POLITIQUE DE PROTECTION DES DONNÉES PERSONNELLES & COOKIES

Sommaire

1. QUI EST RESPONSABLE DES TRAITEMENTS ? 
2. QUELLES SONT LES DONNÉES PERSONNELLES QUE NOUS TRAITONS ?
3. SUR QUELLES BASES LÉGALES SONT TRAITÉES VOS DONNÉES PERSONNELLES ?
4. QUELLES SONT LES FINALITÉS DES TRAITEMENTS DE VOS DONNÉES PERSONNELLES ?
5. PENDANT COMBIEN DE TEMPS SONT CONSERVÉES VOS DONNÉES PERSONNELLES ?
6. QUELS SONT LES DESTINATAIRES DE VOS DONNÉES PERSONNELLES ?
7. QUELS SONT VOS DROITS CONCERNANT VOS DONNÉES PERSONNELLES ET COMMENT LES EXERCER ? 
8. QU’EN EST-IL DES COOKIES ? 
9. NOTRE TRAVAIL AVEC DES PARTENAIRES TIERS ?
10. COMMENT CONTACTER NOTRE DPO ?
11. QUELLES SONT LES MESURES DE SECURITÉ ?
12. QUE FAIRE POUR ETRE INFORMÉ DES MISES A JOUR DE LA PRÉSENTE POLITIQUE ? 

1. Qui est responsable des traitement ?
   
   Lorsque vos données personnelles sont collectées dans un magasin du réseau Optical Discount, le responsable des traitements est l’entité dont l’identité et les coordonnées vous ont été communiquées par votre opticien.
   
   Lorsque vos données personnelles sont collectées lors de votre navigation sur notre site internet, le responsable de traitement est la société Optical Finance, société par actions simplifiée, enregistrée au RCS de Paris sous le numéro 443 025 457 sise au TOUR TRINITY 1 BIS ESPLANADE DE LA DÉFENSE 92400 COURBEVOIE.
   
   
2. Quelles sont les données personnelles que nous traitons ?
   
   Nous sommes amenés à collecter et traiter les données personnelles suivantes :

• données d’identification (exemple : nom, prénom, date de naissance, adresse électronique, adresse postale, numéro de téléphone) ;
• numéro de sécurité sociale et taux de prise en charge pour l’édition des feuilles de soins et la télétransmission aux organismes d’assurance maladie obligatoire et complémentaires ;
• données nécessaires à l’application des codes de la sécurité sociale de la Liste des Produits et Prestations (codes LPP) (exemple : âge du patient, moins de 18 ans ou plus de 18 ans)
• données de connexion (exemple : adresse IP, logs de connexion) ;
• données de facturation (exemple : moyens et historique de paiement, données de transaction, factures) ;
• données commerciales (exemple : historique des produits achetés, listes des produits, offres et services dont vous bénéficiez, échanges avec le SAV, données nécessaires à la réalisation d’actions de fidélisation, de prospection, d’enquêtes de satisfaction, statistique et de promotion, opérations promotionnelles) ;
• données de santé (exemple : prescriptions, ordonnance, mesures d’adaptation, produits délivrés, dispositifs médicaux, données directement liées aux défauts optiques).

Dans l’hypothèse où vos données personnelles sont collectées par le biais d’un formulaire, vous serez informés du caractère obligatoire des informations par un astérisque (*) à côté des champs concernés. L’absence d’astérisque signifie que les informations demandées ne sont pas obligatoires.

Seules les données personnelles qui sont strictement nécessaires au regard des finalités décrites ci-dessous sont collectées.

