PROTECTION DES DONNEES PERSONNELLES

 Afin de garantir la conformité au Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, la société RIPSTEER :

  1. Détient un registre des traitements,
  2. Assure la bonne information des personnes sur la collecte et le traitement des données personnelles
  3. A mis en place une procédure en cas de violation de données personnelles.

 Le texte du Règlement UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016

Pour consulter le texte du Règlement, cliquez sur le lien ci-dessous :

 https://www.cnil.fr/fr/reglement-europeen-protection-donnees

 

L’information des personnes sur la collecte et le traitement des données personnelles

Il est rappelé, en tant que de besoin, qu’en vue de la réalisation de l’objectif II ci-dessus, les Conditions générales de vente et d’utilisation de RIPSTEER prévoient les informations suivantes :

Extrait des Conditions générales de vente et d’utilisation:

(…) Article 11: Données personnelles. Traitement des données personnelles.

Toutes les informations personnelles concernant chaque Membre sont recueillies par la Société conformément aux dispositions relatives à la protection des données personnelles.

Consentement des personnes concernées.

En acceptant les présentes Conditions générales de vente les Membres autorisent la Société à :

  1. transmettre ses données personnelles aux Prestataires de services et/ou à la société Mangopay,
  2. utiliser ses données personnelles dans le but de la réalisation par la Société des finalités suivantes :
  3. effectuer les opérations relatives à la gestion des clients : les contrats ; les commandes ; les livraisons ; les factures ; la comptabilité et en particulier la gestion des comptes clients ; un programme de fidélité au sein d'une entité ou plusieurs entités juridiques ; le suivi de la relation client tel que la réalisation d'enquêtes de satisfaction, la gestion des réclamations et du service après-vente ; la sélection de clients pour réaliser des études, sondages et tests produits ;  ces opérations ne vont pas conduire à l'établissement de profils susceptibles de faire apparaître des données sensibles - origines raciales ou ethniques, opinions philosophiques, politiques, syndicales, religieuses, vie sexuelle ou santé des personnes).
  4. effectuer des opérations relatives à la prospection : 
    • la gestion d'opérations techniques de prospection (ce qui inclut notamment les opérations techniques comme la normalisation, l'enrichissement et la déduplication),
    • la sélection de personnes pour réaliser des actions de fidélisation, de prospection, de sondage, de test produit et de promotion. Ces opérations ne vont pas conduire à l'établissement de profils susceptibles de faire apparaître des données sensibles (origines raciales ou ethniques, opinions philosophiques, politiques, syndicales, religieuses, vie sexuelle ou santé des personnes),
    • la réalisation d'opérations de sollicitations ;

5. l'élaboration de statistiques commerciales,

6. la cession, la location ou l'échange de ses fichiers de clients et de ses fichiers de prospects,

7. l’actualisation des fichiers de prospection par l’organisme en charge de la gestion de la liste d’opposition au démarchage téléphonique, en application des dispositions du code de la consommation,

8. l'organisation de jeux concours, de loteries ou de toute opération promotionnelle à l'exclusion des jeux d'argent et de hasard en ligne soumis à l'agrément de l'Autorité de Régulation des Jeux en Ligne,

9. la gestion des demandes de droit d'accès, de rectification et d'opposition,

10. la gestion des impayés et du contentieux, à condition qu'elle ne porte pas sur des infractions et/ou qu'elle n'entraine pas une exclusion de la personne du bénéfice d'un droit, d'une prestation ou d'un contrat,

11. la gestion des avis des personnes sur des produits, services ou contenus.

 

Par ailleurs, les Membres reconnaissent expressément et autorisent que les informations et/ou les données personnelles qu’ils publient peuvent être collectées et utilisées par les tiers, le Membre déchargeant la Société de toute responsabilité ou conséquence dommageable de l’utilisation par les tiers des informations échangées par le biais de la plateforme de la Société.

Droits d’accès, de rectification, de modification et de suppression des personnes concernées.

 Tous les Membres et/ou les Prestataires de services disposent à tout moment d'un droit d'accès, de rectification, de modification et de suppression de ses données personnelles.

 Pour exercer ces droits, adressez-vous au Service Relations Clients : contact@ripsteer.com.

Les Membres peuvent s’opposer à la réutilisation par le responsable du fichier de leurs coordonnées à des fins de sollicitations, notamment commerciales, lors d’une commande ou de la signature d’un contrat.

