1. INTRODUCTION
ESPACE ECOMMERCE FRANCE SARL (ci-apres, “le Responsable de traitement” ou “nous”) s’engage a proteger la vie privee et les donnees a caractere personnel des utilisateurs de son site internet www.justbob.fr (ci-apres, le “Site”).
La presente Politique de confidentialite (ci-apres, la “Politique”) decrit les finalites, les modalites, les bases juridiques et la duree du traitement des donnees a caractere personnel collectees a travers le Site. Elle est redigee conformement au Reglement (UE) 2016/679 du Parlement europeen et du Conseil, du 27 avril 2016, relatif a la protection des personnes physiques a l’egard du traitement des donnees a caractere personnel et a la libre circulation de ces donnees (ci-apres, le “RGPD”), a la Loi n. 78-17 du 6 janvier 1978 relative a l’informatique, aux fichiers et aux libertes (ci-apres, la “Loi Informatique et Libertes” ou “LIL”) dans sa version consolidee applicable en 2026, telle que modifiee par l’Ordonnance n. 2018-1125 du 12 decembre 2018 et precisee par le Decret n. 2019-536 du 29 mai 2019, a la Directive 2002/58/CE (“ePrivacy”) et a ses normes de transposition internes, ainsi qu’aux lignes directrices du Comite europeen de la protection des donnees (EDPB) et aux deliberations et recommandations de la Commission Nationale de l’Informatique et des Libertes (CNIL).
La presente Politique concerne exclusivement le traitement des donnees a caractere personnel effectue par l’intermediaire du Site et ne s’etend pas aux sites internet de tiers auxquels l’utilisateur pourrait acceder via des liens presents sur le Site. Le Responsable de traitement decline toute responsabilite quant au traitement des donnees effectue par des sites tiers, auxquels l’utilisateur accede sous sa seule responsabilite. Pour toute information concernant les cookies et les autres outils de suivi utilises sur le Site, veuillez consulter notre Politique relative aux cookies, qui complete la presente Politique.
Conformement a l’article 5 du RGPD, le traitement des donnees a caractere personnel est effectue dans le respect des principes de licete, de loyaute, de transparence, de limitation des finalites, de minimisation des donnees, d’exactitude, de limitation de la conservation, d’integrite et de confidentialite. Le Responsable de traitement est en mesure de demontrer, au sens de l’article 5, paragraphe 2, du RGPD (principe de responsabilite ou “accountability”), la conformite de ses traitements aux principes du Reglement.
L’utilisateur est invite a lire attentivement la presente Politique avant de fournir toute donnee a caractere personnel au Site. L’utilisation du Site, la creation d’un compte, la passation d’une commande ou l’envoi d’un message via le formulaire de contact impliquent la prise de connaissance de la presente Politique.
2. RESPONSABLE DE TRAITEMENT
Le Responsable de traitement des donnees a caractere personnel collectees a travers le Site est :
ESPACE ECOMMERCE FRANCE SARL
- Forme juridique : Societe a Responsabilite Limitee (SARL)
- Siege social : 16 rue Cuvier, 69006 Lyon (France)
- TVA intracommunautaire : FR62920502598
- SIREN : 920 502 598
- SIRET : 920 502 598 00013
- Code APE : 47.91A
- Capital social : 2.000 EUR
- Email : info@justbob.fr
- Telephone : +33 1 85 14 91 09 (du lundi au vendredi, de 10h00 a 17h00 CET, hors jours feries)
- Site internet : www.justbob.fr
Compte tenu de la nature et du volume des donnees traitees, ainsi que de l’absence d’activites de suivi regulier et systematique des personnes concernees a grande echelle ou de traitement a grande echelle de categories particulieres de donnees, le Responsable de traitement n’est pas tenu de designer un delegue a la protection des donnees au sens de l’article 37 du RGPD. Toute demande relative au traitement des donnees a caractere personnel, y compris l’exercice des droits reconnus par les articles 15 a 22 du RGPD, peut etre adressee a l’adresse email info@justbob.fr, qui constitue le canal privilegie de contact avec le Responsable de traitement en matiere de protection des donnees.
Le Responsable de traitement dispose de son etablissement unique en France : la Commission Nationale de l’Informatique et des Libertes (CNIL) est donc a la fois l’autorite de controle chef de file au sens de l’article 56 du RGPD et l’autorite nationale de reference pour les utilisateurs francais du Site (voir section 12.3 de la presente Politique).
3. DONNEES PERSONNELLES COLLECTEES
En fonction de l’interaction de l’utilisateur avec le Site, le Responsable de traitement peut collecter les categories de donnees a caractere personnel suivantes :
- a) Donnees d’identification et de contact : nom, prenom, adresse postale, adresse email, numero de telephone.
- b) Donnees de facturation : adresse de facturation (si differente de l’adresse de livraison), numero d’identification fiscale ou de TVA (dans les cas ou le client demande l’emission d’une facture).
- c) Donnees relatives a la transaction : produits achetes, montant, mode de paiement (donnees masquees), numero de commande, historique d’achat.