3. Sur quelles bases légales sont traitées vos données personnelles ?
   
   Vos données personnelles sont collectées et traitées sur les bases légales suivantes :

• Dans le cadre de l’exécution d’un contrat
• A des fins d’intérêt légitime
• Sur le fondement de votre consentement
• Dans le but d’assurer le respect de nos obligations légales et réglementaires
  
  

4. Quelles sont les finalités des traitements de vos données personnelles ?
   
   Vos données personnelles sont traitées pour les finalités suivantes :

• gestion, traitement et suivi de la commande de produits optiques ;
• gestion, traitement et suivi de la réservation en ligne de produits optiques ;
• édition des feuilles de soins et télétransmission aux organismes d’assurance maladie ;
• communication avec vous dans le cadre d’une assistance technique et/ou commerciale ;
• analyse de vos achats pour vous proposer des produits ou des offres susceptibles de vous intéresser ;
• gestion des droits et des demandes d’exercice des droits des personnes ;
• fourniture, accès et fonctionnement des services ;
• traçabilité des produits ;
• prospection commerciale (hors données de santé)  relatives à nos offres ou nos produits adressée par email, par sms, ou par voie postale
• action de fidélisation et opérations marketing ;
• amélioration et optimisation de la qualité de nos services et de notre site ;
• prévention des impayés et lutte contre la fraude ;
• statistiques, analyses et mesures d’audience ;
• enquêtes de satisfaction sur nos produits. 
  
  

5. Pendant combien de temps sont conservées vos données personnelles ?
   
   Vos données personnelles ne sont conservées que pour la durée strictement nécessaire à l’accomplissement des finalités pour lesquelles elles sont collectées et traitées, notamment pour la gestion de la relation commerciale.

Par défaut :

• vos données clients ne sont pas conservées au-delà de 5 ans dans nos outils ;
• vos données de cartes bancaires sont conservées uniquement pendant la durée nécessaire à la réalisation de la transaction ;
• vos données de connexion, de navigation et de trafic ne sont pas conservées au-delà de 1 an.

Néanmoins vos données personnelles sont conservées pour une durée plus importante lorsque les obligations légales et réglementaires nous l’imposent.

6. Quels sont les destinataires de vos données personnelles ?
   
   Vos données personnelles sont destinées aux personnes suivantes, en fonction des traitements réalisés :

• Optical Finance ;
• Les fournisseurs et prestataires intervenant dans le cadre des finalités mentionnées ci-dessus ;
• les opticiens-lunetiers des magasins portant l’enseigne Optical Discount pour la réalisation de commande de produits ;
• les membres du personnel des magasins portant l’enseigne Optical Discount pour les seules informations relatives à la relation avec vous ;
• le praticien prescripteur et les professionnels de santé intervenant dans la prise en charge du défaut optique, sur demande ou avec votre accord ;
• les organismes d’assurance maladie obligatoire (pour les seules données suivantes : l’identité de l’assurée, le numéro de sécurité sociale et le code des prestations services) ;
• les organismes d’assurance maladie complémentaire (pour les seules données suivantes : l’identité de leurs assurés, le numéro de sécurité sociale et les codes regroupés, les catégories des prestations effectuées) ;
• le concentrateur dans le cadre des transmissions à l’assurance maladie obligatoire et complémentaire.

Vos données personnelles ne font pas l’objet d’un transfert dans un pays situé hors de l’Union Européenne. Si toutefois ce devait être le cas, nous nous engageons à ce que ces transferts soient réalisés dans le respect de la réglementation applicable ou à une réglementation présentant un niveau de protection adéquate et équivalent.

7. Quels sont vos droits concernant vos données personnelles et comment les exercer ?
   
   Quels sont vos droits ?
   Vos droits au titre de vos données personnelles sont les suivants :

• droit d’accès ;
• droit de rectification ;
• droit à l’effacement – ce droit peut s’exercer dans la mesure où il ne nuit pas à l’exécution du contrat ou au respect de nos obligations légales et réglementaires ;
• droit à la limitation d’un ou plusieurs traitements de vos données personnelles ;
• droits de modification et/ou de retrait, à tout moment, des consentements concernant le traitement de vos données personnelles reposant uniquement sur votre consentement ;
• droit d’opposition à un traitement de vos données personnelles, en particulier s’agissant de la prospection commerciale ;
• droit à la portabilité de vos données personnelles.

