Note d’information sur la protection des données à caractère personnel conformément au Règlement (UE) 2016/679, ci-après dénommée également RGPD, et Loi française n° n° 78-17

1.    Informations générales
Nous vous informons que, aux fins indiquées ci-après, nous, en tant que 'illycaffè France SAS (responsable du traitement des données ci-après également dénommée "Société" ou "ICF" par souci de concision) traiterons les Votre données personnelles. Seront requises et traitées les seules données nécessaires aux fins énoncées dans la présente note d’information. Les données peuvent également être  récupérées dans la section "My Account" d'illycaffè S.p.A. (comme indiqué dans la note de information spécifique "My Account"). Si vous achetez en tant que représentant légal d'une société/société/entité, nous indiquerons la société/société/entité que vous représentez (qui sera la partie acheteuse) et vos données seront traitées par nous uniquement pour vous identifier en tant que représentant légal et aux fins du point 2 lettre A, B, C. Si vous souhaitez enregistrer vos données dans votre "My Account" au moyen du bouton "Ajouter au carnet d'adresses", vous pourrez les retrouver à l'avenir sans avoir à les réinscrire. Veuillez noter que vous ne devrez saisir que vos propres données (sauf ce qui est précisé plus loin au point 3(e) et/ou les données de l'entreprise/organisme/société que vous représentez.

2.    Finalités et base juridique
Les données pourront être traitées par ICF :
A.    afin qu'il puisse souscrire à l'Abonnement selon les Conditions Générales d'Abonnement permettant l'achat des produits choisis pour l'Abonnement et ainsi pour toute réalisation administrative, comptable et contractuelle. Le traitement est fondé sur la base juridique suivante : nécessité pour l'exécution des obligations contractuelles ;
B.    pour des intérêts légitimes, notamment pour faire valoir ou défendre nos droits ; la base juridique du traitement est la poursuite d'intérêts légitimes ; au moment de l'examen de ces intérêts légitimes, il a été analysé qu'ils ne compromettent pas ou n'interfèrent pas avec les intérêts ou les droits et libertés fondamentaux de la personne concernée (l'intérêt légitime a été évalué sur la base d'un triple test disponible en contactant la société) ;
C.    afin de respecter des obligations légales ou réglementaires, que ce soit au niveau national ou communautaire ; la base juridique du traitement est le respect d’une obligation légale ;
D.    afin de permettre, à travers le contrôle des transactions par le fournisseur externe Signifyed inc (www.signifyd.com/privacy/), une sécurité anti-fraude maximale et donc pour nos intérêts légitimes d'éviter la fraude et les commandes illicites. Le traitement est fondé sur la base juridique suivante : la poursuite d'intérêts légitimes ; au moment de l'examen de ces intérêts légitimes, il a été analysé qu'ils ne compromettent pas ou n'interfèrent pas avec les intérêts ou les droits et libertés fondamentaux de la personne concernée (l'intérêt légitime a été évalué sur la base d'un triple test disponible en contactant la société).

