses données personnelles et d’en extraire une copie (Art. 15 GDPR), la rectification (Art. 16 GDPR) et l’effacement de celles-ci (Art. 17 GDPR), la limitation du traitement le concernant (Art. 18 GDPR), à la portabilité des données (Art. 20 GDPR, si les conditions sont remplies) et à s’opposer au traitement des données à caractère personnel (Art. 21 et 22 GDPR, pour les cas qui y sont mentionnés et, en particulier, au traitement à des fins de marketing ou qui résulte d’une prise de décision automatisée, y compris le profilage, qui produit des effets juridiques à son égard, si les conditions sont remplies).
Le responsable du traitement reconnaît également que, lorsque le traitement est fondé sur le consentement, le Client/la personne concernée a le droit de retirer ledit consentement à tout moment, sans préjudice de la légalité du traitement fondé sur le consentement donné avant le retrait. Pour ce faire, le Client/la personne concernée peut se désinscrire à tout moment sur le Site (ou sur d’autres applications sociales ou web du responsable du traitement) ou en utilisant le lien approprié au bas de toute communication commerciale reçue, ou en contactant le responsable du traitement aux coordonnées indiquées ci-dessus.
Le responsable du traitement informe également le client/intéressé de son droit d’introduire une réclamation auprès de l’autorité italienne de protection des données, en tant qu’autorité de contrôle opérant en Italie, et d’introduire un recours judiciaire, à la fois contre une décision de l’autorité de protection des données et contre le responsable du traitement lui-même et/ou un sous-traitant des données.
11. Sécurité des systèmes et des données
Compte tenu de l’état de l’art et des coûts de mise en œuvre, ainsi que de la nature, de l’objet, du contexte et des finalités du traitement, et du risque, en termes de probabilité et de gravité, pour les droits et libertés des personnes physiques, le responsable du traitement met en œuvre les mesures techniques et organisationnelles jugées appropriées pour assurer un niveau de sécurité adapté au risque, notamment en garantissant de manière permanente, la confidentialité, l’intégrité, la disponibilité et la résilience des systèmes et services de traitement (y compris par le cryptage des données à caractère personnel, si nécessaire) et la capacité de rétablir la disponibilité des données en temps utile en cas d’incident physique ou technique, et en adoptant des procédures internes visant à tester, vérifier et évaluer régulièrement l’efficacité des mesures techniques et organisationnelles mises en œuvre.
Lors de l’évaluation du niveau de sécurité adéquat, il est tenu compte des risques présentés par le traitement, qui résultent notamment de la destruction, de la perte, de l’altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou de l’accès non autorisé à de telles données, que ce soit de manière accidentelle ou illicite.
Le responsable du traitement veille à ce que toute personne agissant sous son autorité et ayant accès à des données à caractère personnel ne traite pas ces données, sauf si le responsable du traitement lui en donne l’instruction.
Cela dit, le client/la personne concernée reconnaît et accepte qu’aucun système de sécurité ne garantit, de manière certaine, une protection absolue ; par conséquent, le responsable du traitement n’est pas responsable des actes ou des faits de tiers qui, illégalement, malgré les précautions appropriées prises, accèdent aux systèmes sans y être dûment autorisés.
12. Processus décisionnels automatisés, y compris le profilage
Le responsable du traitement peut effectuer un traitement automatisé, y compris le profilage, en relation avec les finalités énoncées au point (4b) ci-dessus, afin d’optimiser la navigabilité du Site (ou la facilité d’utilisation d’autres applications sociales ou web du responsable du traitement) et d’améliorer l’expérience d’achat, sous réserve des spécifications ci-dessus concernant les droits d’opposition et de retrait du consentement du Client/de la personne concernée.
On entend par profilage toute forme de traitement automatisé de données à caractère personnel visant à évaluer certains aspects relatifs à une personne physique, en particulier à analyser ou à prédire des aspects concernant, par exemple, les préférences personnelles, les intérêts ou la localisation de cette personne, y compris dans le but de créer des profils, c’est-à-dire des groupes homogènes de personnes en fonction de caractéristiques, d’intérêts ou de comportements.
Le responsable du traitement ne procède à aucun traitement automatisé produisant des effets juridiques à l’égard du Client/Client privilégié ou l’affectant de manière significative de façon similaire, à moins que ce traitement ne soit nécessaire à la conclusion ou à l’exécution du Contrat, qu’il ne soit autorisé par la loi ou qu’il ne soit fondé sur le consentement explicite du Client/Client privilégié, en reconnaissant toujours, en tout état de cause, le droit du Client d’obtenir une intervention humaine, d’exprimer son opinion et de contester la décision.