Déclaration de protection des données
Protection des données chez Galaxus
Les plates-formes digitec.ch et galaxus.ch ou galaxus.de, galaxus.at, galaxus.fr, galaxus.it, galaxus.nl, galaxus.be ainsi que les boutiques physiques dans différentes villes de Suisse sont exploitées par Digitec Galaxus AG ou Galaxus Deutschland GmbH (ensemble "Galaxus"). Galaxus fait partie du groupe Migros. La déclaration de protection des données décrit comment et pourquoi Galaxus recueille, traite et utilise des données personnelles. Nous avons toujours accordé de l’importance au traitement responsable des données de la clientèle. Nous réalisons continuellement des adaptations pour encore mieux protéger les données personnelles de notre clientèle.
Déclaration de protection des données
Que fait Galaxus en matière de protection des données ?
Galaxus bénéficie de la confiance de sa clientèle. La protection et la sécurité des données sont donc centrales à nos yeux. Le traitement responsable des données personnelles est entre autres ancré dans le code de conduite de Migros qui doit être respecté dans l’ensemble du groupe et donc aussi par Galaxus.
Quelles données sont traitées à mon sujet ?
Nous traitons des données personnelles à différentes occasions et à différentes fins. Presque toujours, lorsque vous interagissez avec nous ou que nous interagissons avec vous, des données personnelles sont également traitées, par exemple lorsque vous commandez quelque chose chez nous. Nous avons en outre à cœur de pouvoir adapter nos offres à vos besoins personnels. Lorsque vous créez un compte client, que vous vous enregistrez à un de nos autres services ou que vous naviguez sur nos sites web, nous traitons donc également des données comportementales et, le cas échéant, des données de transaction, sur lesquelles nous nous appuyons pour établir des suppositions quant à vos préférences. Cela nous permet par exemple de vous envoyer des offres qui vous intéresseront probablement.
En quoi le traitement des données réalisé est-il intéressant pour moi ?
Le traitement des données que nous réalisons a de nombreux avantages pour vous. Il nous permet par exemple de répondre à vos besoins et demandes individuels dans le cadre de l’assistance à la clientèle. Il facilite par ailleurs vos achats, notamment en ligne, en vous permettant de trouver plus facilement les produits que vous achetez régulièrement ou qui vous conviennent probablement dans notre large assortiment. Le traitement que nous réalisons sur vos données personnelles vous permet également de profiter d’une expérience d’achat personnalisée, par exemple en vous proposant des offres et des avantages qui correspondent parfaitement à vos habitudes d’achat. Le traitement de vos données personnelles vous permet également de bénéficier de gammes toujours plus intéressantes et de produits et services améliorés.
À qui mes données personnelles sont-elles transmises ?
Vos données personnelles peuvent être transmises à d’autres entreprises du groupe Migros, qui peuvent les utiliser. En dehors du groupe Migros, elles ne sont transmises qu’à des prestataires de services et des partenaires sélectionnés. En règle générale, les données personnelles sont traitées en notre nom et selon nos instructions ; certains partenaires traitent toutefois aussi des données personnelles sous leur propre responsabilité ou conjointement avec nous.
Mes données sont-elles sécurisées ?
Nous veillons à protéger vos données d’une manière adaptée aux risques et prenons des mesures de sécurité exhaustives afin de protéger vos données personnelles contre tout accès non autorisé. Nous améliorons constamment nos mesures de sécurité et les adaptons à l’état actuel de la technique.
À qui puis-je m’adresser en cas de question ?
Si vous avez des questions sur le traitement de vos données personnelles, n’hésitez pas à contacter nous: datenschutz@galaxus.de. Vous trouverez des informations relatives à la façon dont vous pouvez exercer vos droits quant à vos données personnelles dans la déclaration de protection des données.
Table des matières
1. De quoi est-il question dans cette déclaration de protection des données ?
2. Qui est responsable du traitement de vos données personnelles ?
3. À qui s’adresse la présente déclaration de protection des données et à quelle fin est-elle prévue ?
4. Quelles données personnelles traitons-nous ?
5. D’où proviennent les données personnelles ?
6. À quelles fins traitons-nous des données personnelles?
7. Sur quelle base légale s’appuie notre traitement des données personnelles ?
8. À qui transmettons-nous vos données personnelles ?
9. Comment communiquons-nous vos données personnelles à l’étranger ?
10. Comment traitons-nous vos données sensibles ?
11. Comment utilisons-nous le profilage ?
12. Prenons-nous des décisions individuelles automatisées ?
13. Comment protégeons-nous vos données personnelles ?
14. Pendant combien de temps traitons-nous vos données personnelles ?
15. Quels sont vos droits concernant le traitement de vos données personnelles ?
16. Comment pouvez-vous nous contacter ?
17. Modifications de la présente déclaration de protection des données
1. De quoi est-il question dans cette déclaration de protection des données ?
La protection des données est une affaire de confiance, et votre confiance est importante pour nous. Dans la présente déclaration de protection des données, nous vous indiquons donc comment et à quelles fins nous collectons, traitons et utilisons vos données personnelles.
Vous apprendrez entre autres dans la présente déclaration de protection des données :
- quelles données personnelles nous collectons et traitons ;
- à quelles fins nous utilisons vos données personnelles ;
- qui y a accès ;
- quelle est pour vous l’utilité du traitement que nous réalisons sur vos données personnelles ;
- quelle est la durée du traitement de vos données personnelles ;
- quels sont vos droits concernant ces données ; et
- comment vous pouvez nous contacter.
Nous avons aligné la présente déclaration de protection des données aussi bien sur la loi suisse sur la protection des données que sur le règlement général sur la protection des données européen (RGPD). Le RGPD s’est imposé dans le monde entier comme une solide référence en matière de protection des données. L’application du RGPD et l’étendue de cette application s’évaluent toutefois au cas par cas.
2. Qui est responsable du traitement de vos données personnelles ?
La responsabilité de chaque traitement de données en vertu de la loi sur la protection des données est assumée par l’entreprise qui détermine si ce traitement doit avoir lieu et à quelles fins, ainsi que ses modalités. Le responsable du traitement des données conformément à la présente déclaration de protection des données est Galaxus Deutschland GmbH (Galaxus Deutschland GmbH, Hoheluftchaussee 18, DE-20253 Hambourg) («nous» ou «notre» ).
Certains traitements de données peuvent également relever de notre responsabilité et de celle d’autres entreprises du groupe Migros, si elles décident ensemble des modalités ou de la finalité des traitements en question. Vous trouverez des informations sur les entreprises du groupe Migros dans le dernier rapport annuel de la Fédération des coopératives Migros.
2.1 Responsabilité des participants sur galaxus.de (Allemagne)
Sur galaxus.de, nous avons d'une part vendu des produits/prestations en notre propre nom (Galaxus), mais nous offrons également à d'autres entreprises (désignées ci-après par "participants") la possibilité de vendre des produits/prestations. Cette situation entraîne, du point de vue de la protection des données, des responsabilités différentes en ce qui concerne le traitement de leurs données.
Galaxus est l'exploitant de la plate-forme galaxus.de. Dans cette fonction, nous collectons ou traitons vos données, en particulier :
- des données sur votre comportement de navigation sur galaxus.de. Cela comprend par exemple des informations sur la consultation de différentes pages ou des informations sur les articles consultés.
- Données en rapport avec la création et la gestion de votre compte client sur galaxus.de. Il s'agit par exemple du nom, du nom d'utilisateur ou des paramètres de notification.
Les participants sont entre autres responsables des données qui sont générées dans le cadre d'une commande et du traitement de la commande chez un participant. Cela concerne entre autres : Nom, données d'adresse postale, adresse e-mail, informations sur les produits/services. Nous avons obligé contractuellement chaque participant à mettre à disposition sur galaxus.de les informations correspondantes sur la protection des données. Vous les trouverez dans les informations sur les participants, qui sont disponibles sous forme de lien dans les produits correspondants.
Si vous souhaitez faire valoir les droits mentionnés au chiffre 15 à l'égard des participants, veuillez vous adresser directement à l'entreprise concernée. Vous trouverez les contacts des entreprises dans les informations sur les participants, qui sont disponibles sous forme de lien dans les produits correspondants.
3. À qui s’adresse la présente déclaration de protection des données et à quelle fin est-elle prévue ?
La présente déclaration de protection des données est applicable à toutes les personnes dont nous traitons les données (dans les différents cas « vous »), quelle que soit la façon dont vous entrez en contact avec nous : par exemple sur une boutique en ligne, sur un site web, dans une application, dans un magasin, par téléphone, via un réseau social, lors d’un événement, etc. Elle s’applique aussi bien au traitement des données personnelles qui ont déjà été collectées qu’aux données qui le seront dans le futur.
