2. ORIGINE ET CATÉGORIES DE DONNÉS TRAITÉES
2.1 Données que vous fournissez directement
Identité : nom, prénom, civilité, société, SIREN/SIRET, numéro TVA intra‑communautaire (clients professionnels)
Coordonnées : adresse postale, e‑mail, téléphone
Compte : identifiant, mot de passe haché (BCrypt)
Transactions : panier, historique de commandes, token Stripe, 4 derniers chiffres de la carte, date d’expiration
Échanges : formulaires, e‑mails, chat, service après‑vente
Préférences marketing : abonnements, consentements, catégories client
Les champs marqués d’un astérisque (*) dans nos formulaires sont obligatoires ; à défaut, nous pourrions être incapables de traiter votre demande ou votre commande.
2.2 Données collectées automatiquement
Connexion : adresse IP, identifiant de session, horodatage (logs stockés 12 mois)
Navigation : pages visitées, produits consultés, langue du navigateur, système d’exploitation, type d’appareil
Traceurs (cookies) : voir section 9
2.3 Données provenant de tiers
Stripe : statut de l’autorisation, indicateur de risque, pays d’émission de la carte — conservés 24 mois sauf litige
Colissimo : numéro de suivi, statut d’expédition, point relais sélectionné
Nous ne collectons aucune catégorie particulière de données (arts. 9 & 10 RGPD).
3. Finalités et bases juridiques des traitements
— Traitement des commandes, livraison et facturation
Base légale : exécution d’un contrat.
— Création et gestion du compte client
Base légale : exécution d’un contrat.
— Gestion du service après-vente et des demandes via le formulaire de contact
Base légale : intérêt légitime (assurer la continuité du service et la satisfaction client).
— Envoi de newsletters et d’offres promotionnelles
Base légale : consentement.
— Segmentation marketing non intrusive (clients actifs/inactifs, professionnels/particuliers)
Base légale : intérêt légitime (proposer des offres pertinentes pour développer l’activité).
— Mesure d’audience et analytics
Base légale : consentement (acceptation des cookies).
— Prévention de la fraude et sécurisation du Site (journaux de connexion, captcha, filtrage IP)
Base légale : intérêt légitime (garantir la sécurité des transactions et du Site).
— Conservation des factures et pièces comptables
Base légale : obligation légale (article L123-22 du Code de commerce).
Lorsque le traitement repose sur notre intérêt légitime, L&L4S a procédé à une « balance d’intérêts » afin de s’assurer que vos droits et libertés fondamentaux ne sont pas méconnus. Vous pouvez à tout moment vous opposer à ces traitements (voir section 10).
4. Durées de conservation des données
– Les données relatives à un compte client inactif (absence de connexion ou d’achat) sont conservées trois ans à compter de la dernière activité, conformément à la recommandation CNIL « prospection » n° 2023-01.
– Les informations liées aux commandes et à la facturation sont archivées dix ans, en application de l’article L123-22 du Code de commerce.
– Les dossiers de service après-vente (SAV) et support sont conservés pendant cinq ans après leur clôture, durée correspondant à la prescription contractuelle applicable.
– Les cookies non essentiels (mesure d’audience, personnalisation) expirent au plus tard treize mois après leur dépôt, conformément à la recommandation CNIL « cookies ».
– Les données destinées au marketing (newsletter et prospection) sont conservées jusqu’au retrait du consentement, ou à défaut pendant trois ans après le dernier contact émanant du prospect, selon la délibération CNIL 2019-093.
– Toute copie de pièce d’identité fournie pour l’exercice d’un droit RGPD est conservée un an – ou trois ans lorsqu’il s’agit d’une opposition – comme le prévoit l’article 9 du décret 2007-451.
Au-delà de ces délais, les données sont soit supprimées, soit rendues définitivement anonymes à des fins statistiques.
5. Destinataires des données
5.1 Accès interne (personnel habilité)
- Logistique
- Service client
- Marketing
- Direction financière
- Direction IT
5.2 Sous-traitants (contrats Art. 28 RGPD signés)
• Shopify Inc. – hébergement e-commerce ; données stockées au Canada (pays bénéficiant d’une décision d’adéquation) puis, le cas échéant, transférées aux États-Unis sous couvert des clauses contractuelles types (CCT 2021/914).
• Stripe Payments Europe Ltd – traitement des paiements ; traitement et stockage en Irlande (Espace économique européen).
• Stripe Inc. – support technique ; éventuels transferts vers les États-Unis encadrés par des CCT et renforcés par des mesures de chiffrement.
