Politique de Confidentialité et de Protection des Données Personnelles

CONVERTY FOR ECOMMERCE, exploitante de la plateforme converty.shop, s'engage à protéger la vie privée de ses utilisateurs et à préserver leurs données personnelles, conformément aux dispositions de la loi tunisienne n° 63 de l'année 2004 relative à la protection des données à caractère personnel, ainsi qu'aux dispositions applicables du Règlement général sur la protection des données (RGPD / GDPR) dans le cadre des relations contractuelles concernées.

La présente politique définit la manière dont la plateforme collecte les données personnelles, les finalités de leur utilisation, les tiers avec lesquels elles peuvent être partagées, ainsi que les droits garantis aux utilisateurs à cet égard.

Coordonnées de contact :

• Adresse e-mail : contact@converty.shop
• Téléphone : +216 48 272 872
• Site web : converty.shop

En utilisant la plateforme ou en vous y inscrivant, vous reconnaissez avoir pris connaissance de la présente politique, en avoir compris le contenu et y avoir consenti.

La présente politique s'applique à :

• Les commerçants : toute personne physique ou morale qui crée un compte sur la plateforme et utilise ses services pour créer et gérer une boutique en ligne.
• Les visiteurs : toute personne qui navigue sur la plateforme ou consulte son contenu sans inscription.
• Les clients des boutiques : toute personne qui interagit avec les boutiques en ligne créées via la plateforme, que ce soit par inscription, navigation ou réalisation d'achats.

La présente politique ne s'applique pas aux sites tiers liés à la plateforme via des liens externes, ces sites étant soumis à leurs propres politiques de confidentialité.

La plateforme collecte les catégories de données suivantes :

I. Données d'identité
Incluent : le nom complet et le nom d'utilisateur.

II. Données de contact
Incluent : l'adresse e-mail, le numéro de téléphone, l'adresse postale ou géographique, ainsi que les autres données de contact saisies par l'utilisateur.

III. Données techniques
Incluent : l'adresse de protocole Internet (adresse IP), le type et la version du navigateur, le système d'exploitation, les données des Cookies (fichiers témoins), les données de session et les identifiants d'appareils.

IV. Données d'utilisation
Incluent : les pages de la plateforme visitées, la durée des sessions, les liens cliqués, les habitudes de navigation au sein de la plateforme et les journaux d'interaction avec les services.

V. Données de la boutique en ligne
Incluent : le nom de la boutique, les détails des produits et du stock, les enregistrements des commandes, ainsi que les données clients saisies par le commerçant dans sa boutique, tel que détaillé dans la section « Données des clients des boutiques » ci-dessous.

VI. Mots de passe
Les mots de passe sont stockés sous forme chiffrée (Hashed) à l'aide d'algorithmes de chiffrement standards reconnus, et ne peuvent en aucun cas être consultés en texte clair.

La plateforme collecte les données à partir des sources suivantes :

• Inscription et création de compte : lors de la création d'un nouveau compte sur la plateforme, l'utilisateur fournit un ensemble de données personnelles nécessaires à l'activation du service.
• Utilisation quotidienne de la plateforme : les données d'utilisation et techniques sont collectées automatiquement lors de la navigation sur la plateforme et de l'interaction avec ses services.
• Cookies et technologies de suivi : tel que détaillé dans la section « Cookies » ci-dessous.
• Contact avec l'équipe d'assistance : des informations supplémentaires peuvent être collectées lorsque l'utilisateur contacte l'équipe d'assistance technique ou administrative.
• Tiers partenaires : la plateforme peut recevoir des données complémentaires de la part de ses partenaires de service (tels que les passerelles de paiement et les sociétés de livraison) lors de l'utilisation de leurs services.
• Journaux techniques automatiques : des données techniques sont automatiquement enregistrées sur les serveurs de la plateforme à chaque connexion, incluant l'adresse IP, les données du navigateur et les détails de la session.

