NOTE D’INFORMATION AUX TERMES DES ART. 12, 13, LE CAS ÉCHÉANT, 14 DU GPDR – RÈGLEMENT (UE) 2016/679 CONCERNANT LA PROTECTION DES PERSONNES PHYSIQUES, EN MATIÈRE DE TRAITEMENT DES DONNÉES PERSONNELLES (CI-APRÈS LE GPDR)
Le responsable du traitement fournit, ci-dessous, la note d’information aux termes des articles 12, 13 et, le cas échéant, 14 du GPDR concernant le traitement des données personnelles fournies par le client/intéressé en complétant et en signant le contrat pour acheter les produits/services proposés à la vente par le responsable du traitement, en téléchargeant spontanément des données personnelles sur ce site (notamment en renseignant des formulaires) ou simplement en navigant.
1. Responsable du traitement et coordonnées de contact
Le responsable du traitement est BONETTO S.R.L, TVA: 01982210013, Via Ferrua Pietro, 1, 10064 Pinerolo TO, +39 017285991 – +39 3355245798, info@melform.com, web melform.com (ci-après le Site).
2. Principes applicables au traitement
Conformément aux dispositions du GPDR, le responsable du traitement s’efforcera en permanence de garantir que les données personnelles soient :
- traitées légalement, correctement et de manière transparente;
- collectées à des fins précises, explicites et légitimes, et traitées ensuite d’une manière n’étant pas incompatible avec ces finalités;
- adéquates, pertinentes et limitées à ce qui est nécessaire eu égard aux finalités pour lesquelles elles sont traitées;
- exactes et, si nécessaire, mises à jour;
- conservées pendant une période ne dépassant pas la réalisation des finalités pour lesquelles elles sont traitées;
- traitées, par des mesures techniques et organisationnelles appropriées, de manière à garantir leur sécurité;
- traitées, si par consensus, selon la décision librement prise par le client/intéressé, sur la base d’une demande présentée de manière clairement distincte du reste, sous une forme compréhensible et facilement accessible, dans un langage simple et clair.
Le responsable du traitement prend les mesures techniques et organisationnelles appropriées afin d’assurer la protection des données personnelles dès la conception et pour garantir que soient traitées, par défaut, seules les données nécessaires à chaque finalité spécifique de traitement.
Le responsable du traitement collecte et prend tout particulièrement en compte les indications, observations et avis du client/intéressé transmis aux adresses susmentionnées, afin de mettre en place un système de gestion de confidentialité dynamique assurant une protection efficace des personnes, quant au traitement de leurs données.
Cette note d’information peut être modifiée, en fonction de l’évolution de la législation de référence et des mesures techniques et organisationnelles adoptées au fur et à mesure par le responsable du traitement ; le client/intéressé est donc invité à visiter périodiquement cette section du Site, pour prendre connaissance au fur et à mesure dans le texte des mises à jour et de la note d’information en vigueur.
3. Modalités du traitement des données personnelles
Le traitement des données personnelles est effectué manuellement et avec des outils électroniques ayant des logiques strictement corrélées aux finalités indiquées et, de toute façon, de manière à garantir la sécurité et la confidentialité de celles-ci.
4. Finalités du traitement des données personnelles
(4a) Finalités pour lesquelles le traitement des données est nécessaire
Les données personnelles fournies par le client/intéressé sont principalement traitées pour l’exécution du Contrat et la gestion du crédit et, plus généralement, par le rapport découlant du Contrat lui-même.
La transmission des données dans le contrat ou par la suite, au cours du rapport contractuel, aux fins du traitement en question est obligatoire ; par conséquent, l’éventuelle absence de communication, partielle ou inexacte, de ces données entraîne l’impossibilité de stipuler et/ou d’exécuter le Contrat et, pour le client/intéressé, de bénéficier des produits/services offerts par le responsable du traitement, en s’exposant potentiellement à la responsabilité de l’inexécution contractuelle.
