Déclaration de confidentialité

Nous vous remercions de l'intérêt que vous portez à notre site Internet. Vous trouverez ci-dessous des informations détaillées sur le traitement de vos données.

Activités de traitement

  1. Mise à disposition en ligne d’informations sur l’entreprise du responsable et sur ses produits aux personnes intéressées et clients1 (actuellement consultables sur www.woombikes.com ainsi que sur les réseaux sociaux du responsable)
  2. Exploitation d’une boutique en ligne
  3. Exploitation d’un club de clients
  4. Gestion de contrats de garantie avec les clients

Responsable

woom GmbH
Inkustraße 1-7, Halle Nr. 14, Top 5, 3400 Klosterneuburg
Télephone : +43 2243 23923
E-mail : woom@woombikes.com

Coordinatrice de la protection des données

Kristin Thomseth
privacy@woombikes.com

Finalités du traitement des données

de l’exécution ou de la préparation du contrat :

  1. Possibilité de consultation en ligne d’informations et de publicités sur l’entreprise du responsable ainsi que ses marchandises et services (« produits »)
  2. Possibilité de consultation de la boutique en ligne pour l’acquisition de produits
  3. Exploitation du programme de fidélisation des clients « upCycling »
  4. Exploitation du programme de fidélisation des clients « woom Club »
  5. Augmentation de la fidélisation des clients par l’organisation de jeux-concours, d’événements et d’enquêtes auprès des clients
  6. Gestion des relations contractuelles avec le client issues des contrats de garantie, gestion des cas de garantie
  7. Fourniture de canaux de communication pour la diffusion des contenus et l’entretien de la relation client

de l’intérêt (supérieur) légitime :

  1. Diffusion/lecture d’informations (également publicitaires) pour les services et manifestations par la voie de la publicité directe (« aux fins de commercialisation ») dans la mesure où la loi l’autorise
  2. Préservation et augmentation de la satisfaction des clients et de la fidélisation des clients par l’analyse du comportement des utilisateurs, avec pour objectif l’amélioration de l’offre de services, ceci avec l’utilisation de Google Analytics et Google Data Studio
  3. Fourniture aux clients de lettres d’information (également publicitaires) sur la base légale du § 107 alinéa 3 de la loi autrichienne sur les télécommunications (TKG) avec possibilité de renonciation à tout moment
  4. Transmission de données d’identification électroniques de l’utilisateur à des fournisseurs tiers, pour l’intégration de contenus sur les réseaux sociaux via les contributions (par ex. YouTube) et autres applications (par ex. Google Maps).
  5. Transmission de données d’identification électroniques de l’utilisateur via le pixel Facebook à Facebook Ireland Ltd., 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, également aux fins de reciblage publicitaire
  6. Transmission de données d’identification électroniques de l’utilisateur à Microsoft Corporation, One Microsoft Way, Redmond, WA 98052-6399, États-Unis, également aux fins de reciblage publicitaire
  7. Transmission de données d’identification électroniques de l’utilisateur à Google LLC, 1600 Amphitheatre Parkway Mountain View, CA 94043, États-Unis, également aux fins de reciblage publicitaire
  8. Transmission de données d’identification électroniques de l’utilisateur à « Instagram », exploitant : Facebook Ireland Ltd., 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, également aux fins de reciblage publicitaire

du consentement :

  1. Fourniture aux clients de lettres d’information (également publicitaires) sur la base d’un consentement avec possibilité de renonciation à tout moment

Base juridique du traitement des données

Exécution du contrat

  1. Possibilité de consultation en ligne : Le recours aux services en ligne du responsable repose sur un contrat au sens de l’art. 6 alinéa 1 lit b RGPD2, un rapport d’enregistrement étant créé par un enregistrement.
  2. Conclusion de contrats de vente :  En cas d’acquisition de produits du responsable, le traitement des données repose sur la base juridique du contrat de vente.
  3. Exploitation de programmes de fidélisation des clients : En cas d’adhésion au service « upCycling » ou au « woom Club », le traitement des données repose sur la base juridique du contrat de prestation de services.
  4. Conclusion de contrats de garantie : Les produits du responsable sont en partie livrés avec des garanties du fabricant. Lors de l’enregistrement du contrat de garantie ou de la mise en œuvre d’une garantie, le traitement des données repose sur le contrat de garantie.

Services complémentaires : Consentement.

Pour les différents services (par ex. lettre d’information), le responsable recueille expressément les consentements du client. Ce consentement peut être révoqué à tout moment avec effet pour le futur.

Intérêts supérieurs légitimes (voir ci-dessous)

Description des intérêts (principalement) légitimes aux fins de la sécurité informatique :

Le responsable enregistre les adresses IP des simples visiteurs du site Internet pour une durée de 7 jours afin de pouvoir se protéger contre les attaques ciblées sous forme de surcharge des serveurs (attaques de type « Denial of service ») et autres dommages aux systèmes. Le responsable a un intérêt supérieur légitime à ce traitement des données aux fins du maintien de la capacité fonctionnelle de ses services mis à disposition en ligne (considérant 49 du RGPD).