Les données collectées sont utilisées aux fins suivantes :

• Fourniture et exploitation des services : création des comptes utilisateurs, activation des boutiques en ligne, traitement des commandes et mise à disposition de toutes les fonctionnalités opérationnelles de la plateforme.
• Communication et assistance technique : envoi de notifications relatives au compte et aux transactions, et réponse aux demandes des utilisateurs ainsi qu'aux besoins d'assistance technique.
• Gestion des paiements et des règlements financiers : traitement des commissions et des paiements relatifs à l'utilisation de la plateforme, en coordination avec les passerelles de paiement agréées.
• Amélioration de la qualité des services : analyse des habitudes d'utilisation pour développer les fonctionnalités, améliorer les performances de la plateforme et l'expérience utilisateur.
• Marketing et communications promotionnelles : envoi de newsletters, d'offres et de mises à jour aux utilisateurs ayant consenti à les recevoir, avec possibilité de désabonnement à tout moment.
• Vérification des comptes et gestion des risques : examen des comptes des commerçants et de leurs habitudes transactionnelles afin de détecter les indicateurs de fraude ou d'utilisation contraire aux politiques de la plateforme, dans le but de préserver la sécurité de l'ensemble de la communauté commerciale.
• Protection des droits : défense des droits de la plateforme et de ses utilisateurs, et règlement des litiges le cas échéant.

La plateforme fonde le traitement des données personnelles sur les bases juridiques suivantes, conformément à la loi tunisienne n° 63 de l'année 2004 et aux dispositions applicables du GDPR :

• Consentement explicite : lorsque l'utilisateur est invité à donner son consentement à la collecte de certaines données à des fins spécifiques, telles que les communications marketing et les Cookies non essentiels. L'utilisateur a le droit de retirer son consentement à tout moment sans que cela affecte la licéité du traitement antérieur.
• Nécessité contractuelle : traitement des données nécessaires à l'exécution du contrat conclu entre la plateforme et l'utilisateur, tels que la création de compte, l'exploitation de la boutique et la gestion des paiements.
• Intérêt légitime : traitement des données à des fins d'analyse de l'utilisation, d'amélioration des services, de détection des fraudes et de protection de la sécurité de la plateforme — dans la mesure où cela ne contrevient pas aux droits et libertés fondamentaux des utilisateurs.

Absence de vente ou de location

La plateforme ne vend, ne loue ni ne commercialise vos données personnelles à aucun tiers.

Cas de partage légitimes

La plateforme peut partager les données dans les cas suivants uniquement :

• Prestataires de services : partage des données avec les partenaires techniques chargés de fournir des services nécessaires au fonctionnement (tels que l'hébergement cloud, les passerelles de paiement, les sociétés de livraison et les outils d'analyse).
• Produits partenaires : lorsque l'utilisateur choisit d'activer des applications ou services tiers intégrés à la plateforme, les données nécessaires au fonctionnement de ces produits peuvent être partagées avec leurs fournisseurs, à la connaissance de l'utilisateur et conformément aux conditions de service de chaque partie.
• Auditeurs et contrôleurs : partage des données avec des commissaires aux comptes ou des conseillers juridiques tenus à la confidentialité professionnelle en vertu de la loi ou du contrat.
• Fusion et acquisition : en cas de vente de la plateforme, de fusion ou d'acquisition de ses actifs par une autre entité, les données peuvent être transférées à l'entité successeure, avec engagement d'en informer les utilisateurs au préalable.
• Protection des droits : lorsque le partage est nécessaire pour défendre les droits légaux de la plateforme ou les droits contractuels de ses utilisateurs.

La plateforme utilise des passerelles de paiement exploitées par des tiers agréés. Lors de toute transaction financière, les données de paiement sont soumises aux politiques de confidentialité de ces tiers. La plateforme ne saurait être tenue responsable du traitement effectué par ces tiers sur les données de paiement.

Qu'est-ce que les Cookies ?

Les Cookies sont de petits fichiers texte stockés sur l'appareil de l'utilisateur lors de la visite de la plateforme. Ils permettent à la plateforme de reconnaître le navigateur, de mémoriser les préférences et d'améliorer l'expérience d'utilisation.

Types de Cookies utilisés

Gestion des Cookies

L'utilisateur peut à tout moment modifier ses paramètres de Cookies via :

• Le panneau des paramètres de confidentialité disponible sur la plateforme.
• Les paramètres du navigateur (refus ou suppression de tous les Cookies). Il convient de noter que le refus des Cookies essentiels peut entraver certaines fonctionnalités de base de la plateforme.

