La SASU GALLOSTRAT, exploitant l'activite de photographie sous l'enseigne Bethune Iris Photo, accorde une importance particuliere a la protection des donnees personnelles de ses clients, prospects et visiteurs. La presente politique decrit, conformement au Reglement General sur la Protection des Donnees (UE) 2016/679 dit « RGPD » et a la loi Informatique et Libertes n° 78-17 du 6 janvier 1978 modifiee, comment nous collectons, utilisons, conservons et protegeons vos donnees personnelles.
1. Responsable de traitement
- Raison sociale : SASU GALLOSTRAT
- Nom commercial : GALLOTECH — Enseigne : BETHUNE IRIS PHOTO
- Siege : 11 rue du 11 Novembre, 62232 Vendin-les-Bethune, France
- SIRET : 933 135 089 00011 — RCS Arras
- Contact protection des donnees : pro@gallotech.fr
- Telephone : 06 99 35 47 00
1.1 Delegue a la protection des donnees (DPO) et referent RGPD
A ce jour, la SASU GALLOSTRAT n'a pas designe de delegue a la protection des donnees (DPO) au sens des articles 37 a 39 du RGPD. Un referent RGPD interne a ete designe en la personne de Florian Delmarquette, president de la SASU Gallostrat, qui centralise toute demande relative a la protection des donnees et est votre interlocuteur principal pour l'exercice de vos droits.
Vous pouvez le contacter a l'adresse indiquee ci-dessus (e-mail : pro@gallotech.fr). Cette organisation est reevaluee periodiquement en fonction de l'evolution des traitements, notamment de leur echelle et de la sensibilite des donnees traitees (photographies d'iris, art. 9 RGPD).
2. Donnees personnelles collectees
2.1 Donnees d'identite, de contact et de reservation
- Civilite, nom, prenom, date de naissance (pour les mineurs uniquement, afin de verifier la necessite de l'intervention du representant legal)
- Adresse postale, e-mail, telephone
- Pour les commandes cadeau : identite et adresse du destinataire
- Creneau de rendez-vous choisi, lieu de la seance (stand, foire, domicile), preferences esthetiques communiquees (format, effet, nombre d'iris)
- Notes internes de seance necessaires a la realisation de la prestation (ex : consigne particuliere sur le cadrage, report de rendez-vous)
2.2 Donnees de commande et de paiement
- Produits commandes, quantites, prix, statuts de production et de livraison, historique des commandes
- Informations de paiement gerees exclusivement par notre prestataire Square, Inc. — nous n'avons jamais acces aux donnees bancaires completes (numero de carte, CVV)
- Numero de suivi Colissimo pour les expeditions
2.3 Donnees biometriques — photographies d'iris
Les photographies de vos iris constituent des donnees sensibles au sens de l'article 9 du RGPD (donnees biometriques visant a identifier une personne physique de maniere unique). Leur traitement est soumis a un regime renforce : les photographies d'iris sont realisees exclusivement a votre demande expresse, dans le cadre de la commande que vous passez (art. 9.2.a RGPD). Les garanties appliquees sont detaillees en section 4.
2.4 Donnees de navigation et cookies
- Adresse IP (anonymisee par hachage SHA-256 dans notre journal de consentement cookies), navigateur, systeme d'exploitation, pages consultees
- Cookies techniques de session et cookies publicitaires (sur consentement) — details dans notre politique cookies
2.5 Donnees obligatoires et facultatives
Conformement au principe de minimisation (art. 5.1.c RGPD), nous ne collectons que les donnees strictement necessaires aux finalites poursuivies. Les champs obligatoires sont identifies par un asterisque (*) sur nos formulaires. Les autres champs sont facultatifs : le refus de renseigner un champ facultatif n'a aucune consequence sur votre commande, votre seance ou votre acces au Site.
