Politique de confidentialité des données personnelles

Dernière mise à jour: 15/02/2023

Institut Calysta (ci-après la « Société ») propose des prestations de soins bien-être (ci-après les « Services ») à ses clients (ci-après les « Clients »).

La Société utilise une solution logicielle Saas multifonction « Flexybeauty » destinée aux professionnels du bien-être, permettant de bénéficier notamment d’un logiciel de caisse, de constituer une base de données de ses Clients (ci-après les « Données Clients »), de suivre l’historique de leurs rendez-vous, de gérer ses stocks, d’accéder à des statistiques sur ses Clients et d’utiliser un service de marketing direct.

La Société est le responsable du traitement des Données Clients.

La Société, soucieuse des données à caractère personnel du Client, s’engage à assurer la conformité des traitements opérés en sa qualité de responsable de traitement, conformément aux dispositions du Règlement 2016/679 du Parlement européen et du Conseil en date du 27 avril 2016 (le « RGPD »).

Pour ce faire, la Société utilise une solution conforme au RGPD et a mis en place une politique de confidentialité stricte afin de garantir un niveau de protection optimal des données collectées du Client.

La présente politique de confidentialité est destinée aux Clients utilisant les Services proposés par la Société.

Article 1. Données à caractère personnel collectées

Le Client est informé que lors de l’achat ou de la réservation d’une prestation de soin bien-être auprès de la Société, les données à caractère personnel suivantes le concernant sont collectées (i) par téléphone ou un moyen de communication électronique (par exemple SMS, E-Mail, Facebook, WhatsApp) lors de la prise de rendez-vous, (ii) via le site internet de la Société (ci-après le « Site ») lors de l'envoi d'un message via le formulaire de contact ou (iii) à l’institut de beauté lors du règlement de la prestation ou d’une prise de rendez-vous :

• Nom, prénom ;
• Sexe ;
• Adresse email ;
• Numéro de téléphone ;
• Date de naissance ;
• Adresse postale ;
• Chèque cadeaux ;
• Carte de fidélité.

Le Client est également informé que l’historique de ses prestations, de ses rendez vous et de ses paiements est conservé par la Société.

Le Client consent au traitement des données à caractère personnel ci-dessus énumérées.

Le Client est informé que la Société ne procède à la collecte d’aucune donnée à caractère sensible au sens de la législation et de la règlementation en vigueur.

Le Client s’engage à ne communiquer que des données exactes, complètes, régulièrement mises à jour sur son identité et ses informations. La Société ne saurait en aucun cas engager sa responsabilité en cas de communication de données obsolètes, illicites ou contraire à l’ordre public.

Cookies

La Société informe le Client qu’elle dépose des cookies ou technologies similaires de traçage sur le terminal du Client, lorsque celui-ci consulte le Site, et collecte les données suivantes :

• Adresse IP (Internet Protocol) ;
• Version du navigateur du terminal utilisé ;
• Parcours sur le site/ données de navigation ;
• Cookies de fonctionnement.

Les finalités de traitement des données collectées via les cookies et les traceurs ainsi que la gestion des cookies seront détaillés à l’article 6.

Article 2. Finalité du traitement mis en oeuvre

La Société collecte, traite et conserve les données transmises par le Client dans le cadre de l’accès aux Services.

En outre, sous réserve de son acceptation expresse, le Client pourra recevoir des sollicitations de marketing direct à savoir des offres promotionnelles de la part du partenaire commercial de la Société, Flexybeauty.

En cas de collecte des données à caractère personnel du Client par téléphone ou à l’institut, un email de confirmation du consentement sera adressé au Client.

Ainsi, la Société ne collecte et traite les données à caractère personnel du Client que pour la stricte exécution et l’utilisation optimale des Services qu’elle propose.

Le Client est informé que le traitement opéré par la Société a également pour finalité l’établissement de statistiques sur l’utilisation des Services.

La Société informe les Clients qu’aucune donnée à caractère personnel ne sera collectée sans son accord exprès et préalable.