 Pour exercer ce droit, adressez-vous au Service Relations Clients : contact@ripsteer.com.

 Toute personne a le droit de s’opposer, pour des motifs légitimes, au traitement de ses données, sauf si celui-ci répond à une obligation légale (ex : fichiers des impôts).

 Les droits d’accès et de rectification :

 Toute personne peut,

  • accéder à l’ensemble des informations la concernant,
  • connaître l’origine des informations le concernant,
  • accéder aux informations sur lesquelles le responsable du fichier s’est fondé pour prendre une décision le concernant (par exemple, les éléments qui auraient servi pour ne pas vous accorder une promotion),
  • en obtenir la copie, ( des frais n’excédant pas le coût de la reproduction peuvent être demandés)
  • exiger que ses données soient, selon les cas, rectifiées, complétées, mises à jour ou supprimées.

 Le droit d’accès peut s’exercer :

  •  Par écrit : en envoyant un courrier recommandée avec accusé de réception, accompagné d’une copie d’une pièce d’identité.

 Le responsable du fichier dispose d’un délai de réponse maximal de 2 mois à compter de la date de réception de la demande.

 Si la demande est incomplète (absence de la pièce d’identité par exemple), le responsable du fichier est en droit de demander des compléments : le délai est alors suspendu et courre à nouveau une fois ces éléments fournis.

Le responsable du fichier peut : 

  • refuser la demande d’accès : dans ce cas, il motivera sa décision et informera le demandeur des voies et délais de recours permettant de la contester.
  • Ne pas répondre aux demandes qui sont manifestement abusives notamment par leur nombre, leur caractère répétitif ou systématique (par exemple, demande d’une copie intégrale d’un enregistrement toutes les semaines).

 Le droit d’accès s’exerce dans le respect du droit des tiers : un salarié d’une entreprise ne peut obtenir des données relatives à un autre salarié. 

 Les valeurs de classement annuel ou de potentiel de carrière sont communicables lorsqu’elles ont servi à prendre une décision. L’employeur n’est pas tenu de les communiquer lorsqu’elles sont encore prévisionnelles.

  

Procédure en cas de violation de données personnelles

 En cas de violation des données, la société RIPSTEER met ci-dessous à votre disposition un formulaire de notification de violations de données personnelles :

 https://www.cnil.fr/sites/default/files/typo/document/CNIL_Formulaire_Notification_de_Violations.pdf

 Ce formulaire doit être transmis au Service Relations Clients : contact@ripsteer.com.

 Ce formulaire sera notifié à l’autorité de protection dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d'engendrer un risque pour les droits et libertés des personnes physiques.

Identité et coordonnées des responsables de traitement

Le responsable du traitement est, la personne qui détermine les moyens et les finalités du traitement. Le sous-traitant est une personne traitant des données à caractère personnel pour le compte du responsable du traitement. Il agit sous l’autorité du responsable du traitement et sur instruction de celui-ci.

Le responsable du traitement des Données Personnelles est :

 

  1. Pour les Données Personnelles collectées auprès de Membres (les personnes physiques ayant eu le recours à la plateforme Ripsteer) directement via la Plateforme ou l’Application dans le cadre de la création du compte personnel : RIPSTEER sise 59, boulevard Exelmans, 75016 Paris immatriculée au R.C.S de Paris sous le numéro 834.654.857. RIPSTEER est représentée par M. Thierry Hocquerelle, son Président.
  2. Pour les Données Personnelles collectées auprès de Membres (les personnes physiques ayant eu le recours à la plateforme Ripsteer) par le Professionnel de service et/ou par les organisateurs des événements : chaque Professionnel de service et/ou chaque les organisateurs des événements. Ripsteer est sous-traitant : il agit sur instruction particulière de chaque Professionnel de service et/ou chaque les organisateurs des événements.
  3. Pour les Données Personnelles collectées auprès de Membres (les personnes physiques ayant eu le recours à la plateforme Ripsteer) par les sous-traitants de Ripsteer, tels qu’OVH, Mangopay, Google, sans que cette liste soit exhaustive, chaque sous-traitant concerné.

 

Qu’elle soit responsable de traitement ou sous-traitant, Ripsteer prend les mesures propres à assurer la protection et la confidentialité des informations nominatives qu’elle détient ou qu’elle traite dans le respect des dispositions du RGPD.