3. Finalites, bases legales et durees de conservation
| Finalite | Base legale | Duree de conservation |
|---|---|---|
| Gestion des reservations et seances photo | Execution du contrat (art. 6.1.b RGPD) | Duree de la relation + 10 ans |
| Gestion des commandes et livraisons | Execution du contrat | Duree de la relation + 10 ans (art. L123-22 Ccom) |
| Facturation et comptabilite | Obligation legale (art. 6.1.c RGPD) | 10 ans apres l'exercice clos |
| Traitement des photographies d'iris | Demande expresse du Client dans le cadre de sa commande (art. 9.2.a RGPD) | Le temps necessaire a l'execution de la commande et au service apres-vente, puis suppression. Suppression anticipee possible a tout moment, a l'initiative du Vendeur ou sur demande du Client (droit a l'effacement, art. 17 RGPD). |
| Utilisation des photographies a des fins de communication | Accord ecrit prealable du Client (art. 6.1.a + droit a l'image) | Jusqu'au retrait de l'accord |
| Envoi de communications commerciales (newsletter, offres) | Consentement (art. 6.1.a RGPD) | Jusqu'au retrait ou 3 ans d'inactivite |
| Mesure d'audience et publicite ciblee (cookies) | Consentement cookies (art. 82 loi IEL) | 13 mois (duree maximale recommandee par la CNIL) |
| Gestion des reclamations et litiges | Interet legitime (art. 6.1.f RGPD) | Duree de la procedure + duree de prescription (5 ans) |
| Journalisation des acces administrateur et des operations sensibles (logs techniques de connexion et d'action) | Interet legitime (art. 6.1.f RGPD) — securite du systeme et tracabilite | 12 mois |
| Journal de consentement cookies | Obligation legale / preuve | 3 ans |
4. Donnees biometriques (iris) — traitement renforce
Les photographies d'iris relevent de l'article 9 du RGPD. Nous appliquons les garanties renforcees suivantes :
- Traitement a votre demande expresse (article 9.2.a du RGPD) : les photographies d'iris sont realisees exclusivement dans le cadre d'une commande que vous passez et a votre demande ; aucune photographie d'iris n'est realisee a votre insu ni sans demande de votre part ;
- Stockage primaire sur serveur NAS Synology au siege social, sans synchronisation cloud automatique, acces distant limite au responsable de traitement (connexion chiffree HTTPS + double authentification + mot de passe fort). Stockage de transit temporaire sur les supports necessaires a l'activite itinerante (cartes memoire des appareils photo, disque SSD externe, poste de travail Mac avec chiffrement FileVault active). Ces supports mobiles font l'objet d'un transport sous la responsabilite directe du responsable de traitement, sans mise a disposition a des tiers. En cas de perte ou de vol de materiel, une evaluation du risque est menee et, si necessaire, la CNIL est notifiee dans les 72 heures conformement a l'article 33 du RGPD ;
- Transmission limitee au Client lui-meme, selon les modalites prevues par sa commande : par courrier postal pour les tirages physiques (transporteur Colissimo / La Poste) ou par courrier electronique pour les fichiers numeriques (e-mail professionnel pro@gallotech.fr heberge par Google Workspace, chiffrement TLS en transit, encadrement des transferts hors UE par le Data Privacy Framework). Aucune photographie d'iris n'est transmise a des tiers a des fins commerciales, publicitaires, marketing ou de revente ;
- Aucune utilisation a des fins d'identification biometrique automatisee : nos iris ne sont pas utilises pour reconnaitre une personne, ils sont uniquement photographies comme oeuvres d'art ;
- Conservation limitee et droit a l'effacement : les photographies sont conservees le temps necessaire a l'execution de la commande et au service apres-vente, puis supprimees. Vous pouvez a tout moment en demander la suppression anticipee (droit a l'effacement, art. 17 RGPD) sur simple demande a pro@gallotech.fr ou par courrier postal a l'adresse du siege social : les photographies et toutes leurs copies sur l'ensemble des supports de stockage sont alors supprimees.
5. Profilage et decisions automatisees
Conformement a l'article 22 du RGPD, nous ne mettons en oeuvre aucune decision fondee exclusivement sur un traitement automatise, y compris le profilage, produisant des effets juridiques a votre egard ou vous affectant de maniere significative. Les eventuelles communications marketing ne reposent pas sur des profils automatises.
Font exception a ce principe les mecanismes de ciblage publicitaire mis en oeuvre par nos prestataires Meta (Facebook, Instagram) et TikTok dans le cadre de nos campagnes publicitaires : retargeting (diffusion de publicites aux internautes ayant deja visite le Site) et audiences similaires dites « lookalike ». Ces mecanismes ne sont actives qu'apres votre consentement explicite recueilli via notre banner de gestion des cookies et sont decrits en detail dans notre politique de gestion des cookies. Ils ne produisent aucune decision a portee juridique et peuvent etre desactives a tout moment sans consequence sur votre navigation ou votre acces aux produits du Site.
6. Cookies et traceurs
Notre site utilise des cookies techniques indispensables a son fonctionnement (session, securite CSRF, memorisation du choix cookies) et, sous reserve de votre consentement prealable, des cookies publicitaires (Meta Pixel, TikTok Pixel) pour mesurer l'efficacite de nos campagnes et diffuser nos publicites (retargeting, audiences similaires).