La Société informe le Client que les données ne sont conservées que pour la durée de la relation contractuelle expressément nécessaire à la finalité du traitement.

Article 3. Obligations de la societé

En sa qualité de responsable de traitement, et conformément à la législation et la réglementation en vigueur, la Société s’engage à :

• Ne collecter les données des Clients de la Société que pour les finalités décrites à l’article 2 ;
• Tenir un registre des traitements ;
• Mettre en place toutes les mesures techniques et organisationnelles pour s’assurer de la sécurité des traitements effectués ;
• Restreindre les accès aux données des Clients aux seules personnes dûment habilitées à cet effet ;
• Sensibiliser et former le personnel au traitement des données ;
• Garantir tous les droits d’accès, de portabilité, d’effacement, de rectification et d’opposition des Clients concernant leurs données collectées lors de l’utilisation des Services ;
• Notifier à la CNIL toute faille de sécurité présentant un risque élevé pour les droits et libertés des Clients dans les 72 heures suivant la découverte de la violation ;
• Procéder à la destruction des données des Clients en l’absence de contact avec la Société pendant un délai de trois (3) ans.

Article 4. Accès aux données collectées

Le Client dispose à tout moment, au préalable, au cours ou à la suite du traitement, d’un droit d’accès, de copie, de rectification, d’opposition, de portabilité, de limitation et de suppression des données qui le concernent.

Il peut paramétrer directement ses données via son compte personnel ou exercer ses droits en adressant un courrier électronique à l’adresse suivante : Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser., ou par voie postale à l’adresse suivante: Institut Calysta, 4 rue de l'Artisanat, 68730 Blotzheim, et ce, sous réserve de justifier de son identité.

Le Client est dûment informé que la suppression de son compte personnel entraîne une suppression de l’accès aux Services et des données qui sont liées à l’utilisation des Services. Le Client est informé que les Données Clients sont conservées pour une période de soixante (60) jours à compter de la résiliation, sauf pour les éventuelles données dont une conservation plus longue serait imposée par la législation ou la règlementation.

En outre, le Client peut à tout moment interroger la Société s’il estime que ses droits ne sont pas respectés. A défaut de réponse satisfaisante, le Client peut introduire une réclamation devant la CNIL. Pour davantage d’informations, la Société invite le Client à consulter ses droits sur le site de la CNIL disponible sur le lien suivant : www.cnil.fr.

Article 5. Hébergement des données à caractère personnel des clients

La Société informe le Client que les données collectées pour l’exécution des Services sont susceptibles de faire l’objet d’un transfert vers les Etats-Unis auprès du service d’hébergement de la Société GOOGLE, adhérent au système du Privacy Shield, ce à quoi le Client est expressément informé par les présentes. La Société informe le Client que le prestataire en charge de l’hébergement de ses données garantit toutes les mesures de sécurité auxquelles il peut légitimement s’attendre. Le Client est informé que selon son choix discrétionnaire, la Société est susceptible de changer d’hébergeur au profit d’un hébergement localisé ailleurs, au sein de l’Union Européenne.

Article 6. Gestion des cookies

Un cookie est un fichier texte déposé, sous réserve des choix du Client, sur son ordinateur lors de la visite d'une page web. Il a pour but de collecter des informations relatives à la navigation du Client et de lui adresser des services adaptés à son terminal (ordinateur, mobile ou tablette).

Le Client est par conséquent informé que l’utilisation des Services implique le stockage de fichiers « Cookies », témoins de connexion, autres traceurs ou technologies similaires sur le terminal du Client.

Le Client est informé que la Société dépose des cookies et des traceurs sur son terminal afin de permettre (i) au Client de s’identifier, (ii) à la Société d’administrer l’espace personnel du Client, (iii) d’améliorer le contenu du Site, ou le cas échéant (iv) à des fins de mesure d’audience du Site par le biais d’un calcul de statistiques sur les pages consultées par le Client et la détermination des Services les plus utilisés.

Le Client est informé que les cookies et traceurs seront déposés sur son terminal pendant une durée de treize (13) mois.