Nos traitements de données peuvent concerner en particulier les catégories de personnes suivantes, si nous traitons dans ce cadre des données personnelles :
- les visiteurs/visiteuses de nos sites web ;
- les titulaires d’un compte client ;
- les client(e)s dans nos boutiques en ligne et nos magasins ;
- les revendeurs qui proposent des produits et services via nos boutiques en ligne ;
- d’autres personnes qui bénéficient de nos prestations de services ou qui entrent en contact avec nos offres ;
- les utilisateurs/utilisatrices de nos offres en ligne et applications ;
- les visiteurs/visiteuses de nos locaux ;
- les personnes qui nous écrivent ou qui nous contactent d’une autre manière ;
- les destinataires d’informations et de communications marketing ;
- les participant(e)s à des concours et à des jeux-concours ;
- les participant(e)s à des événements clients et publics ;
- les participant(e)s à des études de marché, à des sondages d’opinion et à des enquêtes auprès de la clientèle ;
- les personnes de contact de nos fournisseurs, de nos acheteurs et de nos autres partenaires commerciaux ainsi que des organisations et autorités ; ainsi que
- les candidat(e)s à l’emploi.
Veuillez également consulter les conditions contractuelles des diverses prestations (p. ex. les conditions générales, les conditions d’utilisation ou conditions de participation). Elles peuvent contenir des indications complémentaires sur nos traitements de données. Pour les informations relatives à la collecte et au traitement des données personnelles lors de l’utilisation de nos sites web, de nos applications mobiles et de nos pages sur les médias sociaux, notamment en lien avec les cookies et technologies similaires, veuillez également consulter nos informations sur les cookies.
4. Quelles données personnelles traitons-nous ?
Les « données personnelles » sont des informations qui peuvent être associées à une personne déterminée. Nous traitons différentes catégories de données personnelles. Les principales catégories sont fournies ci-après à titre informatif. Nous pouvons toutefois traiter également d’autres données personnelles selon les cas.
Vous en apprendrez davantage sur la provenance de ces données au chiffre 5 et sur les fins auxquelles nous traitons ces données au chiffre 6.
4.1 Données de base
Les données de base sont les données fondamentales vous concernant, telles que le titre, le nom, les coordonnées ou la date de naissance. Nous collectons des données de base, notamment lorsque vous créez un compte client chez Galaxus. Nous collectons également des données de base lorsque vous participez à un concours ou à un jeu-concours ou lorsque vous vous inscrivez à une newsletter. Nous collectons par ailleurs des données de base relatives aux personnes de contact et représentant(e)s des partenaires contractuels, des organisations et des autorités.
Les données de base comprennent par exemple :
- le titre, le prénom, le nom, le sexe, la date de naissance ;
- l’adresse, l’adresse e-mail, le numéro de téléphone et d’autres coordonnées ;
- les numéros de client (par ex. pour les participant(e)s à un programme de fidélité) ;
- les informations de paiement (p. ex. les moyens de paiement enregistrés, les coordonnées bancaires, l’adresse de facturation) ;
- le nom d’utilisateur et la photo de profil ;
- les informations sur l’utilisation de nos plates-formes en ligne (par ex. si vous êtes enregistré(e) chez Galaxus) ;
- les informations sur les sites web associés, des profils de médias sociaux, etc. ;
- les informations sur les affinités et les intérêts, sur les préférences linguistiques, etc. ;
- les informations sur votre relation avec nous (client(e), visiteur/visiteuse, fournisseur, etc.) ;
- les informations sur les tiers impliqués (p. ex. les personnes de contact, les destinataires des prestations ou les représentant(e)s) ;
- les paramètres concernant la réception de publicités, les newsletters auxquelles vous êtes abonné(e), etc. ;
- les informations sur votre statut chez nous (inactivité ou blocage d’un compte client, interdictions d’accès à des magasins, etc.) ;
- les informations sur la participation à des concours et à des jeux-concours ;
- les informations sur la participation à des événements (par ex. e-sport-events) ;
- les documents administratifs dans lesquels vous apparaissez (p. ex. les pièces d’identité, les extraits du registre du commerce, les autorisations, etc.) ;
- les informations sur les titres et la fonction au sein de l’entreprise pour les personnes de contact et les représentant(e)s de nos partenaires commerciaux ;
- la date et l’heure des enregistrements.
Vous pouvez éventuellement vous connecter à certaines offres en ligne par l’intermédiaire d’une connexion chez un prestataire tiers (p. ex. Apple, Google ou Facebook). Dans ce cas, nous avons accès à certaines données stockées chez le prestataire concerné, par exemple votre nom et votre adresse e-mail, dont vous pouvez définir l’étendue la plupart du temps. Vous trouverez des informations sur ce point dans la déclaration de protection des données du prestataire concerné.
La divulgation de votre identité dans votre profil public sur nos plates-formes est facultative. Le nom d’utilisateur que vous avez choisi, qui ne doit pas nécessairement être un nom clair, est visible par tous. Vous pouvez en outre sélectionner la fonction « Anonymiser le nom d’utilisateur » dans votre compte client. Il devient ainsi invisible pour les autres utilisateurs.
4.2 Données de contrat
Les données de contrat sont les données personnelles recueillies en lien avec la conclusion et l’exécution des contrats, par exemple les informations sur la conclusion des contrats, les droits et créances acquis ou les informations sur la satisfaction de la clientèle. Nous concluons des contrats principalement avec des client(e)s, des partenaires commerciaux et des candidat(e)s à l’emploi. Lorsque vous recourez à une de nos offres sur la base d’un contrat, par exemple lorsque vous achetez des produits ou que vous profitez de prestations, nous recueillons aussi fréquemment des données comportementales et de transaction (voir chiffre 4.4).
Les données de contrat comprennent par exemple les informations :
- relatives à la mise en place et à la conclusion des contrats, par exemple les dates de conclusion des contrats, les informations provenant du processus de demande et les informations sur les contrats concernés (p. ex. le type et la durée) ;
- relatives à l’exécution et à la gestion des contrats (p. ex. les coordonnées, les adresses de livraison, les livraisons effectuées ou non effectuées et les informations sur les moyens de paiement) ;
- en lien avec le service clientèle et l’assistance sur les questions techniques ;
- relatives à nos interactions avec vous (le cas échéant, un historique avec les inscriptions correspondantes) ;
- relatives aux créances et droits et avantages acquis (par exemple, bons d’achat) ;
- relatives aux défauts et réclamations ainsi qu’aux adaptations des contrats ;
- sur la satisfaction de la clientèle, que nous pouvons collecter par des enquêtes ;
- sur les questions financières, telles que la détermination de la solvabilité (c’est-à-dire les informations qui permettent de tirer des conclusions sur la probabilité que les créances soient réglées), sur les rappels, sur le recouvrement et sur le paiement des créances ;
- en lien avec une candidature, par exemple les CV, les références, les qualifications, les certificats, les notes d’entretien, etc. (qui peuvent également contenir des données personnelles de tiers) ;
- sur les interactions avec vous en tant que personne de contact ou représentant(e) d’un partenaire commercial ;
- en lien avec des contrôles de sécurité (par exemple, contrôle des actions frauduleuses lors des commandes) et d’autres contrôles concernant la mise en place ou la poursuite d’une relation commerciale.
4.3 Données de communication
Lorsque vous prenez contact avec nous ou que nous prenons contact avec vous, par exemple lorsque vous contactez un service clientèle ou nous écrivez ou nous appelez, nous traitons les contenus des communications échangés et les informations sur le type, le moment et le lieu de la communication. Dans certaines situations, nous pouvons également vous demander une pièce d’identité pour vous identifier.
Les données de communication sont par exemple :
- le nom et les coordonnées, telles que l’adresse postale, l’adresse e-mail et le numéro de téléphone ;
- le contenu des e-mails, des correspondances écrites, des messages dans les chats, des publications sur les médias sociaux, des commentaires sur les sites web, des entretiens téléphoniques, des vidéoconférences, etc. ;
- les réponses aux sondages auprès de la clientèle et aux enquêtes de satisfaction ;
- les informations sur le type, le moment et, le cas échéant, le lieu de la communication ;
- les pièces d’identité, telles que les copies des cartes d’identité officielles ;
- les données secondaires des communications.