Les données personnelles fournies par le client/intéressé peuvent également être traitées, si cela est nécessaire, pour exécuter une obligation légale à laquelle le responsable du traitement est soumis, pour sauvegarder les intérêts vitaux du client/intéressé ou d’une autre personne physique, pour l’exécution d’une mission d’intérêt public ou liée à l’exercice de l’autorité publique conférée au responsable du traitement, ou pour la poursuite de l’intérêt légitime du responsable du traitement ou de tiers, à condition que ne prévalent pas les intérêts ou les droits et les libertés fondamentaux du client/intéressé ; même dans ces cas, la fourniture des données est obligatoire et, par conséquent, l’absence de communication, partielle ou inexacte, de celles-ci peut exposer le client/intéressé à toutes les responsabilités et sanctions prévues par l’ordre juridique.
(4b) Autres finalités du traitement résultant du consentement spécifique et exprès du client/intéressé
Outre les finalités de traitement susmentionnées, les données personnelles fournies/acquises peuvent être traitées, sous réserve du consentement du client/intéressé, à exprimer en cochant la case <<Accorder le consentement>> sur le Contrat ou sur le Site (ou en utilisant d’autres applications sociales ou web du responsable du traitement), même pour effectuer des études de marché et des communications commerciales et promotionnelles, par téléphone (en utilisant également le numéro de téléphone mobile fourni) et par des systèmes de contact automatisés (poste électronique, sms, mms, fax, etc.), sur les produits/services du responsable du traitement ou de sociétés du Groupe auxquelles le responsable du traitement peut appartenir.
Le consentement aux fins de traitement mentionnées dans ce point (4b) est facultatif ; par conséquent, à la suite d’un refus, les données ne seront traitées qu’aux fins indiquées au point précédent (4a), à l’exception de ce qui est spécifié ci-dessous, en référence aux intérêts légitimes du responsable du traitement ou de tiers.
5. Catégories des données personnelles traitées
Le responsable du traitement traite principalement des données d’identification/de contact (nom, prénom, adresse, type et numéro de pièces d’identité, numéros de téléphone, adresses de poste électronique, de nature fiscale/de facturation, à l’exclusion d’autres) et, le cas échéant de transactions commerciales, données financières (de nature bancaire, notamment d’identification de comptes courants, numéros de cartes de crédit, à l’exclusion d’autres connexes aux transactions commerciales susmentionnées).
Le traitement que le responsable du traitement effectue, tant pour l’exécution du contrat que pour le consentement exprès du client/intéressé, ne concerne généralement pas des catégories particulières de données à caractère personnel, dites sensibles (révélant l’origine raciale ou ethnique, les opinions politiques, les croyances religieuses, l’état de santé ou l’orientation sexuelle, etc.), ni de données génétiques et biométriques ou données dites judiciaires (relatives aux condamnations pénales et aux crimes).
Toutefois, il ne peut être exclu que le responsable du traitement, pour l’exécution des obligations découlant du Contrat, conserve et/ou ait besoin de traiter des données sensibles, génétiques et biométriques ou judiciaires du client/intéressé ou de tiers, qu’il possède en sa qualité de responsable du traitement ; dans cette hypothèse, le traitement par le responsable du traitement est effectué dans les conditions et dans les limites visées par la nomination du responsable du traitement à la personne préposée au traitement, par le client/intéressé.
Le responsable du traitement traite également les données de navigation, en tant que responsable du traitement en référence au Site, et, potentiellement, en tant que responsable du traitement dont il est chargé (dans les termes ci-dessus) par le client/intéressé. Les systèmes informatiques et les procédures logicielles préposées au fonctionnement des sites internet acquièrent, lors du fonctionnement normal, certaines données personnelles qui sont ensuite implicitement transmises lors de l’utilisation des protocoles de communication Internet. Ce sont des informations qui ne sont pas collectées pour être associées à des sujets identifiés, mais qui, de par leur nature, pourraient permettre d’identifier l’intéressé. Cette catégorie d’informations comprend les données de géolocalisation, les adresses IP, le type de navigateur, le système d’exploitation, le nom des domaines et les adresses de sites Web à partir desquels a été effectué l’accès ou la sortie, les informations sur les pages visitées par les utilisateurs du site, l’heure d’accès, le temps passé sur une seule page, l’analyse du parcours interne et d’autres paramètres liés au système d’exploitation et à l’environnement informatique de l’utilisateur. Il s’agit d’informations qui, de par leur nature, pourraient permettre, par le biais d’associations et de traitements avec des données détenues par des tiers, d’identifier les utilisateurs
Ce Site peut utiliser des cookies, tant de session (qui ne sont pas stockés sur l’ordinateur de l’intéressé et disparaissent lors de la fermeture du navigateur) que persistants, pour la transmission d’informations de caractère personnel ou de systèmes pour le suivi des intéressés.