3.    Exigence de fourniture de données à caractère personnel
a)    La fourniture des données indiquées dans le formulaire comme obligatoires (celles marquées par un astérisque) et l'indication du produit à acheter et du mode de paiement sont nécessaires aux fins visées au point 2 (A) et donc le refus de fournir ces informations en tout ou en partie, peut nous mettre dans l'impossibilité d'exécuter le contrat et donc de pouvoir vous permettre d'acheter les produits de ICF en mode abonnement. En ce qui concerne les données d'expédition, si elles sont différentes des données de facturation, voir le point 3(E). En ce qui concerne les autres données contenues dans les champs facultatifs, voir également ce qui est indiqué ci-dessous. Sauf indication contraire dans la présente note d'information, les données figurant dans les champs facultatifs peuvent être fournies volontairement et le fait de ne pas fournir ces données n'aura pas d'autre conséquence que celle de ne pas utiliser ces données (qui peuvent toutefois être utiles aux fins en question).
b)    La fourniture des données (code fiscal ou numéro de TVA, données personnelles et adresse, données de facturation et d'achat, autres données éventuellement nécessaires pour respecter les obligations légales, les réglementations et la législation communautaire ou pour faire valoir ou exercer un droit d'illycaffè) aux fins indiquées au point 2(B) et 2(C) (pour lesquels la fourniture de données est requise comme une obligation si elle est prévue comme telle par la loi), est nécessaire et le refus de fournir ces données rendra impossible l'exécution du contrat.
c)    La fourniture des informations relatives à la carte de crédit est facultative et le fait de ne pas les fournir rendra impossible le paiement par carte de crédit
d)    La fourniture des données demandées lors de la demande de facture (telles que le numéro de TVA, le nom de l'entreprise ou le SDI) est facultative, mais si elle n'est pas fournie, la facture ne sera pas émise.
e)    La fourniture des données relatives aux adresses alternatives auxquelles envoyer la marchandise, est facultative, mais le fait de ne pas fournir les données marquées par un astérisque, entraînera l'impossibilité d'envoyer le matériel à l'adresse indiquée. Veuillez noter que pour ces activités particulières, vous vous engagez, sous votre propre responsabilité, à obtenir le consentement de la personne dont vous indiquez les données, à envoyer les marchandises à son adresse. En outre, pour ces activités, vous vous engagez à informer la personne dont vous fournissez les données qu'elle nous fournira les données afin que nous puissions les traiter (par l'intermédiaire des préposés et des sous-traitants indiqués qui doivent en avoir connaissance afin d'accomplir les actions qui leur sont assignées) pour envoyer le matériel à l'adresse indiquée et également à l'informer que nous lui fournirons des informations spécifiques sur le traitement des données. Vous devez également informer la personne indiquée que nous pouvons communiquer les données aux transporteurs et aux transitaires et que la fourniture des données est facultative et que le fait de ne pas les fournir entraînera l'impossibilité d'envoyer les marchandises à l'adresse indiquée. Vous vous engagez à obtenir le consentement ( si nécessaire) de la personne dont vous communiquez les données à illycaffè, à la communication des données à illycaffè et à leur traitement (et donc à leur enregistrement dans les bases de données d'illycaffè) par illycaffè même aux fins indiquées dans ce point. Vos données seront alors également connues par ceux qui reçoivent les marchandises.
f)    La communication des données aux fins énoncées au point 2(D) est nécessaire et le défaut de communication de ces données rendra impossible l'exécution du contrat.

4.    Catégories de destinataires des données
Les données pourront être communiquées par nos aux fins indiquées au point 2(A) (en ne communiquant que les données nécessaires à la poursuite de ces fins) à : banques pour les paiements dus, transporteurs et expéditeurs, bureaux de poste, distributeurs, sociétés auxquelles les contrats peuvent être transférés (dans ce cas, en effet, il y aura, avec le transfert du contrat, le transfert des données relatives au contrat et à son exécution et gestion), avocats et conseillers juridiques, sociétés d’audit lorsqu'ils ne sont pas désignés comme responsables du traitement des données, organismes publics.
Pour les finalités indiquées au point 2(B), les données peuvent être communiquées (en ne communiquant que les données nécessaires à la poursuite de ces finalités) aux autorités judiciaires et aux organismes publics s'il existe une obligation de le faire, ainsi qu'aux cabinets d'avocats et aux consultants juridiques et au service postal (qui peut voir l'adresse pour l'envoi d'éventuelles communications écrites).
Pour les finalités indiquées au point 2(C) , les données peuvent être communiquées (en ne communiquant que les données nécessaires à la poursuite de ces finalités) aux organismes publics lorsqu'il existe une obligation de le faire.
Pour les finalités indiquées au point 2(D), les données relatives aux transactions (nom, prénom, contacts, date et heure de l'achat, type de produit, prix, mode de paiement) peuvent être communiquées à Signifyd inc, la société qui gère le système anti-fraude.
Les données peuvent également être communiquées pour notre compte, chacun pour son rôle, à toutes les personnes déléguées par nous (personnel administratif, personnel chargé de l'expédition et de la mise sous pli, y compris les personnes extérieures à la société, personnel chargé du marketing et de la gestion des sites, y compris les personnes extérieures à la société, techniciens informatiques chargés de la gestion des systèmes d'information, personnel chargé des relations publiques, personnel juridique, les membres du conseil d'administration et du conseil des commissaires, les auditeurs internes, les stagiaires, les indépendants et les consultants - les contractants également externes à la société qui agissent sous la responsabilité directe de la société, comme, par exemple, les techniciens informatiques, les consultants en qualité, les consultants et les auditeurs juridiques, les collaborateurs des sous-traitant des données). Les données peuvent également être communiquées à des sous-traitants désignés par nous (par exemple, sociétés/professions libérales/cabinets exerçant des activités utiles à celles d’ICF, notamment, à titre d’exemple, des activités de marketing, services d’expédition et de mise sous pli, call centers, activités d’audit et de gestion des relations publiques, sociétés d’outsourcing informatique, y compris celles basées dans d’autres pays, des sociétés qui collaborent à la gestion de l'organisation de ICF).