Les conversations téléphoniques et en vidéoconférence avec nous peuvent être enregistrées ; nous vous en informons toujours au début de la conversation. Si vous ne voulez pas que nous enregistrions ces conversations, vous pouvez y mettre un terme à tout moment et nous contacter par d’autres moyens (par exemple par e-mail).
4.4 Données comportementales et de transaction
Lorsque vous faites des achats chez nous, utilisez nos offres et nos infrastructures ou profitez de nos prestations, nous collectons souvent des données sur cette utilisation. C’est le cas par exemple lorsque vous faites des achats dans une boutique en ligne chez nous, lorsque vous devenez actif dans nos communautés, ou lorsque vous utilisez nos sites web et nos applications. Si vous agissez pour le compte de tiers, les données personnelles peuvent également concerner ces tiers (par exemple, les membres de votre famille si vous faites des achats pour eux).
Les données comportementales et de transaction comprennent par exemple les informations suivantes (si elles revêtent chez nous un caractère personnel) :
- relatives à votre comportement dans les boutiques en ligne (paniers commandés et annulés, listes de favoris, articles consultés, termes recherchés et résultats des recherches, type de moyen de paiement, mode de livraison choisi, etc.) ;
- relatives à votre comportement dans les communautés Galaxus (indications dans votre profil, par ex. un profil public facultatif ; points et distinctions obtenus grâce à la gamification « DG Play », interaction avec d’autres membres et contenus, par ex. au moyen de « suivre » ou « j’aime » ; évaluations, questions et réponses sur les produits et autres contenus, contributions à des discussions, etc.) ;
- relatives à vos achats dans des magasins (p. ex. où et à quelle fréquence vous faites vos courses, pour acheter quoi et à quels prix ainsi que le type de moyen de paiement et le type de livraison choisi) ;
- relatives à la fréquentation de nos événements (par ex. date, lieu et type d’événement) ;
- relatives à la participation à des concours, à des jeux-concours et à d’autres événements similaires ;
- relatives à votre comportement sur les sites web ;
- relatives à l’installation et à l’utilisation de nos applications mobiles ;
- relatives à votre utilisation de nos communications électroniques (p. ex. si et quand vous avez ouvert un e-mail ou cliqué sur un lien) ;
- relatives à votre utilisation de nos réseaux Wi-Fi (p. ex. la date, le moment et la durée de la connexion, le lieu du réseau Wi-Fi et les volumes de données).
Il est également possible de profiter de certaines de nos offres de manière anonyme. Par exemple, vous pouvez - dans les pays où nous exploitons un réseau de magasins - faire des achats dans nos magasins sans vous enregistrer. Sur nos sites web et nos applications, les données comportementales et de transaction peuvent toutefois, le cas échéant, être rattachées à votre profil également si vous n’êtes pas connecté(e) lorsque vous visitez le site web ou utilisez l’application.
4.5 Données de préférence
Nous souhaitons adapter de la meilleure façon possible nos offres et nos prestations à notre clientèle. Nous traitons donc également des données relatives à vos intérêts et à vos préférences. À cet effet, nous pouvons associer des données comportementales et de transaction à d’autres données et analyser ces données sur une base individuelle et non-individuelle. Nous pouvons ainsi en tirer des conclusions quant à vos caractéristiques, vos préférences et votre comportement probable, par exemple vos affinités envers certains produits et certaines prestations.
Nous pouvons notamment créer des segments (permanents ou ponctuels), c’est-à-dire des groupes de personnes présentant des similitudes sur certaines caractéristiques. L’utilisation des données de préférence peut revêtir un caractère personnel (p. ex. pour vous montrer de la publicité pertinente, susceptible de vous intéresser) ou pas, p. ex. pour réaliser une étude de marché ou développer un produit.
Les traitements décrits peuvent également être appelés « profilage » dans le jargon technique. Vous trouverez de plus amples informations sur le profilage au chiffre 11f.
4.6 Données techniques
Lorsque vous utilisez nos sites web, nos applications, nos réseaux Wi-Fi ou d’autres offres électroniques, nous collectons certaines données techniques, telles que l’adresse IP ou un identifiant de votre appareil. Les données techniques comprennent aussi les fichiers journaux dans lesquels nous enregistrons l’utilisation de nos systèmes (données du journal). Nous pouvons aussi attribuer éventuellement à votre appareil (tablette, PC, smartphone, etc.) un identifiant unique (ID), par exemple au moyen de cookies ou de technologies similaires, pour pouvoir le reconnaître. Vous trouverez de plus amples informations dans nos informations sur les cookies.
Sur la base des données techniques, il est notamment possible de collecter également des données comportementales, c’est-à-dire des informations sur votre utilisation des sites web et des applications mobiles (voir le chiffre 4.4 à ce sujet). Les données techniques ne permettent généralement pas de déduire qui vous êtes, sauf par exemple si vous créez un compte client ou vous enregistrez pour d’autres offres. Dans ce cas, nous pouvons relier les données techniques avec les données de base, et donc avec votre personne.
Les données techniques comprennent notamment :
- l’adresse IP de votre appareil et d’autres identifiants de votre appareil (p. ex. une adresse MAC) ;
- les identifiants associés à votre appareil par des cookies et technologies similaires (p. ex. des balises pixel) ;
- les informations relatives à votre appareil et sa configuration, par exemple le système d’exploitation et le paramétrage de la langue ;
- les informations relatives au navigateur avec lequel vous accédez à l’offre et sa configuration ;
- les informations relatives à vos mouvements et actions sur nos sites web et nos applications ;
- les informations relatives à votre fournisseur d’accès Internet ;
- votre emplacement approximatif et le moment de l’utilisation ;
- les enregistrements du système concernant les accès et autres processus (données du journal).
Veuillez également tenir compte de nos informations sur les cookies concernant le traitement des données techniques.
4.7 Captures d’images et enregistrements sonores
Nous faisons régulièrement des photos, des vidéos et des enregistrements sonores sur ou dans lesquels vous pouvez figurer, par exemple si vous participez à un événement, êtes en contact avec notre service clientèle ou profitez d’un conseil par vidéoconférence. Pour des raisons de sécurité et à des fins de preuve, nous effectuons par ailleurs des enregistrements vidéo dans nos magasins et dans le reste de nos locaux. Il se peut que nous obtenions ainsi des informations concernant votre comportement dans les zones correspondantes. Nous n’utilisons des systèmes de vidéosurveillance que dans certaines zones clairement identifiées.
Les captures d’images et enregistrements sonores comprennent par exemple :
- les enregistrements des systèmes de vidéosurveillance ;
- les photos, les vidéos et les enregistrements sonores des événements clientèle et publics (p. ex. les événements promotionnels, de sponsoring ou de nature culturelle ou sportive) ;
- les photos, les vidéos et les enregistrements sonores des cours, présentations, formations, etc. ;
- les enregistrements des conversations téléphoniques et en vidéoconférence (p. ex. au niveau du service clientèle ou dans le cadre du conseil à la clientèle).
5. D’où proviennent les données personnelles ?
5.1 Données fournies
C’est souvent vous-même qui nous fournissez vos données personnelles, par exemple si vous nous envoyez des données ou communiquez avec nous. C’est le cas la plupart du temps pour les données de base, de contrat et de communication. C’est aussi souvent le cas pour les données de préférence.
Vous nous fournissez par exemple vous-même vos données personnelles dans les cas suivants :
- vous créez un compte client ;
- vous participez à un jeu-concours ou à un concours ;
- vous vous adressez à notre service clientèle ;
- vous vous inscrivez à d’autres offres, par exemple à notre newsletter.
La fourniture des données personnelles est généralement volontaire, c’est-à-dire que vous n’êtes la plupart du temps pas tenu(e) de nous les communiquer. Nous devons toutefois collecter et traiter les données personnelles qui sont nécessaires au traitement d’une relation contractuelle et à l’exécution des obligations qui y sont liées ou qui sont prescrites par la loi, par exemple les données de base et les données contractuelles obligatoires. Dans le cas contraire, nous ne pourrons pas conclure ou continuer à exécuter les contrats concernés.
Lorsque vous nous transmettez des données sur d’autres personnes (p. ex. des membres de votre famille), nous partons du principe que vous y êtes autorisé(e) et que ces données sont correctes. Assurez-vous également que ces autres personnes ont été informées de la présente déclaration de protection des données.
5.2 Données collectées
Nous pouvons aussi collecter par nous-mêmes ou de manière automatisée des données personnelles vous concernant, par exemple si vous faites des achats chez nous, utilisez nos offres ou profitez de nos services. Il s’agit souvent ici de données comportementales et transactionnelles ainsi que de données techniques (par exemple, la date et l’heure à laquelle vous consultez notre site web).
