Politique de confidentialité et de protection des données personnelles

Version du 18 juin 2025

Cette politique remplace la version antérieure et sera révisée au moins une fois par an. Toute mise à jour fera l’objet d’une notification par courriel aux utilisateurs disposant d’un Compte et d’une bannière d’information lors de la première connexion suivant la modification.

 

1. Identité du responsable de traitement

  • Société : LES CAVES DES MASCAREIGNES, Société par actions simplifiée au capital de 250 123,10 €
  • RCS : Saint‑Pierre 342 046 273
  • Siège social : 51 boulevard Hubert‑Delisle, 97410 Saint‑Pierre – La Réunion
  • TVA intracommunautaire : FR 81 342 046 273
  • Courriel : boutique@caves‑mascareignes.re
  • Téléphone : +262 (0)262 25 43 70

2. Délégué à la protection des données (DPO)

  • Nom : M. Grégory AH‑KIEM
  • Courriel : boutique@caves‑mascareignes.re
    Tout utilisateur peut contacter le DPO pour toute question relative à la présente politique ou à l’exercice de ses droits.

 

3. Vérification de la majorité et conformité à la Loi Evin

La vente d’alcool aux mineurs de moins de 18 ans est interdite (Art. L 3342‑1 CSP). L’accès au Site et la création d’un Compte nécessitent :

1. Une déclaration sur l’honneur de majorité (popup dès l’arrivée sur le Site) ;

2. Un contrôle a posteriori : tout Compte présentant un indice de risque (adresse scolaire, utilisations suspectes) pourra faire l’objet d’une demande de justificatif d’identité.

Les campagnes marketing comportent systématiquement le message sanitaire : « L’abus d’alcool est dangereux pour la santé, à consommer avec modération. »

 

4. Définitions principales

Terme

Définition

Site

Le site e‑commerce accessible à l’URL https://lescavesdesmascareignes.fr/

Données personnelles

Toute information se rapportant à une personne physique identifiée ou identifiable (Art. 4 §1 RGPD).

Traitement

Toute opération appliquée à une donnée (collecte, conservation, effacement, etc.).

Utilisateur

Visiteur du Site, client particulier ou professionnel, ou bénéficiaire d’un Chèque‑cadeau.

 

5. Tableau récapitulatif des traitements

Finalité

Catégories de données

Base légale (Art. 6 RGPD)

Durée de conservation*

Création et gestion du Compte

Identité, date de naissance, email, mot de passe, justificatif majorité

Contrat (b)

Compte actif : durée d’utilisation + 3 ans d’inactivité ; Archivage légal 5 ans

Exécution des commandes

Identité, coordonnées, informations livraison, moyens de paiement (token), historique achats

Contrat (b)

5 ans après livraison ; factures 10 ans (Code commerce)

Lutte anti‑fraude & sécurisation paiements

Identité, adresse IP, device‑fingerprint, scores fraude

Intérêt légitime (f)

13 mois pour les logs ; 5 ans pour les signaux confirmés

Prospection commerciale (clients)

Email, historique achats

Intérêt légitime (f) – Produits analogues

3 ans après dernier achat

Newsletter (prospects)

Email

Consentement (a)

Jusqu’au retrait du consentement ou 3 ans après dernier contact

Statistiques (Analytics)

Adresse IP (anonymisée), parcours

Consentement (a) ou exemption audience

13 mois

Chèques‑cadeaux

Email du bénéficiaire, e‑Code

Contrat (b)

3 ans après expiration du chèque

*À l’issue de la durée active, les données peuvent être archivées en base distincte, accès restreint, pour répondre aux obligations légales ou défendre nos droits en justice.

 

6. Origine des données

  • Directement auprès de l’Utilisateur lors de la navigation, de la création du Compte ou de la commande ;
  • Indirectement, via l’Offrant dans le cadre d’un Chèque‑cadeau (adresse email du Bénéficiaire). L’Offrant garantit avoir obtenu le consentement préalable du Bénéficiaire.

