Absente du 03/08/02026 au 30/08/2026 - Pas de soins durant cette période

Prendre rendez-vous
Prendre rendez-vous
Image de fond du site internet de Marie-Cécile Pacchiani - C'est le pied.

C'est le pied - Politique de confidentialité

Protection des données personnelles — Conformité RGPD
Version en vigueur au 4 juin 2026
Établie conformément au Règlement (UE) 2016/679 (RGPD) et à la loi n°78-17 du 6 janvier 1978 modifiée

Préambule

Dans le cadre de son activité de réflexologie plantaire, la Responsable est susceptible de collecter et de traiter certaines informations relatives à l'état de santé de ses clients, notamment des informations concernant leurs antécédents médicaux, pathologies, traitements en cours, allergies, état de grossesse ou toute autre donnée pertinente à l'adaptation et à la sécurisation de la prestation proposée.

Ces informations constituent des données de santé, qualifiées de catégories particulières de données à caractère personnel au sens de l'article 9 du RGPD. Leur traitement est, en principe, interdit, sauf lorsqu'il repose sur l'une des exceptions prévues par la réglementation applicable.

La collecte et le traitement de ces données sont effectués exclusivement :

  • avec le consentement explicite de la Personne concernée, conformément à l'article 9, paragraphe 2, point a) du RGPD ;

  • aux seules fins d'évaluer les éventuelles contre-indications, d'adapter les séances de réflexologie aux besoins spécifiques du client et d'assurer la sécurité de la prestation.

La communication de ces données demeure facultative. Toutefois, l'absence de certaines informations relatives à l'état de santé du client peut empêcher la Responsable d'évaluer l'adéquation de la prestation proposée ou conduire celle-ci à refuser ou interrompre une séance lorsque les conditions de sécurité ne sont pas réunies.

Ces données font l'objet de mesures techniques et organisationnelles renforcées destinées à garantir leur confidentialité, leur intégrité et leur disponibilité. Elles ne sont accessibles qu'à la Responsable, dans la stricte limite de ce qui est nécessaire à l'exercice de son activité, sauf obligation légale contraire.

Les données de santé ne sont jamais cédées, vendues ou communiquées à des tiers à des fins commerciales. Elles ne sont conservées que pendant la durée strictement nécessaire à la réalisation des finalités pour lesquelles elles ont été collectées et conformément aux obligations légales applicables.

Article 1. Définitions

Pour l'application de la présente Politique de Confidentialité, les termes suivants ont le sens qui leur est donné par le Règlement (UE) 2016/679 du 27 avril 2016 (RGPD), complété, le cas échéant, par la législation française applicable en matière de protection des données personnelles.

« Données à caractère personnel » : toute information se rapportant à une personne physique identifiée ou identifiable (article 4.1 du RGPD). Est réputée être une « personne physique identifiable » une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne ou à un ou plusieurs éléments propres à son identité.

« Traitement » : toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation, la modification, l'extraction, la consultation, l'utilisation, la communication, la limitation, l'effacement ou la destruction de données (article 4.2 du RGPD).

« Responsable du traitement » : la personne physique ou morale qui détermine les finalités et les moyens du traitement de données à caractère personnel (article 4.7 du RGPD). Dans le cadre de la présente Politique, le Responsable du traitement est l'entreprise individuelle « C'est le Pied ».

« Personne concernée » : toute personne physique identifiée ou identifiable dont les données à caractère personnel font l'objet d'un traitement.

« Consentement » : toute manifestation de volonté libre, spécifique, éclairée et univoque par laquelle la Personne concernée accepte, par une déclaration ou un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement (article 4.11 du RGPD).

« Données relatives à la santé » : les données à caractère personnel relatives à la santé physique ou mentale d'une personne physique, y compris la fourniture de prestations de bien-être ou toute information permettant de déduire son état de santé, ses pathologies, traitements, allergies, contre-indications ou situations particulières nécessitant une adaptation de la prestation (article 4.15 du RGPD).

« Données sensibles » ou « catégories particulières de données » : les données visées à l'article 9 du RGPD bénéficiant d'une protection renforcée, notamment les données relatives à la santé, à l'origine raciale ou ethnique, aux opinions politiques, aux convictions religieuses ou philosophiques, à l'appartenance syndicale, ainsi que les données génétiques, biométriques ou relatives à la vie sexuelle ou à l'orientation sexuelle.

« Sous-traitant » : toute personne physique ou morale, autorité publique, service ou autre organisme qui traite des données à caractère personnel pour le compte du Responsable du traitement conformément à ses instructions (article 4.8 du RGPD).

« Destinataire » : toute personne physique ou morale, autorité publique, service ou organisme qui reçoit communication de données à caractère personnel, qu'il s'agisse ou non d'un tiers (article 4.9 du RGPD).

« Tiers » : toute personne physique ou morale, autorité publique, service ou organisme autre que la Personne concernée, le Responsable du traitement, le Sous-traitant et les personnes placées sous l'autorité directe du Responsable du traitement ou du Sous-traitant (article 4.10 du RGPD).

« Violation de données à caractère personnel » : toute violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès non autorisé à des données à caractère personnel traitées (article 4.12 du RGPD).

« Autorité de contrôle » : l'autorité publique indépendante chargée de veiller au respect de la réglementation relative à la protection des données personnelles. En France, cette autorité est la Commission Nationale de l'Informatique et des Libertés (CNIL).

Les termes définis au singulier incluent également leur forme au pluriel et réciproquement lorsque le contexte l'exige.

Article 2. Principes fondamentaux régissant les traitements des données personnelles

Conformément aux articles 5, 24, 25 et 32 du RGPD, la Responsable s'engage à mettre en œuvre tout traitement de données à caractère personnel dans le respect des principes fondamentaux de la protection des données et à adopter les mesures techniques et organisationnelles appropriées afin d'en garantir la conformité.

À ce titre, les traitements réalisés par la Responsable reposent sur les principes suivants :

1. Licéité, loyauté et transparence (article 5.1.a du RGPD)

Les données à caractère personnel sont traitées de manière licite, loyale et transparente à l'égard des Personnes concernées. La Responsable veille à fournir une information claire, compréhensible et aisément accessible concernant les traitements effectués, leurs finalités, leurs bases légales ainsi que les droits dont disposent les Personnes concernées.

2. Limitation des finalités (article 5.1.b du RGPD)

Les données sont collectées pour des finalités déterminées, explicites et légitimes. Elles ne sont pas traitées ultérieurement d'une manière incompatible avec ces finalités, sauf lorsque ce traitement est autorisé par la réglementation applicable.

3. Minimisation des données (article 5.1.c du RGPD)

La Responsable s'assure que seules les données strictement nécessaires à la réalisation des finalités poursuivies sont collectées et traitées. Toute collecte excessive ou non pertinente est exclue.

4. Exactitude des données (article 5.1.d du RGPD)

La Responsable prend toutes mesures raisonnables afin de garantir que les données personnelles soient exactes, complètes et, lorsque cela est nécessaire, mises à jour. Les données inexactes ou obsolètes sont rectifiées ou supprimées dans les meilleurs délais.

5. Limitation de la conservation (article 5.1.e du RGPD)

Les données personnelles sont conservées sous une forme permettant l'identification des Personnes concernées pendant une durée n'excédant pas celle nécessaire à la réalisation des finalités poursuivies, sous réserve des obligations légales, comptables, fiscales ou probatoires imposant une conservation plus longue.

À l'issue des durées applicables, les données sont supprimées, anonymisées ou archivées conformément aux exigences légales.