Vous disposez également du droit de définir des directives générales et/ou particulières relatives au sort de vos données personnelles et à la manière dont vous souhaitez que vos droits soient exercés après votre décès. En cas de décès qui serait porté à notre connaissance, vos données personnelles seront supprimées, sauf nécessité de conservation pendant une durée déterminée pour des motifs tenant à nos obligations légales et réglementaires et/ou aux délais légaux de prescription, et après le cas échéant avoir été communiquées à un tiers éventuellement désigné par vos soins.

Afin que les informations dont nous disposons à votre sujet soit toujours exactes, nous vous recommandons d’actualiser régulièrement vos données personnelles.

Comment les exercer ?

Vous pouvez formuler toute demande d’exercice de vos droits relatifs à vos données personnelles en nous contactant par email : DPOcontact@opticaldiscount.com

Vous avez également le choix de vous inscrire gratuitement sur la liste d’opposition au démarchage téléphonique dénommée Bloctel et gérée par la société Opposetel en vertu d’une délégation de service public.

En cas d’insatisfaction, vous disposez du droit de saisir l’autorité compétente en la matière :

CNIL - 3 Place de Fontenoy - TSA 80715 - 75334 PARIS CEDEX 07 ; Tél : 01 53 73 22 22


         

8. Qu’en est-il des cookies ?

   
   Des cookies et autres traceurs (ci-après les « cookies ») peuvent être installés et/ou lus dans votre navigateur lors de votre visite sur le site. Cliquez ICI pour en savoir plus.
   
   

9. Notre travail avec des partenaires tiers

   OPTICAL DISCOUNT travaille avec des partenaires tiers et les données qu'ils sont amenés à manipuler sont récapitulés dans le tableau ci-dessous ainsi que le lien vers leur charte RGPD, si ils en poosèdent une :

   Partenaire	Données	Charte RGPD
   Image WebDesign	adresse, email, téléphone	Pas de charte
   Chronopost	adresse, email, téléphone	RGPD
   TNT	adresse, email, téléphone	RGPD
   Paypal	adresse, email, téléphone	RGPD
   MixwayMedia	téléphone	Pas de charte
   SendinBlue	email	RGPD
   OneyTrust Score	adresse, email, email	RGPD

OneyTrust et données personnelles

Oneytrust traite les données en rapport avec votre opération pour sécuriser les transactions réalisées sur le site internet. En savoir plus sur la gestion de vos données par Oneytrust et vos droits 
 

DONNÉES PERSONNELLES – LUTTE CONTRE LA FRAUDE 

Les informations en rapport avec votre opération font l’objet d’un traitement automatisé de données par Oneytrust, responsable de traitement, dans le but de renforcer le niveau de sécurité des opérations réalisées sur le site internet du partenaire et de protéger ce dernier et ses clients contre d’éventuels phénomènes d’usurpation d’identité ou de tentative de fraude.

OBJET DU TRAITEMENT DE DONNEES

Finalités

Le traitement a pour objet la lutte contre la fraude à l’identité et au paiement sur les opérations réalisées à distance via le réseau internet.

Il permet à Oneytrust :

• d’analyser les données de la transaction ;
• en fonction de règles préétablies, d'affecter une évaluation (score) à chaque opération réalisée sur les plateformes partenaires ;
• de déterminer l'identifiant machine de l'ordinateur utilisé par une personne pour naviguer sur le(s) sites(s) du partenaire, en particulier pour vérifier qu’un même ordinateur n’a pas été utilisé pour réaliser plusieurs transactions sur la base d’identités différentes ;
• de délivrer un premier niveau de confiance pendant la navigation sur le(s) site(s) du partenaire, afin d’orienter la suite du parcours du client final en conséquence ;
• de comparer les informations de la transaction analysée aux informations présentes dans les transactions effectuées auprès des différents partenaires de Oneytrust et de détecter ainsi les éventuelles incohérences ;
• une fois la transaction validée par le client et transmise pour analyse, de communiquer au partenaire, un indice de confiance de la transaction sous la forme d’une note comprise entre zéro (0) et cent (100) selon le niveau de risque ainsi évaluée ;
• de détecter des tentatives de fraudes lors de la réalisation d’opérations via le réseau internet et d’inscrire sur un fichier des personnes à risques, les clients qui auront commis une fraude avérée ;
• de fournir des informations complémentaires en vue de qualifier certaines données de la transaction (adresse électronique, téléphone, adresse postale, adresse IP, BIN 6) ;
• en fonction de règles préétablies, de diminuer les revues manuelles en validant automatiquement les transactions qui n’ont pas pu être validées par un dispositif d’analyse automatique (score automatique) ;
• de gérer les demandes des personnes concernées.