Description des intérêts (principalement) légitimes aux fins de la diffusion des informations / de la publicité directe3  :

Le responsable traite les données des clients (cependant pas celles d’enfants ou de catégories spécifiques de données à caractère personnel au sens de l’article 9 RGPD4 (« données sensibles » )) également, en vue de les utiliser aux fins de la publicité directe pour des offres (complémentaires) du responsable. Le responsable a un intérêt légitime au traitement des données à caractère personnel aux fins de la publicité directe (considérant 47, dernière phrase du RGPD). L’objectif prioritaire du traitement des données est l’acquisition de clients. À cet égard, le responsable s’appuie sur sa liberté de travail protégée par la convention et la constitution (art. 6 de la loi fondamentale d’État autrichien, StGG) et sur la liberté de communication (notamment l’art. 10 CEDH, qui protège également les mesures publicitaires) et sur les droits

  1. de transmission de publicité par voie postale
  2. de transmission de courriers électroniques après consentement et conformément au § 107 alinéa 3 de la loi autrichienne sur les télécommunications (TKG).

Lors de l’utilisation de ces données, le responsable respecte les prescriptions de la réglementation en matière de communication, notamment le § 107 de la loi autrichienne sur les télécommunications (TKG).

Description des intérêts (principalement) légitimes aux fins du reciblage publicitaire :

Facebook, Google et Microsoft utilisent les « pixels » définis par le responsable dans ses services pour installer des cookies sur l’appareil de l’utilisateur et lire les cookies existants et autres identifiants afin d’enrichir le profil créé associé à l’identifiant ou à l’utilisateur. Le responsable n’a aucun accès à ces données recueillies par Facebook, Google et Microsoft, mais les utilise pour la diffusion de publicités destinées au groupe cible des intéressés par les produits du responsable.

Changement de finalité

Publicité : Le responsable informe que les données à caractère personnel du client sont également traitées à des fins de diffusion des informations/publicité directe ainsi qu’à des fins de reciblage publicitaire. Le responsable veut ainsi fournir des informations sur ses propres produits et en faire la promotion. Il n’y a pas d’incompatibilité avec la finalité de la collecte originale des données. Le client a la faculté de faire opposition à l’utilisation de ses données à caractère personnel aux fins de publicité directe à tout moment et sans indication de motifs.

Évaluations d’aspects personnels du client (« Profilage »)

Une évaluation d’aspects personnels du client n’a pas lieu.

Obligation de fourniture de données

Lors de l’utilisation des services, le client n’a aucune obligation de fourniture de données. Lors du processus d’achat, il convient de remplir les champs nécessaires pour le processus d’achat de manière véridique.

Prise de décision automatisée

Le client n’est soumis à aucune prise de décision automatisée ayant des effets juridiques à son égard. 

Types de données traitées

communiquées par le client

  • Nom(s)/Société
  • Adresse e-mail
  • Adresse
  • Date de naissance
  • Données bancaires, de paiement et relatives aux cartes de crédit
  • Numéro de téléphone et de fax
  • Mot de passe (crypté)
  • Numéro UID
  • Nom d’utilisateur
  • Données de commande
  • Remboursements
  • Retours de marchandises
  • Liste de favoris
  • Contenus de messages ou d’évaluations du client
  • Informations relatives à l’enfant : prénom/nom, date de naissance, sexe
  • Numéro du cadre
  • Informations sur le vendeur
  • Indications personnelles sur l’utilisation du vélo

collectées en complément par le responsable

  • Adresses IP (fichiers log)
  • User-ID, Push-ID, Device-ID
  • Navigateur utilisé
  • Appareil utilisé
  • Protocole de communication
  • Informations sur l’utilisation du compte (par ex. date de création, nombre de connexions, date de la dernière requête)
  • Informations concernant les produits achetés
  • Données comportementales de l’utilisateur (View, Fav, Rate, Add to Cart, Buy)

Sources de données (dans la mesure où celles-ci ne sont pas communiquées par le client ou collectées par le responsable)

Source Types de données
Envoi d’e-mails  : « Mailchimp » : The Rocket Science Group, LLC, 675 Ponce de Leon Ave NE, Suite 5000, Atlanta, GA 30308 États-Unis https://mailchimp.com/legal/privacy/ Localisation IP, client e-mail favori, source de la connexion, détails de la campagne (réception, ouverture, clic)
Enquêtes clients  : SurveyMonkey Europe UC, 2nd Floor, Shelbbourne Building, 2 Shelbourne Road, Dublin, Irlande. https://fr.surveymonkey.com/mp/legal/privacy-policy/ Informations issues des enquêtes