6. Intégrité, confidentialité et sécurité (articles 5.1.f et 32 du RGPD)

La Responsable met en œuvre des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté aux risques présentés par les traitements réalisés.

Ces mesures visent notamment à prévenir l'accès non autorisé aux données, leur divulgation, leur altération, leur perte, leur destruction ou toute autre forme de traitement illicite. Une attention particulière est accordée à la protection des données relatives à la santé, qui bénéficient d'un niveau de protection renforcé en raison de leur caractère sensible.

7. Protection des données dès la conception et par défaut (article 25 du RGPD)

La Responsable intègre les exigences relatives à la protection des données personnelles dès la conception de ses activités, outils et procédures. Par défaut, seuls les traitements strictement nécessaires à chaque finalité sont mis en œuvre.

8. Responsabilité et démonstration de conformité (article 5.2 du RGPD – principe d'accountability)

La Responsable est en mesure de démontrer à tout moment le respect des principes énoncés dans le présent article. À cette fin, elle tient à jour la documentation nécessaire à la conformité de ses traitements, met en œuvre les procédures internes appropriées et veille à sensibiliser toute personne susceptible d'accéder aux données personnelles dans le cadre de son activité.

La Responsable procède également, lorsque cela est requis par la réglementation applicable, à une évaluation des risques liés aux traitements mis en œuvre et adapte ses mesures de protection en conséquence.

Article 3. Données collectées, finalités et bases légales

Conformément aux articles 5, 6, 9, 13 et 30 du RGPD, la Responsable ne collecte et ne traite que les données à caractère personnel strictement nécessaires à l'exercice de son activité de réflexologie plantaire, à la gestion de sa relation avec ses clients et au respect de ses obligations légales.

Les traitements mis en œuvre sont recensés dans le tableau ci-dessous :

Tableau 1 : Données collectées, finalités et bases légales - Marie-Cécile Pacchiani.
Tableau 1 : Données collectées, finalités et bases légales - Marie-Cécile Pacchiani.

Les données collectées sont destinées exclusivement à la Responsable ainsi qu'aux éventuels prestataires techniques intervenant pour son compte et agissant en qualité de sous-traitants au sens de l'article 4.8 du RGPD, dans la stricte limite de leurs missions.

Aucune donnée personnelle n'est vendue, louée, cédée ou communiquée à des tiers à des fins commerciales.

La Responsable ne met en œuvre aucun traitement produisant des effets juridiques fondé exclusivement sur une prise de décision automatisée au sens de l'article 22 du RGPD.

3.1 Formulaire de contact et prise de rendez-vous

Les données collectées via le formulaire de contact ou lors de la prise de rendez-vous (nom, prénom, numéro de téléphone, adresse électronique et contenu du message) sont nécessaires au traitement de la demande formulée par la Personne concernée, à l'organisation des rendez-vous et à l'exécution de la relation précontractuelle ou contractuelle.

Base légale : article 6.1.b du RGPD.

Les champs identifiés comme obligatoires sont nécessaires au traitement de la demande. En leur absence, la Responsable ne sera pas en mesure de répondre à la demande ou d'organiser la prestation sollicitée.

Les données sont conservées pendant la durée nécessaire au traitement de la demande puis archivées conformément aux durées mentionnées au présent article.

3.2 Données relatives à la santé collectées dans le cadre des séances

Afin d'assurer la sécurité de la prestation et son adaptation aux besoins spécifiques de la Personne concernée, la Responsable peut être amenée à recueillir certaines informations relatives à l'état de santé du client, notamment :

  • allergies connues ;

  • traitements médicaux en cours ;

  • état de grossesse ;

  • pathologies ou contre-indications susceptibles d'influencer le déroulement de la séance ;

  • toute information librement communiquée par la Personne concernée et pertinente pour la réalisation de la prestation.

Ces données constituent des données relatives à la santé au sens de l'article 4.15 du RGPD et relèvent des catégories particulières de données visées à l'article 9 du RGPD.

Leur traitement repose exclusivement sur le consentement explicite de la Personne concernée, recueilli préalablement à la séance conformément à l'article 9.2.a du RGPD.

La Personne concernée demeure libre de refuser de communiquer ces informations. Toutefois, lorsque ces données apparaissent nécessaires pour évaluer les contre-indications ou garantir la sécurité de la prestation, la Responsable pourra refuser ou interrompre une séance si elle estime ne pas disposer des informations suffisantes pour intervenir dans des conditions satisfaisantes de sécurité.

Lorsque des informations relatives à la santé d'un enfant mineur sont communiquées, elles doivent être fournies par le titulaire de l'autorité parentale ou avec son autorisation préalable.

Ces données font l'objet de mesures de sécurité renforcées et sont accessibles uniquement à la Responsable dans la stricte limite de ses besoins professionnels.

3.3 Données de facturation et obligations légales

La Responsable collecte et conserve les données nécessaires à l'établissement des devis, factures, justificatifs comptables et déclarations fiscales.

Base légale : article 6.1.c du RGPD.

Ces données sont conservées pendant une durée de dix (10) ans à compter de la clôture de l'exercice comptable concerné, conformément aux obligations légales applicables.

3.4 Données de navigation et cookies

Lors de la consultation du site internet, certaines données techniques peuvent être collectées automatiquement, notamment :

  • adresse IP ;

  • date et heure de connexion ;

  • pages consultées ;

  • type de navigateur ;

  • système d'exploitation ;

  • informations techniques nécessaires au fonctionnement du site.

Ces données sont utilisées afin d'assurer la sécurité, le bon fonctionnement, la maintenance et l'amélioration du site internet.

Les modalités détaillées relatives aux cookies, traceurs et technologies similaires sont précisées à l'article 11 de la présente Politique.

Les traitements réalisés à cette occasion respectent les recommandations et lignes directrices de la CNIL en vigueur.

Article 4. Durées de conservation détaillées

Conformément aux articles 5.1.e, 13.2.a, 17 et 32 du RGPD, la Responsable veille à ce que les données à caractère personnel ne soient conservées que pendant la durée strictement nécessaire à la réalisation des finalités pour lesquelles elles ont été collectées et traitées.

Les durées de conservation sont déterminées en tenant compte :

  • de la nature des données traitées ;

  • de la finalité poursuivie ;

  • des obligations légales, comptables, fiscales et probatoires applicables ;

  • des délais de prescription légaux susceptibles de justifier la conservation de certaines données à des fins de défense de droits en justice.

La gestion du cycle de vie des données repose sur trois phases distinctes :

  • la conservation en base active, lorsque les données sont nécessaires à la gestion courante de la relation avec la Personne concernée ;

  • l'archivage intermédiaire, lorsque les données ne sont plus utilisées au quotidien mais doivent être conservées en raison d'une obligation légale ou pour la constatation, l'exercice ou la défense d'un droit en justice ;

  • la suppression, l'anonymisation ou la destruction définitive, lorsque toute obligation de conservation a expiré.

4.1 Tableau des durées de conservation

Tableau 2 : Tableau des durées de conservation - Marie-Cécile Pacchiani.
Tableau 2 : Tableau des durées de conservation - Marie-Cécile Pacchiani.

Les durées mentionnées ci-dessus peuvent être prolongées lorsqu'une disposition légale, réglementaire ou judiciaire l'impose ou lorsque la conservation est nécessaire à la constatation, à l'exercice ou à la défense d'un droit en justice.

4.2 Modalités d'archivage

Lorsque les données ne sont plus nécessaires à la gestion courante de la relation avec la Personne concernée mais qu'une obligation légale ou un intérêt légitime justifie leur conservation, elles sont transférées en archivage intermédiaire.