La plateforme met en œuvre un ensemble complet de mesures de sécurité pour protéger les données personnelles, comprenant :

• Chiffrement des communications : la plateforme utilise les protocoles SSL/TLS pour chiffrer toutes les données transmises entre l'utilisateur et les serveurs.
• Chiffrement des mots de passe : les mots de passe sont stockés sous forme chiffrée (Hashed) à l'aide d'algorithmes de chiffrement robustes et reconnus, et ne peuvent en aucun cas être récupérés.
• Contrôles d'accès : l'accès aux bases de données et aux informations des utilisateurs est soumis à des règles strictes limitant la consultation des données aux seuls employés habilités, selon le principe du besoin d'en connaître.
• Audits de sécurité : la plateforme procède à des audits de sécurité périodiques de son infrastructure technique et traite les vulnérabilités découvertes de manière proactive.
• Protection technique multicouche : incluant les pare-feux (Firewalls), les systèmes de détection d'intrusion et la surveillance continue des activités anormales.

Néanmoins, la plateforme ne garantit pas une protection absolue contre tous les risques de cyberattaque, et encourage les utilisateurs à choisir des mots de passe robustes et à préserver la confidentialité de leurs identifiants de connexion.

La plateforme conserve les données personnelles selon les durées suivantes :

• Données du compte actif : les données du compte sont conservées pendant toute la durée de la relation contractuelle avec l'utilisateur.
• Données financières et enregistrements de transactions : conservées pendant cinq (5) ans à compter de la date de chaque transaction, conformément aux exigences comptables et fiscales en vigueur.
• Journaux d'utilisation et données techniques : conservés pendant douze (12) mois à compter de leur date de génération.
• Données après la clôture du compte : lors de la résiliation du compte, les données personnelles sont supprimées dans un délai de quatre-vingt-dix (90) jours, tout en conservant le minimum nécessaire au respect des obligations légales pendant la durée légale applicable.
• Données d'assistance technique et correspondances : conservées pendant trois (3) ans à compter de la date du dernier contact.

Les données personnelles peuvent être transférées vers des serveurs ou des sous-traitants situés en dehors du territoire de la République tunisienne à des fins d'hébergement cloud ou de prestation de services techniques. Dans ces cas, la plateforme s'engage à :

• Vérifier que les pays destinataires ou les entités réceptrices offrent un niveau adéquat de protection des données personnelles.
• Conclure des accords contractuels de traitement des données avec les entités réceptrices, les obligeant à respecter les normes de protection prévues par la loi tunisienne n° 63 de l'année 2004.
• Appliquer les mécanismes de transfert reconnus par l'Instance Nationale de Protection des Données Personnelles tunisienne (INPDP — Autorité nationale de protection des données personnelles) ou leur équivalent, le cas échéant.

Tout utilisateur de la plateforme bénéficie des droits suivants concernant ses données personnelles :

• Droit d'accès : le droit de consulter les données personnelles que la plateforme détient à son sujet.
• Droit de rectification : le droit de demander la correction de toute donnée inexacte, incomplète ou trompeuse.
• Droit à l'effacement : le droit de demander la suppression de ses données personnelles lorsque les justifications légales ou contractuelles de leur conservation sont absentes.
• Droit à la limitation du traitement : le droit de demander la limitation du traitement de ses données dans des cas spécifiques (tels que la contestation de leur exactitude ou l'opposition à leur utilisation à certaines fins).
• Droit à la portabilité des données : le droit de recevoir ses données personnelles dans un format électronique structuré et lisible par machine, et de les transférer à une autre entité lorsque cela est techniquement possible.
• Droit d'opposition : le droit de s'opposer au traitement de ses données à des fins de prospection commerciale directe ou à des fins fondées sur l'intérêt légitime.
• Droit de retrait du consentement : le droit de retirer son consentement au traitement des données à tout moment, sans que cela affecte la licéité du traitement antérieur.

Modalités d'exercice des droits

Pour exercer l'un des droits susmentionnés, l'utilisateur doit :

• Contacter la plateforme par e-mail à l'adresse : contact@converty.shop, en indiquant clairement le droit dont il souhaite faire usage et en fournissant un justificatif d'identité.
• La plateforme s'engage à répondre à la demande dans un délai de trente (30) jours à compter de la date de réception, avec possibilité de prolonger ce délai de trente jours supplémentaires dans les cas complexes, après notification préalable de l'utilisateur.
• En cas d'insatisfaction quant à la réponse apportée, l'utilisateur a le droit de déposer une réclamation auprès de l'Instance Nationale de Protection des Données Personnelles (INPDP) en Tunisie.