Destinataires externes de données

Intégration de services de fournisseurs tiers à la plate-forme : transmission de données d’identification électroniques, notamment de l’adresse IP :

Sous-traitants en charge du traitement des données relatives aux commandes

  • Gestion informatique : WT-IO-IT GmbH, Mooslackengasse 17, 1190 Vienne, Autriche
  • Gestion informatique : Dieter Weitz, Hermannstraße 14, 3400 Klosterneuburg, Autriche
  • CRM : HubSpot Ireland Limited, One Dockland Central, Guild Street, Dublin 1, Irlande, https://www.hubspot.com/
  • Hébergeur : Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Allemagne
  • Hébergeur : Amazon Web Services EMEA SARL 38, avenue John F. Kennedy, L-1855, Luxembourg
  • Google Analytics (avec « anonymize IP ») : Google LLC, 1600 Amphitheatre Parkway Mountain View, CA 94043, États-Unis, https://safety.google/privacy/
  • Campagnes e-mailing « Mailchimp » : The Rocket Science Group, LLC, 675 Ponce de Leon Ave NE, Suite 5000, Atlanta, GA 30308 États-Unis, https://mailchimp.com/legal/privacy/
  • Gestion des données : Qlik, Qlik Technologies Inc., 211 South Gulph Road, Suite 500, King of Prussia, PA 19406 États-Unis, https://www.qlik.com/fr-fr/legal/privacy-shield-policy
  • Génération de code QR : qr1°at, Propriétaire : Peter Hlavac, Deublergasse 37, 1210 Vienne, Autriche, https://qr1.at/dsgvo
  • Programme d’affiliation : Online United GmbH, Bauhofstraße 4, 90571 Schwaig bei Nürnberg, Allemagne, http://www.online-united.de/datenschutz/
  • Trusted Shops : Trusted Shops GmbH, Subbelrather Straße 15c, 50823 Cologne, Allemagne  https://www.trustedshops.fr/empreinte/
  • Enquêtes clients : SurveyMonkey Europe UC, 2nd Floor, Shelbourne Building, 2 Shelbourne Road, Dublin, Irlande. https://fr.surveymonkey.com/mp/legal/privacy-policy/

Le responsable se réserve expressément le droit de recourir à des sous-traitants supplémentaires pour le traitement des données des commandes. Ces derniers sont ensuite mentionnés sur la mise à jour de la déclaration de confidentialité suivant le début de leur intervention. Ces traitements de données par les sous-traitants chargés du traitement des données des commandes s’effectuent sous la responsabilité du responsable.

Destinataires internes

  • Administrateur système
  • Service compétent
  • Directeurs géneraux

Transfert à des États tiers

Les données suivantes sont transmises à des États en dehors de l’UE dans le cadre du traitement des données :

Pays Application Types de données
États-Unis Google (bouclier de protection des données UE – États-Unis) Adresse IP, titre du site Internet, informations spécifiques au navigateur, informations sur l’utilisation du site Internet
États-Unis Mailchimp (Bouclier de protection des données UE – États-Unis) Adresse e-mail, nom
États-Unis Hubspot (Bouclier de protection des données UE – États-Unis) Données des clients, données contractuelles

Présence sur les réseaux sociaux

Le responsable informe qu’il met à disposition des présentations en ligne indépendantes sur les réseaux sociaux à des fins de publicité et de communication avec les clients. En ce qui concerne ces présentations en ligne, les données du client peuvent être traitées en dehors de l’Union européenne, ce qui représente un risque accru de violation de la protection des données. Les exploitants des réseaux sociaux se sont, dans la mesure où ils possèdent leur siège aux États-Unis, pour la plupart soumis au bouclier de protection des données UE – États-Unis.
Ces présentations en ligne sont mises à disposition dans l’environnement technique respectif de l’exploitant du réseau social. Les exploitants des réseaux sociaux utilisent ensuite la visite du site Internet par les clients pour leurs propre compte, notamment pour diffuser de la publicité (basée sur les centres d’intérêt). Les exploitants des réseaux sociaux utilisent la visite pour installer des « cookies » sur le terminal du client, lire les cookies et identifiants déjà présents, déduire les centres d’intérêt du client à partir du comportement d’utilisateur et ainsi enrichir le profil d’utilisation créé et associé au client ou à l’identifiant. L’objectif est la diffusion au client de publicité basée sur les centres d’intérêt, qui peut également intervenir sur des sites Internet de fournisseurs tiers consultés ultérieurement.
Le traitement des données à caractère personnel du client s’effectue en vertu de l’intérêt supérieur légitime du responsable en matière de mesures publicitaires et de la communication au client qui, en vertu de la liberté de travail (art. 6 de la loi fondamentale d’État autrichien, StGG) et de la liberté de communication (notamment l'art. 10 CEDH, qui protège également les mesures publicitaires), bénéficie de garanties conventionnelles et constitutionnelles. Lorsque les clients sont utilisateurs des réseaux sociaux, le traitement des données peut également être couvert par le consentement du client.
Le responsable informe qu’il ne dispose d’aucun accès aux données du client. Le responsable recommande par conséquent au client, au cas où il souhaite faire valoir ses droits en matière de renseignements, de rectification, de suppression, de restriction, d’opposition et de cessibilité des données, de s’adresser directement au réseau social respectif. Les utilisateurs des réseaux sociaux peuvent également procéder eux-mêmes à des modifications concernant leurs paramètres de protection des données. Le responsable soutient le client à cet effet le cas échéant.
Le client trouvera des informations complémentaires sur :
Facebook(Facebook Ireland Ltd., 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irlande)
Déclaration de confidentialité : https://www.facebook.com/about/privacy/
Renonciation :  https://www.facebook.com/settings?tab=ads et http://www.youronlinechoices.com
Instagram (Instagram Inc., 1601 Willow Road, Menlo Park, CA, 94025, États-Unis)
Déclaration de confidentialité / renonciation : http://instagram.com/about/legal/privacy/
Twitter (Twitter Inc., 1355 Market Street, Suite 900, San Francisco, CA 94103, États-Unis)
Déclaration de confidentialité : https://twitter.com/fr/privacy
Renonciation :  https://twitter.com/personalization