 

Catégorie de données personnelles traitées

a) l'identité : civilité, nom, prénoms, adresse, numéro de téléphone (fixe et/ou mobile), numéro de télécopie, adresses de courrier électronique, date de naissance, code interne de traitement permettant l'identification du client (ce code interne de traitement ne peut être le numéro d'inscription au répertoire national d'identification des personnes physiques (numéro de sécurité sociale), ni le numéro de carte bancaire, ni le numéro d'un titre d'identité). Une copie d'un titre d'identité peut être conservée aux fins de preuve de l'exercice d'un droit d'accès, de rectification ou d'opposition ou pour répondre à une obligation légale ;

b) les données relatives aux moyens de paiement : relevé d'identité postale ou bancaire, numéro de chèque, numéro de carte bancaire, date de fin de validité de la carte bancaire, cryptogramme visuel (ce dernier ne devant pas être conservé) ;

c) les données relatives à la transaction telles que le numéro de la transaction, le détail de l'achat, de l'abonnement, du bien ou du service souscrit ;

d) la situation familiale, économique et financière : vie maritale, nombre de personnes composant le foyer, nombre et âge du ou des enfant(s) au foyer, profession, domaine d'activité, catégorie socioprofessionnelle, présence d'animaux domestiques ;

e) les données relatives au suivi de la relation commerciale : demandes de documentation, demandes d'essai, produit acheté, service ou abonnement souscrit, quantité, montant, périodicité, adresse de livraison, historique des achats et des prestations de services, retour des produits, origine de la vente (vendeur, représentant, partenaire, affilié) ou de la commande, correspondances avec le client et service après-vente, échanges et commentaires des clients et prospects, personne(s) en charge de la relation client ;

f) les données relatives aux règlements des factures : modalités de règlement, remises consenties, reçus, soldes et impayés n'entraînant pas une exclusion de la personne du bénéfice d'un droit, d'une prestation ou d'un contrat soumis à autorisation de la Commission telle que prévue par les dispositions de l'article 25-I-4° de la loi du 6 janvier 1978 modifiée . Les informations relatives aux crédits souscrits (montant et durée, nom de l'organisme prêteur) peuvent également être traitées par le commerçant en cas de financement de la commande par crédit ;

g) les données nécessaires à la réalisation des actions de fidélisation, de prospection, d’étude, de sondage, de test produit et de promotion,

h) les données relatives à l'organisation et au traitement des jeux concours, de loteries et de toute opération promotionnelle telles que la date de participation, les réponses apportées aux jeux concours et la nature des lots offerts ;

i) les données relatives aux contributions des personnes qui déposent des avis sur des produits, services ou contenus, notamment leur pseudonyme ;

j) les données collectées par le biais des actions visées à l’article 32-II de la loi du 6 janvier 1978 modifiée, dans le respect des recommandations figurant dans la délibération n° 2013-378 du 5 décembre 2013.

 

Durée de conservation des données

 

Concernant les données relatives à la gestion de clients et de prospects :

Les données à caractère personnel relatives aux clients ne sont conservées au-delà de la durée strictement nécessaire à la gestion de la relation commerciale.

Toutefois, les données permettant d’établir la preuve d’un droit ou d’un contrat, ou conservées au titre du respect d’une obligation légale, peuvent faire l’objet d’une politique d’archivage intermédiaire pour une durée n’excédant pas la durée nécessaire aux finalités pour lesquelles elles sont conservées, conformément aux dispositions en vigueur (notamment mais non exclusivement celles prévues par le code de commerce, le code civil et le code de la consommation).

Pour pouvoir conserver, au-delà de la durée de conservation fixée au regard de l’article 6.5° de la loi, des informations relatives à des clients ou des prospects à des fins d’analyses ou d’élaboration de statistiques agrégées, les données doivent être anonymisées de manière irréversible, en procédant à la purge de toutes les données à caractère personnel, y compris les données indirectement identifiantes. A cet égard, le G29 a adopté un avis le 10 avril 2014 sur les techniques d’anonymisation.

Par ailleurs, les données des clients utilisées à des fins de prospection commerciale peuvent être conservées pendant un délai de trois ans à compter de la fin de la relation commerciale (par exemple, à compter d’un achat, de la date d’expiration d’une garantie, du terme d’un contrat de prestations de services ou du dernier contact émanant du client).

