Passer au contenu principal

Politique de confidentialité

Le responsable du traitement présente ci-dessous la politique d’information conformément aux art. 12, 13 et, le cas échéant, 14 du RGPD relative au traitement des données personnelles fournies par le Client/la personne concernée par la conclusion et la signature du Contrat pour l’achat des produits/services proposés à la vente par le responsable du traitement lui-même, en téléchargeant spontanément sur ce site web des données personnelles (en particulier par le biais de la compilation de formulaires) ou simplement en le naviguant.

1. Responsable du traitement et coordonnées

Le responsable du traitement est V.I.T.A. S.P.A., dont le siège social est situé à Arnad (AO), Via Nazionale 10 – 11020, N° TVA 00035670074, tél. +39 0125966546, e-mail massimoprola@vitagroup.it, web www.vitagroup.it.

2. Principes applicables au traitement

Conformément aux exigences du RGPD, le responsable du traitement s’efforce constamment de veiller à ce que les données personnelles soient :

  • traitées de manière licite, équitable et transparente ;
  • collectées pour des finalités déterminées, explicites et légitimes, et traitées ultérieurement d’une manière qui ne soit pas incompatible avec ces finalités ;
  • adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées ;
  • exactes et, si nécessaire, tenues à jour ;
  • conservées pour une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ;
  • traitées, au moyen de mesures techniques et organisationnelles appropriées, d’une manière garantissant leur sécurité ;
  • traitées, lorsque cela est fondé sur le consentement, par une décision librement prise par le Client/la personne concernée, sur la base d’une demande présentée de manière clairement distincte des autres sujets, sous une forme compréhensible et aisément accessible, en utilisant un langage simple et clair.

Le responsable du traitement adopte des mesures techniques et organisationnelles appropriées afin d’assurer la protection des données dès la conception et de garantir que, par défaut, seules les données personnelles nécessaires à chaque finalité spécifique du traitement sont traitées.

Le responsable du traitement recueille et prend en considération les indications, observations et avis du Client/de la personne concernée transmis aux coordonnées indiquées ci-dessus, afin de mettre en œuvre un système dynamique de gestion de la vie privée assurant une protection effective des personnes en ce qui concerne le traitement de leurs données.

La présente politique peut faire l’objet de modifications, en cohérence avec l’évolution de la réglementation de référence et des mesures techniques et organisationnelles progressivement adoptées par le responsable du traitement ; le Client/la personne concernée est donc prié de visiter périodiquement cette section du site afin de prendre connaissance des mises à jour et de la politique dans sa version en vigueur.

3. Modalités de traitement des données personnelles

Le traitement des données personnelles est effectué manuellement et avec des outils électroniques, selon des logiques strictement liées aux finalités indiquées ci-dessous et, en tout cas, de manière à garantir la sécurité et la confidentialité des données elles-mêmes.

4. Finalités du traitement des données personnelles

4a. Finalités pour lesquelles le traitement est nécessaire

Les données personnelles fournies par le Client/la personne concernée sont principalement traitées pour l’exécution du Contrat et la gestion du crédit et, plus généralement, de la relation née du Contrat lui-même.

La fourniture de données dans le Contrat ou ultérieurement, au cours de la relation contractuelle, pour les finalités de traitement en question est obligatoire ; par conséquent, la fourniture manquante, partielle ou inexacte de ces données rend impossible la conclusion et/ou l’exécution du Contrat et, pour le Client/la personne concernée, l’utilisation des produits/services offerts par le responsable du traitement, exposant potentiellement le Client/la personne concernée à une responsabilité pour inexécution contractuelle.

Les données personnelles fournies par le Client/la personne concernée peuvent également faire l’objet d’un traitement si cela est nécessaire pour se conformer à une obligation légale à laquelle est soumis le responsable du traitement, pour la protection des intérêts vitaux du Client/de la personne concernée ou d’une autre personne physique, pour l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement, ou pour la réalisation des intérêts légitimes poursuivis par le responsable du traitement lui-même ou par des tiers, à condition que ces intérêts ne prévalent pas sur les intérêts ou les droits et libertés fondamentaux du Client/de la personne concernée ; dans ces cas également, la fourniture de données est obligatoire et, par conséquent, la communication manquante, partielle ou inexacte des données peut exposer le Client/la personne concernée à d’éventuelles responsabilités et sanctions prévues par l’ordre juridique.