Durée de conservation

Clients non enregistrés : Les données à caractère personnel (notamment l’adresse IP) de visiteurs (non enregistrés) du site Internet sont conservées pendant 7 jours aux fins de garantir la sécurité informatique, puis supprimées.

Fondement juridique relation contractuelle : Les données sont traitées par le responsable selon la base juridique susmentionnée en général jusqu’à 40 mois après la fin du contrat (= 36 mois de droits contractuels potentiels de dommages et intérêts + max. 4 mois de durée de signification d’une action en justice) de façon relative aux personnes puis supprimées (dans tous les cas la référence à la personne).

Fondement juridique obligation légale : dans la mesure où il existe une obligation légale de conservation de données, notamment conformément au  § 132 alinéa 1 du code autrichien des impôts (BAO), un traitement des données de façon relative aux personnes est exécuté dans tous les cas jusqu’à la fin du délai légal de l’obligation de conservation (actuellement en règle générale 7 ans après la fin de l’exercice de la survenance du cas).

Droits de la personne concernée

Fondement Contenu
Art 15 RGPD « Renseignements » Le client a le droit de demander des renseignements sur le traitement des données à caractère personnel et son étendue.
Art 16 RGPD « Rectification » Le client a le droit de demander la rectification sans délai de données à caractère personnel inexactes ou leur complément.
Art 17 RGPD « Suppression » Le client a le droit d’exiger la suppression sans délai des données à caractère personnel si les conditions citées à l’article 17 alinéa 1 RGPD sont remplies.
Art 18 RGPD « Restriction » Le client a le droit d’exiger la restriction du traitement des données à caractère personnel si les conditions citées à l’article 18 alinéa 1 RGPD sont remplies.
Art 21 RGPD « Opposition » Le client a le droit de faire opposition au traitement de ses données à caractère personnel sur la base de l’intérêt supérieur légitime.
Art 20 RGPD « Portabilité des données » Le client a le droit d’obtenir les données à caractère personnel qu’il a communiquées dans un format structuré, courant et lisible par une machine.

Droit de réclamation

Fondement Contenu
Art 77 RGPD
§ 24 LPD (Loi autrichienne sur la protection des données)
Chaque client a le droit d'introduire une réclamation auprès de l’autorité de contrôle compétente, s’il considère que le traitement des données à caractère personnel le concernant ne respecte pas le présent règlement.

Autorité de contrôle

Österreichische Datenschutzbehörde/Autorité autrichienne de protection des données
Barichgasse 40-42
A-1030 Vienne
Télphone: +43 1 52 152-0
E-mail : dsb@dsb.gv.at

Références

  1. Si dans la présente déclaration de confidentialité, des désignations faisant référence à des personnes physiques ne devaient être indiquées que dans la forme masculine, elles se réfèrent de la même manière aux femmes et aux hommes. Lors de l’application de la désignation à des personnes physiques définies, il convient d’utiliser la forme spécifique au genre. Les clients s’entendent à la fois en qualité de consommateurs ou d’entrepreneurs.
  2. Kühling/Buchner DS-GVO2, art. 6 point 59
  3. La publicité directe est l’adressage direct de la personne concernée à des fins publicitaires, par exemple pour l’envoi de lettres ou de prospectus, via des appels téléphoniques ou des messages électroniques.
  4. Règlement général sur la protection des données, consultable sur https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32016R0679