Politique de confidentialité — Protection des données personnelles

Smalto, SAS, dont le siège social est situé 9 rue d'Eylau, 75116 Paris, France, est le responsable du traitement des données personnelles collectées via le Portail.

Pour toute question relative à la protection de vos données personnelles, vous pouvez contacter notre Délégué à la Protection des Données (DPO) :

• Par courrier électronique : privacy@smalto.com
• Par courrier postal : DPO — Smalto, 9 rue d'Eylau, 75116 Paris, France

Données d'identification et de compte professionnel

• Nom, prénom, fonction et qualité professionnelle
• Adresse électronique professionnelle et numéro de téléphone
• Raison sociale, forme juridique, numéro SIRET, numéro de TVA intracommunautaire
• Adresse du siège social et des points de vente
• Coordonnées bancaires (IBAN, pour les prélèvements SEPA)

Données de navigation et d'utilisation du Portail

• Adresse IP, identifiant de session, type de navigateur et système d'exploitation
• Horodatages de connexion, pages consultées, produits visualisés
• Actions réalisées sur le Portail (commandes, téléchargements, recherches)
• Données de cookies et traceurs (voir Politique cookies)

Données commerciales et transactionnelles

• Historique des commandes, montants, références produits
• Conditions tarifaires personnalisées et liste de prix applicable
• Historique des factures et état des règlements
• Échanges commerciaux par voie électronique

Données de sécurité et de conformité

• Journaux de connexion et d'activité
• Données relatives à la prévention de la fraude et au contrôle KYB (Know Your Business)
• Documents justificatifs transmis lors de la demande d'accès

Finalité	Base légale
Gestion des demandes d'accès revendeur et validation des comptes	Exécution de mesures précontractuelles (art. 6.1.b RGPD)
Exécution des commandes, facturation et recouvrement	Exécution du contrat (art. 6.1.b RGPD)
Gestion de la relation commerciale et du compte revendeur	Exécution du contrat (art. 6.1.b RGPD)
Respect des obligations légales (comptabilité, fiscalité, lutte contre le blanchiment)	Obligation légale (art. 6.1.c RGPD)
Sécurité du Portail et prévention de la fraude	Intérêt légitime (art. 6.1.f RGPD)
Amélioration du Portail et analyse statistique d'utilisation	Intérêt légitime (art. 6.1.f RGPD)
Envoi de communications commerciales B2B (nouvelles collections, informations tarifaires)	Intérêt légitime / Consentement (art. 6.1.a ou 6.1.f RGPD)
Gestion des contentieux et réclamations	Intérêt légitime / Obligations légales (art. 6.1.c et 6.1.f RGPD)

Les données à caractère personnel sont conservées pendant les durées suivantes :

• Données de compte professionnel actif : durée de la relation commerciale + 3 ans à compter de la fin de la relation
• Données de facturation et comptables : 10 ans à compter de la clôture de l'exercice fiscal (obligation légale)
• Données de commandes : 5 ans à compter de la commande
• Journaux de connexion et de sécurité : 12 mois glissants
• Documents justificatifs KYB : durée de la relation commerciale + 5 ans
• Consentements (cookies, communications) : 3 ans à compter du recueil du consentement ou du dernier contact
• Correspondances commerciales : 5 ans à compter de leur émission
• Données de prévention de la fraude (listes de refus) : 5 ans

À l'expiration de ces durées, les données sont supprimées de manière sécurisée ou anonymisées à des fins statistiques.

Les données personnelles collectées peuvent être communiquées aux catégories de destinataires suivantes :

Destinataires internes

Les équipes commerciales, comptables, juridiques et informatiques de Smalto, dans la limite de leurs attributions et selon le principe de minimisation.

Sous-traitants techniques

• Hébergement et infrastructure : Vercel Inc. (États-Unis) — couverture : Clauses Contractuelles Types CE
• ERP et gestion commerciale : Odoo S.A. (Belgique) — couverture : Clauses Contractuelles Types CE / DPA
• Paiements : Stripe Payments Europe Ltd (Irlande) — certifié PCI DSS Level 1
• Messagerie transactionnelle : Resend Inc. (États-Unis) — couverture : Clauses Contractuelles Types CE
• Analytique : prestataire conforme RGPD, données hébergées en UE

Tiers légalement autorisés

Les autorités judiciaires, administratives ou réglementaires compétentes, sur réquisition ou injonction légalement fondée.

Certains sous-traitants opèrent ou stockent des données en dehors de l'Espace Économique Européen (EEE). Ces transferts s'effectuent dans le cadre des garanties suivantes :

• Clauses Contractuelles Types (CCT) adoptées par la Commission européenne (décision d'exécution 2021/914 du 4 juin 2021)
• Règles d'entreprise contraignantes (BCR) pour les groupes multinationaux en disposant
• Décisions d'adéquation de la Commission européenne pour les pays tiers reconnus comme offrant un niveau de protection adéquat

Pour toute demande d'information relative aux garanties encadrant les transferts internationaux, vous pouvez contacter notre DPO à l'adresse privacy@smalto.com.

Conformément au RGPD, toute personne concernée par les traitements de données personnelles de Smalto dispose des droits suivants :

• Droit d'accès (art. 15 RGPD) : obtenir la confirmation du traitement de vos données et en recevoir une copie
• Droit de rectification (art. 16 RGPD) : corriger des données inexactes ou incomplètes
• Droit à l'effacement (art. 17 RGPD) : obtenir la suppression de vos données dans les cas prévus par le RGPD
• Droit à la limitation du traitement (art. 18 RGPD) : obtenir la limitation du traitement dans certains cas
• Droit à la portabilité (art. 20 RGPD) : recevoir vos données dans un format structuré et lisible par machine
• Droit d'opposition (art. 21 RGPD) : vous opposer à certains traitements fondés sur l'intérêt légitime
• Droit de retrait du consentement (art. 7.3 RGPD) : retirer votre consentement à tout moment
• Droit de ne pas faire l'objet d'une décision automatisée (art. 22 RGPD)

Ces droits peuvent être exercés par voie électronique à l'adresse privacy@smalto.com ou par courrier postal à l'attention du DPO, accompagné d'une copie de votre pièce d'identité. Smalto s'engage à répondre à toute demande dans un délai maximum d'un mois à compter de sa réception.

En cas de réponse insatisfaisante ou d'absence de réponse, vous disposez du droit d'introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés — www.cnil.fr) ou de toute autre autorité de contrôle compétente.

Smalto met en œuvre les mesures techniques et organisationnelles appropriées pour garantir la sécurité, l'intégrité et la confidentialité des données personnelles traitées, conformément à l'article 32 du RGPD, notamment :

• Chiffrement des données en transit (TLS 1.3) et au repos
• Authentification forte des accès à l'administration du Portail
• Journalisation et supervision des accès et des actions
• Procédures de gestion des incidents de sécurité et de violation de données
• Tests de pénétration et audits de sécurité réguliers
• Formation du personnel aux bonnes pratiques en matière de sécurité des données
• Contrôle des habilitations et principe du moindre privilège
• Sauvegarde régulière des données et plan de continuité d'activité

En cas de violation de données susceptible d'engendrer un risque pour les droits et libertés des personnes concernées, Smalto notifiera la CNIL dans un délai de 72 heures conformément à l'article 33 du RGPD, et informera les personnes concernées sans délai injustifié si la violation est de nature à engendrer un risque élevé.