Distinction des rôles

En ce qui concerne les données des clients des boutiques en ligne, la plateforme agit en qualité de Data Processor (sous-traitant de données) pour le compte des commerçants, qui sont eux-mêmes Data Controllers (responsables du traitement). Il en résulte que :

• Le commerçant assume l'entière responsabilité de la détermination des finalités et des modalités du traitement des données de ses clients, conformément aux lois en vigueur.
• La plateforme fournit l'infrastructure technique nécessaire au traitement de ces données selon les instructions du commerçant, sans les utiliser à son propre compte.
• La plateforme s'engage à appliquer des normes de sécurité adéquates pour la conservation et la protection des données des clients des boutiques.

Types de données collectées concernant les clients des boutiques

Les données pouvant être traitées via la plateforme pour le compte des commerçants comprennent :

• Données d'inscription à la boutique : le nom, l'adresse e-mail, le numéro de téléphone et l'adresse de livraison.
• Données de navigation et d'interaction : les pages consultées par le client, les produits parcourus et le panier d'achat.
• Données de commandes : les détails des achats, le montant des commandes, la date d'achat et le statut de livraison.

Chaque commerçant est tenu de publier une politique de confidentialité propre à sa boutique, dans laquelle il informe ses clients des finalités de la collecte de leurs données et des modalités de leur utilisation.

La plateforme ne destine pas ses services aux personnes âgées de moins de dix-huit (18) ans et ne collecte pas intentionnellement leurs données.

En cas de découverte qu'un mineur a fourni ses données sans le consentement de son représentant légal, la plateforme s'engage à supprimer ces données dès qu'elle en a connaissance. Les parents et tuteurs sont encouragés à contacter la plateforme à l'adresse contact@converty.shop en cas de suspicion de tels cas.

Communications de service

Certains messages sont envoyés aux utilisateurs en tant que partie intégrante de la prestation de service, tels que les notifications de compte, les confirmations de transactions et les alertes de sécurité. Il n'est pas possible de se désabonner de ces communications pendant la période d'utilisation active de la plateforme.

Communications marketing

• Les messages marketing ne sont envoyés qu'aux utilisateurs ayant donné leur consentement explicite à les recevoir.
• L'utilisateur a le droit à tout moment de se désabonner des messages marketing par l'un des moyens suivants :
  — En cliquant sur le lien « Se désabonner » figurant en bas de chaque e-mail.
  — En modifiant les paramètres de notification dans son tableau de bord.
  — En contactant le service d'assistance à l'adresse contact@converty.shop.
• La demande de désabonnement sera traitée dans un délai de quinze (15) jours ouvrables à compter de la date de la demande.

La plateforme propose une intégration optionnelle avec Google Sheets qui permet aux commerçants d'exporter automatiquement les données de leurs commandes vers un tableur Google Sheets. Cette section décrit comment la plateforme accède, utilise, stocke et protège les données des utilisateurs Google dans le cadre de cette fonctionnalité.

Portée de l'accès

La plateforme demande l'autorisation OAuth drive.file auprès de Google. Cette autorisation limite l'accès de la plateforme exclusivement aux fichiers que la plateforme elle-même crée. La plateforme ne peut pas accéder, consulter, modifier ou supprimer d'autres fichiers dans le compte Google Drive de l'utilisateur. La plateforme ne demande pas l'accès aux contacts, aux e-mails, au calendrier ou à tout autre service Google.

Utilisation des données Google

Lorsqu'un commerçant connecte Google Sheets, la plateforme effectue les actions suivantes :

• Création d'un nouveau tableur Google Sheets dans le Google Drive du commerçant.
• Remplissage avec les données de commandes de la boutique, comprenant : numéro de référence, nom du client, numéro de téléphone, ville, adresse, produits, quantités, statut de la commande, détails de livraison et horodatages.
• Synchronisation périodique des nouvelles commandes pour maintenir le tableur à jour.

Données stockées par la plateforme

La plateforme ne stocke dans sa base de données que les éléments suivants pour maintenir la connexion : l'identifiant du tableur, l'URL du tableur et le jeton de rafraîchissement OAuth. La plateforme ne stocke pas de copies du contenu du tableur sur ses serveurs.