- d) Donnees de compte utilisateur : nom d’utilisateur, mot de passe (conserve sous forme cryptee au moyen d’un algorithme de hachage sur), preferences de compte.
- e) Donnees de navigation : adresse IP (anonymisee a des fins analytiques), type et version du navigateur, systeme d’exploitation, pages consultees, date et heure de chaque acces, URL de provenance. Ces donnees sont collectees automatiquement par les systemes informatiques du Site (voir section 4).
- f) Donnees de communication : contenu des emails ou des messages envoyes via le formulaire de contact, historique des communications intervenues avec le service clientele, eventuelles pieces jointes ou references de commande utiles au traitement de la demande.
Le Responsable de traitement collecte exclusivement les donnees a caractere personnel strictement necessaires au fonctionnement correct du Site, a la fourniture des services demandes et au respect des obligations legales, en pleine adhesion au principe de minimisation vise a l’article 5, paragraphe 1, point c, du RGPD. La collecte de donnees supplementaires au-dela de celles enumerees, si elle devait se reveler necessaire a des finalites specifiques, fera l’objet d’une information prealable et, lorsque la loi l’exige, d’un consentement specifique.
Le Responsable de traitement ne collecte ni ne traite de categories particulieres de donnees a caractere personnel au sens de l’article 9 du RGPD, en ce compris les donnees revelant l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, les donnees genetiques ou biometriques, les donnees concernant la sante, la vie sexuelle ou l’orientation sexuelle. Le Responsable de traitement ne sollicite aupres de l’utilisateur aucune information de cette nature et n’entend pas en recevoir de maniere spontanee. En cas d’envoi spontane de donnees de cette nature par l’utilisateur, le Responsable de traitement s’abstiendra de les traiter et procedera a leur suppression securisee dans les meilleurs delais.
4. DONNEES DE NAVIGATION
Les systemes informatiques et les procedures logicielles utilises pour le fonctionnement du Site collectent automatiquement, au cours de leur exploitation normale, certaines donnees a caractere personnel dont la transmission est implicite dans l’utilisation des protocoles de communication internet. Ces donnees incluent :
- Adresses IP (anonymisees a des fins analytiques)
- Type et version du navigateur
- Systeme d’exploitation
- Pages consultees et parcours de navigation
- Date et heure de chaque requete au serveur
- URL de provenance (la page depuis laquelle l’utilisateur a rejoint le Site)
- Fournisseur d’acces internet (FAI)
Ces donnees sont utilisees a la seule fin de garantir le fonctionnement correct du Site et la securite du systeme, par exemple pour detecter des acces non autorises, des tentatives d’intrusion, des attaques informatiques de type brute-force, DDoS ou d’autres menaces a la disponibilite et a l’integrite du service. Le traitement est fonctionnel a la maintenance ordinaire de l’infrastructure et a l’analyse statistique agregee du trafic afin d’optimiser le fonctionnement technique du Site.
La base juridique du traitement est l’interet legitime du Responsable de traitement (article 6, paragraphe 1, point f, du RGPD) a garantir la securite des reseaux et de l’information, en ligne avec le considerant 49 du RGPD. Cet interet legitime a fait l’objet d’une evaluation specifique de mise en balance avec les droits et libertes des personnes concernees (Legitimate Interest Assessment), qui a mis en evidence la proportionnalite du traitement au regard de la finalite poursuivie.
Les donnees de navigation sont conservees dans les journaux du serveur pendant une duree maximale de 12 mois, puis supprimees de maniere automatique, sauf necessite de les conserver pendant des periodes superieures dans le cadre d’enquetes des autorites competentes en cas d’incidents de securite ou d’enquetes judiciaires.
5. DONNEES FOURNIES VOLONTAIREMENT PAR L’UTILISATEUR
L’utilisateur peut fournir des donnees a caractere personnel de maniere volontaire dans les cas suivants :
- a) Inscription a un compte : lors de la creation d’un compte sur le Site, sont demandes nom, prenom, adresse email et mot de passe. Ces donnees sont necessaires a la creation et a la gestion du compte (base juridique : article 6, paragraphe 1, point b, du RGPD, execution du contrat). Le refus de les fournir empeche l’inscription et l’acces aux fonctionnalites reservees aux utilisateurs enregistres.
- b) Passation de commandes : pour executer une commande, sont necessaires les nom, prenom, adresse de livraison, adresse email et numero de telephone. Ces donnees sont indispensables a l’execution du contrat de vente (base juridique : article 6, paragraphe 1, point b, du RGPD). Les paiements sont geres par des prestataires de services de paiement externes autorises, en environnement conforme aux normes PCI DSS : le Responsable de traitement ne conserve ni n’a acces aux donnees completes des cartes de paiement.
- c) Formulaire de contact et email : l’envoi volontaire d’emails ou la completion du formulaire de contact entraine la collecte de l’adresse email de l’expediteur ainsi que de toute autre donnee a caractere personnel presente dans le message, a la seule fin de repondre a la demande (base juridique : article 6, paragraphe 1, point b, du RGPD).