Les données archivées font l'objet de mesures de sécurité appropriées et d'un accès strictement limité aux seules personnes habilitées ayant besoin d'y accéder dans le cadre de leurs fonctions ou pour satisfaire à une obligation légale.

Les données archivées ne peuvent être utilisées à des fins commerciales, de prospection ou de gestion courante.

4.3 Modalités de suppression et de destruction

À l'expiration des durées de conservation applicables, les données font l'objet :

  • soit d'une suppression définitive ;

  • soit d'une destruction physique des supports concernés ;

  • soit d'une anonymisation irréversible lorsque leur conservation à des fins statistiques ou de preuve ne permet plus l'identification des personnes concernées.

Pour les documents papier contenant des données personnelles, la destruction est réalisée par déchiquetage ou par tout procédé garantissant leur illisibilité définitive.

Pour les données numériques, la suppression est effectuée selon des procédures permettant d'éviter toute récupération non autorisée des informations.

4.4 Droit à l'effacement et limitations

La Personne concernée peut solliciter l'effacement de ses données personnelles dans les conditions prévues à l'article 17 du RGPD.

Toutefois, ce droit ne peut être exercé lorsque la conservation des données demeure nécessaire :

  • au respect d'une obligation légale ;

  • à l'exécution d'un contrat en cours ;

  • à la constatation, à l'exercice ou à la défense de droits en justice ;

  • à la protection des intérêts légitimes de la Responsable dans les limites autorisées par la réglementation applicable.

Dans ces hypothèses, les données concernées peuvent être conservées pendant la durée strictement nécessaire à la finalité justifiant leur maintien.

Article 5. Traitement des données de santé — Régime renforcé

5.1 Nature et qualification juridique des données traitées

Dans le cadre de son activité de réflexologie plantaire, la Responsable peut être amenée à recueillir certaines informations relatives à l'état de santé des Personnes concernées lorsque ces informations sont nécessaires à l'évaluation des éventuelles contre-indications, à l'adaptation de la prestation proposée ou à la sécurité de la séance.

Ces informations constituent des données relatives à la santé au sens de l'article 4.15 du RGPD et relèvent des catégories particulières de données à caractère personnel visées à l'article 9.1 du RGPD.

Leur traitement est en principe interdit, sauf lorsqu'une des exceptions prévues à l'article 9.2 du RGPD est applicable.

Dans le cadre de l'activité exercée par la Responsable, le traitement de ces données repose sur :

  • le consentement explicite de la Personne concernée conformément à l'article 9.2.a du RGPD ;

  • la base légale prévue à l'article 6.1.a du RGPD lorsque le traitement nécessite un consentement préalable ;

  • le respect des principes de nécessité, de proportionnalité et de minimisation prévus aux articles 5.1.b et 5.1.c du RGPD.

La Responsable s'interdit toute collecte de données de santé non pertinente ou excessive au regard des finalités poursuivies.

5.2 Finalités du traitement des données de santé

Les données relatives à la santé sont exclusivement collectées et utilisées afin :

  • d'identifier les éventuelles contre-indications à la réalisation d'une séance ;

  • d'adapter la prestation aux besoins particuliers de la Personne concernée ;

  • de préserver la sécurité, le confort et le bien-être de la Personne concernée ;

  • de permettre à la Responsable de déterminer si la prestation peut être réalisée dans des conditions satisfaisantes de sécurité.

Ces données ne sont en aucun cas utilisées à des fins de prospection commerciale, de profilage, de prise de décision automatisée ou de communication à des tiers à des fins commerciales.

La Responsable rappelle que les séances proposées ne constituent ni un acte médical, ni un diagnostic, ni un traitement thérapeutique au sens de la réglementation applicable aux professions de santé.

5.3 Recueil du consentement explicite

Conformément aux articles 7 et 9.2.a du RGPD, ainsi qu'au considérant 43 du RGPD, le consentement au traitement des données de santé est recueilli préalablement à leur traitement.

Le consentement doit être :

  • libre, c'est-à-dire donné sans contrainte ni pression ;

  • spécifique, pour des finalités déterminées et clairement identifiées ;

  • éclairé, après communication d'une information complète sur le traitement envisagé ;

  • univoque, résultant d'une manifestation de volonté claire de la Personne concernée ;

  • explicite, lorsqu'il porte sur des données relatives à la santé.

Le consentement peut être recueilli au moyen d'un questionnaire préalable, d'un formulaire papier ou numérique, ou par toute autre modalité permettant d'en conserver la preuve.

La Responsable conserve les éléments permettant de démontrer l'existence du consentement conformément au principe d'accountability prévu à l'article 5.2 du RGPD.

La fourniture de la prestation n'est pas conditionnée à la communication de données de santé qui ne seraient pas strictement nécessaires à son adaptation ou à sa réalisation en toute sécurité.

Toutefois, lorsque certaines informations apparaissent indispensables à l'évaluation des contre-indications ou à la sécurité de la Personne concernée, la Responsable pourra refuser ou interrompre la prestation si ces informations ne sont pas communiquées.

5.4 Retrait du consentement

Conformément à l'article 7.3 du RGPD, la Personne concernée peut retirer son consentement à tout moment, sans justification et sans frais.

Le retrait du consentement n'affecte pas la licéité des traitements réalisés avant ce retrait.

La demande peut être adressée :

  • par courrier électronique à l'adresse indiquée dans la présente Politique ;

  • par courrier postal aux coordonnées de la Responsable.

À réception de la demande, la Responsable procèdera à l'arrêt des traitements concernés dans les meilleurs délais, sous réserve des obligations légales de conservation éventuellement applicables.

5.5 Données relatives à la santé des mineurs

Lorsque la prestation concerne un mineur, les informations relatives à son état de santé ne peuvent être communiquées que par le titulaire de l'autorité parentale ou avec son accord préalable lorsque celui-ci est requis par la réglementation applicable.

La Responsable veille à limiter strictement la collecte de ces informations à ce qui est nécessaire à la réalisation de la prestation.

5.6 Mesures de sécurité renforcées

Compte tenu de leur caractère particulièrement sensible, les données relatives à la santé bénéficient de mesures de protection renforcées conformément aux articles 5.1.f et 32 du RGPD.

La Responsable met notamment en œuvre les mesures suivantes :

  • séparation logique ou physique des données de santé et des autres catégories de données lorsque cela est possible ;

  • accès strictement limité à la seule Responsable ;

  • authentification par mot de passe robuste pour les supports numériques ;

  • protection des équipements informatiques contre les accès non autorisés ;

  • sauvegarde sécurisée des données lorsque cela est nécessaire ;

  • confidentialité des échanges et des documents contenant des données de santé ;

  • destruction sécurisée des documents papier et numériques à l'expiration des durées de conservation applicables ;

  • vérification régulière de l'adéquation des mesures de sécurité au regard des risques identifiés.

Les données relatives à la santé ne sont communiquées à aucun tiers, sauf obligation légale, demande d'une autorité compétente ou consentement préalable de la Personne concernée lorsque la réglementation l'autorise.

5.7 Violation de données relatives à la santé

Toute violation de données personnelles affectant des données relatives à la santé fera l'objet d'une analyse spécifique du risque présenté pour les droits et libertés des Personnes concernées.

Lorsque les conditions prévues aux articles 33 et 34 du RGPD sont réunies, la Responsable notifiera la violation à l'autorité de contrôle compétente et, le cas échéant, aux Personnes concernées dans les délais légaux applicables.

Article 6. Destinataires des données

6.1 Principe de confidentialité et absence de communication à des fins commerciales

La Responsable attache une importance particulière à la confidentialité des données personnelles qui lui sont confiées.

