Politique de confidentialité

La présente note d’information a pour but d’illustrer qui sont les sujets traitant les données de la personne concernée (également appelée « Utilisateur »), comment ces données sont traitées, quelles sont les données concernées, quels sont les droits de la personne concernée et comment elle peut les exercer. Si l’Utilisateur ne comprend pas ou estime que les informations figurant dans la présente note d’information ne sont pas suffisantes, il est invité à écrire à l’adresse suivante pour toute demande d’éclaircissement : ecommerce@castellani.eu

Qu’entend-t-on par données à caractère personnel ? Les données à caractère personnel sont toutes les informations qui se rapportent à une personne physique identifiable. L’adresse électronique est une donnée à caractère personnel. Le texte d’un message, s’il révèle des informations concernant une personne, est une donnée à caractère personnel. Le nom d’utilisateur est une donnée à caractère personnel, tout comme la liste des achats, car elle révèle pourrait relever les goûts du Client, etc.

Que signifie « traiter des données » ? La définition juridique du traitement englobe toute opération ou ensemble d’opérations concernant la collecte, l’enregistrement, l’organisation, la conservation, la consultation, l’élaboration, la modification, la sélection, l’extraction, la comparaison, l’utilisation, l’interconnexion, le blocage, la communication, la diffusion, la suppression et la destruction de données. En pratique, tout ce qui peut être fait avec les données de l’utilisateur constitue donc du traitement. Ainsi, le simple fait de collecter ou de lire des données, c’est-à-dire de les consulter, constitue un traitement.

CASTELLANI S.r.l.
Via Galileo Galilei Tr. III, 24
San Zeno Naviglio
25010 Brescia Italie
ecommerce@castellani.eu

En ce qui concerne les éventuelles fonctions accessoires, Castellani peut se prévaloir de personnel interne autorisé au traitement (également appelé « préposés ») ou à du personnel externe, principalement en tant que sous-traitants du traitement, en tant que responsables autonomes ou co-responsables, selon le cas.

Les données sont communiquées à du personnel interne du Responsable du traitement (les employés) qui collaborent à la gestion exécutive et administrative du service.
Elles peuvent aussi être communiquées pour se conformer aux obligations de communication en cas de demande d’une autorité publique (par exemple, demande du tribunal, contrôles fiscaux, contrôles de la tenue des registres, etc.).
Les données sont également communiquées :

• au fournisseur du service de lettre d’information ;
• au service d’hébergement ;
• aux tiers gestionnaires des cookies installés via le site (voir la note d’information correspondante),
• aux réseaux sociaux en cas d’installation de widgets ou de fonctions « j’aime/partager, etc. » intégrées au site web ;
• aux fournisseurs de services de paiement (dans ce cas, les données ne sont pas communiquées, mais l’utilisateur est directement redirigé vers les plateformes de traitement des paiements, qui relèvent de la compétence des services tiers) ;
• aux transporteurs pour la livraison ou l’enlèvement des biens ;
• aux fournisseurs d’applications de marketing automatisé ;

Il est important de savoir que Castellani peut gérer et contrôler seulement les données conservées et traitées dans le cadre de son propre système : les données cédées ou communiquées à des tiers seront, de la manière et dans la mesure où elles le seront, traitées de manière autonome par les tiers auxquels elles sont communiquées, conformément à leurs propres politiques de confidentialité. Dans tous les cas, lorsque Castellani cesse de traiter les données à caractère personnel d’un utilisateur, elle en informe également les personnes auxquelles ces données ont été communiquées, mais ne peut garantir la cessation effective du traitement par ces dernières.

Castellani traite les données à caractère personnel des utilisateurs auprès de son siège social et dans le cloud situé dans l’UE. Seule la lettre d’information est envoyée via Mailchimp, dont le siège social est situé aux États-Unis.

En fonction de la nature significative des données, il est possible de distinguer :

• Coordonnées : adresse électronique et numéro de téléphone.
• Données d’identification : nom, prénom, date de naissance, adresse, numéro d’identification fiscale, numéro de pièce d’identité .
• Données de contenu : le contenu de la communication envoyée par l’Utilisateur via le formulaire prévu à cet effet.
• Données de navigation.
• Données d’achat et ultérieures.
• Données d’utilisation du site (à des fins d’automatisation du marketing).