Le Client peut à tout moment configurer son navigateur afin de recevoir une notification lorsqu’un cookie est envoyé ou de refuser les cookies.

Toutefois, certaines des fonctionnalités des Services pourraient ne pas fonctionner sans cookies. Par ailleurs, si la plupart des navigateurs sont paramétrés par défaut et acceptent l’installation de l’ensemble des cookies, le Client a la possibilité, s’il le souhaite, de choisir d’accepter le dépôt de tous les cookies, autres que les cookies fonctionnels, ou de les rejeter systématiquement ou encore de choisir ceux qu’il accepte selon leurs émetteurs, et ceci en effectuant les paramétrages suivants.

La Société informe le Client qu’il peut à tout moment revenir sur son consentement en modifiant ces paramétrages.

Article 7. Intégration du Trustbadge de Trusted Shops / d'autres widgets

Des Widgets Trusted Shops sont intégrés à ce site, afin d´afficher les services de Trusted Shops (p. ex. la Marque de confiance, les avis collectés) ainsi que pour proposer les services Trusted Shops pour acheteurs après une commande. Ceci sert à sauvegarder nos intérêts légitimes à une commercialisation optimale de notre offre en permettant un achat sécurisé qui prévalent lors d’une mise en balance des intérêts respectifs des parties conformément à l'art. 6, § 1, f) RGPD. Le Trustbadge et les services dont il fait la publicité sont proposés par Trusted Shops AG, dont le siège est situé Subbelrather Straße 15C, 50823 Cologne, Allemagne (ci-après, « Trusted Shops »), avec laquelle nous sommes conjointement responsables de la protection des données conformément à l'art. 26 RGPD. Dans le cadre de la présente déclaration relative à la protection des données, nous vous informons ci-après sur les grandes lignes de l'accord conformément à l'art. 26, § 2 RGPD.

Dans le cadre de la responsabilité conjointe existant entre nous et Trusted Shops, merci de bien vouloir préférer contacter Trusted Shops AG pour toute question relative à la protection des données et pour exercer vos droits en utilisant les coordonnées indiquées dans la déclaration sur la protection des données de Trusted Shops. Indépendamment de cela, il vous est également toujours possible de vous adresser au responsable de votre choix. Votre demande sera alors, si nécessaire, transmise pour réponse à l'autre responsable.

7.1. Traitement de données lié à l'intégration du Trustbadge/d'autres widgets

Le Trustbadge est mis à disposition par un fournisseur CDN (Content-Delivery-Network) américain. Un niveau adéquat de protection des données est assuré par des clauses types de protection des données et d'autres mesures contractuelles.

Lorsque le Trustbadge apparaît, le serveur internet enregistre automatiquement un fichier log du serveur qui contient aussi votre adresse IP, la date et l’heure de l'affichage, la quantité de données transférées et le fournisseur demandeur (données de fichiers logs), et qui documente l'affichage. L'adresse IP est anonymisée immédiatement après la collecte, de sorte que les données stockées ne peuvent être rattachées à votre personne. Les données anonymisées sont utilisées notamment à des fins statistiques et d'analyse des erreurs.

7.2. Traitement de données au terme de la commande

Après la conclusion de la commande, le Trustbadge accède aux informations de commande enregistrées dans votre équipement terminal (montant de la commande, numéro de commande, produit acheté le cas échéant) ainsi qu'à votre adresse e-mail. Ceci est nécessaire pour pouvoir vous proposer les Services Trusted Shops et, le cas échéant, pour sécuriser automatiquement votre commande. Pour ce faire, votre adresse e-mail, hachée par une fonction cryptologique à sens unique, est transmise à Trusted Shops. Le fondement juridique est l'art. 6, § 1, f) RGPD.