Nous collectons par exemple de manière autonome des données personnelles vous concernant dans les cas suivants :
- vous commandez un produit dans l’une de nos boutiques en ligne ;
- vous visitez l’un de nos sites web ou utilisez l’une de nos applications ;
- vous faites vos achats dans l’un de nos magasins et vous communiquez à cette occasion votre compte client ;
- vous cliquez sur un lien dans l’une de nos newsletters ou interagissez d’une autre manière avec l’un de nos messages électroniques publicitaires.
Nous pouvons aussi déduire des données personnelles à partir de données personnelles déjà détenues, par exemple en évaluant des données comportementales et de transaction. Ces données personnelles dérivées sont souvent des données de préférence.
Nous pouvons par exemple analyser les données comportementales et de transaction accumulées lors de vos achats dans nos boutiques en ligne et nous en servir pour émettre des hypothèses sur vos intérêts personnels, vos préférences, vos affinités et vos habitudes. Cela nous permet par exemple d’adapter nos offres et nos informations à vos besoins et intérêts individuels. Nous pouvons ainsi vous envoyer une sélection individuelle d’offres pertinentes pour vous. Vous trouverez de plus amples informations sur les données comportementales et de transaction au chiffre 4.4 et sur le profilage réalisé dans ce cadre au chiffre 11.
5.3 Données reçues
Nous pouvons aussi recevoir des données personnelles d’autres entreprises du groupe Migros. Vous trouverez de plus amples informations à ce sujet au chiffre 8. Toutefois, nous pouvons aussi recevoir des informations vous concernant de la part d’autres tiers, par exemple d’entreprises avec lesquelles nous collaborons, de personnes qui communiquent avec nous ou de sources publiques.
Nous pouvons par exemple recevoir des informations vous concernant des tiers suivants :
- de partenaires de coopération, par exemple des partenaires de collecte ou d’échange de points ;
- de votre employeur et vos collègues de travail en lien avec une candidature et vos fonctions professionnelles ;
- de tiers lorsqu’une correspondance et des discussions vous concernent ;
- de personnes de votre entourage (membres de la famille, mandataires et mandatrices, etc.), par exemple pour votre adresse de livraison, des références ou des procurations ;
- d’organismes de crédit, par exemple si nous demandons des renseignements relatifs à la solvabilité ;
- de la Poste et des vendeurs de listes d’adresses, par exemple pour mettre à jour les adresses ;
- des banques, assurances, partenaires commerciaux et autres partenaires contractuels lors des achats et paiements ;
- des fournisseurs de services en ligne, par exemple de services d’analyse Internet ;
- des fournisseurs de services de cybersécurité
- des services d’information destinés au respect des exigences légales, par exemple en matière de lutte contre le blanchiment d’argent et de restriction à l’exportation ;
- des autorités, des parties et d’autres tiers en lien avec des procédures administratives et judiciaires ;
- d’entreprises d’observation des médias en lien avec des articles et des reportages dans lesquels vous apparaissez ;
- des registres publics, par exemple du registre des poursuites ou du registre du commerce, d’organes publics, par exemple l’Office fédéral de la statistique, des médias ou d’Internet.
6. À quelles fins traitons-nous des données personnelles ?
6.1 Communication
Nous souhaitons rester en contact avec vous et répondre à vos attentes individuelles. Nous traitons donc des données personnelles pour communiquer avec vous, par exemple pour répondre aux demandes et accompagner la clientèle. Nous utilisons notamment à cet effet des données de communication et de base ainsi que des données de contrat si la communication concerne un contrat. Nous pouvons aussi personnaliser le contenu et le moment de l’envoi des messages sur la base des données comportementales, de transaction et de préférence ainsi que d’autres données.
Nous communiquons notamment afin :
- de répondre aux demandes ;
- de prendre contact avec vous en cas de questions ;
- d’assurer le service à la clientèle et l’accompagnement de la clientèle ;
- de vous informer des rappels de marchandises (nous pouvons par exemple vous contacter directement si nous savons que vous avez acheté un produit concerné par un rappel) ;
- de vous envoyer d’autres notifications (par exemple, des informations sur l’état d'une commande) ;
- de vous authentifier, par exemple dans le cadre de l’utilisation de nos offres en ligne ;
- de garantir la qualité et assurer la formation ;
- de répondre à toutes les autres finalités de traitement si nous communiquons avec vous pour cela (p. ex. pour l’exécution des contrats, l’information et le publipostage).
6.2 Exécution des contrats
Nous souhaitons vous offrir le meilleur service possible. Nous traitons donc des données personnelles en lien avec la mise en place, la gestion et l’exécution des contrats, par exemple pour livrer une commande, fournir une prestation, proposer des achats et des prestations, développer nos communautés, réaliser un programme de fidélité ou de bonus ou organiser un jeu-concours. Les contrats sont aussi exécutés, le cas échéant, au travers de la personnalisation convenue des prestations. Nous utilisons à cet effet notamment des données de base, des données de contrat, des données de communication, des données comportementales et de transaction ainsi que des données de préférence.
La finalité de l’exécution des contrats comprend généralement tout ce qui est nécessaire ou approprié pour conclure, mettre en œuvre et, le cas échéant, faire respecter un contrat.
Cela comprend par exemple des traitements :
- pour décider si et comment (p. ex. avec quelles possibilités de paiement) nous concluons un contrat avec vous (p. ex. les contrôles de solvabilité) ;
- pour fournir les prestations convenues contractuellement, par exemple livrer des marchandises, fournir des prestations et mettre des fonctions à disposition (dont les éléments personnalisés des prestations) ;
- pour fournir des prestations de service à la clientèle et évaluer la satisfaction de la clientèle ;
- pour mettre en place les communautés Galaxus et la gamification « DG Play » ;
- pour mettre en œuvre et gérer des programmes de fidélité, par exemple pour régler et créditer les droits et avantages acquis (par ex. des bons de promotion et des codes d’action) ;
- pour désigner, avertir et, le cas échéant, publier les gagnant(e)s des concours et jeux-concours ;
- pour facturer nos prestations ainsi que pour la comptabilité en général ;
- pour planifier et préparer la fourniture de nos prestations, par exemple la planification des interventions de notre personnel ;
- pour examiner l’aptitude des candidat(e)s à l’emploi et, le cas échéant, préparer et conclure les contrats de travail ;
- pour définir si nous voulons et pouvons collaborer avec une entreprise, ainsi que pour surveiller et évaluer ses prestations ;
- pour préparer et exécuter des transactions relevant du droit des sociétés, par exemple des acquisitions, des ventes et des fusions d’entreprises ;
- pour faire valoir des prétentions découlant des contrats (recouvrement, procédures judiciaires, etc.) ;
- pour gérer et exploiter nos ressources informatiques et nos autres ressources ;
- pour sauvegarder des données dans le cadre des obligations de conservation ;
- pour résilier des contrats et y mettre un terme.
Si vous ne souhaitez pas que les points et récompenses obtenus grâce à la gamification « DG Play » soient affichés dans votre profil public et ne souhaitez pas figurer dans le système de classement, vous pouvez désactiver la gamification « DG Play » dans votre compte client.
6.3 Information et marketing
Nous souhaitons vous soumettre des offres intéressantes. Nous traitons donc des données personnelles à des fins de gestion des relations et de marketing, par exemple pour vous envoyer des communications et des offres écrites et électroniques et mener des campagnes de marketing. Il peut s’agir ici de nos propres offres ou des offres d’autres entreprises du groupe Migros ou de celles de nos partenaires publicitaires. Nous pouvons également travailler pour d’autres entreprises, en jouant le rôle d’agence, par exemple pour réaliser des campagnes publicitaires pour leurs produits.
Les communications et les offres peuvent être personnalisées afin de ne vous fournir, dans la mesure du possible, que des informations susceptibles de vous intéresser. Nous utilisons à cet effet notamment des données de base, de contrat, de communication, comportementales et de transaction ainsi que de préférence, mais également des captures d’images et enregistrements.
Il peut par exemple s’agir dans ce cadre des messages et des offres suivantes :
- les newsletters, les e-mails publicitaires, les messages internes aux applications et les autres messages électroniques ;
- les brochures publicitaires, les magazines et les autres imprimés ;
- les messages et spots publicitaires sur les écrans et d’autres espaces publicitaires ;
- l’envoi de bons de promotion et de codes d’action ;
- les invitations à des événements, des jeux-concours et des concours.