À ce titre, elle s'engage à ne jamais vendre, louer, céder, échanger ou mettre à disposition les données personnelles des Personnes concernées à des tiers à des fins de prospection commerciale, de publicité ou de profilage commercial.

Les données personnelles sont exclusivement utilisées pour les finalités décrites dans la présente Politique et dans le respect des bases légales applicables.

Toute personne amenée à accéder aux données personnelles dans le cadre de ses fonctions ou de sa mission est soumise à une obligation stricte de confidentialité.

6.2 Destinataires autorisés

Les données personnelles peuvent être communiquées uniquement aux destinataires suivants lorsque cette communication est nécessaire à la réalisation des finalités poursuivies ou au respect d'une obligation légale :

a) Prestataires techniques et sous-traitants

Les prestataires intervenant pour le compte de la Responsable peuvent avoir accès à certaines données personnelles dans la limite strictement nécessaire à l'exécution de leurs prestations, notamment :

  • hébergeur du site internet ;

  • prestataire de maintenance informatique ;

  • fournisseur de services de messagerie électronique ;

  • prestataires de sauvegarde ou d'hébergement de données ;

  • fournisseurs d'outils numériques nécessaires à la gestion de l'activité.

Ces prestataires interviennent en qualité de sous-traitants au sens de l'article 4.8 du RGPD.

Conformément à l'article 28 du RGPD, ils sont sélectionnés pour leurs garanties en matière de protection des données personnelles et sont liés à la Responsable par un contrat imposant notamment :

  • des obligations de confidentialité ;

  • des mesures de sécurité appropriées ;

  • l'interdiction d'utiliser les données pour leur propre compte ;

  • l'obligation d'assister la Responsable dans le respect de ses obligations réglementaires.

b) Professionnels du chiffre et du conseil

Certaines données peuvent être communiquées à l'expert-comptable, au centre de gestion agréé ou à tout conseil professionnel intervenant dans le cadre du respect des obligations comptables, fiscales, administratives ou juridiques de la Responsable.

L'accès à ces données est strictement limité aux informations nécessaires à l'exercice de leur mission.

c) Autorités publiques et organismes légalement habilités

Les données personnelles peuvent être communiquées aux autorités judiciaires, administratives, fiscales, sociales ou réglementaires compétentes lorsque :

  • une disposition légale ou réglementaire l'impose ;

  • une décision judiciaire ou administrative l'ordonne ;

  • la communication est nécessaire à la constatation, à l'exercice ou à la défense d'un droit en justice.

La Responsable s'assure que toute demande de communication est fondée sur une base légale valable avant de transmettre les informations concernées.

6.3 Protection renforcée des données relatives à la santé

Compte tenu de leur caractère particulièrement sensible, les données relatives à la santé bénéficient d'un régime de confidentialité renforcé.

Sauf obligation légale ou réglementaire impérative, ces données ne sont communiquées à aucun tiers sans le consentement préalable, libre, spécifique, éclairé et explicite de la Personne concernée.

Lorsque leur communication est exceptionnellement nécessaire à un prestataire technique agissant pour le compte de la Responsable (hébergement, sauvegarde ou maintenance informatique), celui-ci n'agit qu'en qualité de sous-traitant soumis aux obligations prévues par le RGPD et ne peut accéder aux données que dans la stricte limite de ce qui est techniquement nécessaire à sa mission.

La Responsable veille à ce que toute personne susceptible d'accéder à ces données soit soumise à des obligations de confidentialité renforcées et à des mesures de sécurité adaptées à leur sensibilité.

6.4 Absence de transfert non autorisé hors de l'Union européenne

Dans la mesure du possible, la Responsable privilégie des prestataires situés au sein de l'Union européenne ou de l'Espace économique européen.

Lorsque certains prestataires impliquent un transfert de données vers un État situé en dehors de l'Union européenne ou de l'Espace économique européen, ce transfert ne peut avoir lieu que dans le respect des dispositions du chapitre V du RGPD et sur la base de garanties appropriées reconnues par la réglementation applicable.

Les Personnes concernées peuvent obtenir des informations complémentaires sur ces garanties en exerçant leurs droits selon les modalités prévues à la présente Politique.

6.5 Principe de limitation de l'accès

La Responsable applique le principe du « besoin d'en connaître » (« need-to-know basis »).

Chaque destinataire n'accède qu'aux seules données strictement nécessaires à l'accomplissement de sa mission et uniquement pendant la durée requise pour celle-ci.

Aucun accès généralisé ou permanent aux données personnelles n'est accordé à des tiers.

Article 7. Transferts de données hors de l'Union européenne

7.1 Principe d'hébergement au sein de l'Union européenne

La Responsable privilégie, dans la mesure du possible, des prestataires et solutions techniques permettant l'hébergement et le traitement des données personnelles au sein de l'Union européenne ou de l'Espace économique européen (EEE).

Les données personnelles collectées dans le cadre de l'activité de la Responsable sont, par principe, hébergées et traitées au sein de ces territoires bénéficiant d'un niveau de protection reconnu comme adéquat au regard du RGPD.

7.2 Encadrement des transferts vers des pays tiers

Dans l'hypothèse où certains prestataires techniques ou outils numériques utilisés par la Responsable impliqueraient un transfert, un accès ou un hébergement de données personnelles en dehors de l'Union européenne ou de l'Espace économique européen, la Responsable veille à ce que ces transferts soient réalisés conformément aux dispositions des articles 44 à 49 du RGPD.

Ces transferts ne pourront intervenir que dans l'un des cas suivants :

  • le pays destinataire fait l'objet d'une décision d'adéquation adoptée par la Commission européenne conformément à l'article 45 du RGPD ;

  • le transfert est encadré par des garanties appropriées au sens de l'article 46 du RGPD, notamment au moyen de clauses contractuelles types adoptées par la Commission européenne ;

  • le transfert repose sur des règles d'entreprise contraignantes (« Binding Corporate Rules ») lorsqu'elles sont applicables ;

  • le transfert relève de l'une des dérogations prévues à l'article 49 du RGPD.

7.3 Évaluation des garanties et mesures complémentaires

Lorsque le transfert repose sur des garanties appropriées au sens de l'article 46 du RGPD, la Responsable s'assure, dans la mesure de ses moyens et compte tenu de la nature de son activité, que le niveau de protection offert aux données personnelles demeure substantiellement équivalent à celui garanti au sein de l'Union européenne.

Le cas échéant, des mesures techniques, organisationnelles ou contractuelles complémentaires peuvent être mises en œuvre afin de renforcer la protection des données transférées, notamment :

  • le chiffrement des données ;

  • la limitation des accès ;

  • la pseudonymisation lorsque cela est possible ;

  • la contractualisation d'engagements spécifiques de confidentialité et de sécurité.

7.4 Prestataires situés ou opérant depuis les États-Unis

Certains outils numériques de communication, de messagerie, de stockage ou de gestion utilisés par la Responsable peuvent être fournis par des entreprises établies aux États-Unis ou susceptibles d'y transférer certaines données.

Dans ce cas, la Responsable veille à sélectionner des prestataires offrant les garanties exigées par le RGPD et, lorsque cela est applicable, bénéficiant d'un mécanisme de transfert reconnu par la Commission européenne.

7.5 Droit à l'information sur les transferts internationaux

Conformément aux articles 13, 14 et 15 du RGPD, toute Personne concernée peut obtenir des informations complémentaires concernant :

  • l'existence d'un transfert de données hors de l'Union européenne ;

  • le pays destinataire concerné ;

  • la base juridique du transfert ;

  • les garanties mises en œuvre pour protéger ses données personnelles.