4b. Finalités supplémentaires du traitement sur la base du consentement spécifique et exprès du Client/de la personne concernée

Outre les finalités de traitement mentionnées ci-dessus, les données personnelles fournies/acquises peuvent être traitées, sous réserve du consentement du Client/de la personne concernée, à exprimer en cochant la case « Donne son consentement » sur le Contrat ou sur le site (ou en utilisant d’autres applications sociales ou web du responsable du traitement), également pour la conduite d’études de marché et pour l’envoi de communications commerciales et promotionnelles, par téléphone (y compris en utilisant le numéro de téléphone portable fourni) et systèmes de contact automatisés (e-mail, sms, mms, fax, etc.), sur des produits/services du responsable du traitement ou de sociétés du Groupe auquel le responsable du traitement appartient éventuellement.

Le consentement pour les finalités de traitement visées au présent point (4b) est facultatif ; par conséquent, suite à un éventuel refus, les données seront traitées uniquement pour les finalités indiquées au point précédent (4a), sous réserve de ce qui est précisé ci-dessous en ce qui concerne les intérêts légitimes du responsable du traitement ou de tiers.

5. Catégories de données personnelles traitées

Le responsable du traitement traite principalement des données d’identification/de contact (prénom, nom, adresses, type et numéro de documents d’identité, numéros de téléphone, adresses e-mail, de nature fiscale/de facturation, entre autres) et, lorsque des transactions commerciales sont prévues, des données financières (de nature bancaire, en particulier des identifiants de comptes courants, des numéros de cartes de crédit, entre autres liés auxdites transactions commerciales).

Le traitement effectué par le responsable du traitement, tant pour l’exécution du Contrat qu’en vertu du consentement exprès du Client/de la personne concernée, ne concerne généralement pas des catégories particulières de données personnelles, dites sensibles (qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses, l’état de santé ou l’orientation sexuelle, etc.), ni des données génétiques et biométriques ou des données dites judiciaires (relatives aux condamnations pénales et aux infractions).

Toutefois, il ne peut être exclu que le responsable du traitement, afin d’exécuter les obligations découlant du Contrat, doive conserver et/ou ait la nécessité de traiter des données sensibles, génétiques et biométriques ou judiciaires du Client/de la personne concernée ou de tiers, dont le Client/la personne concernée dispose en qualité de responsable du traitement ; dans ce cas, le traitement effectué par le responsable du traitement intervient en vertu de, aux conditions et dans les limites de, la désignation du même responsable du traitement en tant que sous-traitant, par le Client/la personne concernée.

Le responsable du traitement traite, en qualité de responsable du traitement en ce qui concerne le site, et, potentiellement, en tant que sous-traitant désigné à cet effet (dans les termes indiqués ci-dessus) par le Client/la personne concernée, également les données dites de navigation. Les systèmes informatiques et les procédures logicielles chargés du fonctionnement des sites internet acquièrent, au cours de leur fonctionnement normal, certaines données personnelles dont la transmission est implicite dans l’utilisation des protocoles de communication internet. Il s’agit d’informations qui ne sont pas collectées pour être associées à des sujets identifiés, mais qui, par leur nature même, pourraient permettre d’identifier la personne concernée. Cette catégorie d’informations comprend des données de géolocalisation, des adresses IP, le type de navigateur, le système d’exploitation, le nom de domaine et les adresses de sites web depuis lesquels l’accès a été effectué ou la sortie prise, des informations sur les pages visitées par les utilisateurs à l’intérieur du site, l’heure d’accès, le temps passé sur chaque page, l’analyse du parcours interne et d’autres paramètres relatifs au système d’exploitation et à l’environnement informatique de l’utilisateur. Il s’agit donc d’informations qui, par leur nature même, permettent, par des traitements et des associations également avec des données détenues par des tiers, d’identifier les utilisateurs.

Sur le site, il peut également être fait usage de cookies, tant de session (qui ne sont pas mémorisés sur l’ordinateur de la personne concernée et disparaissent à la fermeture du navigateur) que persistants, pour la transmission d’informations à caractère personnel, ou en tout cas de systèmes de traçage des personnes concernées.

