Notre politique de confidentailité

Date de dernière mise à jour : 26/02/2026

1. Qui est responsable de vos données ?

Le responsable de traitement est DISTRIBUTION CARNABY (ci-après “Carnaby” ou “Nous”).

Siège social (France) : 10 rue des Chevesnes – ZI de Vongy – 74200 Thonon-les-Bains – France

Contact : info@e-carnaby.com – Tél. : +33 (0)4 50 71 81 82

Lorsque cela est pertinent (ex. opérations en Suisse), certaines activités peuvent impliquer l’entité Carnaby basée en Suisse.

2. À quelles règles sommes-nous soumis ?

Nous appliquons le RGPD (UE 2016/679) et la loi Informatique et Libertés (France). Selon votre lieu de résidence, des règles locales peuvent aussi s’appliquer.

3. Quelles données collectons-nous ?

3.1 Données que vous nous fournissez

  • Compte client : identité (nom, prénom), email, mot de passe (haché), téléphone, adresses, préférences.
  • Commande : panier, tailles/couleurs, historique d’achats, adresses de livraison/facturation, instructions de livraison.
  • Paiement : nous ne stockons pas votre numéro de carte bancaire. Les paiements sont traités par des prestataires sécurisés (banque/PSP, PayPal) ; nous recevons des informations techniques (statut, identifiant de transaction, montant, moyen de paiement).
  • Service client : messages, pièces jointes éventuelles (ex. photo produit), échanges SAV.
  • Marketing : inscription newsletter, préférences, consentements/oppositions.
  • Jeux concours / opérations commerciales (si proposés) : identité et coordonnées nécessaires à la gestion.
  • Candidatures (si vous postulez via “Carnaby recrute” ou email) : CV, lettre, historique d’échanges.

3.2 Données collectées automatiquement

  • Données de navigation : adresse IP, logs, pages visitées, appareil/navigateur, identifiants cookies/traceurs.
  • Sécurité anti-spam : données liées à l’usage de reCAPTCHA (Google), selon sa configuration.

4. Pour quelles finalités et sur quelles bases légales ?

Nous traitons vos données pour :

  1. Créer et gérer votre compte

    Base légale : contrat (mesures précontractuelles/gestion compte) et/ou intérêt légitime (sécurisation).
  2. Traiter vos commandes, paiements, livraisons, retours et remboursement

    Base légale : contrat et obligation légale (facturation, comptabilité).
  3. Service client / SAV / réclamations

    Base légale : contrat et/ou intérêt légitime (amélioration, gestion des litiges).
  4. Prospection commerciale (email/SMS/courrier)
  • Newsletter / SMS : base légale consentement (désinscription à tout moment).
  • Clients existants : nous pouvons vous envoyer des offres sur des produits similaires (soft opt-in) lorsque la loi l’autorise ; base légale : intérêt légitime + droit d’opposition simple.
  1. Mesure daudience et amélioration du site

    Base légale : consentement pour les traceurs non essentiels.

    Certains outils de mesure d’audience peuvent, selon leur configuration, être exemptés de consentement (dans le respect des règles applicables).
  2. Personnalisation et publicité ciblée

    Base légale : consentement via le bandeau cookies/traceurs.
  3. Sécurité du site et prévention de la fraude

    Base légale : intérêt légitime (sécurisation des accès, protection des transactions) et/ou obligation légale.
  4. Jeux concours / événements

    Base légale : contrat (règlement) et/ou consentement selon les cas.
  5. Recrutement

    Base légale : mesures précontractuelles (étude de candidature) et intérêt légitime (gestion du recrutement).

5. Destinataires des données – Sous-traitants & partenaires

Nous ne vendons pas vos données. Vos informations sont accessibles uniquement :

  1. - aux équipes Carnaby habilitées (service client, logistique, comptabilité, marketing, IT), dans la limite de leurs missions ;
  2. - à des prestataires tiers qui nous assistent pour exploiter le site et exécuter vos commandes.

Nous partageons uniquement les données nécessaires à chaque prestation (principe de minimisation).

5.1 Plateforme e-commerce / hébergement / infrastructure (Sous-traitants)

  • Shopify (plateforme e-commerce, hébergement, gestion du compte client, commandes, panier, contenus, sécurité technique).

    Données typiques partagées : identité/coordonnées, adresses, commandes, contenus saisis, identifiants techniques et journaux (logs).

5.2 Paiement (Prestataires de paiement – souvent Responsables de traitement indépendants)

Pour traiter les paiements, nous faisons appel à des prestataires spécialisés. Selon le service utilisé, ils peuvent agir en responsables de traitement indépendants (notamment pour la lutte contre la fraude, la conformité réglementaire, l’exécution du paiement).

  • - Shopify Payments / Shopify Paiement
  • - Worldline
  • - PayPal

Données typiques partagées : identité/coordonnées, informations liées à la commande (montant, référence), informations techniques de paiement, statut de transaction.