Lorsque le transfert repose sur des garanties appropriées au sens de l'article 46 du RGPD, la Personne concernée peut solliciter des informations sur ces garanties ou, lorsque cela est juridiquement possible, obtenir une copie des éléments pertinents.

Toute demande peut être adressée à la Responsable à l'adresse électronique indiquée dans la présente Politique.

7.6 Évolution des mécanismes de transfert

La Responsable se réserve la possibilité d'adapter les mécanismes de transfert utilisés afin de tenir compte des évolutions législatives, réglementaires, jurisprudentielles ou des recommandations des autorités de contrôle compétentes en matière de protection des données personnelles.

Article 8. Droits des Personnes concernées

Conformément aux articles 12 à 23 et 77 du RGPD ainsi qu'aux dispositions applicables de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, toute Personne concernée dispose des droits suivants concernant les données personnelles la concernant.

La Responsable veille à permettre l'exercice effectif de ces droits dans les conditions prévues par la réglementation applicable.

8.1 Droit d'accès (article 15 du RGPD)

Toute Personne concernée a le droit d'obtenir de la Responsable la confirmation que des données personnelles la concernant sont ou ne sont pas traitées.

Lorsqu'elles le sont, la Personne concernée peut obtenir notamment :

  • l'accès aux données concernées ;

  • les finalités du traitement ;

    les catégories de données traitées ;

  • les destinataires ou catégories de destinataires ;

  • les durées de conservation applicables ;

  • l'existence des autres droits prévus par le RGPD ;

  • l'existence du droit d'introduire une réclamation auprès d'une autorité de contrôle ;

  • toute information disponible quant à l'origine des données lorsque celles-ci n'ont pas été collectées directement auprès de la Personne concernée ;

  • des informations relatives aux éventuels transferts internationaux de données.

Une copie des données faisant l'objet du traitement est fournie gratuitement.

Conformément à l'article 15.3 du RGPD, toute copie supplémentaire demandée pourra donner lieu au paiement de frais raisonnables fondés sur les coûts administratifs supportés.

8.2 Droit de rectification (article 16 du RGPD)

Toute Personne concernée peut obtenir dans les meilleurs délais la rectification des données personnelles inexactes la concernant.

Compte tenu des finalités du traitement, elle peut également demander que les données incomplètes soient complétées, notamment par la fourniture d'une déclaration complémentaire.

8.3 Droit à l'effacement (« droit à l'oubli ») (article 17 du RGPD)

La Personne concernée peut obtenir l'effacement de ses données personnelles lorsque l'un des motifs prévus à l'article 17.1 du RGPD est applicable, notamment lorsque :

  • les données ne sont plus nécessaires au regard des finalités poursuivies ;

  • le consentement est retiré et aucun autre fondement juridique ne justifie le traitement ;

  • la Personne concernée exerce valablement son droit d'opposition ;

  • les données ont fait l'objet d'un traitement illicite ;

  • l'effacement est requis pour respecter une obligation légale.

Toutefois, conformément à l'article 17.3 du RGPD, ce droit ne s'applique pas lorsque la conservation des données demeure nécessaire notamment :

  • au respect d'une obligation légale ;

  • à la constatation, à l'exercice ou à la défense de droits en justice ;

  • à l'exécution d'obligations comptables, fiscales ou administratives imposées par la loi.

8.4 Droit à la limitation du traitement (article 18 du RGPD)

La Personne concernée peut demander la limitation du traitement dans les situations prévues par l'article 18 du RGPD, notamment :

  • lorsqu'elle conteste l'exactitude des données ;

  • lorsque le traitement est illicite mais qu'elle s'oppose à leur effacement ;

  • lorsque les données sont nécessaires à la constatation, à l'exercice ou à la défense de droits en justice ;

  • lorsqu'elle a exercé son droit d'opposition et qu'une vérification est en cours.

Pendant la période de limitation, les données concernées ne peuvent être traitées que dans les cas prévus par le RGPD.

8.5 Droit à la portabilité (article 20 du RGPD)

Lorsque le traitement est fondé sur le consentement ou sur l'exécution d'un contrat et qu'il est réalisé à l'aide de procédés automatisés, la Personne concernée a le droit de recevoir les données personnelles qu'elle a fournies à la Responsable dans un format structuré, couramment utilisé et lisible par machine.

Sous réserve de la faisabilité technique, elle peut également demander la transmission directe de ces données à un autre responsable de traitement.

Ce droit ne s'applique pas aux traitements fondés sur une obligation légale ou sur l'intérêt légitime de la Responsable.

8.6 Droit d'opposition (article 21 du RGPD)

La Personne concernée peut s'opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement fondé sur l'intérêt légitime poursuivi par la Responsable.

Dans ce cas, la Responsable cesse le traitement concerné sauf si elle démontre l'existence de motifs légitimes et impérieux prévalant sur les intérêts, droits et libertés de la Personne concernée ou lorsque le traitement est nécessaire à la constatation, à l'exercice ou à la défense de droits en justice.

Lorsque des données sont traitées à des fins de prospection commerciale, la Personne concernée dispose d'un droit d'opposition absolu qui s'exerce sans justification.

8.7 Droit de retirer son consentement (article 7.3 du RGPD)

Lorsque le traitement repose sur le consentement de la Personne concernée, celui-ci peut être retiré à tout moment.

Le retrait du consentement n'affecte pas la licéité des traitements réalisés avant ce retrait.

8.8 Absence de décision individuelle automatisée (article 22 du RGPD)

La Responsable ne met en œuvre aucun traitement reposant exclusivement sur une décision automatisée produisant des effets juridiques ou affectant de manière significative les Personnes concernées.

En conséquence, les dispositions de l'article 22 du RGPD n'ont pas vocation à s'appliquer dans le cadre des traitements décrits dans la présente Politique.

8.9 Modalités d'exercice des droits

Les droits mentionnés au présent article peuvent être exercés :

Par courrier électronique :

cestlepied.mcp@gmail.com

Par courrier postal :

C'est le Pied

20 Rue Fernand Boulon, Seillac, 41150 Valloire Sur Cisse

Afin de prévenir toute communication frauduleuse de données à caractère personnel, la Responsable peut demander la production d'un justificatif d'identité lorsqu'un doute raisonnable subsiste quant à l'identité du demandeur, conformément à l'article 12.6 du RGPD.

La demande est traitée gratuitement.

Conformément à l'article 12.3 du RGPD, une réponse est apportée dans un délai maximal d'un mois à compter de la réception de la demande.

Ce délai peut être prolongé de deux mois supplémentaires lorsque la demande présente une complexité particulière ou en cas de pluralité de demandes. Dans cette hypothèse, la Personne concernée est informée de cette prolongation ainsi que de ses motifs dans le délai initial d'un mois.

8.10 Droit d'introduire une réclamation auprès d'une autorité de contrôle

Conformément à l'article 77 du RGPD, toute Personne concernée dispose du droit d'introduire une réclamation auprès de l'autorité de contrôle compétente si elle estime que le traitement de ses données personnelles constitue une violation de la réglementation applicable.

En France, l'autorité de contrôle compétente est la Commission Nationale de l'Informatique et des Libertés (CNIL).

L'exercice de ce droit est sans préjudice de tout autre recours administratif ou juridictionnel.

8.11 Sort des données après le décès

Conformément à l'article 85 de la loi n° 78-17 du 6 janvier 1978 modifiée, toute personne peut définir des directives relatives à la conservation, à l'effacement et à la communication de ses données personnelles après son décès.

