Politique de confidentialité

Dernière mise à jour le 25 novembre 2025

Cette Politique de confidentialité s’adresse à vous, en votre qualité d’utilisateur et de client de la boutique en ligne (ci-après la « E-boutique »). Elle est rédigée dans le but de vous décrire et de vous informer des traitements pouvant être réalisés lors de votre utilisation de la E-boutique.

La E-boutique est éditée par Affective dont les informations sont disponibles à l’onglet « Mentions Légales ».

L’EDHEC est le responsable du traitement des données à caractère personnel collectées et traitées via l’utilisation de la E-boutique (ci-après « Nous »), conformément aux lois et règlements applicables en matière de confidentialité des données notamment le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 dit « Règlement Général sur la Protection des Données » et la loi n°78-17 du 6 janvier 1978 dite « Loi informatique et libertés » telle que modifiée (ensemble ci-après dénommées « RGPD »).

Pour toute question relative aux traitements de vos données à caractère personnel, vous pouvez contacter notre prestataire Affective, agissant en notre nom et pour notre compte pour la gestion de cette e-boutique :

par email à l’adresse rgpd@affective.com,
ou par voie postale à l’adresse suivante : Affective – RGPD – 9 rue des Augustins, 59800 Lille (France).

Toute réponse apportée aux personnes concernées sera effectuée en copie du Délégué à la Protection des Données (DPO) de l’EDHEC, en tant que Responsable de Traitement.

Conformément à la réglementation en vigueur, Affective, en qualité de sous-traitant, s’engage contractuellement à traiter les demandes d’exercice des droits des personnes concernées dans les délais légaux impartis.

Les transferts de données entre Affective et l’EDHEC sont strictement limités à la gestion et au suivi des commandes, à la relation client et au service après-vente. Ces échanges s’effectuent dans le cadre du contrat de sous-traitance, conformément aux exigences du RGPD, et ne donnent lieu à aucun transfert de données en dehors de l’Union européenne.

Quelles sont les données à caractère personnel que nous traitons ?

Finalités	Catégories de données	Bases légales	Durées de conservation
Création et gestion de votre compte client	☒ Données d’identification ☒ Données relatives à la vie personnelle (BtoC) ☒ Données relatives à la vie professionnelle (BtoB) ☒ Données de connexion et de navigation	☒ Consentement	Pendant la durée de votre compte ou au plus tard 2 ans après votre dernière connexion.
Gestion des commandes et de la livraison des produits commandés (Gestion des paiements incluse)	☒ Données de votre compte ☒ Données de votre commande ☒ Données bancaires et financières (BtoB : code d’imputation / BtoC : paiement carte géré par Payplug)	☒ Exécution de mesures contractuelles	5 ans (SAV, réclamations, défense en cas de litige). 10 ans pour les documents relevant des obligations fiscales et comptables françaises.
Gestion des réclamations, des demandes SAV et des garanties applicables	☒ Données de votre compte ☒ Données de votre commande ☒ Données de votre réclamation	☒ Exécution de mesures contractuelles	5 ans (pour pouvoir se porter défense en cas de litige).
Envoi de courriels marketing et commerciaux	☒ Données de votre compte ☒ Données relatives à l’opération marketing (si applicable)	☒ Intérêt légitime en BtoB ☒ Consentement en BtoC	Jusqu’à l’exercice du droit de retrait (BtoC) ou d’opposition (BtoB), ou au plus tard 3 ans après votre dernier contact.
Gestion de la performance de la E-boutique	Nous vous invitons à consulter notre Politique de gestion des cookies afin de connaître les modalités de traitement de vos données.		Selon les durées spécifiques aux cookies.
Gestion de vos droits Informatique et Libertés	Toutes les données nécessaires au traitement de votre droit	☒ Respect d’une obligation légale (Chapitre III du RGPD)	6 ans (prescriptions civile, administrative et pénale).

D’où viennent vos données à caractère personnel ?

Nous collectons vos données à caractère personnel à partir des sources suivantes :

Les données que vous nous communiquez via votre création de compte et l’utilisation de notre e-boutique,
Les données que nous obtenons légalement de tiers, par exemple, un fournisseur de services de paiement, un fournisseur de services de médias sociaux.

A qui vos données sont-elles communiquées ?