6. Source des données personnelles
Les données personnelles traitées par le responsable du traitement sont collectées directement par celui-ci auprès du client/intéressé au moment et pendant la navigation sur le Site (ou en utilisant d’autres applications sociales ou site internet du responsable du traitement), ou également à travers son personnel commercial, à l’occasion ou après la signature du Contrat, lors de l’exécution de celui-ci, ou bien de sources publiques.
Comme précisé ci-dessus, le responsable du traitement, en tant que responsable du traitement qui lui est confié, afin d’exécuter les obligations découlant du Contrat, peut conserver et/ou traiter des données, notamment de navigation, potentiellement sensibles, génétiques et biométriques ou judiciaires, de tiers, qu’il possède en sa qualité de responsable du traitement, acquis, avec le consentement préalable desdits tiers, au moment et pendant la navigation de ces tiers sur le Site (ou en utilisant d’autres applications sociales ou sites internet liés au responsable du traitement).
7. Intérêts légitimes
Les intérêts légitimes du responsable du traitement ou de tiers peuvent constituer une base juridique valable pour le traitement, à condition que les intérêts ou les droits et libertés fondamentaux de la personne concernée ne prévalent pas. En général, de tels intérêts légitimes peuvent exister lorsqu’il y a un rapport pertinent et approprié entre le responsable du traitement et l’intéressé, par exemple lorsque l’intéressé est un client du responsable. En particulier, il est légitime que le responsable du traitement traite les données personnelles du client/intéressé : à des fins de prévention des fraudes, pour des finalités de marketing direct, pour assurer la libre circulation de ces données au sein du groupe entrepreneurial auquel appartient éventuellement le responsable du traitement ou relatives au trafic, afin d’assurer la sécurité des réseaux et de l’information, c’est-à-dire la capacité d’un réseau ou d’un système à résister à des événements imprévus ou à des actes illicites pouvant compromettre la disponibilité, l’authenticité, l’intégrité et la confidentialité des données.
8. Circulation des données personnelles
(8a) Communication des données personnelles – catégories de destinataires
En plus des employés et des collaborateurs à différent titre du responsable du traitement (qui sont autorisés par le responsable du traitement à traiter les données en utilisant les instructions opérationnelles écrites appropriées, afin de garantir la confidentialité et la sécurité des données), certaines opérations peuvent également être effectuées par des tiers, auxquels le responsable du traitement confie certaines activités fonctionnelles, ou une partie d’entre elles, aux fins visées au point (4a), tant lors de l’exécution d’obligations contractuelles que légales, parmi lesquelles cependant, inévitablement, à titre non exhaustif : partenaires commerciaux et/ou techniques ; sociétés fournissant des services bancaires et financiers ; sociétés effectuant des services de classement de documents ; sociétés de recouvrement de contentieux ; sociétés d’audit et de certification comptable ; agences de notation ; personnes fournissant une assistance professionnelle et des conseils au responsable du traitement ; sociétés menant des activités de service à la clientèle ; sociétés d’affacturage, titrisation des créances ou à un autre titre cessionnaires des créances ; sociétés du Groupe auxquelles appartient le responsable du traitement ; personnes fournissant des informations commerciales ; sociétés de services informatiques. Les personnes appartenant aux catégories susmentionnées traitent ces données personnelles en qualité de sous-traitants indépendants du traitement c’est-à-dire en qualité de responsables du traitement en référence à des opérations spécifiques de traitement faisant partie des services contractuels que ces personnes effectuent en faveur/dans l’intérêt du responsable du traitement ; le responsable du traitement fournit, aux sous-traitants du traitement, des instructions d’exploitation écrites adéquates, en particulier en ce qui concerne l’adoption des mesures de sécurité minimales, afin de garantir la confidentialité et la sécurité des données.