Ces directives peuvent être transmises à la Responsable par écrit.

À défaut de directives particulières, les héritiers peuvent exercer les droits reconnus par la réglementation dans les limites prévues par la loi.

Article 9. Sécurité des données

Conformément aux articles 5.1.f, 24, 25 et 32 du RGPD, la Responsable met en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté aux risques présentés par les traitements de données personnelles réalisés dans le cadre de son activité.

Ces mesures visent notamment à préserver la confidentialité, l'intégrité, la disponibilité et la résilience des données personnelles traitées ainsi qu'à prévenir tout accès non autorisé, divulgation, altération, perte, destruction ou utilisation illicite des données.

9.1 Mesures de sécurité mises en œuvre

La Responsable met notamment en œuvre les mesures suivantes :

  • protection des équipements informatiques et des espaces de stockage numériques par des mots de passe robustes et régulièrement renouvelés ;

  • limitation stricte des accès aux seules personnes autorisées ;

  • verrouillage des postes de travail et équipements utilisés pour le traitement des données en cas d'absence ou d'inactivité ;

  • mise à jour régulière des systèmes d'exploitation, logiciels et dispositifs de sécurité ;

  • utilisation de solutions de sauvegarde permettant de limiter les risques de perte de données ;

  • sécurisation des communications électroniques contenant des données personnelles lorsque la nature des informations traitées le justifie ;

  • protection physique des documents papier contenant des données personnelles contre tout accès non autorisé ;

  • destruction sécurisée des documents et supports contenant des données personnelles lorsqu'ils ne sont plus nécessaires ;

  • vérification périodique de l'adéquation des mesures de sécurité au regard des risques identifiés.

Lorsque cela est approprié au regard du risque présenté par le traitement, des mesures complémentaires telles que le chiffrement, la pseudonymisation ou toute autre mesure de protection adaptée peuvent être mises en œuvre.

9.2 Protection renforcée des données relatives à la santé

Compte tenu de leur caractère particulièrement sensible, les données relatives à la santé bénéficient d'un niveau de protection renforcé.

La Responsable veille notamment à :

  • limiter strictement la collecte de ces données à ce qui est nécessaire à la réalisation de la prestation ;

  • restreindre leur accès à la seule Responsable ;

  • séparer autant que possible les données relatives à la santé des autres catégories de données personnelles ;

  • mettre en œuvre des mesures de protection adaptées à leur sensibilité ;

  • assurer leur destruction sécurisée à l'expiration des durées de conservation applicables.

9.3 Évaluation et adaptation des mesures de sécurité

Les mesures de sécurité mises en œuvre sont déterminées en tenant compte :

  • de l'état des connaissances techniques ;

  • des coûts de mise en œuvre ;

  • de la nature des données traitées ;

  • du contexte et des finalités des traitements ;

  • des risques pesant sur les droits et libertés des Personnes concernées.

La Responsable procède régulièrement à une réévaluation de ces mesures afin de s'assurer qu'elles demeurent adaptées aux risques identifiés.

9.4 Gestion des incidents de sécurité

Toute personne susceptible de constater un incident de sécurité ou une violation de données personnelles est invitée à en informer immédiatement la Responsable.

Lorsqu'une violation de données personnelles est susceptible d'engendrer un risque pour les droits et libertés des Personnes concernées, la Responsable applique les procédures prévues par les articles 33 et 34 du RGPD.

Le cas échéant :

  • la violation est notifiée à l'autorité de contrôle compétente dans les délais légaux ;

  • les Personnes concernées sont informées lorsque la violation est susceptible d'engendrer un risque élevé pour leurs droits et libertés.

9.5 Obligation de moyens

La Responsable met en œuvre toutes les mesures raisonnables destinées à assurer la sécurité des données personnelles traitées.

Toutefois, compte tenu des risques inhérents à l'utilisation des technologies numériques et des réseaux de communication électroniques, aucune mesure de sécurité ne peut garantir une protection absolue contre l'ensemble des risques existants.

La Responsable s'engage à agir avec diligence afin de prévenir, détecter et traiter tout incident de sécurité affectant les données personnelles dont elle assure le traitement.

Article 10. Violation de données à caractère personnel

10.1 Définition

Conformément à l'article 4.12 du RGPD, constitue une violation de données à caractère personnel toute violation de la sécurité entraînant, de manière accidentelle ou illicite :

  • la destruction ;

  • la perte ;

  • l'altération ;

  • la divulgation non autorisée ;

  • ou l'accès non autorisé

à des données à caractère personnel transmises, conservées ou traitées d'une autre manière.

10.2 Détection et traitement des incidents

La Responsable met en œuvre des procédures destinées à identifier, analyser et traiter dans les meilleurs délais tout incident de sécurité susceptible d'affecter la confidentialité, l'intégrité ou la disponibilité des données personnelles traitées.

Lorsqu'un incident est constaté, la Responsable procède à une évaluation documentée de sa nature, de son origine, des catégories de données concernées, du nombre approximatif de personnes affectées ainsi que des conséquences potentielles pour les droits et libertés des Personnes concernées.

Les mesures nécessaires sont mises en œuvre afin de limiter les conséquences de l'incident, prévenir sa récurrence et rétablir, dans les meilleurs délais, le niveau de sécurité approprié.

10.3 Notification à l'autorité de contrôle

Conformément à l'article 33 du RGPD, lorsqu'une violation de données à caractère personnel est susceptible d'engendrer un risque pour les droits et libertés des personnes physiques, la Responsable notifie cette violation à la Commission Nationale de l'Informatique et des Libertés (CNIL) dans les meilleurs délais et, si possible, au plus tard dans les soixante-douze (72) heures après en avoir pris connaissance.

Lorsque la notification n'intervient pas dans ce délai, elle est accompagnée des motifs justifiant ce retard.

Aucune notification n'est effectuée lorsque la violation est peu susceptible d'engendrer un risque pour les droits et libertés des Personnes concernées.

10.4 Information des Personnes concernées

Conformément à l'article 34 du RGPD, lorsqu'une violation de données à caractère personnel est susceptible d'engendrer un risque élevé pour les droits et libertés des Personnes concernées, la Responsable informe celles-ci dans les meilleurs délais.

Cette information est formulée en des termes clairs et compréhensibles et comprend notamment :

  • la nature de la violation ;

  • les coordonnées permettant d'obtenir des informations complémentaires ;

  • les conséquences probables de la violation ;

  • les mesures prises ou envisagées pour remédier à la violation ;

  • les recommandations destinées à limiter les éventuels effets négatifs de l'incident.

L'information individuelle peut ne pas être requise dans les cas prévus à l'article 34.3 du RGPD, notamment lorsque des mesures techniques appropriées rendent les données inintelligibles pour toute personne non autorisée ou lorsque la communication exigerait des efforts disproportionnés.

10.5 Registre des violations

Conformément à l'article 33.5 du RGPD, la Responsable tient un registre interne des violations de données à caractère personnel.

Ce registre documente notamment :

  • les faits relatifs à la violation ;

  • ses effets ;

  • les catégories de données concernées ;

  • les mesures correctrices mises en œuvre ;

  • les décisions prises concernant la notification à la CNIL et, le cas échéant, aux Personnes concernées.

Cette documentation permet à la Responsable de démontrer sa conformité aux obligations prévues par le RGPD.

10.6 Signalement par les Personnes concernées

Toute Personne concernée qui constate ou suspecte un incident de sécurité ou une utilisation non autorisée de ses données personnelles est invitée à en informer la Responsable dans les meilleurs délais à l'adresse suivante :

cestlepied.mcp@gmail.com

La Responsable s'engage à examiner avec diligence tout signalement reçu et à prendre les mesures appropriées lorsque celui-ci révèle un risque réel pour la sécurité des données personnelles.