- d) Inscription a la newsletter : l’utilisateur peut s’inscrire volontairement a la newsletter en fournissant son adresse email. La base juridique varie selon la situation :
- Pour les nouveaux inscrits sans relation commerciale preexistante avec le Responsable de traitement : consentement exprime de maniere libre, specifique, eclairee et univoque conformement a l’article 6, paragraphe 1, point a, du RGPD, revocable a tout moment par le biais du lien de desinscription present dans chaque communication ou en ecrivant a info@justbob.fr.
- Pour les clients existants en relation avec des produits ou services analogues a ceux qu’ils ont deja acquis : conformement a l’article L.34-5 du Code des postes et des communications electroniques (transposition en droit francais du mecanisme dit “soft opt-in” prevu a l’article 13 de la Directive 2002/58/CE), le Responsable de traitement peut adresser des communications commerciales par email sans necessite d’un consentement prealable specifique, sous reserve que l’adresse email ait ete recueillie de maniere loyale dans le cadre d’un achat precedent, que la personne concernee ait ete adequatement informee de cette possibilite et ne s’y soit pas opposee, et que chaque communication contienne un mecanisme d’opposition simple et gratuit (lien de desinscription).
L’envoi des emails est gere par Brevo SAS (anciennement Sendinblue), qui intervient en qualite de sous-traitant au sens de l’article 28 du RGPD.
- e) Prevention des fraudes et defense en justice : l’ensemble des donnees a caractere personnel collectees pourra etre traite, en cas de necessite, pour prevenir des fraudes, pour se proteger contre des conduites contraires aux conditions generales d’utilisation du Site et pour defendre les droits du Responsable de traitement en justice ou dans un cadre extrajudiciaire (base juridique : article 6, paragraphe 1, point f, du RGPD, interet legitime). Dans ces cas, la personne concernee conserve son droit d’opposition au sens de l’article 21 du RGPD.
6. FINALITES ET BASES JURIDIQUES DU TRAITEMENT
Les donnees a caractere personnel collectees a travers le Site sont traitees pour les finalites suivantes, chacune avec sa propre base juridique :
| Finalite | Base juridique (article 6 du RGPD) | Donnees traitees |
|---|---|---|
| Gestion et execution des commandes (y compris l’expedition et la livraison) | Article 6, paragraphe 1, point b, du RGPD, execution du contrat | Nom, prenom, adresse de livraison, email, telephone, donnees de la commande |
| Creation et gestion du compte utilisateur | Article 6, paragraphe 1, point b, du RGPD, execution du contrat | Nom, email, mot de passe (hache), preferences |
| Execution des obligations fiscales et comptables | Article 6, paragraphe 1, point c, du RGPD, obligation legale (Art. L.123-22 du Code de commerce ; Art. L.102 B du Livre des procedures fiscales) | Nom, adresse de facturation, donnees de la transaction, numero d’identification fiscale ou TVA |
| Service clientele et assistance apres-vente | Article 6, paragraphe 1, point b, du RGPD, execution du contrat | Nom, email, historique des communications |
| Envoi de communications commerciales (newsletter) aux nouveaux inscrits | Article 6, paragraphe 1, point a, du RGPD, consentement | Adresse email |
| Envoi de communications commerciales aux clients existants portant sur des produits ou services analogues | Article L.34-5 du Code des postes et des communications electroniques (soft opt-in) | Adresse email, historique des achats |
| Suivi technique des performances du Site (Google Analytics 4, anonymise) | Article 6, paragraphe 1, point f, du RGPD, interet legitime a la maintenance et a l’amelioration technique du service | Donnees de navigation anonymisees (IP tronquee), aucune donnee d’identification personnelle |
| Securite du Site et prevention des fraudes | Article 6, paragraphe 1, point f, du RGPD, interet legitime | Adresse IP, journaux d’acces, donnees du terminal |
| Defense des droits en justice ou dans un cadre extrajudiciaire | Article 6, paragraphe 1, point f, du RGPD, interet legitime | Toutes les donnees strictement necessaires a la defense |
| Gestion des directives relatives au sort des donnees apres le deces (Art. 85 Loi 78-17) | Article 6, paragraphe 1, point c, du RGPD, obligation legale | Instructions de la personne decedee, identite de l’executant ou des heritiers |
Note sur l’interet legitime : lorsque la base juridique du traitement est l’interet legitime du Responsable de traitement, la personne concernee a le droit de s’opposer a tout moment, pour des raisons tenant a sa situation particuliere, au sens de l’article 21 du RGPD. Le Responsable de traitement s’abstiendra alors de traiter les donnees, sauf a demontrer l’existence de motifs legitimes imperieux pour le traitement qui prevalent sur les interets, droits et libertes de la personne concernee, ou bien la necessite du traitement pour la constatation, l’exercice ou la defense d’un droit en justice. Pour exercer le droit d’opposition, la personne concernee peut ecrire a info@justbob.fr.
Note sur le consentement : le consentement accorde a l’envoi de communications commerciales et a tout autre traitement fonde sur l’article 6, paragraphe 1, point a, du RGPD peut etre revoque a tout moment avec la meme facilite que celle avec laquelle il a ete donne, sans que cela n’affecte la liceite du traitement effectue avant la revocation (article 7, paragraphe 3, du RGPD). La revocation du consentement n’a pas d’effet retroactif sur les traitements deja executes.