Certaines opérations de traitement peuvent être effectuées par des tiers, auxquels le responsable du traitement confie certaines activités ou partie d’entre elles, même en fonction des finalités visées au point (4b), parmi lesquelles il convient de mentionner, cependant à titre, inévitablement, non exhaustif : partenaires commerciaux et/ou techniques ; sociétés fournissant des services de marketing institutionnel ; agences de publicité ; personnes fournissant une assistance et des conseils en ce qui concerne les concours et les opérations avec récompense. Les personnes appartenant aux catégories susmentionnées traitent les données personnelles en qualité de sous-traitants indépendants du traitement c’est-à-dire en qualité de responsables du traitement en référence à des opérations spécifiques de traitement faisant partie des services contractuels que ces personnes effectuent en faveur/dans l’intérêt du responsable du traitement ; le responsable du traitement fournit, aux sous-traitants du traitement, des instructions d’exploitation écrites adéquates, en particulier en ce qui concerne l’adoption des mesures de sécurité minimales, afin de garantir la confidentialité et la sécurité des données.
Il est possible, sur demande écrite envoyée au siège du responsable du traitement, d’avoir la liste, sous réserve d’une mise à jour périodique, des sous-traitants du traitement avec lesquels celui-ci est en rapport.
Les données personnelles peuvent également être communiquées, en cas de demande, aux autorités compétentes, conformément aux obligations découlant des lois impératives.
(8b) Transfert de données personnelles vers des pays tiers
Les données personnelles du client/intéressé peuvent également être transférées à l’étranger, aussi bien dans les pays de l’UE que dans des pays en dehors de l’Union européenne et, dans ce dernier cas, fondé sur une décision d’adéquation ou dans le cadre et avec les garanties appropriées prévues par le GPDR (donc, notamment, en présence de clauses contractuelles de type de protection des données approuvées par la Commission européenne) ou, en dehors des hypothèses susmentionnées, en ayant recours à une ou plusieurs dérogations prévues par le GPDR (en particulier, avec le consentement explicite du client/intéressé ou pour l’exécution du contrat conclu par le client/intéressé ou pour l’exécution d’un contrat stipulé entre le responsable du traitement et une autre personne physique ou morale en faveur du client/intéressé, en particulier pour l’exécution des activités demandées à celle-ci par le responsable du traitement pour l’exécution du Contrat conclu avec le client/intéressé). En cas de transfert de données vers des pays en dehors de l’Union Européenne, le client/intéressé est autorisé, sur demande écrite à envoyer au siège du responsable du traitement, à connaître les garanties appropriées ou les dérogations qui légitiment le traitement transfrontalier. Il est entendu, qu’en cas de transfert de données vers des pays hors de l’Union Européenne, que pour chaque demande concernant les données, même pour l’exercice des droits reconnus par le GPDR au client/intéressé, celui-ci peut toujours contacter valablement le responsable du traitement.
9. Critères pour déterminer la période de conservation des données personnelles
Aux fins visées au point (4a) ci-dessus, la période de conservation des données personnelles fournies par le client/intéressé, et leur traitement éventuel, coïncide avec la période de limitation des droits /devoirs (juridiques, fiscaux, etc.) résultant du Contrat : essentiellement 10 ans, sauf la survenance d’événements interruptifs de la prescription qui pourrait prolonger, de fait, cette période.
Aux fins visées au point (4b) ci-dessus, la période de conservation des données personnelles fournies par le client/intéressé, et leur traitement éventuel, se termine avec la révocation du consentement précédemment délivré par le client/intéressé ou, en l’absence de celle-ci, un an après la cessation de tout rapport entre le responsable du traitement et le client/intéressé.
10. Droits du client/intéressé
Le responsable du traitement reconnaît – et facilite l’exercice, par le client/intéressé, – de tous les droits prévus par le GPDR, en particulier le droit de demander l’accès à ses données personnelles et d’en extraire une copie (art. 15 GPDR), à la rectification (art. 16 GPDR), à la suppression de celles-ci (art. 17 GPDR), à la restriction du traitement qui le concerne (art. 18 GPDR), à la portabilité des données (art. 20 GPDR), lorsque les conditions sont remplies) et de s’opposer au traitement qui le concerne (art. 21 et 22 GPDR, pour les cas qui y sont mentionnés et, notamment, au traitement à des fins de marketing ou qui aboutit à un processus décisionnel automatisé, y compris le profilage, qui produit des effets juridiques qui l’affectent, lorsque les conditions sont remplies).