• La Poste / Colissimo – logistique et livraison ; traitement exclusivement en France.
• Klaviyo Inc. – plateforme d’e-mailing ; traitement aux États-Unis sous CCT 2021/914, avec pseudonymisation des données.
• Google LLC (Google Analytics 4 via proxy Francfort) – mesure d’audience ; collecte par un proxy européen, transferts vers les États-Unis encadrés par CCT et chiffrement des identifiants.
5.3 Tiers légalement autorisés
Autorités judiciaires, administratives ou fiscales, commissaires aux comptes, avocats.
Aucune donnée n’est vendue ni louée.
6. Transferts hors Espace Économique Européen (EEE)
Row content
7. Mesures de sécurité (art. 32 RGPD)
Infrastructure Shopify : SOC 2 Type II, ISO 27001, PCI‑DSS 1
Chiffrement : HTTPS/TLS ≥ 1.2 sur 100 % des pages
Sauvegardes & PRA/PCA : tests de restauration trimestriels, chiffrement AES‑256
Comptes administrateurs : mots de passe robustes + MFA
Principe du moindre privilège : matrice d’habilitations revue semestriellement
Données de paiement : tokenisées & chiffrées par Stripe (PCI‑DSS 1)
Les mesures sont réévaluées chaque année ou après tout changement majeur.
8. Protection des mineurs
Nos produits et services ne sont pas destinés aux personnes âgées de moins de 18 ans. Nous ne collectons pas sciemment de données relatives à des mineurs. Les mineurs doivent obtenir l’autorisation de leur représentant légal pour utiliser le Site.
9. Cookies et traceurs
Un bandeau de gestion du consentement (« CMP ») s’affiche lors de votre première visite. Vous pouvez à tout moment modifier vos choix via le lien « Gérer les cookies » présent en bas de page.
Les durées indiquées ci-dessous correspondent à la durée maximale pendant laquelle chaque cookie peut rester actif ; vous pouvez supprimer ces cookies à tout moment via votre navigateur.
Les cookies déposés sur le Site se répartissent en trois catégories :
- indispensables au fonctionnement du Site (gestion du panier, mémorisation de la langue, authentification). Ils reposent sur l’intérêt légitime de L&L4S et expirent au plus tard douze (12) mois après leur dépôt.
- servent à produire des statistiques de fréquentation anonymes et à améliorer l’ergonomie. Ils ne sont déposés qu’avec votre consentement et ont une durée de vie maximale de treize (13) mois.
- permettent la personnalisation des contenus et la relance des paniers abandonnés. Leur dépôt suppose votre consentement ; leur durée de conservation n’excède pas treize (13) mois.
Le paramétrage de vos choix est accessible à tout moment depuis le bandeau « Gestion des cookies ».
10. Vos droits (art. 15 à 22 RGPD)
Vous disposez des droits suivants :
- Accès à vos données ;
- Rectification des données inexactes ;
- Effacement (« droit à l’oubli »), lorsque applicable ;
- Limitation du traitement ;
- Opposition au traitement fondé sur l’intérêt légitime ou à la prospection ;
- Portabilité des données fournies sur la base du consentement ou du contrat ;
- Retrait du consentement à tout moment pour les traitements fondés sur celui-ci ;
- Directives post-mortem relatives au sort de vos données après votre décès.
Vous pouvez exercer ces droits gratuitement en écrivant à support@eclairagefrancais.fr et en joignant un justificatif d’identité si nécessaire. Nous vous répondrons dans un délai maximum d’un mois, prorogeable de deux mois pour les demandes complexes (art. 12 §3 RGPD).
Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de l’autorité de contrôle française (CNIL) : 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07 – www.cnil.fr.
11. Décisions automatisées et profilage
Aucune décision produisant des effets juridiques vous concernant n’est fondée exclusivement sur un traitement automatisé. Les segmentations marketing reposent sur un profilage non intrusif auquel vous pouvez vous opposer à tout moment.
12. Réseaux sociaux
Nous exploitons des pages officielles sur Instagram, Facebook et YouTube. Vos interactions avec ces plateformes sont régies par leurs propres politiques de confidentialité.
Pour toute question relative à la présente politique, vous pouvez nous contacter :
via le formulaire de contact
par e‑mail à l’adresse : support@eclairagefrancais.fr ;
par courrier à l’adresse suivante :
L&L4S – 9 rue des Colonnes, 75002 Paris, France