6. Source des données personnelles

Les données personnelles que le responsable du traitement traite sont collectées directement par le responsable du traitement lui-même auprès du Client/de la personne concernée au moment de, et pendant, sa navigation sur le site (ou en utilisant d’autres applications sociales ou web du responsable du traitement), ou, également par l’intermédiaire de ses propres commerciaux, à l’occasion de, ou postérieurement à, la signature du Contrat, lors de l’exécution de celui-ci, ou à partir de sources publiques.

Comme précisé ci-dessus, le responsable du traitement, en tant que sous-traitant désigné à cet effet, afin d’exécuter les obligations découlant du Contrat, peut conserver et/ou traiter des données, en particulier de navigation, potentiellement également sensibles, génétiques et biométriques ou judiciaires, de tiers, dont le Client/la personne concernée dispose en qualité de responsable du traitement, acquises, avec le consentement préalable desdits tiers, au moment de, et pendant, leur navigation sur le site (ou en utilisant d’autres applications sociales ou web attributables au responsable du traitement).

7. Intérêts légitimes

Les intérêts légitimes du responsable du traitement ou de tiers peuvent constituer une base juridique valide pour le traitement, à condition que ces intérêts ne prévalent pas sur les intérêts ou les droits et libertés fondamentaux de la personne concernée. En général, de tels intérêts légitimes peuvent exister lorsqu’il existe une relation pertinente et appropriée entre le responsable du traitement et la personne concernée, par exemple lorsque la personne concernée est un client du responsable du traitement. Constitue en particulier un intérêt légitime du responsable du traitement de traiter des données personnelles du Client/de la personne concernée : à des fins de prévention des fraudes, à des fins de marketing direct, pour assurer la libre circulation des mêmes données au sein du Groupe d’entreprises auquel le responsable du traitement appartient éventuellement, ou relatives au trafic, afin de garantir la sécurité des réseaux et de l’information, à savoir la capacité d’un réseau ou d’un système à résister à des événements imprévus ou à des actes illicites susceptibles de compromettre la disponibilité, l’authenticité, l’intégrité et la confidentialité des données.

8. Circulation des données personnelles

8a. Communication des données personnelles – catégories de destinataires

Outre le traitement effectué par les employés et collaborateurs à divers titres du responsable du traitement (qui sont autorisés au traitement par le responsable du traitement lui-même en vertu d’instructions opérationnelles écrites adéquates, afin de pouvoir garantir la confidentialité et la sécurité des données), certaines opérations de traitement peuvent également être effectuées par des tiers, auxquels le responsable du traitement confie certaines activités, ou une partie de celles-ci, fonctionnelles aux finalités visées au point (4a), tant en exécution d’obligations contractuelles que légales, parmi lesquels méritent mention, à titre inévitablement non exhaustif : partenaires commerciaux et/ou techniques ; sociétés prestataires de services bancaires et financiers ; sociétés prestataires de services d’archivage de documents ; sociétés de recouvrement de créances ; sociétés d’audit comptable et de certification des bilans ; sociétés de notation ; sujets qui exercent, au profit du responsable du traitement, des activités d’assistance et de conseil professionnel ; sociétés qui effectuent des activités de service client ; sociétés de factoring, de titrisation des créances ou autrement cessionnaires des créances ; sociétés du Groupe auquel le responsable du traitement appartient éventuellement ; sujets qui fournissent des informations commerciales ; sociétés de services informatiques.

Les sujets appartenant aux catégories susmentionnées traitent les données personnelles elles-mêmes en qualité de responsables autonomes du traitement, ou en qualité de sous-traitants, en ce qui concerne des opérations de traitement spécifiques qui relèvent des prestations contractuelles que les sujets eux-mêmes exécutent au profit/dans l’intérêt du responsable du traitement ; aux sous-traitants le responsable du traitement donne des instructions opérationnelles écrites adéquates, en particulier en ce qui concerne l’adoption des mesures de sécurité minimales, afin de pouvoir garantir la confidentialité et la sécurité des données.