La survenance d’un impayé au motif d’une utilisation frauduleuse d’un moyen de paiement pourra entraîner l’inscription des données en rapport avec la transaction associée à cet impayé au sein d’un fichier d’incidents de paiement mis en œuvre par Oneytrust. Une déclaration irrégulière ou une anomalie pourra également faire l’objet d’un traitement spécifique.

Base légale

Article 6 (1) f du règlement général sur la protection des données.

Le traitement est nécessaire aux fins des intérêts légitimes poursuivis par Oneytrust ; à savoir la lutte contre la fraude à l’identité et au paiement lors des transactions à distance réalisées via le réseau internet. 

DONNEES TRAITEES

Catégories de données traitées

• Données d’identification, coordonnées de facturation et de livraison, numéro de téléphone, adresse électronique, adresse IP, 6 premiers chiffres de la carte bancaire ; les données du relevé d’identité bancaire (RIB) sous forme hachées en cas de règlement par virement ou prélèvement ;
• Données relatives aux justificatifs d’identité, bancaire et de domicile dans le cadre des vérifications complémentaires ;
• Données relatives à la transaction ;
• Les sous-éléments techniques de validation des données d'identification par corrélation (validité, identité associée, fournisseur, opérateur...)
• Donnée d’identification électronique (adresse IP), empreinte calculée à partir des données techniques collectées et données techniques du terminal utilisé (système d’exploitation, langue, CPU, résolution, type de navigateur et version…).

Source des données

Les informations sont recueillies auprès du client par l’intermédiaire du partenaire mais également auprès des prestataires de services de Oneytrust pour les données enrichies.

Caractère obligatoire du recueil des données

La non-transmission des données en rapport avec votre opération empêche la réalisation et l’analyse de votre transaction.

Prise de décision automatisée

Le traitement ne prévoit pas de prise de décision automatisée. En revanche, le traitement est susceptible d’exclure, même temporairement, des coordonnées d’une personne du bénéfice d’un contrat. Pour autant, aucune décision de refus n’est prise sur la base d’un traitement automatisé. Avant toute décision de refus, des vérifications complémentaires seront effectuées auprès de la personne concernée pour lui permettre de faire valoir ses observations et de faire réexaminer sa situation. En tout état de cause, la personne concernée a le droit de demander une intervention humaine, d’exprimer son point de vue et de contester la décision. 

PERSONNES CONCERNEES

Le traitement de données concerne :

• les personnes physiques et morales qui réalisent des opérations sur les sites des partenaires de Oneytrust ;
• le personnel autorisé de Oneytrust en charge de la mise en œuvre du traitement.

Destinataires des données

Catégories de destinataires

En fonction de leurs besoins respectifs, sont destinataires de tout ou partie des données :

• le partenaire de Oneytrust auprès de qui le client a réalisé l’opération ;
• le personnel autorisé de Oneytrust ;
• les sous-traitants et prestataires de services de Oneytrust pour l’hébergement et la fourniture de données enrichies.