Les données à caractère personnel relatives à un prospect non client peuvent être conservées pendant un délai de trois ans à compter de leur collecte par le responsable de traitement ou du dernier contact émanant du prospect (par exemple, une demande de documentation ou un clic sur un lien hypertexte contenu dans un courriel ; en revanche, l'ouverture d’un courriel ne peut être considérée comme un contact émanant du prospect).

Au terme de ce délai de trois ans, le responsable de traitement pourra reprendre contact avec la personne concernée afin de savoir si elle souhaite continuer à recevoir des sollicitations commerciales. En l’absence de réponse positive et explicite de la personne, les données seront supprimées ou archivées conformément aux dispositions en vigueur, et notamment celles prévues par le code de commerce, le code civil et le code de la consommation.

 

Concernant les pièces d’identité :

En cas d'exercice du droit d'accès ou de rectification, les données relatives aux pièces d'identité peuvent être conservées pendant le délai prévu à l'article 9 du code de procédure pénale (soit un an). En cas d'exercice du droit d'opposition, ces données peuvent être archivées pendant le délai de prescription prévu à l'article 8 du code de procédure pénale (soit trois ans).

 

Concernant les données relatives aux cartes bancaires :

Les données relatives aux cartes bancaires doivent être supprimées une fois la transaction réalisée, c’est-à-dire dès son paiement effectif, qui peut être différé à la réception du bien, augmenté, le cas échéant, du délai de rétractation prévu pour les contrats conclus à distance et hors établissement, conformément à l’article L. 221-18 du code de la consommation.

Dans le cas d’un paiement par carte bancaire, le numéro de la carte et la date de validité de celle-ci peuvent être conservés pour une finalité de preuve en cas d’éventuelle contestation de la transaction, en archives intermédiaires, pour la durée prévue par l’article L. 133-24 du code monétaire et financier, en l’occurrence treize mois suivant la date de débit. Ce délai peut être étendu à quinze mois afin de prendre en compte la possibilité d’utilisation de cartes de paiement à débit différé. Ces données doivent être utilisées uniquement en cas de contestation de la transaction. Les données conservées à cette fin doivent faire l’objet de mesures de sécurité, telles que décrites à l’article 8 de la présente norme et à l’article 5 de la délibération n° 2013-358 du 14 novembre 2013 susvisée.

Les données relatives aux cartes bancaires peuvent être conservées plus longtemps sous réserve d’obtenir le consentement exprès du client, préalablement informé de l’objectif poursuivi (par exemple, faciliter le paiement des clients réguliers). La durée de conservation ne saurait alors excéder la durée nécessaire à l’accomplissement de la finalité visée par le traitement.

De manière générale, les données relatives au cryptogramme visuel ne doivent pas être conservées au-delà du temps nécessaire à la réalisation de chaque transaction, y compris en cas de paiements successifs ou de conservation du numéro de la carte pour les achats ultérieurs.

Lorsque la date d’expiration de la carte bancaire est atteinte, les données relatives à celles-ci doivent être supprimées.

 

Concernant la gestion des listes d'opposition à recevoir de la prospection :

Lorsqu'une personne exerce son droit d'opposition à recevoir de la prospection auprès d'un responsable de traitement, les informations permettant de prendre en compte son droit d'opposition doivent être conservées au minimum trois ans à compter de l'exercice du droit d'opposition. Ces données ne peuvent en aucun cas être utilisées à d'autres fins que la gestion du droit d'opposition et seules les données nécessaires à la prise en compte du droit d’opposition doivent être conservées (par exemple, l’adresse électronique).

 

Concernant les statistiques de mesure d'audience :

Les informations stockées dans le terminal des utilisateurs (ex : cookies), ou tout autre élément utilisé pour identifier les utilisateurs et permettant leur traçabilité, ne seront conservés au-delà de treize mois. Les nouvelles visites ne vont pas prolonger la durée de vie de ces informations. Les données de fréquentation brutes associant un identifiant ne doivent pas être conservées plus de treize mois.

Au-delà de ce délai, les données seront soit supprimées, soit anonymisées.