Article 11. Protection des données des mineurs

La Responsable accorde une attention particulière à la protection des données personnelles des enfants mineurs, lesquels bénéficient d'une protection spécifique au regard du RGPD, notamment en raison de leur vulnérabilité particulière et de leur moindre conscience des risques liés au traitement de leurs données personnelles (considérant 38 du RGPD).

Dans le cadre de la réalisation de séances de réflexologie pédiatrique, la Responsable peut être amenée à traiter des données personnelles concernant des enfants mineurs, y compris des données relatives à leur santé relevant des catégories particulières de données visées à l'article 9 du RGPD.

11.1 Intervention du titulaire de l'autorité parentale

La prise de rendez-vous, la communication des informations nécessaires à la réalisation de la prestation ainsi que le recueil du consentement au traitement des données relatives à la santé du mineur sont effectués par le titulaire de l'autorité parentale ou avec son autorisation préalable.

Avant toute collecte de données relatives à la santé d'un mineur, la Responsable s'assure que les informations nécessaires ont été fournies par le représentant légal habilité à agir pour le compte de l'enfant.

Lorsque les circonstances le justifient, la Responsable peut demander tout élément permettant de vérifier la qualité de représentant légal de la personne agissant pour le compte du mineur.

Le représentant légal exerce, au nom du mineur et dans l'intérêt de celui-ci, les droits prévus par la présente Politique de Confidentialité, sous réserve des dispositions légales applicables.

11.2 Collecte limitée aux données strictement nécessaires

Conformément au principe de minimisation prévu à l'article 5.1.c du RGPD, seules les données strictement nécessaires à l'organisation de la séance, à l'adaptation de la prestation et à la sécurité de l'enfant sont collectées.

La Responsable s'interdit toute collecte de données excessives, non pertinentes ou sans lien direct avec les finalités poursuivies.

Les données relatives à la santé de l'enfant sont limitées aux informations nécessaires à l'identification d'éventuelles contre-indications, précautions particulières ou éléments utiles à la réalisation de la prestation dans des conditions adaptées.

11.3 Protection renforcée des données de santé des mineurs

Les données relatives à la santé des mineurs font l'objet des mesures de sécurité renforcées décrites à l'article 9 de la présente Politique.

Ces données :

  • sont accessibles uniquement à la Responsable ;

  • ne sont utilisées que pour les finalités liées à la réalisation de la prestation ;

  • ne sont communiquées à aucun tiers non autorisé ;

  • bénéficient de mesures de confidentialité et de sécurité adaptées à leur sensibilité particulière.

Leur traitement repose sur le consentement explicite du représentant légal lorsque celui-ci est requis par la réglementation applicable.

11.4 Information adaptée et intérêt supérieur du mineur

La Responsable veille, dans la mesure du possible, à fournir une information claire, compréhensible et adaptée à l'âge du mineur concerné.

Toute décision relative au traitement des données personnelles d'un mineur est réalisée dans le respect de son intérêt supérieur et dans la stricte limite de ce qui est nécessaire à la réalisation de la prestation proposée.

11.5 Durée de conservation

Les données personnelles concernant les mineurs sont conservées pendant les mêmes durées que celles prévues à l'article 4 de la présente Politique.

À l'expiration des durées applicables, elles font l'objet d'une suppression, d'une destruction ou d'une anonymisation conformément aux procédures mises en œuvre par la Responsable.

Article 12. Cookies et traceurs

12.1 Cadre juridique applicable

L'utilisation de cookies et autres traceurs sur le site internet de la Responsable est régie notamment par :

  • l'article 82 de la loi n° 78-17 du 6 janvier 1978 modifiée ;

  • la directive 2002/58/CE du 12 juillet 2002 dite « ePrivacy » ;

  • le RGPD lorsqu'un traitement de données à caractère personnel est associé aux traceurs utilisés ;

  • les lignes directrices et recommandations de la CNIL relatives aux cookies et autres traceurs en vigueur à la date de consultation du site.

Un cookie est un fichier texte susceptible d'être enregistré sur le terminal de l'Utilisateur lors de la consultation du site internet et permettant notamment de reconnaître son terminal, de mémoriser certaines informations ou de mesurer l'utilisation du site.

12.2 Cookies strictement nécessaires au fonctionnement du site

Certains cookies sont strictement nécessaires au fonctionnement du site internet ou à la fourniture d'un service expressément demandé par l'Utilisateur.

Ces cookies peuvent être déposés sans recueil préalable du consentement conformément à l'article 82 de la loi Informatique et Libertés et aux recommandations de la CNIL.

Ils comprennent notamment les cookies permettant :

  • la gestion de la session de navigation ;

  • l'authentification ou la sécurité du site ;

  • la mémorisation de certains choix techniques essentiels ;

  • l'équilibrage de charge ou le bon fonctionnement des services demandés.

Ces cookies sont conservés pendant la durée strictement nécessaire à leur finalité et, en tout état de cause, pour une durée n'excédant pas treize (13) mois.

12.3 Cookies soumis au consentement préalable

Tout dépôt ou lecture de cookies non strictement nécessaires au fonctionnement du site est subordonné au consentement préalable de l'Utilisateur.

Sont notamment concernés, lorsqu'ils sont utilisés :

  • les cookies de mesure d'audience non exemptés de consentement ;

  • les cookies publicitaires ;

  • les cookies de personnalisation ;

  • les cookies de partage vers les réseaux sociaux ;

  • les traceurs déposés par des services tiers.

Aucun de ces cookies n'est déposé ou lu sur le terminal de l'Utilisateur avant l'obtention de son consentement.

Le consentement est recueilli au moyen d'un bandeau ou d'une plateforme de gestion des consentements permettant à l'Utilisateur :

  • d'accepter les cookies ;

  • de les refuser ;

  • de paramétrer ses choix de manière granulaire selon les finalités proposées.

Le refus des cookies doit être aussi simple que leur acceptation.

12.4 Conditions de validité du consentement

Le consentement recueilli respecte les exigences des articles 4.11 et 7 du RGPD.

Il est :

  • libre ;

  • spécifique ;

  • éclairé ;

  • univoque ;

  • exprimé par un acte positif clair.

L'absence d'action, la poursuite de la navigation ou les cases précochées ne valent pas consentement.

La Responsable conserve la preuve du consentement recueilli conformément au principe d'accountability prévu à l'article 5.2 du RGPD.

12.5 Retrait du consentement

L'Utilisateur peut retirer son consentement à tout moment et aussi facilement qu'il l'a accordé.

Ce retrait peut être effectué :

  • via le gestionnaire de cookies accessible depuis le site ;

  • via les paramètres du navigateur ;

  • par tout autre mécanisme mis à disposition sur le site.

Le retrait du consentement n'affecte pas la licéité des opérations réalisées avant ce retrait.

12.6 Durée de conservation

Les cookies soumis au consentement sont conservés pour une durée maximale de treize (13) mois à compter de leur dépôt sur le terminal de l'Utilisateur.

Les choix exprimés par l'Utilisateur concernant l'acceptation ou le refus des cookies sont conservés pendant une durée maximale de six (6) mois avant qu'une nouvelle sollicitation ne soit présentée.

À l'expiration de ces délais, le consentement de l'Utilisateur est à nouveau sollicité lorsque cela est nécessaire.

