Politique de protection des données clients
Clientèle SPORTICA
Politique de protection des données personnelles
1. Introduction
L’entreprise et tous les personnels intervenant pour son compte, tant internes qu’externes, sont amenés à traiter vos données dans le cadre de leurs attributions.
A ce titre, l’entreprise et tous les personnels intervenant pour son compte, tant internes qu’externes, doivent respecter la réglementation nationale et européenne en vigueur sur la protection des données à caractère personnel ; notamment :
Le Règlement Général sur la Protection des Données (RGPD)
La Loi dite « Informatique et Libertés »
Le Code pénal français
Les Référentiels de la Commission Nationale Informatique et Libertés (CNIL)
Le personnel, tant interne qu’externe, intervenant pour le compte de l’entreprise doit en outre respecter les règles et instructions internes documentées par l’entreprise ; notamment :
Le règlement intérieur
La présente politique de protection des données
Les autres politiques de protection des données spécifiques à d’autres périmètres
La charte informatique
La documentation élaborée par le Délégué à la protection des données
Le registre des activités de traitement de l’entreprise
2. Version 1.0 du 1er mai 2023
L’entreprise peut, à sa seule initiative, mettre à jour cette politique à tout moment pour y intégrer les évolutions de la réglementation et/ou de son activité. Nous vous invitons donc à revenir consulter régulièrement ce document.
3. Personnes concernées
La présente politique s'applique à tous les traitements de données à caractère personnel mis en œuvre par l’entreprise, ou pour son compte, concernant ses prospects, clients, visiteurs et internautes (visitant les sites web gérés par l’entreprise).
4. Activités de traitement
L’entreprise tient un registre des activités de traitement dont certaines informations sont synthétisées ici afin de préciser le périmètre d’application du présent document.
a. Catégories de données collectées et traitées
L’entreprise est amenée à collecter les catégories de données suivantes lorsqu’elles sont adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (voir le paragraphe 4.b suivant) :
Identité, coordonnées (adresse, téléphone, mail)
Vie professionnelle (professionnels concernés) : demandes, réservations, ...
Vie personnelle (particuliers concernés) : demandes, réservations, ...
Données bancaires (boutique et billetterie en ligne)
Données liées à la santé (fiche sanitaire, régime alimentaire…)
Données de connexions informatiques (internautes) : adresses IP, cookies d’audience, …
b. Finalités des traitements
Gestion de la communication promotionnelle de l’entreprise (newsletter, site web, réseaux sociaux, ...)
Gestion de son site web et de son audience
Gestion commerciale et marketing de la relation client (demandes de devis, demandes de réservations, ...)
Gestion comptable et financière de la boutique en ligne et de sa billetterie
5. Obligations de l’entreprise
L'informatique doit être au service de chaque individu. Elle ne doit porter atteinte ni à l'identité et à la dignité humaines, ni aux droits de l'être humain, ni à la vie privée, ni aux libertés individuelles ou publiques. L’entreprise respecte et protège la vie privée de toutes les personnes dont elle traite les données.
L’entreprise est en conséquence responsable :
- de traiter toute donnée de manière licite, loyale et transparente ;
- de collecter toute donnée à des fins déterminées, explicites et légitimes ;
- de ne pas traiter ultérieurement de données d'une manière incompatible avec ces finalités initiales ;
- de limiter la collecte et le traitement de toute donnée à ce qui est nécessaire et suffisant au regard de ces finalités ;
- d'assurer l'exactitude et, si nécessaire, la mise à jour des données ; toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder ;
- de conserver les données sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ;
- de garantir aux personnes concernées un niveau de sécurité approprié des données, y compris leur protection contre un traitement non autorisé ou illicite et contre leur perte, leur destruction ou les dégâts d'origine accidentelle, à l'aide de mesures techniques et organisationnelles appropriées.
6. Bases légales des traitements
L’entreprise ne collecte et ne traite de données que si au moins l’une des conditions suivantes est remplie :
- la personne concernée (ou la personne qui la représente légalement) a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ;
- leur traitement est nécessaire à l'exécution d'une convention ou d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à sa demande ;
- leur traitement est nécessaire au respect d'une obligation légale à laquelle l’entreprise est soumise ;
- leur traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique ;
- leur traitement est nécessaire à l'exécution d'une mission d'intérêt public ;
- leur traitement est nécessaire aux fins des intérêts légitimes poursuivis par l’entreprise ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée.
7. Destinataires des données
L’entreprise veille à la confidentialité des données placées sous sa responsabilité et s’engage à ce que toutes les informations recueillies concernant toute personne physique soient considérées et utilisées comme des informations strictement confidentielles ; tout particulièrement les données sensibles et/ou protégées par toute forme de secret.
Les données collectées ne sont destinées qu'au seul personnel interne de l’entreprise habilité par sa hiérarchie ; ainsi qu'aux tiers extérieurs réglementairement ou contractuellement autorisés à en avoir communication (autorités publiques autorisées par la Loi, partenaires tiers autorisés par une convention ou un règlement, fournisseurs et prestataires autorisés par un contrat de sous-traitance en bonne et due forme, etc.).