Communication des donnees et consequences de leur non-fourniture : la communication des donnees necessaires a l’execution du contrat (commandes, compte) et au respect des obligations legales (facturation, conservation fiscale) est obligatoire : le defaut de communication empeche le Responsable de traitement de donner suite a la demande de la personne concernee. La communication des donnees aux fins de marketing (newsletter) est en revanche facultative et ne prejuge en rien de la possibilite d’utiliser le Site et les services.
7. SOUS-TRAITANTS (ARTICLE 28 DU RGPD)
Pour la fourniture de nos services, les donnees a caractere personnel peuvent etre traitees par les sous-traitants suivants, avec lesquels le Responsable de traitement a signe les accords de traitement (Data Processing Agreement, DPA) au sens de l’article 28 du RGPD :
| Sous-traitant | Service | Siege |
|---|---|---|
| Planetel S.p.A. (anciennement NetAdmin S.r.l.) | Hebergement du Site et maintenance des serveurs | Via Mattei, 10, 24060 Brusaporto (BG), Italie (UE) |
| Brevo SAS (anciennement Sendinblue) | Envoi des communications transactionnelles relatives aux commandes et de la newsletter | 7 rue de Madrid, 75008 Paris, France (UE), RCS Paris 498 019 298 |
| Google LLC | Suivi technique anonymise des performances du Site (Google Analytics 4) | 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA (adherent au EU-US Data Privacy Framework) |
Le traitement des paiements est gere par des prestataires de services de paiement externes autorises, qui operent en qualite de responsables de traitement autonomes ou de sous-traitants en relation avec les phases specifiques du traitement, en application de leurs propres politiques de confidentialite et mesures de securite conformes aux normes PCI DSS. Le Responsable de traitement ne memorise ni n’a acces direct aux donnees completes de paiement (numeros de carte, CVV, codes de securite) : il recoit uniquement les informations relatives a l’issue de la transaction necessaires a la gestion de la commande.
Les sous-traitants sont selectionnes par le Responsable de traitement parmi des operateurs offrant des garanties suffisantes pour mettre en oeuvre des mesures techniques et organisationnelles adequates, de telle sorte que le traitement reponde aux exigences du RGPD et garantisse la protection des droits de la personne concernee (article 28, paragraphe 1, du RGPD). Chaque sous-traitant est lie par un contrat ecrit (Data Processing Agreement) encadrant de maniere specifique la nature, la duree, les finalites et les categories de donnees traitees, les obligations de confidentialite, les mesures de securite, la gestion des sous-traitants ulterieurs, la cooperation pour l’exercice des droits de la personne concernee et pour la notification d’eventuelles violations.
La liste complete et mise a jour des sous-traitants, y compris d’eventuels sous-traitants ulterieurs designes par les sous-traitants principaux, est disponible sur demande adressee a info@justbob.fr.
8. COMMUNICATION DE DONNEES A DES TIERS
Le Responsable de traitement ne vend, ne cede ni ne loue de donnees a caractere personnel a des tiers.
Les donnees a caractere personnel pourront etre communiquees aux categories de destinataires suivantes, exclusivement pour les finalites indiquees dans la presente Politique :
- a) Sous-traitants (article 28 du RGPD) : operateurs tiers traitant des donnees a caractere personnel pour le compte du Responsable de traitement, en vertu d’un accord de traitement des donnees. Voir la section 7 pour le detail.
- b) Professionnels et conseillers : cabinets et professionnels fournissant au Responsable de traitement une assistance comptable, administrative, juridique, fiscale, financiere ou de recouvrement de creances, agissant en qualite de sous-traitants ou de responsables de traitement autonomes, selon le cas.
- c) Autorites publiques : organes, autorites ou institutions auxquels il est obligatoire de communiquer des donnees a caractere personnel en vertu de dispositions legales ou d’injonctions motivees des autorites competentes (par exemple, autorite judiciaire, forces de l’ordre, autorites fiscales).
- d) Personnel autorise : employes et collaborateurs du Responsable de traitement expressement autorises a traiter les donnees a caractere personnel conformement a l’article 29 du RGPD, soumis a des instructions specifiques et a des obligations de confidentialite.
Les donnees a caractere personnel ne font l’objet d’aucune diffusion publique.