Seules les personnes habilitées mentionnées ci-dessous pourront avoir accès à vos données :

Notre personnel habilité,
Le personnel habilité de la société Affective, gérant la E-boutique en notre nom et pour notre compte ainsi que ses sous-traitants ultérieurs autorisés,
Les fournisseurs et transporteurs des produits commandés,
Le prestataire de paiement Payplug,
Les juridictions concernées, médiateurs, experts-comptables, commissaires aux comptes, avocats, huissiers, sociétés de recouvrement de créances.

Où sont stockées vos données et sont-elles transférées en dehors de l’Espace Économique Européen ?

Les données que nous recueillons à votre sujet seront stockées dans une base de données située en France.

Nous nous engageons à faire nos meilleurs efforts pour ne pas transférer vos données en dehors de l’Espace Economique Européen (« EEE »). Dans l’hypothèse où nous serions amenés à transférer vos données à caractère personnel en dehors de l’EEE, nous vous confirmons que des mesures contrôlant ce(s) transfert(s) seront prises afin d’assurer le respect de la confidentialité et de l’intégrité de vos données. Ces mesures pourront reposer sur une décision d’adéquation de la Commission Européenne ou sur des garanties appropriées comme par exemple la signature et l’implémentation de la dernière version des "Clauses Contractuelles Types" publiées par la Commission Européenne.

Cas des commandes internationales : en cas de demande de livraison de produits en dehors de l’EEE, des Données à Caractère Personnel pourront être transférées vers le pays de livraison (transporteurs et services douaniers). Les données transférées comprendront uniquement les informations nécessaires aux fins de gestion de livraison. Selon le cas d’espèce rencontré, ce transfert de données pourra être fondé sur une décision d’adéquation au sens de l’Article 45 du règlement (UE) 2016/679, sur des clauses contractuelles types au sens de l’Article 46 du règlement (UE) 2016/679, ou sur les dispositions de l’Article 49 du règlement (UE) 2016/679, ce traitement étant nécessaire à l’exécution de la commande de produits.

Quelles sont les mesures mises en place afin d’assurer l’intégrité, la confidentialité et la disponibilité de vos données ?

Nous et nos éventuels sous-traitants nous engageons à mettre en œuvre toutes les mesures techniques et organisationnelles afin d’assurer la sécurité de nos traitements de données à caractère personnel et la confidentialité de vos données, en application de la Loi informatique et Libertés et du RGPD et de la loi n°2018-133 du 26 février 2018 « portant diverses dispositions d’adaptation au droit de l’Union européenne dans le domaine de la sécurité ».

A ce titre, Nous prenons les précautions utiles, au regard de la nature de vos données et des risques présentés par leurs traitements, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès (protection physique des locaux, procédé d’authentification avec accès personnel et sécurisé via des identifiants et mots de passe confidentiels, chiffrement de certaines données,…).

Les mesures de sécurité mises en œuvre sont notamment :

Mises à jour de sécurité appliquées dès leur détection
Authentification SSO pour le tunnel BtoB
Mises à jour mineures (CMS, plugins, modules tiers, etc.) appliquées trimestriellement
Mises en œuvre de mesures de maintenance :
- Corrective : prise en charge et résolution des anomalies ou bugs
- Préventive : anticipation des incidents via la mise à jour régulière des composants
Ventes BtoC réglées exclusivement via Payplug, en paiement immédiat par carte bancaire
Certification HTTPS pour l’ensemble des pages
Sauvegardes quotidiennes des environnements, avec rétention multi-sites
Mise en place d’un Plan de Reprise d’Activité (PRA) garantissant une restauration rapide en cas d’incident
Surveillance des vulnérabilités et application proactive des patchs de sécurité
Environnements distincts

Préproduction : validation des évolutions
Production : exploitation commerciale

Mise en place d’une intégration continue (CI/CD) pour des déploiements automatisés et sécurisés.

En cas d'incident lié à la sécurité, nous vous informerons en temps utile et par tout moyen que nous jugerons approprié, des informations de base et des risques liés à l'incident, des mesures prises ou à venir, ainsi que des recommandations pour réduire vous-même les risques.

Quels sont vos droits ?

Droits d’accès, d’effacement, de rectification et de retrait de consentement

Conformément à la Loi Informatique et Libertés, ainsi qu’au RGPD, vous disposez du droit d’obtenir la communication et, le cas échéant, la rectification ou l’effacement des données vous concernant. Pour exercer ces droits, vous pouvez contacter notre prestataire Affective :

Adresse e-mail : rgpd@affective.com
Adresse postale : Affective – RGPD – 9 rue des Augustins, 59800 Lille (France)

Nous disposons d’un délai d’un (1) mois pour répondre à toute demande d’exercice de droits. Ce délai peut être prolongé de deux (2) mois, conformément à l’Article 12.3 du RGPD.

