📅 Dernière mise à jour : mars 2026 — Version 1.0
🛡️ Délégué à la Protection des Données (DPO)
ELGATOPHOTO SAS, compte tenu de sa taille (TPE) et de la nature de ses traitements (gestion de commandes, pas de traitement à grande échelle de données sensibles), n'est pas soumise à l'obligation de désigner un Délégué à la Protection des Données (DPO) au titre de l'article 37 du RGPD.
Pour toute question relative à la protection de vos données personnelles, vous pouvez contacter directement le responsable du traitement :
contact@elgatophoto.fr
🔐 ELGATOPHOTO SAS s'engage à protéger votre vie privée et traite vos données personnelles conformément au Règlement Général sur la Protection des Données (RGPD) — Règlement UE 2016/679 — et à la loi Informatique et Libertés du 6 janvier 1978.
1. Responsable du traitement
2. Données collectées et finalités
| Données collectées | Finalité | Base légale |
|---|
| Nom, prénom | Traitement de la commande, livraison | Exécution du contrat |
| Adresse postale | Livraison du produit | Exécution du contrat |
| Adresse email | Confirmation commande, suivi, SAV | Exécution du contrat |
| Numéro de téléphone | Contact en cas de problème de livraison | Exécution du contrat |
| Données de navigation (cookies) | Fonctionnement technique du site | Exempté de consentement (art. 82 LIL) |
| Données analytiques anonymes | Amélioration du site (si consentement) | Consentement |
ELGATOPHOTO SAS ne collecte aucune donnée bancaire sur ses propres serveurs. Les paiements par CB sont traités par un prestataire de paiement certifié PCI-DSS Level 1 (établissement de paiement agréé, établi dans l'UE). Aucune donnée bancaire ne transite par les serveurs d'ELGATOPHOTO SAS. Les virements SEPA transitent par votre banque.
3. Durée de conservation
| Type de données | Durée de conservation |
|---|
| Données de commande (facturation) | 10 ans (obligation légale comptable) |
| Données de livraison | 3 ans après la livraison |
| Données de contact / SAV | 3 ans après le dernier contact |
| Cookies essentiels | 13 mois maximum (recommandation CNIL) |
| Données analytiques | 13 mois (si consentement accordé) |
4. Destinataires des données
Vos données peuvent être transmises aux prestataires suivants dans le strict cadre de l'exécution de votre commande :
- Transporteurs : La Poste (Colissimo), Mondial Relay — pour la livraison
- Prestataire de paiement CB — traitement sécurisé des paiements par carte bancaire. Certifié PCI-DSS Level 1. Établi dans l'UE — RGPD directement applicable.
- Hébergeur : Vercel Inc. — pour le stockage des données du site
Aucune donnée n'est vendue ou cédée à des tiers à des fins commerciales.
5. Vos droits RGPD
Conformément au RGPD, vous disposez des droits suivants :
- Droit d'accès : obtenir une copie de vos données personnelles
- Droit de rectification : corriger des données inexactes ou incomplètes
- Droit à l'effacement : demander la suppression de vos données (dans les limites légales)
- Droit à la portabilité : recevoir vos données dans un format structuré et lisible
- Droit d'opposition : vous opposer à certains traitements
- Droit à la limitation : demander la suspension temporaire d'un traitement
Pour exercer vos droits, contactez ELGATOPHOTO SAS par email à contact@elgatophoto.fr. Réponse dans un délai maximum de 30 jours.
Vous pouvez également introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés) : cnil.fr — 3 Place de Fontenoy — 75007 Paris.
6. Sécurité des données
ELGATOPHOTO SAS met en œuvre les mesures techniques et organisationnelles appropriées pour protéger vos données contre la perte, l'accès non autorisé, la modification ou la divulgation : chiffrement HTTPS/TLS, accès restreint, sauvegardes régulières.
7. Transferts de données hors Union Européenne
Certains de nos prestataires sont établis hors de l'Union Européenne. Ces transferts sont encadrés par des garanties appropriées :
| Prestataire | Pays | Garantie |
|---|
| Vercel Inc. (hébergeur) | États-Unis | Clauses contractuelles types (CCT) approuvées par la Commission Européenne |
| Supabase Inc. (base de données) | États-Unis | Clauses contractuelles types (CCT) — données stockées sur serveurs EU (Frankfurt) |
| Resend Inc. (emails transactionnels) | États-Unis | Clauses contractuelles types (CCT) |
| Prestataire de paiement CB | UE | Établi dans l'UE — RGPD directement applicable |
Ces transferts sont strictement limités aux données nécessaires à l'exécution de votre commande.
8bis. Violation de données à caractère personnel
En cas de violation de données à caractère personnel, ELGATOPHOTO SAS notifiera la Commission Nationale de l'Informatique et des Libertés (CNIL) dans les 72 heures suivant la prise de connaissance de la violation, conformément à l'article 33 du RGPD.
Si cette violation est susceptible d'engendrer un risque élevé pour vos droits et libertés, vous en serez informé sans délai injustifié, conformément à l'article 34 du RGPD. Cette notification précisera la nature de la violation, ses conséquences probables et les mesures prises pour y remédier.
8. Réclamation auprès de la CNIL
Si vous estimez que vos droits ne sont pas respectés, vous avez le droit d'introduire une réclamation auprès de l'autorité de contrôle compétente :
CNIL — Commission Nationale de l'Informatique et des Libertés
3 Place de Fontenoy — TSA 80715 — 75334 Paris Cedex 07
Site : cnil.fr
Formulaire en ligne : cnil.fr/fr/plaintes