Vous pouvez à tout moment refuser d’être contacté(e) à des fins de marketing (voir point 15). Dans le cas de bulletins d’information et d’autres communications électroniques, vous pouvez généralement vous désabonner du service correspondant via le compte client ainsi que via un lien de désabonnement intégré dans la communication.
La personnalisation de nos messages nous permet d’adapter les informations à vos besoins et intérêts individuels et de ne vous soumettre, dans la mesure du possible, que des offres susceptibles de vous intéresser. Par exemple, nous pouvons vous envoyer une sélection individuelle de produits présentant un intérêt pour vous ou nous vous montrons des contenus en ligne adaptés à vos besoins. La personnalisation vous permet également de trouver plus rapidement les produits que vous recherchez dans notre vaste offre en ligne. D’une manière générale, l’orientation de nos activités vers les souhaits et les besoins de nos clients nous permet de simplifier les processus, tels que les achats ou les ventes, pour vous permettre d’atteindre plus rapidement votre objectif. Vous trouverez de plus amples informations sur le profilage réalisé dans ce cadre au chiffre 11.
6.4 Études de marché et développement de produits
Nous souhaitons améliorer nos offres en continu et les rendre plus intéressantes pour vous. Nous traitons donc des données personnelles pour réaliser des études de marché et développer des produits. À cet effet, nous traitons en particulier des données de base, comportementales, de transaction et de préférence, mais aussi des données de communication, des informations provenant d’enquêtes auprès de la clientèle, de sondages et d’études ainsi que d’autres informations, par exemple provenant des médias, d’Internet et d’autres sources publiques. Dans la mesure du possible, nous utilisons à ces fins des informations pseudonymisées ou anonymisées.
Les études de marché et le développement de produits comprennent notamment :
- la réalisation d’enquêtes auprès de la clientèle, de sondages et d’études ;
- le développement de nos offres (p. ex. l’élaboration de la gamme, le choix de l’emplacement, la fixation des prix et la planification des actions, etc.) ;
- l’évaluation et l’amélioration de l’acceptation de nos offres et nos communications en lien avec les offres ;
- l’optimisation et l’amélioration de la convivialité des sites web et des applications ;
- le développement et le test de nouvelles offres ;
- le contrôle et l’amélioration de nos processus internes ;
- les analyses statistiques, par exemple pour analyser, sur une base non personnelle, des informations sur les interactions de notre clientèle avec nous ;
- l’estimation de la situation de l’offre sur un certain marché et l’attitude de nos concurrents ;
- la surveillance du marché, par exemple pour comprendre les évolutions et tendances du moment et y réagir.
6.5 Sécurité et prévention
Nous souhaitons garantir votre sécurité et la nôtre et prévenir les abus. Nous traitons donc également les données personnelles à des fins de sécurité, pour garantir la sécurité informatique, pour prévenir les vols, les fraudes et les abus ainsi qu’à des fins de preuve. Cela peut concerner toutes les catégories de données personnelles indiquées au chiffre 4, notamment les données comportementales et de transaction ainsi que les captures d’images et enregistrements sonores. Nous pouvons saisir, analyser et sauvegarder ces données aux fins indiquées.
Le traitement relatif à la sécurité et à la prévention est effectué par exemple afin :
- de réaliser et d’analyser (de manière manuelle et automatique) des enregistrements vidéo pour repérer et poursuivre les infractions pénales ;
- de réaliser des contrôles aléatoires pour s’assurer de la bonne saisie et du bon paiement des marchandises dans nos magasins ;
- de décider d’interdictions d’accès et de gérer les listes des interdictions d’accès ;
- d’analyser les données comportementales et de transaction pour identifier les modèles comportementaux suspects et les activités frauduleuses ;
- d’analyser les enregistrements du système concernant l’utilisation de nos systèmes (données du journal) ;
- de prévenir, de détecter et de se défendre contre les cyberattaques et les attaques de logiciels malveillants ;
- d’analyser et de tester nos réseaux et infrastructures informatiques ainsi que de contrôler les systèmes et les erreurs ;
- de contrôler les accès aux systèmes électroniques (p. ex. les connexions au niveau des comptes utilisateurs) ;
- de contrôler physiquement les accès (p. ex. les accès aux bureaux) ;
- d’assurer la documentation et créer des copies de sauvegarde.
À des fins de sécurité et de prévention, nous pouvons en particulier également évaluer automatiquement les enregistrements vidéo. En présence d’un soupçon concret, nous pouvons, par exemple, définir une combinaison de caractéristiques (comme les vêtements ou la taille du corps) et rechercher automatiquement cette combinaison de caractéristiques dans les enregistrements vidéo existants d’une période donnée. Cela nous permet d’évaluer plus efficacement les enregistrements vidéo et nous soutient ainsi dans les enquêtes sur les actes délictueux. Dans ce contexte, cependant, nous ne réalisons ni l’analyse de données biométriques (p. ex. reconnaissance faciale), ni l’évaluation automatique de schémas comportementaux ou d’autres analyses similaires.
6.6 Respect des exigences légales
Nous souhaitons créer les conditions permettant de respecter les exigences légales. Nous traitons donc également des données personnelles afin de nous conformer aux exigences légales, d’éviter les infractions et de les identifier. Cela comprend par exemple la réception et le traitement des réclamations et des autres notifications, le respect des décisions judiciaires ou administratives ainsi que des mesures visant à détecter et clarifier les abus. Cela peut concerner toutes les catégories de données personnelles mentionnées au chiffre 4.
Le respect des exigences légales comprend notamment :
- la protection de la jeunesse et la protection des mineurs, par exemple le respect des limites d’âge pour l’achat d’alcool ;
- la mise en œuvre des concepts de santé et de protection ;
- les clarifications sur les partenaires commerciaux ;
- la réception et le traitement des réclamations et autres notifications ;
- la réalisation d’enquêtes internes ;
- la garantie de la compliance et la gestion des risques ;
- la fourniture d’informations et de documents aux autorités en présence d’un motif objectif (par ex. parce que nous sommes nous-mêmes la partie lésée) ou si nous y sommes légalement tenus ;
- la coopération lors d’enquêtes externes, par exemple menées par une autorité de poursuite pénale ou de surveillance ;
- la garantie de la protection légale des données ;
- le respect de nos obligations en matière d’accès, d’information et de communication, par exemple en lien avec les obligations réglementaires et fiscales, notamment dans le cadre des obligations d’archivage ainsi que pour prévenir, révéler et examiner les infractions et autres violations ;
- la lutte prévue par la loi contre le blanchiment d’argent et le financement du terrorisme.
Ces traitements peuvent aussi bien découler du droit suisse que de dispositions étrangères auxquelles nous sommes soumises, ou encore de notre autorégulation, de normes du secteur et d’autres normes, de notre propre gouvernance d’entreprise ou de directives administratives.
6.7 Préservation des droits
Nous souhaitons être en mesure de faire respecter nos droits et de nous défendre contre les prétentions des tiers. Nous traitons donc également des données personnelles pour préserver nos droits, par exemple pour les faire valoir devant des instances judiciaires, de conciliation, extrajudiciaires ou administratives suisses et étrangères, ou pour nous défendre contre des prétentions. Nous traitons alors, selon les configurations, différentes données personnelles, par exemple des coordonnées et des informations concernant des processus ayant donné lieu à des litiges ou susceptibles d’en causer.
Les traitements relatifs à la préservation de nos droits sont notamment effectués afin :
- de clarifier et faire valoir nos prétentions, qui peuvent également inclure celles d’entreprises qui nous sont liées et celles de nos partenaires contractuels et commerciaux ;
- de nous défendre contre des prétentions émises à notre encontre et à l’encontre de notre personnel, d’entreprises qui nous sont liées et de nos partenaires contractuels et commerciaux ;
- de clarifier les chances de succès de procédures et des questions juridiques et économiques ainsi que d’autres questions ;
- de prendre part à des procédures judiciaires et administratives en Suisse et à l’étranger. Nous pouvons par exemple recueillir des preuves, faire clarifier les chances de succès de procédures ou remettre des documents à une autorité. Il est également possible que des autorités nous demandent de transmettre des documents et supports de données contenant des données personnelles.
6.8 Administration et soutien internes au groupe
Nous souhaitons concevoir nos processus internes de manière efficace. Nous traitons donc également des données personnelles pour l’administration interne du groupe Migros (voir le point 2 sur le groupe Migros). À cet effet, nous traitons notamment des données de base, des données de contrat et des données techniques, mais aussi des données comportementales et de transaction ainsi que des données de communication.