Ceci sert à vérifier si vous êtes déjà inscrit aux Services Trusted Shops et est donc nécessaire pour satisfaire nos intérêts légitimes prévalant et ceux de Trusted Shops dans la fourniture de la Protection acheteur liée à la commande concrète et des prestations d'avis clients conformément à l'art. 6, § 1, f) du RGPD. Si tel est le cas, le traitement ultérieur s'effectue conformément à l'accord contractuel conclu entre vous et Trusted Shops. Si vous n'êtes pas encore inscrit aux Services, vous aurez ensuite la possibilité de le faire pour la première fois. Le traitement ultérieur après l'inscription est également régi par l'accord contractuel conclu avec Trusted Shops. Si vous ne vous inscrivez pas, toutes les données transmises seront automatiquement supprimées par Trusted Shops et il ne sera plus possible d'établir de rapport avec votre personne.

Trusted Shops fait appel à des prestataires de services dans les domaines de l'hébergement, du monitoring et du logging. Le fondement juridique est l'art. 6, § 1, f) RGPD dans le but d'assurer un fonctionnement sans incident. Dans ce cadre, il se peut qu'un traitement ait lieu dans des pays tiers (États-Unis et Israël). Un niveau de protection des données adéquat est garanti dans le cas des États-Unis par des clauses types de protection des données et d'autres mesures contractuelles, et dans le cas d'Israël par une décision d'adéquation. Pour plus d'informations, cliquez ici..

Article 8. Services de tiers

8.1. Ce site web utilise la fonction d’intégration Youtube pour afficher et lire les vidéos du fournisseur "Youtube"qui appartient à Google LLC, 1600 Amphithéâtre Parkway, Mountain View, CA 94043, USA ("Google").

Le mode de protection étendue des données est ici utilisé. Celui-ci n'initie, selon les déclarations du fournisseur, pas de sauvegarde des informations de l'utilisateur tant que la ou les videos ne sont pas lues. Si la lecture des vidéos YouTube intégrées est lancée, des cookies "YouTube" sont utilisés par le fournisseur pour collecter des informations sur le comportement de l'utilisateur. D’après les informations fournies par "Youtube", ces cookies servent, entre autres, à collecter des statistiques vidéo, à améliorer la convivialité et à prévenir les pratiques abusives. Si vous êtes connecté à Google, vos informations seront associées à votre compte dès lors que vous cliquez sur une vidéo. Si vous ne souhaitez pas que Youtube puisse associer ces informations à votre profil, nous vous invitons à vous déconnecter avant d'activer la lecture de la video. Google enregistre vos données (même pour les utilisateurs qui ne sont pas connectés) en tant que profils d'utilisation et les évalue. Cette évaluation se fait dans le respect des dispositions de l'article 6 paragraphe 1 point f) RGPD sur la base des intérêts légitimes de Google à l'insertion de publicités personnalisées, à l’étude de marché et/ou à une conception de son site web orientée vers la demande. Vous pouvez cependant vous opposer à la création de ces profils utilisateurs en vous adressant à Youtube.

Indépendamment de la lecture des vidéos intégrées, la simple visite de ce site web a pour conséquence d’établir une connexion avec le réseau "DoubleClick" de Google susceptible de déclencher d'autres opérations de traitement des données sur lesquelles nous n’avons aucune influence.

Google LLC, implantée aux Etats-Unis, participe au Bouclier de protection des données UE - Etats-Unis (Privacy Shield), qui a pour objet de garantir la protection des données personnelles qui sont transférées depuis un Etat membre de l’Union Européenne vers les Etats-Unis.

Vous trouverez de plus amples informations sur la protection des données "YouTube" dans la déclaration de protection des données du fournisseur à l'adresse https://policies.google.com/privacy?hl=fr

8.2.    Nous utilisons Google Ads pour permettre d’afficher des publicités pour nos services de manière ciblée et notamment sur d’autres sites Web, en particulier auprès de personnes qui sont intéressées par nos services, y compris par notre site Web, ou qui utilisent nos services, y compris notre site Web, pour lesquelles nous transférons des informations correspondantes, également à caractère personnel, à Google (reciblage). Des cookies sont également utilisés. Google utilise pour Google Ads différents noms de domaine, notamment doublelick.net, googleadservices.com et googlesyndication.com. Nous utilisons également Google Tag Manager pour intégrer et gérer Google Ads et d’autres services de Google et de tiers sur notre site Web. Google traite les informations transférées et les autres données relatives à Google Ads de manière pseudonyme. C’est-à-dire que du point de vue de Google, les profils pseudonymes et non les profils des personnes individuelles réellement identifiées sont gérés, à moins que la personne correspondante ait autorisé Google à procéder au traitement sans pseudonymisation.