Aucune information personnelle n’est collectée, ni cédée ou revendue à un tiers, à l’insu de la personne concernée.
8. Conservation des données
Les données collectées sur la seule base de votre consentement ne seront conservées que le temps nécessaire à leur traitement, dans le respect des recommandations de la CNIL. Vous pourrez exercer dans ce cas, à tout moment, et sur simple demande de votre part (sans justification particulière), votre droit d'effacement ou d’opposition.
Toutes les données collectées et traitées sur la base d’un autre fondement juridique que votre consentement (voir les paragraphes 6 : obligation légale, nécessité contractuelle ou précontractuelle, intérêt légitime, …) seront conservées pour des durées d’usage courant adéquates, sans excéder les durées nécessaires au regard des finalités poursuivies. La personne concernée pourra exercer son droit d'effacement, d’opposition ou de limitation, sous conditions (selon le cas) et sur demande justifiée de sa part (en toute hypothèse).
L’entreprise conservera enfin les données pour des durées d’usage administratif plus longues dans la mesure où ces données seront traitées exclusivement à des fins archivistiques, par obligation légale (contrôle d’une autorité, …) ou dans l’intérêt légitime de l’entreprise (défense en justice, …), pour autant que soient mises en œuvre les mesures d’archivage techniques et organisationnelles appropriées (telles que définies par les Archives départementales du Nord - 59).
9. Droits "informatique et libertés" de la personne concernée
Conformément à la loi n°78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, toute personne dispose des droits suivants à propos de ses données :
- droit d’accès : demander une copie des données à caractère personnel la concernant ; le coût lié à la reproduction des documents et, le cas échéant, le coût de l'envoi des documents, seront à la charge de la personne concernée ;
- droit de rectification : demander la correction, la mise à jour ou la modification des données à caractère personnel inexactes ou incomplètes ;
- droit d’effacement (droit "à l'oubli") : demander, dans certaines conditions, l’effacement des données ; par exemple lorsque que des données à caractère personnel ne sont plus nécessaires ;
- droit d’opposition : s'opposer, dans certaines conditions, au traitement de ses données à caractère personnel pour des raisons légitimes tenant à sa situation particulière ;
- droit à la limitation du traitement : demander la limitation du traitement de ses données à caractère personnel et/ou si le traitement est illicite mais que la personne concernée s’oppose à leur effacement ;
- droit à l'information : demander toutes les informations pertinentes et nécessaires pour garantir un traitement équitable et transparent de ses données à caractère personnel.
- droit de retirer son consentement à tout moment : lorsque le traitement est fondé sur son consentement (voir le paragraphe 7), la personne concernée peut retirer son consentement à tout moment sans que cela ne porte atteinte à la légitimité du traitement avant le retrait du consentement ;
Toute personne souhaitant exercer l’un des droits exposés ci-dessus, pourra s’adresser à la Direction Générale, à son interlocuteur interne ou au service gestionnaire du traitement, par :
• Courriel : contact@sportica.fr
• Courrier : SPORTICA, Place du Polder, 59820 GRAVELINES
L’entreprise a en outre désigné un Délégué à la Protection des Données (DPO) qui peut être contacté directement par mail à l’adresse suivante : dpo@sportica.fr pour toute question concernant la collecte et l’utilisation des données personnelles par l’entreprise.
Toute personne estimant que ses droits « informatique et libertés » ne sont pas respectés après avoir d’abord contacté l’entreprise, puis après avoir ensuite eu recours à son Délégué à la Protection des Données, peut adresser une réclamation à la CNIL (sur son site : cnil.fr).
10. Mesures générales de sécurité prises par l’entreprise
Compte tenu de l'état de la réglementation en vigueur, des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques pour les droits et libertés, l’entreprise met en œuvre les mesures juridiques, techniques et organisationnelles appropriées afin de garantir un niveau de sécurité des données adapté au risque ; y compris (liste non exhaustive) :
- engagement de confidentialité du personnel tant interne et qu’externe de l’entreprise (voir le règlement intérieur de l’entreprise),
- renforcement de la protection contre les cybermenaces et de la sécurité informatique des traitements digitaux mis en œuvre (et notamment des services en ligne),
- anticipation de la sécurité, et prévention des risques, dès la conception et le lancement de nouveaux traitements (analyses d’impacts par exemple),
- choix d’offres et de fournisseurs sûrs dès la conclusion des contrats de sous-traitance, puis vigilance et contrôle permanents des sous-traitants ;
- pas de transfert hors de l’Union Européenne, ou vers une organisation internationale, sans les mesures juridiques, organisationnelles et techniques appropriées ;
- pas de décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques ou affectant la personne concernée de manière significative et similaire, sans un motif licite et légitime.
11. Notification des violations de sécurité
Conformément à la réglementation en vigueur, l’entreprise s’engage à :
- notifier la CNIL en cas de violation des données personnelles présentant un risque élevé pour les droits et libertés des personnes ;
- informer les personnes par tous les moyens adaptés en cas de violation de leurs données personnelles présentant un risque pour leurs droits et libertés.
L’entreprise peut, à sa seule initiative, mettre à jour cette politique à tout moment pour y intégrer les évolutions de la réglementation et/ou de son activité.