L’administration interne du groupe comprend notamment :
- la gestion de l’informatique et de l’immobilier ;
- la comptabilité ;
- l’archivage des données et la gestion de nos archives ;
- la formation, par exemple si nous analysons des enregistrements de communications téléphoniques, vidéo ou autres ;
- la sauvegarde et la gestion centralisées des données utilisées par plusieurs entreprises du groupe Migros ;
- le contrôle ou la réalisation de transactions relevant du droit des sociétés, telles que des acquisitions, des ventes et des fusions d’entreprises ;
- le transfert des demandes aux organes compétents, par exemple si vous adressez une demande à une société Migros qui concerne une autre société ;
- la vente de créances avec transmission aux acquéreurs, par exemple, des informations sur la cause et le montant de la créance et, le cas échéant, sur la solvabilité et le comportement du débiteur ;
- le contrôle et l’amélioration de nos processus internes de manière générale.
Comme chaque regroupement d’entreprises, le groupe Migros aussi a un intérêt général à ce que l’activité commerciale des entreprises du groupe connaisse le succès, et l’intérêt des entreprises de notre groupe réside dans leur propre activité et leurs propres finalités de traitement. Nous pouvons donc aussi communiquer des données personnelles à d’autres sociétés du groupe Migros pour les aider à répondre à leurs propres finalités de traitement conformément à la déclaration de protection des données du groupe Migros, dans l’intérêt général du groupe Migros. Vous trouverez de plus amples informations à ce sujet au chiffre 8.
7. Sur quelle base légale s’appuie notre traitement des données personnelles ?
En fonction de sa finalité, notre traitement des données personnelles repose sur différentes bases légales. Nous pouvons traiter des données personnelles notamment si le traitement :
- est nécessaire à l’exécution d’un contrat avec les personnes concernées ou afin de prendre des mesures précontractuelles (p. ex. l’examen d’une demande de contrat) ;
- est nécessaire à la défense d’intérêts légitimes, par exemple lorsque le traitement des données est un élément central de notre activité commerciale ;
- repose sur un consentement ;
- est nécessaire pour respecter des bases légales nationales ou étrangères.
Nous avons notamment un intérêt légitime à réaliser des traitements aux fins décrites précédemment au chiffre 6 et à communiquer des données selon le chiffre 8, ainsi qu’à poursuivre les différents objectifs qui y sont liés. Les intérêts légitimes comprennent dans chaque cas nos propres intérêts et ceux de tiers.
Ces intérêts légitimes comprennent par exemple l’intérêt :
- à fournir des produits et des prestations à des tiers (p. ex. à des destinataires de cadeaux) ;
- à bien suivre la clientèle, maintenir les contacts et communiquer avec notre clientèle également en dehors du cadre contractuel ;
- à mener des activités publicitaires et de marketing ;
- à mieux connaître nos client(e)s et d’autres personnes ;
- à améliorer nos produits et nos services et à en développer de nouveaux ;
- à assurer la gestion interne au groupe et la communication interne nécessaire au sein d’un groupe où la collaboration est basée sur la répartition des tâches ;
- à voir les entreprises du groupe se soutenir mutuellement dans leurs activités et leurs objectifs ;
- à lutter contre la fraude, par exemple dans le cadre des boutiques en ligne, et à prévenir et réprimer les infractions ;
- à protéger la clientèle, d’autres personnes, ainsi que les données, les secrets et les actifs du groupe Migros ;
- à garantir la sécurité informatique, en particulier en ce qui concerne l’utilisation des sites web, des applications et d’autres infrastructures informatiques ;
- à garantir et organiser l’activité commerciale, ce qui comprend l’exploitation et le développement des sites web et d’autres systèmes ;
- à gérer et développer les entreprises ;
- à vendre ou acquérir des entreprises, des parties d’entreprises et d’autres actifs ;
- à faire respecter ou défendre des prétentions ;
- au respect du droit suisse et étranger ainsi que des règles internes.
Vous trouverez ici de plus amples informations sur les bases légales.
8. À qui transmettons-nous vos données personnelles ?
8.1 Au sein de la communauté Migros
Nous pouvons transmettre les données personnelles que nous collectons auprès de vous ou de tiers à d’autres sociétés du groupe Migros. Les transmissions peuvent servir à l’administration interne du groupe ou au soutien des entreprises du groupe concernées et à leurs propres finalités de traitement (chiffre 6), par exemple lorsque nous apportons notre appui à la personnalisation des activités de marketing, au développement et à l’amélioration des produits et services, à la réalisation de contrôles de solvabilité ou aux efforts de prévention des vols, des fraudes et des abus. Les sociétés du groupe concernées peuvent, le cas échéant, comparer et associer les données personnelles ainsi obtenues aux données personnelles en leur possession.
Il peut par exemple s’agir des communications de données suivantes :
- toutes les catégories de données personnelles mentionnées au chiffre 4 pour la gestion et l’exécution des contrats, notamment en lien avec les produits et les services qui impliquent l’intervention de plusieurs entreprises du groupe ;
- les données de base, de contrat, de communication, comportementales et de transaction et de préférence ainsi que les enseignements tirés des enquêtes auprès de la clientèle, des sondages, des études et des captures d’images et enregistrements sonores pour les études de marché et le développement des produits, s’il est nécessaire de rattacher ces données à des personnes ;
- les données de base, de contrat, de communication, comportementales et de transaction et de préférence ainsi que les captures d’images et les enregistrements sonores pour l’envoi et la personnalisation d’offres, la communication et les activités de marketing ;
- les données de base, de contrat, de communication, comportementales et de transaction et de préférence pour la prévention des fraudes et des abus ainsi que pour les contrôles de solvabilité (p. ex. en lien avec un achat sur facture) ;
- les données de base, comportementales et de transaction ainsi que les captures d’images et les enregistrements sonores pour la prévention des vols et à des fins de preuve ;
- les informations relative à la sécurité, à des fins de sécurité et de respect des exigences légales ;
- les informations contribuant à la préservation de nos droits.
Par exemple, si vous nous contactez pour nous faire part d’un problème concernant un produit, il est possible que nous transmettions ces informations à l’entreprise de fabrication Migros concernée, à des fins d’amélioration du produit et de la qualité.
Vous trouverez de plus amples informations sur les entreprises du groupe Migros au chiffre 2.
8.2 En dehors de la communauté Migros
Nous pouvons transmettre vos données personnelles à des entreprises en dehors du groupe Migros lorsque nous utilisons leurs services. Ces prestataires traitent généralement ces données personnelles pour notre compte en tant que « sous-traitants ». Nos sous-traitants sont tenus de ne traiter les données personnelles que selon nos instructions et de prendre des mesures adaptées relatives à la sécurité des données. Certains prestataires sont également responsables conjointement avec nous ou indépendamment (p. ex. les sociétés de recouvrement). Grâce à la sélection des prestataires et à des accords contractuels appropriés, nous garantissons la protection de vos données pendant tout le processus de traitement de vos données personnelles.
Dans ce contexte, il s’agit par exemple de services dans les domaines suivants :
- transport et logistique, par exemple pour l’expédition de marchandises commandées ;
- prestations publicitaires et marketing, par exemple pour l’envoi de messages et d’informations ;
- garantie et retour, par exemple pour la réparation en cas de défaut ;
- gestion d’entreprise, par exemple comptabilité ou gestion d’actifs ;
- services de paiement ;
- informations de solvabilité, par exemple si vous désirez effectuer un achat sur facture ;
- prestations de recouvrement ;
- Prestataire d’assurances
- Les services de prévention de la fraude que les prestataires de services de paiement mettent en œuvre sous leur propre responsabilité, comme la protection contre la fraude PayPal. Les procédures correspondantes ne s’appliquent que si vous êtes déjà client(e) du prestataire de services de paiement concerné. Des informations plus précises sont alors disponibles dans la déclaration de protection des données du prestataire de services concerné ;
- prestations de services informatiques, par exemple prestations dans les domaines du stockage des données (hébergement), des services cloud, de l’expédition de newsletters par e-mail, d’analyse et de valorisation des données, etc. ;
- services de conseil, par exemple services de conseillers fiscaux/conseillères fiscales, d’avocat(e)s, de conseillers/conseillères en gestion, de consultant(e)s dans le domaine du recrutement et du placement.
Il est également possible de transmettre des données personnelles à d’autres tiers pour répondre à leurs propres finalités, par exemple si vous y avez consenti ou si nous y sommes légalement tenus ou autorisés. Le destinataire de ces données est alors lui-même responsable de leur protection en vertu de la loi sur la protection des données.