Certaines opérations de traitement peuvent être effectuées par des tiers, auxquels le responsable du traitement confie certaines activités, ou une partie de celles-ci, également fonctionnellement liées aux finalités visées au point (4b), parmi lesquels méritent mention, à titre inévitablement non exhaustif : partenaires commerciaux et/ou techniques ; sociétés qui prestent institutionnellement des services de marketing ; agences publicitaires ; sujets qui prestent des activités d’assistance et de conseil en ce qui concerne des concours et des opérations à prime. Les sujets appartenant aux catégories susmentionnées traitent les données personnelles en qualité de responsables autonomes du traitement, ou en qualité de sous-traitants, en ce qui concerne des opérations de traitement spécifiques qui relèvent des prestations contractuelles que les sujets eux-mêmes exécutent au profit/dans l’intérêt du responsable du traitement ; aux sous-traitants le responsable du traitement donne des instructions opérationnelles écrites adéquates, en particulier en ce qui concerne l’adoption des mesures de sécurité minimales, afin de pouvoir garantir la confidentialité et la sécurité des données.

La liste, sujette à mise à jour périodique, des sous-traitants avec lesquels le responsable du traitement entretient des relations est disponible, sur demande écrite à envoyer au siège social du responsable du traitement.

Les données personnelles peuvent également être communiquées, en cas de demande, aux autorités compétentes, en exécution d’obligations découlant de dispositions légales impératives.

8b. Transfert des données personnelles vers des pays tiers

Les données personnelles du Client/de la personne concernée peuvent également être transférées à l’étranger, tant dans des pays de l’Union Européenne que dans des pays en dehors de l’Union Européenne et, dans ce dernier cas, soit sur la base d’une décision d’adéquation, soit dans le cadre des garanties appropriées prévues par le RGPD (ainsi, en particulier, en présence de clauses contractuelles types de protection des données approuvées par la Commission Européenne), soit, en dehors des hypothèses rappelées ci-dessus, lorsqu’une ou plusieurs des dérogations prévues par le RGPD s’appliquent (en particulier, en vertu du consentement explicite du Client/de la personne concernée, ou pour l’exécution du Contrat conclu par le Client/la personne concernée, ou pour l’exécution d’un contrat conclu entre le responsable du traitement et une autre personne physique ou morale au profit du Client/de la personne concernée, notamment pour l’exécution des activités qui lui sont déléguées par le responsable du traitement lui-même pour l’exécution du Contrat conclu avec le Client/la personne concernée).

Pour l’hypothèse de transferts de données vers des pays en dehors de l’Union Européenne, le Client/la personne concernée est autorisé, sur demande écrite à envoyer au siège social du responsable du traitement, à connaître les garanties appropriées, ou les dérogations, qui légitiment le traitement transfrontalier. Il est entendu que, en cas de transfert de données vers des pays en dehors de l’Union Européenne, pour toute demande relative aux données, également pour l’exercice des droits reconnus par le RGPD au Client/à la personne concernée, celui-ci pourra toujours valablement s’adresser au responsable du traitement.

9. Critères pour déterminer la période de conservation des données personnelles

Pour les finalités visées au point (4a) qui précède, la période de conservation des données personnelles fournies par le Client/la personne concernée, et le traitement potentiel consécutif de celles-ci, coïncide avec la période de prescription des droits/devoirs (légaux, fiscaux, etc.) découlant du Contrat : tendanciellement 10 ans, donc, sauf survenance d’événements interruptifs de la prescription qui pourraient prolonger, en fait, ladite période.

Pour les finalités visées au point (4b) qui précède, la période de conservation des données fournies par le Client/la personne concernée, et le traitement potentiel consécutif de celles-ci, prend fin avec la révocation du consentement préalablement donné par le Client/la personne concernée lui-même ou, à défaut, en tout cas après un an à compter de la cessation de toute relation entre le responsable du traitement et le Client/la personne concernée.

10. Droits du Client/de la personne concernée

Le responsable du traitement reconnaît – et facilite l’exercice, par le Client/la personne concernée, de – tous les droits prévus par le RGPD, en particulier :

  • le droit de demander l’accès à ses données personnelles et d’en obtenir une copie (art. 15 RGPD) ;
  • le droit à la rectification (art. 16 RGPD) et à l’effacement des données (art. 17 RGPD) ;
  • le droit à la limitation du traitement (art. 18 RGPD) ;
  • le droit à la portabilité des données (art. 20 RGPD, lorsque les conditions sont réunies) ;
  • le droit de s’opposer au traitement (art. 21 et 22 RGPD), en particulier au traitement à des fins de marketing ou qui se traduit par un processus décisionnel automatisé, y compris le profilage, produisant des effets juridiques le concernant, lorsque les conditions sont réunies.