9. TRANSFERTS INTERNATIONAUX DE DONNEES
Certains sous-traitants peuvent traiter des donnees a caractere personnel en dehors de l’Espace economique europeen (EEE). En particulier :
| Sous-traitant | Pays | Garantie appliquee |
|---|---|---|
| Google LLC (Google Analytics 4) | Etats-Unis | Adhere au EU-US Data Privacy Framework (DPF), faisant l’objet de la Decision d’execution (UE) 2023/1795 de la Commission europeenne du 10 juillet 2023 relative a l’adequation du niveau de protection des donnees a caractere personnel. La certification DPF de Google LLC peut etre verifiee sur le registre public www.dataprivacyframework.gov. En complement du DPF, le Responsable de traitement a active l’anonymisation de l’adresse IP (IP masking) afin de minimiser les donnees a caractere personnel transferees. |
| Brevo SAS | France (UE) | Serveurs situes dans l’Union europeenne. Aucun transfert de donnees hors de l’EEE. |
| Planetel S.p.A. | Italie (UE) | Serveurs situes dans l’Union europeenne. Aucun transfert de donnees hors de l’EEE. |
En cas d’invalidation ou de modification du EU-US Data Privacy Framework, le Responsable de traitement adoptera les garanties necessaires, notamment les Clauses Contractuelles Types approuvees par la Commission europeenne par la Decision d’execution (UE) 2021/914 du 4 juin 2021, completees, le cas echeant, par des mesures supplementaires techniques (par exemple, chiffrement, pseudonymisation, anonymisation des identifiants) et contractuelles, afin d’assurer un niveau de protection adequat des donnees a caractere personnel.
La validite du EU-US Data Privacy Framework a ete confirmee par le Tribunal de l’Union europeenne dans son arret T-553/23 Latombe du 3 septembre 2025. Le Responsable de traitement suit en permanence l’evolution du cadre normatif en matiere de transferts internationaux de donnees, y compris les developpements jurisprudentiels relatifs a la validite du DPF, et s’engage a mettre a jour la presente Politique et, le cas echeant, les bases juridiques des transferts.
Pour toute information complementaire sur les garanties appliquees aux transferts internationaux de donnees, y compris copie ou reference aux Clauses Contractuelles Types eventuellement en usage, la personne concernee peut ecrire a info@justbob.fr.
10. METHODES ET SECURITE DU TRAITEMENT
Les donnees a caractere personnel sont traitees avec des outils informatiques et telematiques, selon des logiques strictement liees aux finalites indiquees dans la presente Politique, et en tout etat de cause de maniere a en garantir la securite et l’integrite.
Conformement a l’article 32 du RGPD, le Responsable de traitement applique des mesures techniques et organisationnelles appropriees pour garantir un niveau de securite proportionne au risque, parmi lesquelles :
- Chiffrement des communications via le protocole HTTPS (TLS 1.2 / 1.3) sur l’ensemble du Site
- Stockage des mots de passe au moyen d’algorithmes de hachage securise (bcrypt / scrypt)
- Restriction de l’acces aux donnees a caractere personnel au seul personnel expressement autorise, avec des identifiants individuels
- Copies de sauvegarde (backup) quotidiennes et hebdomadaires des systemes et des bases de donnees, conservees sous forme chiffree
- Surveillance des journaux d’acces afin de detecter des tentatives d’acces non autorise
- Mise a jour periodique du CMS, des extensions et du logiciel utilise
- Infrastructure d’hebergement conforme aux standards de securite declares par le prestataire
Processus decisionnels automatises et profilage : le Responsable de traitement n’effectue aucun processus decisionnel automatise ni aucune elaboration de profils produisant des effets juridiques ou affectant la personne concernee de maniere significative de facon similaire, au sens de l’article 22 du RGPD.
Violation de donnees a caractere personnel (data breach) : le Responsable de traitement a adopte une procedure interne de gestion des violations de donnees a caractere personnel, qui encadre les modalites de detection, d’analyse, de classification du risque, de notification et de communication, ainsi que de tenue du registre interne des violations. En cas de violation des donnees a caractere personnel susceptible d’engendrer un risque pour les droits et libertes des personnes physiques, le Responsable de traitement notifiera la CNIL dans un delai de 72 heures a compter de sa decouverte, conformement a l’article 33 du RGPD et, lorsque la violation est susceptible d’engendrer un risque eleve pour les droits et libertes des personnes physiques, communiquera l’evenement aux personnes concernees sans delai injustifie conformement a l’article 34 du RGPD.
Lorsque la violation comporte un risque eleve pour les droits et libertes des personnes concernees, la communication aux personnes concernees se fera par email a l’adresse communiquee par l’utilisateur au Responsable de traitement, en decrivant en langage simple et clair la nature de la violation, les consequences probables, les mesures adoptees ou proposees pour y remedier et pour en attenuer les effets possibles, ainsi que les coordonnees permettant d’obtenir des informations complementaires.