Transferts de données hors UE

En conformité avec la réglementation applicable en matière de protection des données à caractère personnel, nous pouvons être amenés à transmettre des données à caractère personnel à des destinataires établis dans des pays non-membres de l'Union Européenne. Nous nous assurons, conformément à la règlementation applicable, que le transfert intervienne vers des pays dont la législation a été reconnue comme conférant un niveau de protection adéquat par la Commission européenne ou, à défaut, est encadré par les clauses contractuelles types de la Commission Européenne qui permettent de garantir un niveau de protection suffisant de la vie privée et des droits fondamentaux des personnes et du respect des standards techniques utilisés.

Afin d’assurer que les données une fois transférées, bénéficient d’un niveau de protection adéquat, nous sélectionnons les prestations apportant toutes les garanties appropriées (adhésion au dispositif Privacy Shield, Signature des clauses contractuelles types de la Commission Européenne). C’est notamment le cas en ce qui concerne les données transmises à nos prestataires situés aux Etats-Unis pour nous permettre de fournir nos services.

Sur simple demande, nous pouvons vous fournir la liste des destinataires établis dans les pays tiers et une copie des conditions particulières convenues afin de garantir un niveau approprié de protection des données. Si vous souhaitez en faire la demande, nous vous invitons à écrire au DPO de Oneytrust dont les coordonnées figurent ci-après.

Durée de conservation des données

Les données seront conservées pendant une durée de 15 mois. Les données relatives aux transactions pour lesquelles des fraudes avérées ont été détectées font l’objet d’une inscription au sein d’un fichier d’incidents pendant une durée de 3 ans ou jusqu’à la régularisation de l’incident de paiement si celle-ci intervient avant l’expiration du délai de 3 ans.

Vos droits sur les données vous concernant

Vous pouvez accéder et obtenir copie des données vous concernant, vous opposer au traitement de ces données, les faire rectifier ou les faire effacer. Vous disposez également d'un droit à la limitation du traitement de vos données et du droit de formuler des directives post-mortem spécifiques et générales concernant la conservation, l’effacement et la communication de vos données.

Exercer ses droits

Le délégué à la protection des données (DPO) de Oneytrust est votre interlocuteur pour toute demande d'exercice de vos droits sur ce traitement.

• Contacter le DPO par voie électronique en écrivant à dpo[at]oneytrust.com*
  *(remplacer [at] par @ lors de l’envoi)

• Contacter le DPO par courrier postal

Le délégué à la protection des données
Oneytrust
34 avenue de Flandre
59170 Croix
FRANCE

Réclamation

Vous pouvez adresser toute réclamation relative au traitement de vos demandes par Oneytrust en écrivant au DPO. Celui-ci fournira ses meilleurs efforts pour répondre à toute réclamation et tenter de résoudre le différend.

Si vous estimez, après nous avoir contactés, que vos droits sur vos données ne sont pas respectés, vous pouvez adresser une réclamation (plainte) à votre autorité locale de protection des données personnelles ou à l’autorité de protection des données personnelles de Oneytrust, à savoir la CNIL – 3 place de Fontenoy – TSA 80715 – 75334 Paris cedex 07.

10. Comment contacter notre DPO ?

    Vous pouvez contacter notre Délégué à la Protection des Données à l’adresse suivante :  DPOcontact@opticaldiscount.com 
    
             

11. Quelles sont les mesures de sécurité ?

    
    En tant que responsable de traitement, nous prenons toutes les mesures utiles pour préserver la sécurité et la confidentialité des données et notamment, empêcher qu’elles soient endommagées, ou que des tiers non autorisés y aient accès. A cette fin, nous mettons en œuvre toutes les mesures techniques et organisationnelles pour garantir un niveau de sécurité adéquat et adapté aux risques. Par ailleurs, nous nous assurons du respect par nos sous-traitants des règles en matière de protection des données personnelles.
    
    

12. Que faire pour être informé des mises à jour de la présente politique ?

    
    Cette politique a vocation à évoluer et est donc susceptible d’être modifiée. En cas de modifications mineures, la nouvelle politique sera mise en ligne sur le site à la rubrique dédiée. En cas de modifications substantielles portant sur les finalités, l’identité du responsable de traitement, l’exercice de vos droits, vous en serez tenu informé.