Politique de confidentialité
POLITIQUE DE CONFIDENTIALITÉ — ALOE PARIS
Version applicable au 01/01/2026.
PRÉAMBULE
La société Aloe Paris LLP, Limited Liability Partnership de droit britannique, immatriculée au Registre des Sociétés du Royaume-Uni, dont le siège social est situé au 71-75 Shelton Street, Covent Garden, WC2H 9JQ Londres, Royaume-Uni, et disposant d'un établissement secondaire situé au 58 rue de Monceau, 75008 Paris (SIREN 938427630) (ci-après la « Société » ou « Aloe Paris »), accorde une importance particulière à la protection des données personnelles des visiteurs et clients de son site internet https://aloe-paris.co (ci-après le « Site »).
La présente Politique de Confidentialité (ci-après la « Politique ») a pour objet d'informer les utilisateurs du Site (ci-après l'« Utilisateur » ou les « Utilisateurs ») sur les modalités de collecte, de traitement, de conservation et de protection de leurs données personnelles, conformément :
- au Règlement (UE) 2016/679 du 27 avril 2016, dit Règlement Général sur la Protection des Données (« RGPD ») ;
- à la loi n° 78-17 du 6 janvier 1978 modifiée, dite Loi Informatique et Libertés ;
- aux recommandations et lignes directrices de la Commission Nationale de l'Informatique et des Libertés (« CNIL ») ;
- à la directive ePrivacy 2002/58/CE modifiée, et aux dispositions de l'article 82 de la Loi Informatique et Libertés relatives aux cookies et traceurs.
L'accès au Site et toute utilisation de ses services impliquent l'acceptation préalable et le respect des termes de la présente Politique.
ARTICLE 1 — RESPONSABLE DE TRAITEMENT
Le responsable de traitement au sens de l'article 4.7 du RGPD est :
Aloe Paris LLP Siège social : 71-75 Shelton Street, Covent Garden, WC2H 9JQ Londres, Royaume-Uni Établissement secondaire en France : 58 rue de Monceau, 75008 Paris Représentée par : Nicolas CANGEMI Email : hello@aloe-paris.co
Pour toute question relative au traitement de vos données personnelles, vous pouvez contacter le responsable de traitement à l'adresse suivante :
Email : hello@aloe-paris.co Courrier postal : Aloe Paris — Données personnelles, 58 rue de Monceau, 75008 Paris, France
ARTICLE 2 — DONNÉES PERSONNELLES COLLECTÉES
2.1 Données collectées directement auprès de l'Utilisateur
Lorsque l'Utilisateur interagit avec le Site, la Société peut collecter les catégories de données suivantes :
a) Lors de la création d'un compte client ou d'une commande :
- Données d'identification : civilité, nom, prénom
- Coordonnées : adresse postale (livraison et facturation), adresse email, numéro de téléphone
- Données de paiement : type de moyen de paiement, données nécessaires à la transaction (le numéro complet de carte bancaire n'est jamais collecté ni stocké par la Société, étant traité directement par le prestataire de paiement)
- Données de connexion : identifiant, mot de passe (stocké sous forme chiffrée)
- Historique des commandes et préférences d'achat
b) Lors de l'inscription à la newsletter ou aux communications marketing :
- Adresse email
- Prénom (optionnel)
- Préférences de communication
c) Lors d'une demande de service client ou d'une réclamation :
- Informations communiquées par l'Utilisateur dans sa demande
- Historique des échanges
- Pièces jointes éventuelles (photos de produit, factures, etc.)
d) Lors du dépôt d'un avis client :
- Pseudo ou prénom + initiale du nom
- Note attribuée et contenu de l'avis
- Date de l'avis
2.2 Données collectées automatiquement lors de la navigation
Lors de la visite du Site, certaines données sont collectées automatiquement via des cookies et traceurs (voir Article 7) :
- Adresse IP
- Type et version du navigateur
- Système d'exploitation
- Pages consultées, durée de visite, parcours de navigation
- Site de provenance (référent)
- Termes de recherche ayant conduit au Site
- Identifiants uniques de session
- Fuseau horaire et langue préférée
- Données de géolocalisation approximative (au niveau du pays/région, déduites de l'adresse IP)
2.3 Données issues de tiers
La Société peut également recevoir des données vous concernant de la part de :
- Prestataires de paiement (Stripe, PayPal, Apple Pay, AMEX, Scalapay) : statut de la transaction, données de lutte contre la fraude
- Plateformes publicitaires (Meta, Google) : données d'attribution et de conversion lorsque l'Utilisateur a interagi avec une publicité avant d'arriver sur le Site
- Trustpilot : avis publiés et identité du déposant si l'Utilisateur a laissé un avis via cette plateforme
- Partenaires commerciaux (programmes d'affiliation, plateformes de fidélisation) : données nécessaires à la tracking et au reversement des commissions
2.4 Pas de données sensibles
La Société ne collecte ni ne traite aucune donnée sensible au sens de l'article 9 du RGPD (origine raciale ou ethnique, opinions politiques, convictions religieuses ou philosophiques, appartenance syndicale, données génétiques ou biométriques, données concernant la santé, la vie ou l'orientation sexuelle). L'Utilisateur est invité à ne pas communiquer ce type d'informations à la Société, notamment dans les zones de saisie libre (commentaires, messages au service client, avis).