11. PERIODES DE CONSERVATION DES DONNEES
Les donnees a caractere personnel sont conservees pendant la duree strictement necessaire a la realisation des finalites pour lesquelles elles ont ete collectees et, en tout etat de cause, dans le respect des periodes suivantes :
| Finalite | Periode de conservation | Base juridique |
|---|---|---|
| Gestion des commandes et documentation comptable / fiscale | 10 ans a compter du dernier enregistrement | Art. L.123-22 du Code de commerce ; Art. L.102 B du Livre des procedures fiscales |
| Donnees du compte utilisateur | Jusqu’a la demande de suppression par l’utilisateur, plus 5 ans au titre de la prescription ordinaire | Article 6, paragraphe 1, point b, du RGPD ; Art. 2224 du Code civil |
| Service clientele | 3 ans a compter de la derniere communication | Article 6, paragraphe 1, point b, du RGPD ; principe de raisonnabilite au regard de la prescription ordinaire |
| Communications commerciales (newsletter) | Jusqu’a la revocation du consentement ou a l’opposition de la personne concernee | Article 6, paragraphe 1, point a, du RGPD ; article 21, paragraphe 3, du RGPD ; Art. L.34-5 du Code des postes et des communications electroniques |
| Suivi technique du Site (Google Analytics 4, anonymise) | 14 mois au maximum (configuration GA4) | Article 6, paragraphe 1, point f, du RGPD, interet legitime |
| Donnees de navigation (journaux du serveur) | 12 mois | Article 6, paragraphe 1, point f, du RGPD, interet legitime a la securite du systeme |
| Donnees relatives a l’exercice des droits de la personne concernee | 3 ans a compter de la derniere demande | Article 6, paragraphe 1, point c, du RGPD ; principe de responsabilite (article 5, paragraphe 2, du RGPD) |
| Directives relatives au sort des donnees apres le deces (Art. 85 Loi 78-17) | Jusqu’a l’execution integrale des directives | Art. 85 Loi 78-17 ; article 6, paragraphe 1, point c, du RGPD |
A l’issue des periodes indiquees, les donnees a caractere personnel seront supprimees de maniere securisee ou anonymisees de maniere irreversible, sous reserve des obligations legales imposant une conservation pour une duree superieure (par exemple, obligations fiscales, lutte contre le blanchiment, protection juridictionnelle).
Note sur le delai decennal fiscal francais : la legislation francaise fixe a dix ans la duree de conservation des livres comptables, des pieces justificatives et de la correspondance commerciale des entreprises (article L.123-22 du Code de commerce), delai qui prevaut sur le delai de six ans prevu par l’article L.102 B du Livre des procedures fiscales lorsque ce dernier est plus court. Ce delai de dix ans prevaut egalement sur le delai de prescription ordinaire de cinq ans prevu a l’article 2224 du Code civil, en raison de la nature et de la duree des obligations comptables applicables aux operations de commerce electronique.
Criteres de determination des periodes de conservation : pour les finalites pour lesquelles un terme precis n’est pas indique, le Responsable de traitement determine la periode de conservation des donnees sur la base : (i) de la duree de la relation contractuelle ou precontractuelle avec la personne concernee ; (ii) d’eventuelles obligations legales, reglementaires ou de conservation imposees aux parties contractantes ; (iii) des delais de prescription applicables aux actions exercables a l’encontre du Responsable de traitement ; (iv) des recommandations de la CNIL et de l’EDPB en matiere de minimisation de la conservation.
12. DROITS DE LA PERSONNE CONCERNEE
Conformement aux articles 15 a 22 du RGPD et aux dispositions de la Loi n. 78-17 du 6 janvier 1978, la personne concernee dispose des droits suivants a l’egard du Responsable de traitement :
| Droit | Description | Fondement |
|---|---|---|
| Acces | Obtenir la confirmation qu’un traitement de ses donnees a caractere personnel est ou n’est pas en cours et, le cas echeant, acceder aux donnees elles-memes ainsi qu’aux informations relatives au traitement | Art. 15 RGPD ; Art. 38 Loi 78-17 |
| Rectification | Demander la correction de donnees inexactes ou le complement de donnees incompletes | Art. 16 RGPD ; Art. 39 Loi 78-17 |
| Effacement (droit a l’oubli) | Demander la suppression de ses donnees lorsqu’elles ne sont plus necessaires aux finalites pour lesquelles elles ont ete collectees, en cas de retrait du consentement, d’opposition, de traitement illicite ou pour respecter une obligation legale | Art. 17 RGPD ; Art. 40 Loi 78-17 |
| Limitation du traitement | Demander la suspension temporaire du traitement dans certaines circonstances (contestation de l’exactitude, traitement illicite, necessite des donnees pour la defense en justice, opposition en attente) | Art. 18 RGPD |
| Portabilite | Recevoir ses donnees dans un format structure, couramment utilise et lisible par machine, et les transmettre a un autre responsable de traitement, lorsque le traitement est fonde sur le consentement ou sur l’execution d’un contrat et est effectue par des moyens automatises | Art. 20 RGPD |
| Opposition | S’opposer au traitement de ses donnees pour des motifs tenant a sa situation particuliere, notamment lorsque la base juridique est l’interet legitime. Pour le marketing direct, le droit d’opposition est absolu et inconditionnel | Art. 21 RGPD |
| Retrait du consentement | Retirer a tout moment le consentement donne, avec la meme facilite que celle avec laquelle il a ete donne, sans que cela n’affecte la liceite du traitement anterieur au retrait | Art. 7, paragraphe 3, RGPD |
| Non-soumission a une decision automatisee | Ne pas faire l’objet d’une decision fondee exclusivement sur un traitement automatise, y compris le profilage, produisant des effets juridiques ou affectant la personne de maniere significative de facon similaire | Art. 22 RGPD |
| Directives relatives au sort des donnees apres le deces | Definir des instructions generales ou particulieres relatives a la conservation, a l’effacement et a la communication de ses donnees a caractere personnel apres son deces. Les directives generales peuvent etre enregistrees aupres d’un tiers de confiance numerique certifie par la CNIL ; les directives particulieres peuvent etre communiquees directement au Responsable de traitement pour les donnees traitees via le Site. Pour toute information complementaire : www.cnil.fr | Art. 85 Loi 78-17 |
12.1 Modalites d’exercice des droits
La personne concernee peut exercer un ou plusieurs de ces droits en adressant une demande au Responsable de traitement par les canaux suivants :
- Email : info@justbob.fr
- Courrier postal : ESPACE ECOMMERCE FRANCE SARL, 16 rue Cuvier, 69006 Lyon, France
La demande doit comporter nom et prenom, adresse email associee au compte (s’il existe) et une description claire du droit exerce. Le Responsable de traitement peut demander des documents permettant de verifier l’identite de la personne concernee, au seul but de prevenir tout acces non autorise aux donnees de tiers, conformement a l’article 12, paragraphe 6, du RGPD. Conformement aux recommandations de la CNIL, la demande de documents d’identite est limitee aux cas de doute objectif, et les documents communiques sont detruits des que l’identite est verifiee, sauf disposition legale contraire.