Le responsable du traitement reconnaît également au Client/à la personne concernée, lorsque le traitement est fondé sur le consentement, le droit de retirer ledit consentement à tout moment, sans porter atteinte à la licéité du traitement fondé sur le consentement donné avant son retrait. Pour ce faire, le Client/la personne concernée peut se désabonner à tout moment sur le site (ou sur d’autres applications sociales ou web du responsable du traitement) ou en utilisant le lien approprié figurant au bas de chaque communication commerciale reçue, ou en contactant le responsable du traitement aux coordonnées indiquées ci-dessus.

Le responsable du traitement informe également le Client/la personne concernée du droit d’introduire une réclamation auprès de l’Autorité Garante pour la Protection des Données Personnelles (Garante per la Protezione dei Dati Personali), en tant qu’autorité de contrôle opérant en Italie, et d’exercer un recours juridictionnel, tant contre une décision de l’Autorité Garante que contre le responsable du traitement lui-même et/ou un sous-traitant.

11. Sécurité des systèmes et des données personnelles

Compte tenu de l’état de l’art et des coûts de mise en œuvre, ainsi que de la nature, de la portée, du contexte et des finalités du traitement, ainsi que du risque, en termes de probabilité et de gravité, pour les droits et libertés des personnes physiques, le responsable du traitement adopte des mesures techniques et organisationnelles jugées appropriées pour garantir un niveau de sécurité adapté au risque, en assurant notamment, de manière permanente, la confidentialité, l’intégrité, la disponibilité et la résilience des systèmes et services de traitement (également par le biais du chiffrement des données personnelles, si nécessaire) et la capacité de rétablir en temps utile la disponibilité des données en cas d’incident physique ou technique, et en adoptant des procédures internes visant à tester, vérifier et évaluer régulièrement l’efficacité des mesures techniques et organisationnelles employées.

Dans l’évaluation du niveau de sécurité approprié, il est tenu compte des risques présentés par le traitement qui découlent, en particulier, de la destruction, de la perte, de la modification, de la divulgation non autorisée ou de l’accès, de manière accidentelle ou illicite, à des données personnelles transmises, conservées ou autrement traitées.

Le responsable du traitement s’efforce de veiller à ce que toute personne agissant sous son autorité et ayant accès à des données personnelles ne traite pas ces données si elle n’en est pas instruite par le responsable du traitement lui-même.

Cela étant dit, le Client/la personne concernée prend acte et accepte qu’aucun système de sécurité ne garantit, en termes de certitude, une protection absolue ; par conséquent, le responsable du traitement n’est pas responsable des actes ou des faits de tiers qui, abusivement, malgré les précautions adéquates adoptées, accèderaient aux systèmes sans les autorisations requises.

12. Processus décisionnels automatisés, y compris le profilage

Le responsable du traitement peut effectuer des traitements automatisés, y compris le profilage, en relation avec les finalités visées au point (4b) qui précède, pour optimiser la navigabilité du site (ou la convivialité d’autres applications sociales ou web du responsable du traitement) et pour améliorer l’expérience d’achat, sous réserve de ce qui est précisé ci-dessus en ce qui concerne les droits d’opposition et de retrait du consentement du Client/de la personne concernée.

Par profilage, on entend toute forme de traitement automatisé de données personnelles consistant à utiliser ces données personnelles pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prévoir des aspects concernant, par exemple, les préférences personnelles, les intérêts ou la localisation de ladite personne, également dans le but de créer des profils, ou des groupes homogènes de sujets par caractéristiques, intérêts ou comportements.

Le responsable du traitement n’effectue aucun traitement automatisé qui produise des effets juridiques concernant le Client/la personne concernée ou qui l’affecte de manière similaire de façon significative, sauf si cela est nécessaire à la conclusion ou à l’exécution du Contrat, est autorisé par la loi ou est fondé sur le consentement explicite du Client/de la personne concernée, en tout cas en reconnaissant toujours à ce dernier le droit d’obtenir une intervention humaine, d’exprimer son point de vue et de contester la décision.