Il s’agit par exemple des cas suivants :
- les informations sur les rappels de produits par les fabricants, si vous avez acheté un produit du fabricant chez nous ;
- la cession de créances à d’autres entreprises, par exemple des sociétés de recouvrement ;
- le contrôle ou la réalisation de transactions relevant du droit des sociétés, telles que des acquisitions, des ventes et des fusions d’entreprises ;
- la communication de données personnelles aux tribunaux et aux autorités en Suisse et à l’étranger, par exemple aux autorités de poursuite pénale en cas de soupçons d’infraction ;
- le traitement de données personnelles si nous devons respecter des décisions judiciaires ou des ordres des autorités, faire valoir des droits ou nous défendre contre des prétentions ou si nous estimons cette démarche nécessaire pour d’autres motifs juridiques. Nous pouvons dans ce cadre aussi communiquer des données personnelles à d’autres parties aux procédures.
Veuillez également consulter nos informations sur les cookies concernant la collecte autonome de données ou le transfert de données à des prestataires tiers dont nous avons intégré les outils à nos sites Internet et applications.
En principe, nous ne sommes pas soumis au secret professionnel (comme le secret bancaire ou médical). Si vous estimez que certaines données personnelles sont soumises à une obligation de confidentialité, veuillez nous en informer pour que nous puissions examiner votre demande.
Vous trouverez ici des informations supplémentaires sur la transmission de données en dehors de la communauté Migros.
9. Comment communiquons-nous vos données personnelles à l’étranger ?
Nous traitons et stockons les données personnelles principalement en Suisse et dans l’Espace économique européen (EEE). Dans certains cas, cependant, nous pouvons également transmettre des données personnelles à des prestataires de services et à d’autres destinataires (voir chiffre 8) qui sont situés en dehors de cette zone ou qui traitent des données personnelles en dehors de cette zone, en principe dans n’importe quel pays du monde. Les pays en question peuvent ne pas avoir de lois qui protègent vos données personnelles dans la même mesure qu’en Suisse ou dans l’EEE. Si nous transférons vos données personnelles vers un tel pays, nous assurerons la protection de vos données personnelles de manière appropriée.
Un des moyens permettant de garantir une protection adéquate des données consiste par exemple à conclure des accords de transfert de données avec les destinataires de vos données personnelles dans des pays tiers, qui garantissent la protection nécessaire des données. Il s’agit entre autres des contrats approuvés, établis ou reconnus par la Commission européenne et le Préposé fédéral à la protection des données et à la transparence, appelés clauses contractuelles types. Vous trouverez des modèles de contrats généralement utilisés ici. Nous attirons votre attention sur le fait que ces mesures contractuelles compensent en partie une protection légale moindre ou l’absence de protection légale, sans pour autant permettre d’exclure entièrement l’ensemble des risques (p. ex. de consultation étatique à l’étranger). Nous pouvons exceptionnellement autoriser la transmission de vos données personnelles dans des pays sans protection adéquate dans d’autres cas, par exemple si vous y consentez, dans le cadre d’une procédure judiciaire à l’étranger ou si cela s’avère nécessaire pour l’exécution d’un contrat.
10. Comment traitons-nous vos données sensibles ?
Certains types de données personnelles sont considérés comme « sensibles » en vertu de la loi sur la protection des données, par exemple les informations relatives à la santé et les caractéristiques biométriques. Selon les circonstances, les catégories de données personnelles mentionnées au chiffre 4 peuvent également comporter des données de ce type. Cependant, nous ne traitons généralement des données sensibles que si cela s’avère nécessaire à la fourniture d’un service, si vous nous avez spontanément communiqué ces données ou si vous y avez consenti. Nous pouvons par ailleurs traiter des données sensibles si cela s’avère nécessaire pour préserver nos droits ou respecter des dispositions légales en Suisse ou à l’étranger, si les données en question ont manifestement été rendues publiques par la personne concernée ou si le droit applicable autorise de manière générale leur traitement.
Nous pouvons par exemple traiter des données sensibles dans les cas suivants :
- vous souhaitez commander une boisson alcoolisée dans une boutique en ligne et vous ajoutez à votre compte client un document d’identité pour la vérification numérique de l’âge ;
- vous postulez pour un poste vacant et fournissez des indications sur votre santé, sur votre appartenance à un syndicat ou sur vos antécédents judiciaires et les sanctions pénales à votre encontre.
11. Comment utilisons-nous le profilage ?
Le « profilage » correspond au traitement automatisé des données personnelles pour analyser les aspects personnels ou faire des prévisions, par exemple pour analyser les intérêts personnels, les préférences, les affinités et les habitudes ou pronostiquer un comportement probable. Le profilage nous permet notamment de déduire des données de préférence (vous trouverez de plus amples informations à ce sujet au chiffre 4.5).
Le profilage est un processus fréquent, par exemple dans le cadre du traitement automatisé :
- des données de base, de contrat, comportementales et de transaction lors d’achats dans nos boutiques en ligne et magasins ;
- des données comportementales et de transaction ainsi que des données techniques en lien avec nos sites web et nos applications ;
- des informations en lien avec la fréquentation d’événements ou la participation à des concours, à des jeux-concours et à d’autres événements similaires ;
- des données de communication, par exemple votre réaction aux messages publicitaires et à d’autres messages ;
- d’autres données comportementales et de transaction.
Le profilage nous aide par exemple à :
- améliorer nos offres en continu et mieux les adapter aux besoins individuels ;
- vous présenter nos contenus et nos offres conformément à vos besoins ;
- ne vous soumettre, dans la mesure du possible, que des publicités et des offres susceptibles de vous intéresser ;
- mieux vous aider dans le cadre du service clientèle ;
- décider, sur la base du contrôle de solvabilité, des moyens de paiements disponibles.
Nous effectuons notamment un profilage en lien avec nos boutiques en ligne, en analysant votre comportement d’achat et en utilisant cette base pour vous rattacher à certains centres d’intérêts. Ces centres d’intérêt peuvent être créés de manière permanente ou ponctuelle et peuvent par exemple se rapporter aux motifs d’achat. Ce profilage nous permet par exemple de vous envoyer des offres de produits susceptibles de vous intéresser.
Nous effectuons par exemple également un profilage en lien avec le compte client, entre autres en analysant votre comportement d’utilisation et d’achat sur nos boutiques en ligne, nos sites web et nos applications, notamment pour vous offrir une expérience client personnalisée et vous soumettre des offres qui correspondent parfaitement à vos intérêts et à vos préférences.
Afin d’améliorer la qualité de nos analyses et prévisions, nous pouvons également, à la base du profilage, mettre en relation des données personnelles provenant de différentes sources, telles que des données collectées par le biais de divers services que nous proposons ou des données obtenues d’autres sociétés du groupe Migros. Des algorithmes d’auto-apprentissage (certaines programmations dans des programmes informatiques) peuvent également être utilisés à cet effet.
Vous pouvez par ailleurs refuser le profilage dans certains cas, comme expliqué au chiffre 15.
12. Prenons-nous des décisions individuelles automatisées ?
Les « décisions individuelles automatisées » sont les décisions qui sont prises de manière entièrement automatisée, c’est-à-dire sans influence humaine, et qui ont des conséquences juridiques pour les personnes concernées ou les affectent autrement d’une manière significative. Nous n’y recourons pas de manière générale, mais vous en informons séparément si nous sommes amenés à prendre des décisions individuelles automatisées dans certains cas. Vous avez alors la possibilité de faire contrôler la décision par un être humain si vous la contestez.
13. Comment protégeons-nous vos données personnelles ?
Nous prenons les mesures de sécurité de nature technique et organisationnelle adéquates pour garantir la sécurité de vos données personnelles, pour vous protéger contre tout traitement injustifié et illicite et agir contre le risque de perte, d’altération accidentelle, de divulgation non désirée ou d’accès non autorisé. Comme toutes les entreprises, nous ne pouvons toutefois pas exclure avec certitude toute violation de la protection des données ; certains risques résiduels étant inévitables.
Le chiffrement et la pseudonymisation des données, les archivages, les restrictions d’accès et l’enregistrement de copies de sauvegarde font par exemple partie des mesures de sécurité de nature technique. Les instructions à notre personnel, les formations et les contrôles font par exemple partie des mesures de sécurité de nature organisationnelle. Nous obligeons également nos sous-traitants à prendre des mesures de sécurité techniques et organisationnelles appropriées.