Lorsque le Responsable de traitement n’est pas en mesure d’identifier la personne concernee sur la base des informations recues, il en informe cette derniere sans delai et, conformement a l’article 11, paragraphe 2, du RGPD, peut refuser de donner suite a la demande, sauf possibilite pour la personne concernee de fournir des informations supplementaires aux fins de l’identification.
12.2 Delais de reponse
Le Responsable de traitement repond aux demandes dans un delai d’un (1) mois a compter de leur reception. Ce delai peut etre prolonge de deux (2) mois supplementaires (pour un maximum cumule de trois mois), compte tenu de la complexite et du nombre des demandes, avec notification motivee adressee a la personne concernee dans le premier mois (article 12, paragraphe 3, du RGPD).
La reponse a la demande est gratuite, sauf dans les cas de demandes manifestement infondees ou excessives, en particulier en raison de leur caractere repetitif, pour lesquelles le Responsable de traitement pourra exiger le versement d’une contribution raisonnable au titre des frais exposes ou refuser de donner suite a la demande (article 12, paragraphe 5, du RGPD).
12.3 Reclamation aupres de l’autorite de controle
Lorsque la personne concernee estime que le traitement de ses donnees a caractere personnel ne respecte pas la reglementation applicable, elle a le droit d’introduire une reclamation aupres de la Commission Nationale de l’Informatique et des Libertes (CNIL), qui est a la fois l’autorite de controle chef de file (lead supervisory authority) au sens de l’article 56 du RGPD, en raison du siege social du Responsable de traitement en France, et l’autorite de controle nationale competente pour les utilisateurs francais du Site.
Commission Nationale de l’Informatique et des Libertes (CNIL)
- Siege : 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07, France
- Telephone : +33 1 53 73 22 22
- Site internet : www.cnil.fr
- Reclamation en ligne : www.cnil.fr/fr/plaintes
- Reclamation par courrier : CNIL, Service des Plaintes 3, Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
La personne concernee qui reside dans un Etat membre de l’Union europeenne autre que la France peut egalement introduire une reclamation aupres de l’autorite de controle de son pays de residence habituelle, de son lieu de travail ou du lieu ou se situe la violation alleguee, conformement a l’article 77 du RGPD.
En complement de la reclamation administrative, la personne concernee dispose egalement du droit d’introduire un recours juridictionnel effectif, au sens de l’article 78 du RGPD a l’encontre de l’autorite de controle et au sens de l’article 79 du RGPD a l’encontre du Responsable de traitement, devant les juridictions competentes, notamment devant le tribunal du lieu de son domicile, conformement au Reglement (UE) 1215/2012 (Bruxelles I bis), articles 17 a 19, et a l’article R.631-3 du Code de la consommation. Le recours juridictionnel peut etre introduit alternativement ou cumulativement a la reclamation administrative et a pour objet la protection effective des droits reconnus par le RGPD, y compris le droit a la reparation du prejudice au sens de l’article 82 du Reglement.
13. MINEURS
Le Site www.justbob.fr est exclusivement reserve aux personnes majeures (18 ans revolus). Le Responsable de traitement ne collecte ni ne traite sciemment des donnees a caractere personnel de mineurs de 18 ans. S’il venait a connaissance du traitement de donnees personnelles concernant un mineur de 18 ans, ces donnees seront immediatement supprimees, sous reserve des obligations legales de conservation.
Conformement a l’article 45 de la Loi n. 78-17 du 6 janvier 1978 (Loi Informatique et Libertes), introduit par l’Ordonnance n. 2018-1125 du 12 decembre 2018 en application de l’article 8 du RGPD, l’age minimum pour exprimer un consentement valable au traitement des donnees a caractere personnel dans le cadre de l’offre directe de services de la societe de l’information est fixe en France a 15 ans. Ce seuil normatif demeure sans objet dans le cas du Site www.justbob.fr, dans la mesure ou l’acces au Site est en tout etat de cause conditionne a un age minimum de 18 ans.