Castellani traite les données des utilisateurs aux fins suivantes :

• Réponse aux demandes envoyées par l’utilisateur (informations, exercice des droits, etc.) : cela consiste à répondre aux contacts effectués par le client/utilisateur (par courrier électronique ou tout autre moyen de communication).
Base juridique : l’exécution de la prestation demandée par l’utilisateur dans sa communication (comme par exemple l’exercice d’un droit) ; Durée : dix ans (obligation de conservation de la correspondance commerciale).
Données traitées : coordonnées, identifiants et autres selon le contenu de la demande (par exemple, les informations contenues dans le texte de la demande peuvent se référer à des personnes et, à ce titre, constituent des données à caractère personnel).
• Lien vers la page sur les réseaux sociaux : Le service héberge des fonctions (widgets, boutons ou similaires) qui permettent à l’utilisateur de se connecter à la page des réseaux sociaux de Castellani. L’utilisateur est libre de se connecter à la Page mais le simple fait de partager (ou – si l’utilisateur est inscrit sur les réseaux sociaux – de naviguer) entraîne la transmission de données au réseau social, notamment la navigation et l’inscription à Castellani, ainsi que, dans certains cas, le dispositif et l’adresse IP à partir desquels l’inscription ou le partage sont effectués. (pour de plus amples informations sur Meta : https://www.facebook.com/help/2207256696182627?ref=off_facebook_activity).  Ces données sont ensuite gérées par les réseaux sociaux selon leurs propres logiques et politiques.
  Données traitées : événement (y compris la navigation) partagé, compte social, adresse IP ou dispositif de connexion à partir duquel l’inscription ou le partage social sont effectués. Base juridique : l’intérêt légitime du Responsable du traitement à promouvoir la page sociale. L’intérêt légitime est considéré comme prévalant sur les intérêts et les droits des utilisateurs pour les raisons suivantes :
  – L’événement est partagé sur des plateformes sociales sur lesquelles l’utilisateur est déjà inscrit ;
  – L’utilisateur peut refuser la collecte des données soit en modifiant les paramètres du réseau social, soit en refusant les cookies de profilage et d’analyse ; Durée : instantanée en ce qui concerne Castellani. La durée du traitement effectué par le réseau social dépend des politiques en matière de traitement des données à caractère personnel.
• Envoi de lettres d’information à des fins de marketing propres ou de tiers : L’adresse électronique de l’utilisateur est utilisée pour envoyer des courriers électroniques périodiques contenant des informations opérationnelles et promotionnelles sur les biens ou services fournis par Castellani (les contenus promotionnels de biens ou services de tiers seront toutefois intégrés dans des courriers électroniques contenant essentiellement des informations concernant Castellani : produits, événements, contenus créatifs, autres).
Données utilisées : adresse électronique, éventuellement préférences ou qualités personnelles lorsque les courriers électroniques s’adressent à un public sélectionné, nom et prénom.
Base juridique : le consentement exprimé lors de l’inscription en saisissant l’adresse électronique dans le formulaire prévu à cet effet. 
Durée : jusqu’à la révocation du consentement ou jusqu’au désabonnement du service de lettre d’information via la fonction prévue à cet effet. Dans le cas de spam léger, jusqu’à opposition et demande de suppression. Les données seront conservées après cette révocation uniquement dans le but de prouver que la révocation a effectivement été réalisée. 
Fréquence d’envoi des courriers électroniques : hebdomadaire ; service utilisé pour la lettre d’information : Mailchimp
  Nota bene : le consentement peut être révoqué à tout moment. La révocation du consentement entraîne la cessation, à partir de ce moment, du traitement des données aux fins pour lesquelles le consentement avait été donné.
• Activation et gestion du compte de l’Utilisateur.
Base juridique : l’exécution de la demande d’activation et de gestion du compte de l’Utilisateur (exécution du contrat) ; Données traitées : nom, prénom, adresse, date de naissance. 
Durée : jusqu’à la suppression du compte, sauf conservation pendant une durée de trois mois à compter de la suppression du compte afin de permettre sa réactivation sans perte de données si l’utilisateur en fait la demande (ainsi que – dans l’éventualité d’une infraction pénale – pour permettre l’exercice du droit de poursuite). 
Caractère obligatoire : le fait de ne pas fournir les données rend l’activation du compte impossible.
• Vente à distance des produits (voir Conditions de vente à distance) : Le site permet d’acheter des biens à distance. Les données sont traitées par Castellani afin de finaliser à distance la vente du Bien (c’est-à-dire traiter la demande, le paiement, l’expédition, le service après-vente) ;
  Base juridique : l’exécution du contrat ; Données traitées : identifiants (nom, prénom, date de naissance, adresse), coordonnées (adresse électronique et numéro de téléphone), historique des achats, réclamations. Données de facturation si une facture est demandée.
  Durée : dix ans à compter de la conclusion de l’achat (sauf si la durée du compte est plus longue) ; Caractère obligatoire de la fourniture : le fait de ne pas fournir les données rend l’achat des biens impossible ;
• Exécution de la vente à distance pour les Utilisateurs non inscrits (invités) : le site permet la vente à distance de biens également aux utilisateurs non inscrits. Dans ce cas, les données nécessaires à la réception de la commande, au paiement, à l’expédition du bien et à la gestion du service après-vente seront néanmoins traitées.
Base juridique : l’exécution du contrat.
Données traitées : nom, prénom, adresse, numéro de téléphone, adresse électronique.
Durée : dix ans à compter de la conclusion de l’achat (sauf si la durée du compte est plus longue) ; Caractère obligatoire de la fourniture : le fait de ne pas fournir les données rend l’achat des biens impossible ;
• Statistiques agrégées : l’élaboration de statistiques basées sur les catégories d’utilisateurs afin d’optimiser l’activité du Responsable du traitement (pour évaluer les catégories les plus intéressées, etc.).
Base juridique : l’intérêt légitime du Responsable à évaluer les secteurs de marché d’intérêt, l’efficacité du système de vente.
Durée : les statistiques sont réalisées en temps réel, mais seules les données agrégées et, donc anonymisées, sont conservées.
• Analyse de l’utilisation individuelle du site : Castellani utilise des programmes visant à surveiller l’utilisation du site (navigation, accès, achats, etc.) par chaque utilisateur. 
Base juridique : l’intérêt légitime du Vendeur à optimiser la convivialité du site, les ventes et la personnalisation des offres. 
Données traitées : identifiants, compte, utilisation du service, coordonnées ; Durée : jusqu’à la suppression du compte.
• Création d’une base de données des sujets inscrits : Castellani crée une base de données (interne/externe) des contacts reçus via le formulaire présent sur son site. Cette base de données sera utilisée aux fins suivantes : 
comme copie de sauvegarde des adresses à partir desquelles les communications ont été reçues ;
Base juridique : l’intérêt légitime du responsable du traitement à conserver les coordonnées (considéré comme prévalant sur les intérêts contraires car il garantit la disponibilité des données pour Castellani et, en revanche, s’agissant de données peu dangereuses et peu significatives, il ne porte pas préjudice à l’utilisateur) ;
Durée : jusqu’à la demande de suppression (voir la clause relative à l’exercice des droits) en envoyant un courrier électronique à l’adresse ecommerce@castellani.eu ; Données traitées : adresse électronique, identifiants, contenu, données du compte.