Conformément à l’Article 7.3 du RGPD, vous pouvez exercer votre droit de retrait de consentement à tout moment pour les données collectées et traitées sur ce fondement.

Droit d’opposition

Conformément à l’Article 21 du RGPD, vous pouvez vous opposer, pour des motifs légitimes, à figurer dans un fichier, ainsi qu’à l’utilisation de vos données à des fins de prospection commerciale, sans justification nécessaire.

Vous pouvez également vous opposer à tout moment, pour des raisons tenant à votre situation particulière, aux traitements visés par l’Article 21 du RGPD.

Droit à la portabilité

Conformément à l’Article 20 du RGPD, vous disposez du droit à la portabilité des données personnelles que vous nous avez fournies, c’est-à-dire les données déclarées de manière active et consciente.

Ce droit s’applique uniquement aux données collectées et traitées de manière automatisée, fondées sur le consentement et/ou l’exécution de mesures précontractuelles ou contractuelles.

Vous pouvez exercer ce droit gratuitement et à tout moment en nous contactant aux adresses mentionnées à l’Article 6.a).

Dans ce cadre, nous vous transmettrons vos données dans un format ouvert, standard, couramment utilisé et lisible par machine.

Droit à la limitation du traitement

Conformément à l’Article 18 du RGPD, vous disposez du droit à la limitation du traitement de vos données personnelles, c’est-à-dire le gel temporaire de leur utilisation.

Vous pouvez obtenir la limitation du traitement dans les cas suivants :

Pendant la vérification de l’exactitude des données que vous contestez ;
Lorsque le traitement est illicite mais que vous préférez limiter son usage plutôt que demander l’effacement ;
Lorsque les données ne sont plus nécessaires mais que vous en avez besoin pour exercer vos droits ;
Pendant la vérification des motifs légitimes lorsque vous vous êtes opposé au traitement.

Ce droit peut être exercé en nous contactant aux adresses mentionnées à l’Article 6.a).

Droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé

Conformément à l’Article 22 du RGPD, vous avez le droit de ne pas faire l’objet d’une décision entièrement automatisée produisant un effet juridique ou vous affectant de manière significative, sauf si :

vous avez donné votre accord exprès,
le traitement est nécessaire à la conclusion ou l’exécution d’un contrat,
ou s’il est autorisé par une disposition légale spécifique.

Si une telle décision automatisée est prise, vous pouvez :

demander des informations sur la logique et les critères utilisés,
contester la décision et exprimer votre point de vue,
demander l’intervention d’un être humain pour réexaminer la décision.

Ces demandes peuvent être adressées aux mêmes coordonnées mentionnées à l’Article 6.a).

Droit à la vie privée après votre décès

Vous pouvez définir des instructions concernant le stockage, la suppression ou la communication de vos données personnelles après votre décès, en nous contactant aux adresses mentionnées à l’Article 6.a).

Droit d’introduire une réclamation auprès d’une autorité de contrôle

Vous disposez du droit d’introduire une réclamation auprès d’une autorité de contrôle compétente, notamment la Commission Nationale de l'Informatique et des Libertés (CNIL) en France, si vous estimez que le traitement de vos données personnelles constitue une violation de la réglementation applicable.

Pour la France :
CNIL
3 place de Fontenoy, 75007 Paris
Tél. : 01 53 73 22 22

Ce recours peut être exercé sans préjudice de tout autre recours administratif ou juridictionnel.

Pour mieux connaître vos droits, vous pouvez consulter le site de la CNIL : https://cnil.fr

Quelles sont les conditions de modifications de cette politique ?

Nous nous réservons le droit, à notre seule discrétion, de modifier à tout moment la présente Politique, en totalité ou en partie.
Ces modifications entreront en vigueur à compter de la publication de la nouvelle politique de confidentialité.
Sauf modification(s) substantielle(s) nécessitant votre consentement exprès, votre utilisation de la E-boutique, suite à l’entrée en vigueur de ces modifications, vaudra reconnaissance et acceptation de la nouvelle politique de confidentialité. A défaut et si cette nouvelle politique de confidentialité ne vous convient pas, vous ne devrez plus utiliser la E-boutique et aurez la possibilité d’exercer vos droits aux adresses mentionnées à l’Article 6.a) des présentes.
Nous vous encourageons à consulter régulièrement cette Politique pour prendre connaissance des dernières informations sur notre politique de confidentialité.