Si un parent ou un tuteur estime qu’un mineur de 18 ans a fourni des donnees a caractere personnel au Responsable de traitement, il peut ecrire a info@justbob.fr en demandant la suppression. Le Responsable de traitement donnera suite a la demande sans delai injustifie, en adoptant toutes les mesures raisonnables pour verifier la qualite de titulaire de l’autorite parentale ou tutelaire du demandeur et dans le respect des droits des autres personnes concernees eventuellement impliquees.
Le Responsable de traitement adopte en outre des mesures techniques et organisationnelles visant a decourager l’acces au Site par les mineurs, notamment la presence d’avertissements sur l’age minimum requis, la declaration des conditions d’age aux phases d’inscription et de paiement, ainsi que la surveillance d’eventuels schemas d’acces pouvant etre rattaches a des utilisateurs mineurs.
14. MODIFICATIONS DE LA PRESENTE POLITIQUE
Le Responsable de traitement se reserve le droit de modifier ou de mettre a jour la presente Politique de confidentialite a tout moment, afin de l’adapter aux nouveautes legislatives, aux orientations jurisprudentielles, aux decisions des autorites de controle ou aux bonnes pratiques du secteur.
Toute modification substantielle sera portee a la connaissance des utilisateurs au moyen d’un avis publie sur le Site, avec un preavis suffisant avant l’entree en vigueur des nouvelles dispositions, et, dans les cas prevus par la loi, par une communication directe par email aux utilisateurs enregistres.
Il est recommande a l’utilisateur de consulter periodiquement la presente Politique. La date de “Derniere mise a jour” indiquee en tete du document permet de verifier la date de la derniere modification effectuee.
Lorsque les modifications entrainent une variation des finalites ou des bases juridiques du traitement, le Responsable de traitement sollicitera un nouveau consentement de la personne concernee, lorsque la reglementation applicable l’exige. Jusqu’a ce qu’un nouveau consentement soit effectivement fourni, le Responsable de traitement continuera de traiter les donnees sur la base du consentement precedemment donne, dans la limite des finalites originellement indiquees.
15. LOI APPLICABLE ET JURIDICTION COMPETENTE
La presente Politique de confidentialite est regie par la loi francaise, en particulier par le RGPD, la Loi n. 78-17 du 6 janvier 1978 (Loi Informatique et Libertes) telle que modifiee par l’Ordonnance n. 2018-1125 du 12 decembre 2018 et le Decret n. 2019-536 du 29 mai 2019, le Code des postes et des communications electroniques et les autres dispositions nationales applicables, sous reserve des dispositions imperatives plus favorables au consommateur prevues par la loi du pays de sa residence habituelle, conformement a l’article 6 du Reglement (CE) 593/2008 (“Rome I”).
Pour tout litige decoulant de l’interpretation ou de l’application de la presente Politique, sera competent le tribunal du lieu de residence ou de domicile du consommateur, conformement au Reglement (UE) 1215/2012 (“Bruxelles I bis”), articles 17 a 19, et a l’article R.631-3 du Code de la consommation. Demeure en tout etat de cause preserve le droit de la personne concernee d’introduire un recours juridictionnel au sens des articles 78 et 79 du RGPD.
L’utilisateur consommateur peut egalement recourir aux outils de resolution alternative des litiges (ADR) prevus par la reglementation francaise et europeenne. A cette fin, la Commission europeenne met a disposition le portail europeen de reglement extrajudiciaire des litiges de consommation accessible a l’adresse https://consumer-redress.ec.europa.eu/, conformement au Reglement (UE) 2024/3228 qui a abroge le Reglement (UE) n. 524/2013 avec effet au 20 juillet 2025. L’utilisation de ces outils est facultative et ne prive pas le consommateur du droit de saisir la juridiction competente.
16. CONTACTS
Pour toute question, demande ou communication relative a la presente Politique de confidentialite ou au traitement des donnees a caractere personnel, la personne concernee peut contacter le Responsable de traitement par les canaux suivants :
ESPACE ECOMMERCE FRANCE SARL
- Adresse postale : 16 rue Cuvier, 69006 Lyon, France
- Email : info@justbob.fr
- Telephone : +33 1 85 14 91 09
- Horaires du service clientele : du lundi au vendredi, de 10h00 a 17h00 (heure de l’Europe centrale), hors jours feries
- Site internet : www.justbob.fr
Le canal privilegie pour l’exercice des droits de la personne concernee et pour toute communication relative au traitement des donnees a caractere personnel est l’adresse email info@justbob.fr.
Les demandes des personnes concernees sont traitees par ordre chronologique d’arrivee. En cas de demandes complexes ou d’une particuliere importance, le Responsable de traitement se reserve la faculte de contacter la personne concernee pour solliciter des precisions, a la seule fin de fournir une reponse plus ciblee et plus precise.
Pour une meilleure clarte et transparence, il est rappele que la presente Politique est completee par la Politique relative aux cookies et par les Conditions Generales de Vente du Site, documents consultables dans les sections respectives de www.justbob.fr. La lecture conjointe de l’ensemble de ces documents permet a l’utilisateur de disposer d’une vue complete de ses droits et obligations en qualite de personne concernee et de consommateur.