Important : nous ne conservons pas les numéros complets de carte bancaire ; les paiements sont traités par ces prestataires.

5.3 Livraison / transport / retrait (Partenaires – souvent Responsables de traitement indépendants)

Pour livrer vos commandes ou organiser un retrait, nous transmettons aux transporteurs les informations indispensables à l’acheminement et au suivi :

  • - DPD
  • - Colissimo
  • - La Poste (France)
  • - La Poste Suisse
  • - Mondial Relay
  • - GAF – Store Pickup & Delivery (gestion du retrait / livraison locale / créneaux selon paramétrage)

Données typiques partagées : nom, prénom, adresse, téléphone, email (selon le transporteur et vos options), informations colis, point relais, suivi.

5.4 Gestion interne / ERP (Sous-traitants)

  • - Polaris (ERP) (gestion opérationnelle : commandes, stocks, retours, reporting, base de données clients).

    Données typiques : identité/coordonnées, historique commandes/retours.

5.5 Relation client, marketing direct & notifications (Sous-traitants)

  • - Brevo (emailing, automatisations, segmentation ; éventuellement SMS si activé)
  • - Spot-Hit (campagnes SMS ou emailing)
  • - PushOwl (notifications web push, emailing)
  • - SC Back in stock (alertes retour en stock par email)

Données typiques : email, téléphone (si SMS), préférences, historique d’envois, interactions (ouvertures/clics si suivi activé), informations sur le produit suivi (retour en stock).

5.6 Fonctionnalités boutique / avis / personnalisation (Sous-traitants)

  • - Judge.me (collecte et affichage d’avis clients)
  • - Advanced Wishlist (liste d’envies)
  • - Order Printer (édition/impression de documents : bons de commande, factures, etc.)

Données typiques : données commande/produit nécessaires à la fonctionnalité (ex. avis, wishlist), identité affichée (ex. prénom/initiale), email pour sollicitation d’avis (si activé).

Remarque : certaines “apps” Shopify accèdent à des données selon les autorisations accordées lors de l’installation. Nous limitons ces permissions au strict nécessaire.

5.7 Mesure daudience, sécurité & publicité (Partenaires / parfois Responsables conjoints)

Nous utilisons des outils d’analyse, de sécurité et/ou de publicité. Selon l’outil et la configuration (pixels, tags, conversions), ces acteurs peuvent agir comme responsables de traitement indépendants ou responsables conjoints pour certaines opérations.

  • - Google (ex. reCAPTCHA, mesure d’audience, conversion/ads selon paramétrage)
  • - Meta (Facebook/Instagram)
  • - TikTok
  • - Pinterest

Données typiques : identifiants cookies/traceurs, données de navigation, événements de conversion (page vue, ajout panier, achat), paramètres publicitaires.

Ces traitements sont soumis à vos choix cookies (consentement) lorsqu’ils ne sont pas strictement nécessaires.

5.8 Évolution de la liste

Cette liste peut évoluer (changement de prestataire, ajout/suppression d’outils). Nous mettons à jour cette politique en conséquence.

5.9 Transferts hors UE/EEE

Certains prestataires peuvent traiter des données en dehors de lUnion Européenne/EEE. Voir la section “Transferts hors UE/EEE” de la politique.


6. Transferts hors Union Européenne

Certains prestataires (ex. solutions Google/Meta, PayPal, anti-fraude, CDN…) peuvent traiter des données hors UE/EEE. Lorsque c’est le cas, nous mettons en place des garanties appropriées, conformément au droit applicable.

7. Combien de temps conservons-nous vos données ?

Nous appliquons le principe de minimisation : conservation uniquement le temps nécessaire.

Durées indicatives :

  • - Commandes / gestion contractuelle (preuves, SAV) : durée de la relation + 5 ans (prescription civile, selon les cas).
  • - Factures / comptabilité : 10 ans.
  • - Compte client : tant que le compte est actif, puis suppression/anonymisation après une période d’inactivité (ex. 5 ans) ou sur demande (hors obligations légales).
  • - Prospection commerciale :
  • prospects : 5 ans à compter du dernier contact,
  • clients : pendant la relation commerciale puis 5 ans après le dernier contact/achat (sauf opposition avant).
  • - Service client : généralement 5 ans après clôture du dossier.
  • - Candidatures : en principe 2 ans après dernier contact (sauf accord pour conservation plus longue).
  • - Cookies/traceurs : voir section Cookies (durées variables selon finalité).

8. Cookies et autres traceurs

8.1 À quoi servent-ils ?

Nous utilisons des cookies/traceurs pour :

  • - Fonctionnement du site (panier, session, langue) – nécessaires,
  • - Préférences (fonctionnel),
  • - Mesure daudience (statistiques),
  • - Publicité/personnalisation (marketing),
  • - Sécurité (ex. protection anti-spam).

8.2 Gestion de vos choix

Lors de votre première visite, un bandeau vous permet d’accepter, refuser ou paramétrer les cookies non essentiels.