Les details complets (liste des cookies, duree, finalite, sous-traitants) sont disponibles dans notre politique de gestion des cookies. Vous pouvez a tout moment modifier votre choix via le bouton « Gestion des cookies » present en bas a droite de chaque page du site.
7. Destinataires et sous-traitants
Vos donnees peuvent etre transmises aux sous-traitants suivants, chacun agissant sur nos instructions dans le cadre d'un contrat de sous-traitance conforme a l'article 28 du RGPD :
| Sous-traitant | Finalite | Pays / encadrement transfert |
|---|---|---|
| Square, Inc. | Paiement par carte bancaire (3D Secure, PCI-DSS) | Etats-Unis — Data Privacy Framework (DPF) |
| O2Switch SAS | Hebergement du site bethune-iris-photo.fr | France |
| La Poste (Colissimo) | Livraison des colis | France / Union europeenne |
| Google LLC (Google Workspace / Gmail professionnel) | Acheminement des e-mails transactionnels et transmission au Client, en piece jointe, des fichiers numeriques issus de sa commande (photographies d'iris livrees au format DIG) | Etats-Unis — DPF |
| Meta Platforms Ireland Ltd. / Meta Platforms Inc. | Mesure d'audience, publicite ciblee (sur consentement) | Irlande / Etats-Unis — DPF + CCT |
| TikTok Technology Ltd. | Mesure d'audience, publicite ciblee (sur consentement) | Irlande / Royaume-Uni — CCT et DPA |
Nous ne vendons ni ne louons vos donnees personnelles a des tiers.
8. Transferts hors Union europeenne
Certains sous-traitants operent des traitements de donnees en dehors de l'Union europeenne :
- Etats-Unis : Square, Inc., Google LLC, Meta Platforms, Inc. — transferts encadres par le Data Privacy Framework (DPF) adopte par la Commission europeenne le 10 juillet 2023 (decision d'adequation 2023/1795), complete le cas echeant par des Clauses Contractuelles Types (CCT) adoptees par la Commission europeenne le 4 juin 2021 (decision 2021/914) ;
- Royaume-Uni : TikTok Ltd (via TikTok Technology Limited en Irlande) — transferts encadres par la decision d'adequation de la Commission europeenne concernant le Royaume-Uni (decision 2021/1772) completee par un accord de traitement des donnees (DPA).
Des mesures techniques supplementaires (chiffrement en transit, pseudonymisation le cas echeant) sont appliquees a l'ensemble de ces transferts.
9. Vos droits
Conformement au RGPD et a la loi Informatique et Libertes, vous disposez des droits suivants :
- Droit d'acces (art. 15 RGPD) : obtenir la confirmation que des donnees vous concernant sont traitees et une copie de ces donnees ;
- Droit de rectification (art. 16) : faire corriger des donnees inexactes ou incompletes ;
- Droit a l'effacement / « droit a l'oubli » (art. 17) : obtenir la suppression de vos donnees, sous reserve des obligations legales de conservation (facturation, comptabilite) ;
- Droit a la limitation du traitement (art. 18) : suspendre le traitement de vos donnees dans certains cas ;
- Droit a la portabilite (art. 20) : recevoir vos donnees dans un format structure, couramment utilise et lisible par machine ;
- Droit d'opposition (art. 21) : vous opposer a un traitement fonde sur l'interet legitime ou a des fins de prospection commerciale ;
- Droit de retirer votre consentement (art. 7 § 3) : a tout moment, sans affecter la validite des traitements operes avant le retrait ;
- Droit de definir des directives post-mortem (art. 85 loi IEL) concernant le sort de vos donnees apres votre deces.
9.1 Comment exercer vos droits
Toute demande d'exercice de vos droits peut etre adressee :
- Par e-mail : pro@gallotech.fr
- Par courrier : SASU GALLOSTRAT — 11 rue du 11 Novembre, 62232 Vendin-les-Bethune
Nous pouvons vous demander un justificatif d'identite si un doute raisonnable existe sur l'auteur de la demande. Une reponse vous sera apportee dans un delai d'un mois (art. 12 RGPD), pouvant etre prolonge de deux mois en cas de demande complexe, auquel cas vous serez informe des motifs du prolongement.
L'exercice de ces droits est gratuit, sauf en cas de demandes manifestement infondees ou excessives (notamment en raison de leur caractere repetitif), auquel cas des frais raisonnables pourront etre demandes conformement a l'article 12 §5 du RGPD. Le present dispositif est sans prejudice de votre droit de saisir directement la CNIL ou l'autorite de controle competente dans votre pays de residence (voir section 13).