 

Destinataires des données

Dans la limite de leurs attributions respectives, peuvent avoir accès aux données personnelles :

  • le personnel habilité du service marketing, du service commercial, des services chargés de traiter la relation client et la prospection, des services administratifs, des services logistiques et informatiques ainsi que leurs responsables hiérarchiques,
  • le personnel habilité des services chargés du contrôle (commissaire aux comptes, services chargés des procédures internes du contrôle...),
  • le personnel habilité des sous-traitants dès lors que le contrat signé entre les sous-traitants et le responsable du traitement fait mention des obligations incombant aux sous-traitants en matière de protection de la sécurité et de la confidentialité des données (article 35 de la loi du 6 janvier 1978 modifiée) et précise notamment les objectifs de sécurité devant être atteints.

Peuvent être destinataires des données :

  • les partenaires, les sociétés extérieures ou les filiales d'un même groupe de sociétés,
  • les organismes, les auxiliaires de justice et les officiers ministériels, dans le cadre de leur mission de recouvrement de créances,
  • l’organisme en charge de la gestion de la liste d’opposition au démarchage téléphonique.

 

Sécurité et confidentialité

Lorsque l’utilisation d’un service de communication au public en ligne donne lieu à la création d’un compte par l’utilisateur, les données seront effacées dès que le compte est supprimé.

S’agissant des comptes n’étant plus utilisés depuis un certain laps de temps par l’utilisateur, un délai sera fixé pour déterminer la durée à partir de laquelle ces comptes doivent être considérés comme des comptes inactifs. Au terme de ce délai, les données relatives au compte inactif seront supprimées. Le responsable de traitement va avertir l’utilisateur par tous les moyens disponibles avant de procéder à cette suppression et lui donnera la possibilité de manifester sa volonté contraire. Il est envisageable que la personne concernée donne son consentement spécifique pour que tout ou partie des données soient archivées par le responsable de traitement, pour une durée déterminée et raisonnable, en vue d’une réactivation future du compte.

Dans tous les cas, le responsable de traitement ménagera la possibilité pour la personne concernée d’exercer ses droits si des données à caractère personnel la concernant restent traitées indépendamment de la clôture du compte et de la suppression des données de celui-ci.

Le responsable du traitement prendra toutes précautions utiles pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées ou endommagées ou que des tiers non autorisés y aient accès.

Les accès aux traitements de données nécessitera une authentification des personnes accédant aux données, au moyen d'un code d'accès et d'un mot de passe individuels, suffisamment robustes et régulièrement renouvelés, ou par tout autre moyen d'authentification. Les mots de passe ne seront pas stockés en clair.

Dans le cas de l'utilisation d'un service de communication au public en ligne, le responsable de traitement prendra les mesures nécessaires pour se prémunir contre toute atteinte à la confidentialité des données traitées. Les données transitant sur des canaux de communication non sécurisés seront notamment faire l'objet de mesures techniques visant à rendre ces données incompréhensibles à toute personne non autorisée (par exemple, protocole HTTPS).

Les accès aux données relatives aux moyens de paiement feront l'objet de mesures de traçabilité permettant de détecter a posteriori tout accès illégitime aux données et de l'imputer à la personne ayant accédé illégitimement à ces données.

Lorsqu'un moyen de paiement à distance est utilisé, le responsable de traitement prendra les mesures organisationnelles et techniques appropriées afin de préserver la sécurité, l'intégrité et la confidentialité des numéros de cartes bancaires contre tout accès, utilisation, détournement, communication ou modification non autorisés en recourant à des systèmes de paiement sécurisés conformes à l'état de l'art et à la réglementation applicable (notamment le chiffrement des données par l'intermédiaire d'un algorithme réputé « fort »).

Lorsque le responsable de traitement conserve les numéros de carte bancaire pour une finalité de preuve en cas d'éventuelle contestation de la transaction, ces numéros doivent faire l'objet de mesure technique visant à prévenir toute réutilisation illégitime, ou toute ré-identification des personnes concernées (stockage des numéros de carte bancaire sous forme hachée avec utilisation d'une clé secrète).

Concernant les pièces d’identité, celles-ci ne seront accessibles qu’à un nombre de personnes restreint, et des mesures de sécurité seront mises en œuvre afin d’empêcher toute réutilisation détournée de ces données (apposition d’un marquage spécifique, fourniture du seul recto de la pièce d’identité et photocopie en noir et blanc par exemple).



rating