Le responsable du traitement reconnaît également au client/intéressé, si le traitement est basé sur le consentement, le droit de révoquer ce consentement à tout moment, sans préjudice de la licéité du traitement basée sur le consentement donné avant la révocation. Pour ce faire, le client/intéressé peut se désinscrire à tout moment sur le Site (ou sur d’autres applications sociales ou internet du responsable du traitement) ou en utilisant le lien spécifique présent au bas de la communication commerciale reçue ou en contactant le responsable du traitement aux adresses ci-dessus.
Le responsable du traitement informe également le client/intéressé qu’il a le droit de présenter une réclamation à l’Autorité Garante pour la protection des données personnelles, en tant qu’autorité de contrôle opérant en Italie, sous réserve de tout autre recours administratif ou juridictionnel.
11. Sécurité des systèmes et des données personnelles
En tenant compte de l’état de la technique et des coûts de mise en œuvre, ainsi que de la nature, de l’objet, du contexte et des finalités du traitement, ainsi que du risque, en termes de probabilité et de gravité, des droits et libertés des individus, le responsable du traitement adopte des mesures techniques et organisationnelles jugées appropriées pour garantir un niveau de sécurité adapté au risque, notamment en assurant, de manière permanente, la confidentialité, l’intégrité, la disponibilité et la résilience des systèmes et des services de traitement (même par le cryptage des données personnelles, le cas échéant) et la capacité de restaurer rapidement la disponibilité des données en cas d’accident physique ou technique, et en adoptant des procédures internes visant à tester, vérifier et évaluer régulièrement l’efficacité des mesures techniques et organisationnelles utilisées.
Lors de l’évaluation du niveau de sécurité approprié, il est tenu compte des risques présentés par le traitement résultant, notamment, de la destruction, de la perte, de la modification, de la divulgation non autorisée ou de l’accès, de manière accidentelle ou illégale, aux données personnelles transmises, conservées ou traitées.
Le responsable du traitement fera en sorte que toute personne agissant sous son autorité et ayant accès aux données personnelles ne traite pas ces données si celui-ci ne lui fournit pas l’instruction de le faire.
Ceci étant, le client/intéressé prend acte et accepte qu’aucun système de sécurité ne garantit, en matière de certitude, une protection absolue ; par conséquent, le responsable du traitement décline toute responsabilité pour des actes ou des faits de tiers qui abusivement, malgré les précautions appropriées prises, pourraient avoir accès aux systèmes sans les autorisations dues.
12. Procédures décisionnelles automatisées, y compris le profilage
Le responsable du traitement peut effectuer des traitements automatisés, y compris le profilage, en fonction des finalités visées au point (4b) ci-dessus, pour optimiser la navigabilité du site (ou l’utilisabilité d’autres applications sociales ou web du responsable du traitement) et pour améliorer l’expérience d’achat, sauf ce qui est spécifié ci-dessus en ce qui concerne les droits d’opposition et la révocation du consentement par le client/intéressé.
Par profilage, l’on entend toute forme de traitement automatisé de données personnelles visant à évaluer certains aspects relatifs à une personne physique, notamment pour analyser ou prévoir des aspects concernant, par exemple, les préférences personnelles, les intérêts ou la localisation de cette personne, même pour créer des profils, c’est-à-dire des groupes homogènes de personnes par caractéristiques, intérêts ou comportements.
Le responsable du traitement n’effectue aucun traitement automatisé produisant des effets juridiques concernant le client/intéressé ou affectant de manière significative sa personne, sauf si cela est nécessaire pour la conclusion ou l’exécution du Contrat, est autorisé par la loi ou se base sur le consentement explicite du client/intéressé, dans tous les cas en reconnaissant toujours à ce dernier le droit d’obtenir une intervention humaine, d’exprimer son opinion et de contester la décision.