12.7 Paramétrage du navigateur

L'Utilisateur peut configurer son navigateur internet afin :

  • d'être informé du dépôt des cookies ;

  • d'accepter ou de refuser certains cookies ;

  • de supprimer les cookies déjà enregistrés ;

  • de bloquer systématiquement tout ou partie des traceurs.

Le blocage de certains cookies peut toutefois affecter le bon fonctionnement de certaines fonctionnalités du site.

12.8 Cookies de tiers

Lorsque le site utilise des services fournis par des tiers susceptibles de déposer leurs propres cookies ou traceurs, ces derniers demeurent responsables des traitements réalisés pour leur propre compte.

La Responsable veille à fournir à l'Utilisateur une information appropriée sur l'identité de ces tiers, les finalités poursuivies et les modalités d'exercice de ses droits lorsque la réglementation applicable l'exige.

12.9 Évolution des technologies de traçage

La Responsable se réserve la possibilité d'utiliser à l'avenir d'autres technologies de traçage soumises à la même réglementation que les cookies.

Dans cette hypothèse, les Personnes concernées seront informées conformément aux exigences légales et réglementaires applicables à la date de leur mise en œuvre.

Article 13. Sanctions encourues en cas de violation

La Responsable s'engage à respecter les dispositions du Règlement (UE) 2016/679 du 27 avril 2016 (RGPD), de la loi n° 78-17 du 6 janvier 1978 modifiée ainsi que toute réglementation applicable en matière de protection des données à caractère personnel.

Conformément aux pouvoirs qui lui sont conférés par le RGPD et la loi Informatique et Libertés, la Commission Nationale de l'Informatique et des Libertés (CNIL) peut contrôler le respect de ces obligations et prononcer, le cas échéant, des mesures correctrices ou des sanctions administratives prévues par les articles 58 et 83 du RGPD.

Les personnes concernées disposent également des voies de recours administratives et juridictionnelles prévues par les articles 77 à 82 du RGPD lorsqu'elles estiment que leurs droits n'ont pas été respectés.

La présente Politique doit être interprétée conformément à la réglementation applicable en matière de protection des données personnelles. En cas d'évolution législative, réglementaire ou jurisprudentielle, les dispositions impératives en vigueur prévaudront sur toute stipulation contraire.

Article 14. Réclamation auprès de l'autorité de contrôle

14.1 Droit d'introduire une réclamation auprès d'une autorité de contrôle

Conformément à l'article 77 du Règlement (UE) 2016/679 du 27 avril 2016 (RGPD), toute Personne concernée qui estime que le traitement de ses données à caractère personnel constitue une violation de la réglementation applicable en matière de protection des données dispose du droit d'introduire une réclamation auprès d'une autorité de contrôle.

Cette réclamation peut être introduite notamment auprès de l'autorité de contrôle de l'État membre de l'Union européenne dans lequel se situe :

  • sa résidence habituelle ;

  • son lieu de travail ;

  • ou le lieu où la violation alléguée aurait été commise.

14.2 Autorité de contrôle compétente en France

Pour les traitements réalisés par la Responsable, l'autorité de contrôle compétente est la :

Commission Nationale de l'Informatique et des Libertés (CNIL)

3 Place de Fontenoy

TSA 80715

75334 Paris Cedex 07

Téléphone : 01 53 73 22 22

Site internet : www.cnil.fr

Les modalités de dépôt d'une réclamation sont disponibles sur le site internet de la CNIL.

14.3 Droit à un recours juridictionnel effectif

Conformément aux articles 78 et 79 du RGPD, l'introduction d'une réclamation auprès d'une autorité de contrôle est sans préjudice de tout autre recours administratif ou juridictionnel dont dispose la Personne concernée.

Toute Personne concernée a notamment le droit :

  • d'exercer un recours contre une décision juridiquement contraignante d'une autorité de contrôle ;

  • d'exercer un recours juridictionnel effectif lorsqu'elle estime que les droits que lui confère le RGPD ont été violés du fait d'un traitement de ses données personnelles non conforme à la réglementation applicable.

14.4 Droit à réparation

Conformément à l'article 82 du RGPD, toute personne ayant subi un dommage matériel ou moral du fait d'une violation du RGPD peut obtenir réparation du préjudice subi dans les conditions prévues par la réglementation applicable.

14.5 Coopération avec les autorités de contrôle

La Responsable s'engage à coopérer de bonne foi avec toute autorité de contrôle compétente dans le cadre de l'exercice de ses missions de contrôle, d'investigation ou de traitement des réclamations relatives à la protection des données personnelles.

Article 15. Modification de la Politique de Confidentialité

15.1 Principe de mise à jour

La Responsable se réserve le droit de modifier, compléter ou mettre à jour à tout moment la présente Politique de Confidentialité afin de tenir compte notamment :

  • des évolutions législatives ou réglementaires applicables ;

  • des recommandations, lignes directrices ou décisions des autorités compétentes en matière de protection des données personnelles, notamment de la Commission Nationale de l'Informatique et des Libertés (CNIL) et du Comité européen de la protection des données (CEPD) ;

  • des évolutions jurisprudentielles ;

  • des modifications des traitements mis en œuvre ;

  • des évolutions techniques du site internet, des outils utilisés ou de l'activité de la Responsable.

Toute modification est réalisée dans le respect des droits et libertés des Personnes concernées ainsi que des obligations résultant du RGPD et de la loi Informatique et Libertés.

15.2 Information des Personnes concernées

En cas de modification substantielle affectant les finalités des traitements, les catégories de données collectées, les bases légales, les destinataires des données, les durées de conservation ou les droits des Personnes concernées, la Responsable informe les personnes concernées par tout moyen approprié, notamment :

  • par publication sur le site internet ;

  • par courrier électronique lorsque cette modalité est pertinente et techniquement possible ;

  • par tout autre moyen de communication adapté aux circonstances.

Lorsque la réglementation applicable l'exige, la Responsable recueille à nouveau le consentement des Personnes concernées avant la mise en œuvre des modifications concernées.

15.3 Date d'entrée en vigueur

La date de dernière mise à jour de la présente Politique figure en tête ou en fin du document.

Sauf indication contraire, toute nouvelle version de la Politique entre en vigueur à compter de sa date de publication.

15.4 Version applicable

Les traitements de données personnelles sont régis par la version de la Politique de Confidentialité en vigueur à la date de leur mise en œuvre.

Toutefois, lorsqu'une modification est imposée par une disposition légale ou réglementaire d'application immédiate, cette disposition prévaut dès son entrée en vigueur, indépendamment de la date de mise à jour de la présente Politique.

15.5 Disponibilité de la Politique

La version la plus récente de la présente Politique de Confidentialité demeure accessible à tout moment sur le site internet de la Responsable ou peut être communiquée sur simple demande adressée aux coordonnées mentionnées dans la présente Politique.

Les versions antérieures peuvent être conservées à des fins de preuve, d'archivage ou de conformité réglementaire lorsque cela est nécessaire.

ANNEXE — REGISTRE SIMPLIFIÉ DES ACTIVITÉS DE TRAITEMENT

Conformément à l'article 30 du RGPD, le responsable de traitement tient un registre des activités de traitement. Les principaux traitements mis en œuvre sont synthétisés ci-dessous. Ce registre est mis à jour lors de toute modification substantielle.

Tableau 3 : REGISTRE SIMPLIFIÉ DES ACTIVITÉS DE TRAITEMENT - Marie-Cécile Pacchiani
Tableau 3 : REGISTRE SIMPLIFIÉ DES ACTIVITÉS DE TRAITEMENT - Marie-Cécile Pacchiani
Retour à l'accueil
Télécharger en .pdf