2.5 Données concernant les mineurs
Le Site n'est pas destiné aux mineurs de moins de 15 ans. La Société ne collecte pas sciemment de données personnelles auprès de mineurs de moins de 15 ans. Si un parent ou tuteur légal constate que son enfant mineur a communiqué des données personnelles à la Société, il peut demander la suppression de ces données à l'adresse mentionnée à l'Article 1.
ARTICLE 3 — FINALITÉS ET BASES LÉGALES DES TRAITEMENTS
Conformément à l'article 6 du RGPD, chaque traitement de données personnelles repose sur une base légale spécifique. Le tableau ci-dessous résume les finalités, les bases légales et les durées de conservation associées :
| Finalité | Base légale | Durée de conservation |
|---|---|---|
| Gestion des commandes (livraison, facturation, SAV) | Exécution du contrat (art. 6.1.b RGPD) | 3 ans à compter de la fin de la relation commerciale (prospects et clients inactifs) ; 10 ans pour les factures (obligation comptable légale, art. L.123-22 Code de commerce) |
| Gestion du compte client | Exécution du contrat (art. 6.1.b RGPD) | Jusqu'à la suppression du compte par l'Utilisateur + 3 ans en archives intermédiaires |
| Envoi de newsletters et communications marketing | Consentement (art. 6.1.a RGPD) | Jusqu'au retrait du consentement ou 3 ans après le dernier contact actif |
| Personnalisation des publicités sur réseaux sociaux et moteurs de recherche | Consentement via bandeau cookies (art. 82 LIL) | 13 mois maximum (durée du consentement cookies) |
| Mesure d'audience et statistiques de visite | Consentement via bandeau cookies, ou intérêt légitime pour les outils exemptés CNIL | 13 mois maximum |
| Lutte contre la fraude (paiement, faux comptes, faux avis) | Intérêt légitime (art. 6.1.f RGPD) | 13 mois après la transaction, sauf dossier de fraude (5 ans) |
| Gestion des avis clients | Consentement (art. 6.1.a RGPD) | 5 ans à compter du dépôt de l'avis |
| Réponse aux demandes du service client | Intérêt légitime (art. 6.1.f RGPD) | 3 ans à compter de la clôture du dossier |
| Respect des obligations légales (comptabilité, fiscalité, lutte anti-blanchiment) | Obligation légale (art. 6.1.c RGPD) | 10 ans pour les pièces comptables ; durées spécifiques selon les textes |
| Gestion des demandes d'exercice des droits RGPD | Obligation légale (art. 6.1.c RGPD) | 3 ans à compter de la demande |
| Programmes de fidélité et parrainage | Exécution du contrat / consentement | Durée d'adhésion au programme + 3 ans |
| Sécurité du Site et des systèmes d'information | Intérêt légitime (art. 6.1.f RGPD) | 12 mois pour les logs de connexion |
À l'expiration des durées indiquées, les données sont soit supprimées, soit anonymisées de manière irréversible à des fins statistiques.
ARTICLE 4 — DESTINATAIRES DES DONNÉES
Les données personnelles collectées sont destinées :
4.1 En interne
Au personnel habilité de la Société, dans la limite de ses attributions (service client, marketing, comptabilité, direction).