10. Protection des mineurs
Conformement a l'article 8 du RGPD et a l'article 7-1 de la loi Informatique et Libertes :
- Mineurs de moins de 15 ans : le traitement de leurs donnees personnelles ne peut intervenir qu'avec l'autorisation expresse du titulaire de l'autorite parentale, present lors de la prise de vue ou ayant formalise son accord par ecrit prealable ;
- Mineurs de 15 a 17 ans : la loi leur reconnait une autonomie pour le traitement de leurs donnees personnelles, dans les limites qu'elle prevoit. Toutefois, compte tenu de la nature sensible des donnees biometriques (art. 9 RGPD), la presence ou l'autorisation prealable du representant legal est fortement recommandee pour la prise de vue d'iris.
Le droit a l'image des mineurs, y compris ceux ages de 15 a 17 ans, requiert dans tous les cas l'autorisation ecrite du titulaire de l'autorite parentale (jurisprudence civile constante). Sans cette autorisation, aucune photographie representant un mineur ne peut etre diffusee sur nos supports de communication (site internet, reseaux sociaux, supports imprimes).
Tout titulaire de l'autorite parentale peut exercer les droits de son enfant mineur a tout moment dans les conditions prevues a la section 9 de la presente politique.
11. Securite des donnees
Nous mettons en oeuvre les mesures techniques et organisationnelles appropriees pour assurer la securite de vos donnees :
- Chiffrement en transit : l'ensemble des echanges avec le site est chiffre par HTTPS (certificat TLS Let's Encrypt) ;
- Hebergement en France chez O2Switch (Clermont-Ferrand), datacenters certifies ;
- Controle d'acces restreint au responsable de traitement (authentification forte par mot de passe + 2FA sur interface admin) ;
- Sauvegardes regulieres de la base de donnees avec conservation sur site distinct ;
- Rate limiting sur les formulaires publics pour prevenir les attaques par force brute ;
- Journalisation des acces et des operations sensibles ;
- Stockage des photographies d'iris dans les conditions precisees a la section 4 de la presente politique (NAS au siege social, supports mobiles sous la responsabilite exclusive du responsable de traitement, sans synchronisation cloud automatique) ;
- Politique de mots de passe forts : utilisation d'un gestionnaire de mots de passe (ProtonPass) pour tous les acces administrateurs et services critiques, activation systematique de la double authentification lorsqu'elle est disponible ;
- Evaluation reguliere des mesures de securite : audit periodique des vulnerabilites (revue annuelle OWASP Top 10, analyse des violations de politique de securite du contenu, mise a jour des dependances techniques), conformement a l'article 32 §1.d du RGPD.
12. Violation de donnees personnelles
En cas de violation de donnees personnelles susceptible d'engendrer un risque pour vos droits et libertes, nous notifierons la CNIL dans un delai de 72 heures apres en avoir pris connaissance, conformement a l'article 33 du RGPD. Si la violation est susceptible d'engendrer un risque eleve, vous en serez directement informe dans les meilleurs delais (art. 34 RGPD).
Nous tenons en outre un registre interne des violations de donnees personnelles, conformement a l'article 33 §5 du RGPD, qui peut etre mis a disposition de la CNIL sur demande. Ce registre documente, pour chaque incident : les faits, les effets, les mesures prises pour y remedier et, le cas echeant, la justification de l'absence de notification aux personnes concernees.
13. Reclamation aupres d'une autorite de controle
Sans prejudice de tout autre recours administratif ou juridictionnel, vous avez le droit d'introduire une reclamation aupres de l'autorite de controle competente :
- France (residents francais) : Commission Nationale de l'Informatique et des Libertes (CNIL) — 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07 — www.cnil.fr/fr/plaintes
- Belgique (residents belges) : Autorite de protection des donnees (APD) — www.autoriteprotectiondonnees.be
- Royaume-Uni (residents britanniques) : Information Commissioner's Office (ICO) — www.ico.org.uk
Nous vous recommandons toutefois de nous contacter prealablement afin de tenter de resoudre votre demande directement.
14. Modification de la presente politique
La presente politique de confidentialite peut etre modifiee pour tenir compte des evolutions reglementaires, jurisprudentielles ou de nos pratiques. La version applicable est celle en vigueur au jour de votre visite.
Les modifications substantielles sont signalees par une mise a jour de la date d'entree en vigueur affichee en tete de cette page et, si elles affectent significativement vos droits, par une notification par courrier electronique aux clients disposant d'un compte actif. Un delai raisonnable est observe entre l'annonce d'une modification substantielle et sa prise d'effet.
Les versions anterieures peuvent etre consultees sur simple demande adressee a pro@gallotech.fr.