Vous pouvez modifier vos choix à tout moment via un lien “Gestion des cookies” (à placer en pied de page) et/ou via les réglages de votre navigateur.

8.3 Durées recommandées (repères)

  • - Cookies de mesure d’audience : conservés  jusqu’à 12 mois, données associées jusqu’à 25 mois (selon configuration).
  • - Conservation du choix (consentement/refus) : durée limitée à 6 mois.

9. Sécurité

Nous mettons en œuvre des mesures techniques et organisationnelles : chiffrement (HTTPS/SSL), contrôle d’accès, journalisation, sauvegardes, mesures anti-fraude. Malgré cela, aucun système n’est infaillible.

10. Vos droits

Vous disposez notamment des droits suivants : accès, rectification, effacement, opposition, limitation, portabilité, ainsi que le retrait du consentement à tout moment (sans effet rétroactif).

Vous pouvez aussi définir des directives sur le sort de vos données après votre décès (droit post-mortem).

Comment exercer vos droits ?

Écrivez-nous à : info@e-carnaby.com

ou par courrier : DISTRIBUTION CARNABY – Données personnelles – 10 rue des Chevesnes – ZI de Vongy – 74200 Thonon-les-Bains – France.

Pour des raisons de sécurité, nous pouvons demander un justificatif d’identité (et nous vous recommandons de masquer les infos non nécessaires).

Réclamation

Si vous estimez que vos droits ne sont pas respectés, vous pouvez saisir l’autorité de contrôle compétente, notamment la CNIL (France).

11. Mineurs

Nos services s’adressent au grand public. Lorsque le traitement est fondé sur le consentement, et si l’utilisateur est âgé de moins de 15 ans, le consentement doit être donné conjointement avec le(s) titulaire(s) de l’autorité parentale (selon le droit français).

12. Liens vers des sites tiers

Notre site peut contenir des liens vers des sites ou services tiers (réseaux sociaux, solutions de paiement, etc.). Leurs politiques s’appliquent.

13. Modifications

Nous pouvons mettre à jour cette politique. La date de mise à jour figure en haut de page. En cas de changement majeur, nous vous en informerons par un moyen approprié.



Annexe : SHOPIFY

- Shopify DPA: https://www.shopify.com/legal/dpa

- Shopify Subprocessors: https://help.shopify.com/en/manual/privacy-and-security/privacy/subprocessors


SHOPIFY PAYMENTS / STRIPE / PAYPAL

- Shopify Payments (FR) Terms: https://www.shopify.com/legal/terms-payments/fr

- Stripe DPA: https://stripe.com/legal/dpa

- PayPal Privacy (EU PDF): https://www.paypalobjects.com/marketing/ua/OA/privacy-full/en-NL-012226.pdf

- PayPal Data Protection Addendum (card processing): https://www.paypal.com/lu/legalhub/bt-data-protection


WORLDLINE

- Worldline privacy: https://worldline.com/en/compliancy/privacy


BREVO

- Brevo Privacy: https://www.brevo.com/legal/privacypolicy/

- Brevo Terms (incl. DPA en appendice): https://www.brevo.com/legal/termsofuse/


PUSHOWL

- PushOwl Terms: https://www.pushowl.com/terms-conditions


SPOT-HIT

- Spot-Hit RGPD (PDF): https://www.spot-hit.fr/rgpd/conformite-rgpd.pdf


TRANSPORTEURS

- DPD DPO (France): https://www.dpd.com/fr/en/contact/dpo/

- Colissimo / La Poste données perso: https://www.laposte.fr/conseils-pratiques/donnees-personnelles-colissimo

- Mondial Relay données perso: https://www.mondialrelay.fr/donnees-personnelles/

- Swiss Post privacy: https://www.post.ch/en/pages/footer/data-protection-and-disclaimer/privacy-policy


ADS / PIXELS

- Google Ads Data Processing Terms: https://www.google.com/analytics/terms/dpa/dataprocessingamendment_20200816.html

- Meta Data Processing Terms: https://www.facebook.com/legal/terms/dataprocessing

- Meta Controller Addendum: https://www.facebook.com/legal/controller_addendum

- TikTok Data Processing Terms: https://ads.tiktok.com/i18n/official/policy/data-processing-terms

- TikTok Business Products (Data) Terms: https://ads.tiktok.com/i18n/official/policy/business-products-terms

- Pinterest Ad Data Terms: https://policy.pinterest.com/en/ad-data-terms


APPS

- Judge.me privacy: https://judge.me/privacy

- Shop Circle DPA (SC Back in Stock): https://shopcircle.co/pages/data-processing-addendum

- Metafields Guru policies: https://metafields.guru/policies

- GAF Store Pickup & Delivery (listing): https://apps.shopify.com/click-and-collect-delivery

- Shopify Order Printer (listing): https://apps.shopify.com/shopify-order-printer