Nota bene : le consentement peut être révoqué à tout moment. La révocation du consentement entraîne la cessation, à partir de ce moment, du traitement des données aux fins pour lesquelles le consentement avait été donné.

Les données sont fournies directement par l’Utilisateur en remplissant les formulaires prévus à cet effet sur le site. Dans certains cas, elles sont communiquées au Responsable du traitement (par exemple, les commentaires).

Castellani « contactera » l’utilisateur de la manière suivante :

• Il pourra recevoir des courriers électroniques, des appels téléphoniques, des messages ou d’autres communications de la part de Castellani : il s’agira de communications opérationnelles ou, en tout cas, de réponses à la communication envoyée par l’Utilisateur. Ces communications sont indispensables à la gestion régulière de la relation avec l’Utilisateur.
• Lettre d’information : fréquence : hebdomadaire ; contenu : opérationnel, promotionnel portant sur les produits ou services de Castellani ou de sociétés tierces ; fournisseur du service : Mailchimp ;

Les utilisateurs disposent d’une série de droits.
Droits d’information concernant :

• Les catégories de données traitées (voir points n° 2 et 5) ;
• L’origine des données, c’est-à-dire savoir d’où le service a obtenu ses données (voir point n° 7) ;
• Les finalités du traitement des données, c’est-à-dire à quelles fins les données sont traitées (voir point n° 6) ;
• Les coordonnées du responsable du traitement et des éventuels sous-traitants (voir point n° 3) ;
• Les personnes auxquelles les données sont communiquées (voir point n° 3/a) ;
• La durée de conservation et de traitement des données (voir point n° 6) ;
• Le droit de déposer une plainte devant le garant de la confidentialité en accédant au lien suivant :http://www.garanteprivacy.it/home/diritti/come-agire-per-tutelare-i-nostri-dati-personali
• L’existence ou non de processus de profilage ;
• La base juridique du traitement (voir point n° 6) ;

Il existe également des droits qui ne sont pas simplement informatifs, mais opérationnels. Ils sont de nature variée. En bref :