Conservation et suppression

Le jeton de rafraîchissement OAuth et la référence du tableur sont conservés tant que l'intégration Google Sheets reste active sur le compte du commerçant. Lorsque le commerçant déconnecte l'intégration, la plateforme supprime immédiatement le jeton de rafraîchissement OAuth et la référence du tableur de sa base de données. Le tableur lui-même n'est pas supprimé du Google Drive du commerçant et reste sous son contrôle total.

Révocation de l'accès

Les commerçants peuvent déconnecter l'intégration à tout moment depuis leur tableau de bord Converty. Ils peuvent également révoquer l'accès de la plateforme depuis leur page des autorisations du compte Google.

Pas de partage des données Google

La plateforme ne vend, ne loue et ne partage pas les données des utilisateurs Google avec des tiers. Les données Google sont utilisées uniquement pour fournir la fonctionnalité de synchronisation décrite ci-dessus. Aucun membre du personnel n'accède au contenu du tableur d'un commerçant sauf si celui-ci demande explicitement une assistance technique.

Base juridique

Le traitement des données des utilisateurs Google est fondé sur le consentement explicite du commerçant, fourni lorsqu'il autorise l'intégration via le processus de consentement OAuth de Google, conformément à l'article 6(1)(a) du RGPD.

Politique de confidentialité de Google

Pour savoir comment Google collecte, utilise et protège les données des utilisateurs, veuillez consulter la Politique de confidentialité de Google.

L'utilisation et le transfert par Converty à toute autre application des informations reçues des API Google sont conformes à la Politique relative aux données utilisateur des services API Google, y compris les exigences d'utilisation limitée.

La plateforme limite son utilisation des données des utilisateurs Google comme suit :

• Les données des utilisateurs Google ne sont utilisées que pour fournir et améliorer la fonctionnalité de synchronisation des commandes via Google Sheets que l'utilisateur a explicitement demandée.
• Les données des utilisateurs Google ne sont pas transférées à des tiers, sauf si cela est nécessaire pour fournir le service, si la loi l'exige, ou avec le consentement explicite de l'utilisateur.
• Les données des utilisateurs Google ne sont pas utilisées à des fins publicitaires ou marketing.
• Aucune personne n'est autorisée à lire les données des utilisateurs Google sauf si l'utilisateur a donné son consentement explicite pour l'assistance technique, si cela est nécessaire à des fins de sécurité, ou si la loi l'exige.

En cas de survenance d'une violation de sécurité susceptible de compromettre les données personnelles des utilisateurs, la plateforme s'engage à :

• Procéder immédiatement à l'investigation de la violation et à l'évaluation de son étendue et de son impact.
• Notifier les utilisateurs concernés dans un délai de soixante-douze (72) heures à compter de la découverte de la violation, avec une description claire de la nature des données affectées et des mesures recommandées pour leur protection.
• Informer les autorités de contrôle compétentes (notamment l'Instance Nationale de Protection des Données Personnelles INPDP) conformément au cadre juridique applicable.
• Prendre toutes les mesures techniques et procédurales nécessaires pour remédier à la vulnérabilité et prévenir sa récurrence.

La plateforme se réserve le droit de modifier la présente politique de temps à autre, en réponse aux évolutions juridiques, techniques ou aux changements dans la nature des services fournis.

En cas de modification substantielle de la politique :

• Les utilisateurs inscrits sont informés par e-mail à l'adresse enregistrée trente (30) jours avant la date d'entrée en vigueur de la modification.
• La version mise à jour de la politique est publiée sur la plateforme avec indication de sa date d'entrée en vigueur.
• La poursuite de l'utilisation de la plateforme par l'utilisateur après l'entrée en vigueur des modifications vaut accord tacite de sa part. En cas de refus des modifications, l'utilisateur a le droit de résilier son compte conformément aux procédures prévues dans les Conditions Générales d'Utilisation.

Pour toute question relative à la présente politique ou pour exercer l'un des droits qui y sont mentionnés, il est possible de contacter la plateforme via :

• Adresse e-mail : contact@converty.shop
• Téléphone : +216 48 272 872
• Siège social : Ariana, Mnihla — République Tunisienne
• Site web : converty.shop