Vous pouvez vous opposer à la publicité ciblée par centres d’intérêt de Google en utilisant les options de paramétrage correspondantes de Google.

Google Ads est un service de la société américaine Google LLC. La société irlandaise Google Ireland Limited est responsable des utilisateurs de l'Espace économique européen (EEE) et de la Suisse. Google est soumis au bouclier de protection des données (Privacy Shield) EU-américain et suisse-américain par lequel Google s’engage à garantir une protection des données suffisante. Google a notamment publié les informations suivantes sur la nature, la portée et les finalités du traitement des données en relation avec Google Ads : protection des données et annonces personnalisées, déclaration relative à la protection des données et conditions d’utilisation, inscription dans la liste du bouclier de protection des données (Privacy Shield).

8.3.    Nous utilisons Google Analytics pour analyser l’utilisation de notre offre, tout en rendant les adresses IP collectées anonymes avant l’analyse. Google Analytics utilise également des cookies.

Google Analytics est un service de la société américaine Google LLC. La société irlandaise Google Ireland Limited est responsable des utilisateurs de l'Espace économique européen (EEE) et de la Suisse. Nous avons besoin de ce service pour proposer notre offre, y compris notre site Web, de manière efficace et conviviale, ainsi que de manière permanente, sécurisée et fiable, en particulier en analysant l’utilisation et en mesurant la performance et la portée à des fins de dépannage et d’amélioration. Nous pouvons également déterminer si notre publicité sur Internet a du succès et entraîne des consultations correspondantes de notre site Web (traçage de conversion). Des cookies sont également utilisés. Vous pouvez vous opposer au relevé statistique de Google Analytics avec un cookie « opt-out » ou avec le « Browser Add-on pour désactiver Google Analytics ».

Google est soumis au bouclier de protection des données (Privacy Shield) EU-américain et suisse-américain par lequel Google s’engage à garantir une protection des données suffisante. Google a notamment publié les informations suivantes sur la nature, la portée et les finalités du traitement des données en relation avec Google Analytics : conditions de Google Analytics , déclaration relative à la protection des données et conditions d’utilisation, inscription dans la liste du bouclier de protection des données (Privacy Shield).

8.4    Nous utilisons Google Fonts pour intégrer les polices sélectionnées dans notre site Web. Google Fonts est un service de la société américaine Google LLC. La société irlandaise Google Ireland Limited est responsable des utilisateurs de l'Espace économique européen (EEE) et de la Suisse. Google est soumis au bouclier de protection des données (Privacy Shield) EU-américain et suisse-américain par lequel Google s’engage à garantir une protection des données suffisante. Google a notamment publié les informations suivantes sur la nature, la portée et les finalités du traitement des données en relation avec Google Fonts : protection des données chez Google Fonts, déclaration relative à la protection des données et conditions d’utilisation, inscription dans la liste du bouclier de protection des données (Privacy Shield).

8.5.    Nous utilisons Google Maps pour intégrer des cartes dans notre site Web. Google Maps est un service de la société américaine Google LLC. La société irlandaise Google Ireland Limited est responsable des utilisateurs de l'Espace économique européen (EEE) et de la Suisse. Google est soumis au bouclier de protection des données (Privacy Shield) EU-américain et suisse-américain par lequel Google s’engage à garantir une protection des données suffisante. Google a notamment publié les informations suivantes sur la nature, la portée et les finalités du traitement des données en relation avec Google Maps : protection des données dans le cas des produits Google, y compris Google Maps, déclaration relative à la protection des données et conditions d’utilisation, inscription sur la liste du bouclier de protection des données (Privacy Shield).