14. Pendant combien de temps traitons-nous vos données personnelles ?
Nous traitons et enregistrons vos données personnelles :
- aussi longtemps que nécessaire à la réalisation de la finalité du traitement ou de finalités compatibles avec celle-ci, soit en général pour la durée des rapports contractuels dans le cadre des contrats ;
- aussi longtemps que nous avons un intérêt légitime à les enregistrer. Cela peut notamment être le cas quand nous en avons besoin pour faire valoir des droits, nous défendre contre des prétentions, à des fins d’archivage et pour garantir la sécurité informatique ;
- aussi longtemps que la loi nous y oblige. Une durée de conservation légale de dix ans s’applique par exemple à certaines données. Pour d’autres données, différentes durées de conservation plus courtes s’appliquent, par exemple pour les enregistrements des caméras de vidéosurveillance ou les enregistrements de certains processus sur Internet (fichiers journaux).
Dans certains cas, nous vous demandons en outre votre consentement lorsque nous voulons conserver vos données personnelles plus longtemps (par ex. lorsque nous souhaitons garder votre candidature d’emploi en suspens). Après l’expiration des délais mentionnés, nous effaçons ou anonymisons vos données personnelles.
Nous nous alignons par exemple sur les délais de conservation suivants, auxquels nous pouvons déroger au cas par cas :
- Compte client : Les données personnelles sont conservées pendant toute la durée d’existence du compte client. Si une suppression du compte client est demandée, les données seront supprimées au plus tard après 30 jours, après vérification des créances impayées ainsi que d’autres points pertinents qui s’opposent à une suppression immédiate.
- Contrats : Nous conservons en général les données de base et de contrat pendant dix ans à partir de la dernière activité contractuelle ou de la fin du contrat. Ce délai peut toutefois être plus long si cela est nécessaire à des fins de preuve, du fait de dispositions légales ou contractuelles ou pour des raisons techniques. Les données de transaction en lien avec les contrats sont en général conservées pendant dix ans.
- Données techniques : La durée d’enregistrement des cookies se situe souvent entre quelques jours et deux ans s’ils ne sont pas supprimés immédiatement à la fin de la session.
- Données de communication : Les e-mails, les communications via le formulaire de contact et les correspondances écrites sont en général conservés pendant dix ans.
- Captures d’images et enregistrement sonores : La durée de conservation dépend de la finalité. Elle va de quelques jours pour les enregistrements des caméras de sécurité à plusieurs années pour les comptes rendus d’événements avec photos.
- Candidatures d’emploi : Nous supprimons en général les données de candidature dans les six mois qui suivent la fin du processus de candidature. Si vous y consentez, nous maintenons, le cas échéant, votre candidature en suspens en vue d’un éventuel recrutement ultérieur.
15. Quels sont vos droits concernant le traitement de vos données personnelles ?
Vous avez le droit de vous opposer au traitement de vos données en particulier lorsque nous traitons vos données personnelles sur la base d’un intérêt légitime et que les autres conditions requises sont remplies (article 21 RGPD). Vous pouvez également vous opposer à tout moment aux traitements de données en rapport avec du marketing direct (p. ex. les e-mails publicitaires). Ceci est également valable pour le profilage, dans la mesure où celui-ci est lié à des fins de marketing direct.
Dans la mesure où les conditions applicables sont remplies et qu’aucune exception légale ne s’applique, vous disposez également des droits suivants :
- le droit de demander à accéder aux données sauvegardées chez nous qui vous concernent. C'est-à-dire de savoir si des données personnelles vous concernant sont traitées chez nous et, si c'est le cas, de demander des informations sur les données enregistrées ainsi que d'autres informations (par ex. les finalités du traitement, la catégorie de données personnelles ou les catégories de destinataires) (article 15 RGPD) ;
- le droit de faire corriger des données personnelles inexactes ou incomplètes (article 16 RGPD) ;
- le droit d’exiger la suppression ou l’anonymisation de vos données (article 17 RGPD) ;
- le droit de demander la restriction du traitement de vos données personnelles (article 18 RGPD) ;
- le droit de recevoir les données personnelles que vous avez mises à notre disposition dans un format structuré, couramment utilisé et lisible par machine (article 20 RGPD) ;
- le droit de retirer un consentement avec effet pour l’avenir, dans la mesure où le traitement est fondé sur un consentement.
- le droit de s'opposer au traitement des données personnelles au cas par cas, comme décrit ci-dessus (article 21 RGPD).
Veuillez noter que ces droits peuvent être limités ou exclus dans des cas particuliers, par exemple s’il existe des doutes quant à l’identité ou que cela est nécessaire à la protection d’autres personnes, pour sauvegarder des intérêts dignes de protection ou pour respecter des obligations légales.
Vous pouvez exercer l’essentiel des droits susmentionnés via le compte client ou notre Galaxus Assistant. Si vous disposez d’un compte client, vous pouvez à tout moment corriger les données de base qui y sont enregistrées (par ex. votre adresse). Vous pouvez également y demander la désactivation du compte client ou la suppression complète de vos données personnelles. Vous avez aussi la possibilité de vous désabonner des newsletters et autres e-mails publicitaires en cliquant sur le lien correspondant à la fin de l’e-mail. Vous pouvez en outre nous contacter selon le chiffre 16 si vous voulez exercer l’un de vos droits ou si vous avez des questions sur le traitement de vos données personnelles.
Vous êtes également libre de déposer une réclamation auprès de l’autorité de surveillance compétente si vous avez un doute sur la licéité du traitement de vos données personnelles.
- L’autorité de contrôle compétente en Allemagne est le Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, Klosterwall 6 (Block C), 20095 Hambourg
- L’autorité de contrôle compétente dans la Principauté de Liechtenstein est la Datenschutzstelle des Fürstentums Liechtenstein.
- L’autorité de contrôle compétente en Autriche est la Österreichische Datenschutzbehörde, Barichgasse 40-42, 1030 Wien.
- L’autorité de contrôle compétente en France est la Commission nationale de l'informatique et des libertés, 3 Place de Fontenoy, TSA 80715, 75334 PARIS CEDEX 07
- L’autorité de contrôle compétente en Italie est le Garante per la protezione dei dati personali, con sede in Piazza Venezia 11, IT-00187, Roma
- L’autorité de contrôle compétente en Pays-Bas est le : Autoriteit Persoonsgegevens, PO Box 93374, 2509 AJ DEN HAAG
- L’autorité de contrôle compétente en Belgique es le: Autorité de protection des données, Drukpersstraat 35, 1000 Brussels
Dans la mesure où vous achetez des marchandises de participants (autres entreprises qui vendent des produits/prestations via galaxus.de) via la plate-forme galaxus.de, les droits susmentionnés s'appliquent en conséquence à ces participants. Si vous souhaitez faire valoir les droits susmentionnés vis-à-vis de nos participants, il vous suffit de vous adresser directement à l'entreprise concernée. Vous trouverez les contacts des entreprises dans les informations sur les participants, qui sont disponibles sous forme de lien dans les produits correspondants.
16. Comment pouvez-vous nous contacter ?
Si vous avez des questions sur la présente déclaration de protection des données ou le traitement de vos données personnelles, vous pouvez dans tous les cas nous contacter comme suit :
Pour l’Allemagne et tous les autres pays européens ou galaxus.de, galaxus.at, galaxus.fr, galaxus.it, galaxus.nl, galaxus.be
Galaxus Deutschland GmbH
Hoheluftchaussee 18
DE-20253 Hamburg
Consultez aussi notre Galaxus Assistant.
Vous pouvez vous adresser à notre délégué à la protection des données pour toute question spécifique concernant la protection des données :
Galaxus Deutschland GmbH
Datenschutz
Hoheluftchaussee 18
DE-20253 Hamburg
E-Mail: datenschutz@galaxus.de
Vous pouvez aussi vous adresser au délégué à la protection des données du groupe Migros ou à notre représentant au sein de l’Union européenne ou de l’Espace économique européen :
- Délégué à la protection des données : Fédération des coopératives Migros, Délégué à la protection des données, c/o Legal & Compliance, Limmatstrasse 152, 8005 Zurich, privacy@mgb.ch
- Représentant UE/EEE : VGS Datenschutzpartner UG, Am Kaiserkai 69, 20457 Hambourg, Allemagne
17. Modifications de la présente déclaration de protection des données
La présente déclaration de protection des données peut être adaptée au fil du temps, en particulier si nous modifions nos traitements de données ou si de nouvelles dispositions légales entrent en vigueur. Lorsque les modifications sont significatives, nous informons activement les personnes dont les coordonnées sont enregistrées chez nous desdites modifications dans la mesure où cela est possible sans avoir à déployer des efforts disproportionnés. De manière générale, la version de la déclaration de protection des données en vigueur au début d’un traitement de données est celle qui s’applique à ce traitement.
Dernière modification: 12.11.2024