• La personne concernée a le droit d’obtenir une copie des données qu’elle a fournies. Si les données ont été traitées à l’aide de moyens automatisés et sur la base de son consentement ou d’un contrat, l’utilisateur peut demander – si cela est techniquement possible – que les données soient transmises à la personne concernée ou même à un éventuel nouveau responsable (portabilité), à condition que cette opération ne porte pas atteinte aux droits (et aux données) d’autres personnes. Dans ce cas, il peut également demander la suppression des données (sauf si la loi impose au Responsable du traitement de les conserver, comme dans le cas des communications commerciales).
• Si les données à caractère personnel sont inexactes ou incomplètes, la personne concernée peut demander de les rectifier ou de les compléter, en fournissant des indications en ce sens. Si le Responsable du traitement doit vérifier l’exactitude des données contestées par la personne concernée, cette dernière peut, dans l’intervalle, obtenir la limitation des données contestées (la limitation signifie que les données sont uniquement conservées et ne font l’objet d’aucun autre traitement, sauf avec le consentement spécifique de la personne concernée ou si elles sont nécessaires pour exercer ou défendre un droit en justice).
• Si les données à caractère personnel ne sont plus nécessaires aux fins pour lesquelles elles ont été collectées ou traitées, la personne concernée peut demander leur suppression. Toutefois, si les données sont nécessaires à la personne concernée pour exercer un droit en justice, elle peut demander leur limitation (c’est-à-dire leur conservation uniquement).
• Si le traitement est illicite car les données sont traitées sans consentement, sans intérêt légitime de la part du Responsable du traitement, sans contrat pour l’exécution duquel le traitement est nécessaire, sans obligation légale de traitement de la part du Responsable, la personne concernée peut demander leur suppression ou leur limitation.

Procédure d’exercice des droits : L’Utilisateur peut exercer ses droits en envoyant un courrier électronique à l’adresse ecommerce@castellani.eu

Le Responsable doit fournir une réponse dans un délai de trente jours (qui peut être prolongé de deux autres mois, auquel cas le Responsable doit notifier à l’utilisateur le retard en en indiquant les motifs).
Le Responsable du traitement peut refuser, s’il cela est motivé, de donner suite à la demande de l’utilisateur (refus qui doit être communiqué à l’utilisateur dans un délai d’un mois) uniquement en cas de demandes manifestement infondées ou répétitives. Dans ce cas, il doit fournir une réponse motivée. Dans tous les cas, l’utilisateur peut s’adresser au « Garant de la confidentialité » (voir le lien ci-dessous) ou au juge.
Le Responsable du traitement doit répondre en utilisant le même canal (courrier électronique, téléphone, etc.) que celui utilisé par l’utilisateur pour soumettre la demande, sauf si l’utilisateur lui-même demande une réponse par un autre moyen. En cas de demande provenant d’une adresse électronique différente de celle indiquée dans le compte, le demandeur devra prouver qu’il est la personne concernée.
Si le Responsable du traitement a des doutes quant à l’identité de la personne qui présente la demande ou exerce l’un des droits indiqués ci-dessous, il est en droit de demander des informations supplémentaires pour confirmer l’identité du demandeur. En cas de demande provenant d’une adresse électronique différente de celle indiquée dans le compte, le demandeur devra prouver qu’il est la personne concernée.

Les demandes et les réponses sont gratuites, sauf si elles sont répétitives. Dans ce dernier cas, le Responsable peut facturer les frais réels engagés pour formuler sa réponse (c’est-à-dire les frais de personnel, les frais matériels, etc.).
En tout cas, la personne concernée peut s’adresser à l’autorité Garante (https://www.garanteprivacy.it/i-miei-diritti) ou à l’Autorité Juridique compétente pour exercer ses droits.

L’Utilisateur est tenu de fournir des données véridiques.
Il incombe à l’Utilisateur de communiquer au Responsable du traitement toute modification survenue aux données à caractère personnel précédemment communiquées. Enfin, il incombe à l’utilisateur, lorsque les fonctionnalités le permettent, de ne pas saisir de données excessives. Par exemple, si le formulaire demande de saisir des données non obligatoires (généralement marquées d’un astérisque), il est recommandé à l’utilisateur de ne les saisir que s’il le considère nécessaire. De même, s’il écrit un message via le service, il est recommandé d’éviter toute référence explicite à des personnes identifiables, sauf si cela est nécessaire.

Si un ou plusieurs des événements suivants se produisaient par rapport aux données des Utilisateurs : accès, vol, perte, destruction, divulgation, modification non autorisés (dit « violation des données »), Castellani, sans préjudice des mesures techniques urgentes à adopter pour bloquer (dans la mesure du possible) l’événement et en limiter les effets néfastes, s’engage à :

• restaurer efficacement le service dans les plus brefs délais, en récupérant les données disponibles à partir de la dernière sauvegarde utile effectuée ;
• informer les Utilisateurs, directement si les circonstances le permettent ou de manière générale (par le biais d’un avis sur la page d’accueil du site Web ou d’une communication envoyée à tous les utilisateurs, y compris ceux dont les données n’ont pas été touchées par l’événement) du type d’événement, du moment où il s’est produit, des mesures prises (sans entrer dans les détails afin de ne pas faciliter de nouvelles attaques) afin de limiter les dommages et éviter de nouveaux événements similaires, ainsi que des mesures et précautions que l’utilisateur devrait – pour sa part – mettre en œuvre afin de réduire les risques de nouveaux incidents et de limiter les conséquences de ceux déjà survenus.