 

7. Destinataires et transferts hors EEE

7.1 Destinataires internes

Seul le personnel habilité (services commercial, marketing, logistique, finance, IT) accède aux données strictement nécessaires à sa mission.

7.2 Sous‑traitants et partenaires

Prestataire

Pays d’hébergement

Service rendu

Garantie RGPD

O2switch

France

Hébergement et sauvegarde

Hébergement dans l’UE, DPA signé

Stripe Payments Europe Ltd.

USA / Espace EEE

Traitement des paiements

Clauses contractuelles types 2021 + DPF (USA)

xxxx

UE

Envoi d’emails transactionnels

DPA + ISO 27001

Google Analytics 4 (optionnel)

USA

Statistiques

Consentement préalable + SCC 2021 + IP anonymisée

Aucun transfert n’est effectué vers un pays ne disposant pas d’un niveau de protection adéquat sans garanties appropriées.

 

8. Cookies et traceurs

Un bandeau de consentement s’affiche lors de la première visite ; il propose “Tout accepter” / “Tout refuser” / “Personnaliser”. Le détail par catégorie est disponible dans le Gestionnaire de préférences.

Catégorie

Finalité

Durée

Consentement

Nécessaires

Fonctionnement du Site, panier, authentification

Session

Exemption

Mesure d’audience

Statistiques anonymisées

13 mois

Bouton “Personnaliser”

Marketing

Retargeting, réseaux sociaux

13 mois

Bouton “Personnaliser”

Anti‑fraude

Détection bots

25 mois

Intérêt légitime

Le journal des preuves de consentement est conservé 6 mois.

 

9. Sécurité des données

  • Chiffrement TLS 1.3 pour toutes les communications ; HSTS activé.
  • Données au repos chiffrées AES‑256.
  • Politique d’accès basée sur les rôles (RBAC) ; authentification double facteur pour les administrateurs.
  • Mots de passe hashés avec Argon2id.
  • Sauvegardes chiffrées, testées mensuellement.
  • Procédure interne de notification de violation : déclaration CNIL ≤ 72 h (Art. 33 RGPD), information des personnes concernées si risque élevé (Art. 34).

 

10. Vos droits

Vous disposez des droits suivants :

  • Accès aux données (Art. 15) ;
  • Rectification (Art. 16) ;
  • Effacement (Art. 17) ;
  • Limitation du traitement (Art. 18) ;
  • Portabilité (Art. 20) pour les données que vous avez fournies ;
  • Opposition (Art. 21) à la prospection ou à tout traitement basé sur notre intérêt légitime ;
  • Retrait du consentement à tout moment pour les traitements fondés sur celui‑ci ;
  • Directives post‑mortem (Art. 85 Loi Informatique & Libertés).

 

11. Exercice de vos droits

Vous pouvez :

  • Utiliser le formulaire dédié dans votre Compte (rubrique « Vie privée ») ;
  • Écrire à : LES CAVES DES MASCAREIGNES – DPO, 51 bd Hubert‑Delisle, 97410 Saint‑Pierre ;
  • Envoyer un email signé à boutique@caves‑mascareignes.re.

Un justificatif d’identité pourra être requis. Réponse apportée sous 1 mois (2 mois en cas de complexité). Si vous jugez notre réponse insuffisante, vous pouvez saisir la CNIL (www.cnil.fr).

 

12. Opposition à la prospection et paramétrage des préférences

Chaque email marketing contient un lien de désinscription. Vous pouvez aussi paramétrer vos préférences dans votre Compte ou contacter le DPO.

 

13. Durées de conservation – Règles générales

À expiration des durées mentionnées § 5, les données sont :

1. Supprimées ou anonymisées ;

2. Archivées pour la durée légale nécessaire (obligations comptables, fiscales, preuves) sur un espace distinct, accès restreint.

 

14. Modifications de la politique

Nous nous réservons le droit de modifier la présente Politique à tout moment. Les utilisateurs seront notifiés au moins 15 jours avant l’entrée en vigueur des changements significatifs.

 

Dernière révision : 18 juin 2025