5.    Conservation des données
Les données pourront être conservées et traitées par nous pendant toute la période nécessaire à la poursuite des finalités contenues dans cette politique de protection des données. La période de conservation des données est la suivante :
-    que ce soit en vertu d'obligations juridiques, de règlements ou de réglementations communautaires, pendant les périodes imposées par ces sources réglementaires;
-    pour des raisons contractuelles, jusqu'à résiliation de la relation et également après résiliation, pendant la période fixée par les réglementations françaises et européennes ;
-    pour les finalités indiquées à la section 2(D), jusqu'à la conclusion de l'ordonnance et, si nécessaire, pour une période nécessaire pour faire valoir ou défendre un droit de la société en vertu du droit applicable.
dans tous les cas, l'ensemble des données peuvent être conservées pendant la période qui s'impose pour faire valoir ou défendre les droits d'une société conformément aux réglementations françaises et européennes.

6.    Responsable du traitement des données
Le Responsable du traitement est la société, illycaffè France SAS, Immeuble Imagine 20-26 bld du Parc, 92200 Neuilly/Seine, tél. +33 14143880, e-mail : privacy.frabelux@illy.com.

7.    Droits
Nous vous informons que le RGPD prévoit la possibilité pour vous, de demander au responsable du traitement (aux adresses indiquées ci-dessus) l'accès aux données personnelles et la rectification des données, l'annulation des données ou la limitation du traitement qui la concerne, la portabilité des données ; vous pouvez également avoir la possibilité, toujours en nous contactant, de vous opposer au traitement des données et d'exercer les autres droits contenus dans le chapitre 3 section 1 du RGPD, y compris le droit de révoquer le consentement, si possible.La révocation du consentement n'affecte pas la licéité du traitement fondé sur le consentement donné avant la révocation.

8.    Réclamations
Si vous pensez que le traitement de  données est contraire aux dispositions du GDPR, Vous pouvez toujours adresser une réclamation à l'autorité de contrôle française (pour ICF) dont les références se trouvent sur le site https://www.cnil.fr comme prévu à l'article 77 du GDPR, ou d'engager une action en justice appropriée (article 79 du GDPR).  
Vous pouvez également vous adresser à l'autorité de contrôle de l'État dans lequel vous résidez ou travaillez habituellement.

9.    Modes
Nous vous informons que ces données seront traitées par ICF manuellement, sur support papier, informatique ou télématique. Par conséquent, ICF conservera et traitera les données tant sur papier que sur support informatique. ICF observera des mesures de sécurité spécifiques afin d’éviter la perte des données, leur utilisation illégale ou non conforme, ainsi que des accès non autorisés. Toutes les données seront conservées et traitées dans le strict respect de la confidentialité, conformément aux lois en vigueur dans chacun des pays où ICF est implanté. Par conséquent, les principes de justesse, de légalité, de transparence et de confidentialité seront également respectés, de même que la finalité de collecte de ces informations. Les données communiquées seront exclusivement utilisées dans le cadre de la poursuite des objectifs figurant au présent document.

10.    Droit après le décès
La personne concernée peut indiquer quoi faire de ses données après son décès conformément à l’article 85 de la Loi n° 78-17 à la dernière mise à jour (par exemple, communiquer à un tiers les directives, enregistrer les directives auprès d’un tiers de confiance numérique certifié pour la Commission nationale de l’Informatique et des Libertés). En l'absence de directives, les données seront mises à la disposition des héritiers aux fins énoncées pur la loi

11.    Transfert de données en dehors de la Union Européenne
Les données peuvent être connues et donc transférées en dehors de l'Union européenne à des sociétés informatiques fournissant des services informatiques pour le compte de la Société et nommées spécifiquement en tant sous-traitants ou à des responsable du traitement autonomes (Signifyd inc). Sujets dits s'engagent à respecter toutes les exigences énoncées dans la législation européenne, y compris en signant les clauses contractuelles types indiquées par la Commission européenne et/ou l'autorité de contrôle compétente et prévues par le GDPR (art. 46, par. 2, lettre c) pour garantir le transfert (dont une copie est disponible en nous contactant aux adresses indiquées au point 6) lorsque dans les pays indiqués il n'y a pas de décision d'adéquation spécifique pour laquelle le pays non UE est considéré comme offrant les mêmes garanties prévues par la législation européenne.
Toutes les garanties prévues par la loi sont adoptées. La liste des sujets et donc des pays auxquels les données peuvent être transférées est disponible en contactant la Société aux adresses indiquées au point 6.

Note d’information mises à jour au 25/01/23. Cette mise à jour s'inscrit dans une politique de révision constante de l'information. Les versions des fiches d'information précédentes peuvent être obtenues en contactant le contrôleur des données (e-mail privacy.frabelux@illy.com.)