4.2 À des sous-traitants au sens de l'article 28 du RGPD
La Société fait appel à des prestataires techniques pour le fonctionnement du Site et la fourniture de ses services. Ces sous-traitants n'agissent que sur instruction de la Société et sont liés par un contrat conforme à l'article 28 du RGPD. Les principales catégories de sous-traitants sont :
| Catégorie | Prestataires | Finalité | Pays de traitement |
|---|---|---|---|
| Plateforme e-commerce / hébergement | Shopify Inc. | Hébergement du Site, gestion des commandes | Canada / États-Unis |
| Prestataires de paiement | Stripe, PayPal, Apple Pay, AMEX, Scalapay | Traitement des paiements | UE / États-Unis |
| Solution logistique (3PL) | Innovacion Business System | Expédition et gestion des retours | France |
| Outils d'emailing et CRM | Kalviyo | Envoi de newsletters et emails transactionnels | UE / États-Unis |
| Mesure d'audience | Google Analytics | Statistiques de fréquentation | États-Unis |
| Publicité ciblée | Meta (Facebook, Instagram), Google Ads, TikTok, Pinterest | Diffusion de publicités | UE / États-Unis |
| Gestion des avis | Trustpilot, Judge.me | Collecte et affichage des avis clients | Royaume-Uni / États-Unis |
| Service client | Gorgias | Gestion des demandes clients | UE / États-Unis |
| Médiation de la consommation | CM2C | Résolution amiable des litiges | France |
4.3 À des tiers en cas d'obligation légale
Les données personnelles peuvent être communiquées à des autorités administratives ou judiciaires (DGCCRF, CNIL, autorités fiscales, justice) sur demande légale et fondée.
4.4 Pas de vente de données
La Société ne vend, ne loue et ne cède en aucun cas les données personnelles de ses Utilisateurs à des tiers à des fins commerciales propres.
ARTICLE 5 — TRANSFERTS DE DONNÉES HORS DE L'UNION EUROPÉENNE
Certains des sous-traitants mentionnés à l'Article 4 sont établis en dehors de l'Espace Économique Européen (EEE), notamment au Royaume-Uni, aux États-Unis et au Canada. Les transferts de données vers ces pays sont encadrés par les mécanismes suivants, conformément aux articles 44 à 50 du RGPD :
- Royaume-Uni : décision d'adéquation de la Commission européenne du 28 juin 2021 reconnaissant un niveau de protection équivalent
- États-Unis : adhésion des prestataires concernés au Data Privacy Framework (DPF) mis en place par la décision d'adéquation de la Commission européenne du 10 juillet 2023, ou à défaut, encadrement par des clauses contractuelles types approuvées par la Commission européenne (Décision 2021/914)
- Canada : décision d'adéquation de la Commission européenne du 20 décembre 2001 pour les organismes commerciaux soumis au PIPEDA
L'Utilisateur peut obtenir une copie de ces garanties en adressant une demande à l'adresse mentionnée à l'Article 1.
ARTICLE 6 — DROITS DE L'UTILISATEUR
Conformément aux articles 15 à 22 du RGPD et aux articles 49 à 56 de la Loi Informatique et Libertés, l'Utilisateur dispose des droits suivants sur ses données personnelles :
6.1 Droit d'accès (article 15 RGPD)
L'Utilisateur peut obtenir la confirmation que ses données font l'objet d'un traitement, ainsi qu'une copie des données traitées et des informations relatives à ce traitement.
6.2 Droit de rectification (article 16 RGPD)
L'Utilisateur peut demander la correction des données inexactes ou incomplètes le concernant.
6.3 Droit à l'effacement / « droit à l'oubli » (article 17 RGPD)
L'Utilisateur peut demander la suppression de ses données, sous réserve des limitations légales (notamment les obligations de conservation comptable, fiscale ou de lutte contre la fraude).
6.4 Droit à la limitation du traitement (article 18 RGPD)
L'Utilisateur peut demander la suspension temporaire du traitement de ses données, notamment en cas de contestation de leur exactitude.
6.5 Droit à la portabilité (article 20 RGPD)
L'Utilisateur peut recevoir ses données dans un format structuré, couramment utilisé et lisible par machine, et les transmettre à un autre responsable de traitement.
6.6 Droit d'opposition (article 21 RGPD)
L'Utilisateur peut s'opposer, à tout moment et sans avoir à justifier, au traitement de ses données à des fins de prospection commerciale. Il peut également s'opposer, pour des raisons tenant à sa situation particulière, à un traitement fondé sur l'intérêt légitime.
6.7 Droit de retrait du consentement (article 7.3 RGPD)
Lorsque le traitement repose sur le consentement, l'Utilisateur peut retirer ce consentement à tout moment, sans que cela ne remette en cause la licéité du traitement effectué avant ce retrait.
6.8 Droit de définir des directives post-mortem (article 85 LIL)
L'Utilisateur peut définir des directives relatives à la conservation, à l'effacement et à la communication de ses données après son décès.
6.9 Droit de ne pas faire l'objet d'une décision automatisée (article 22 RGPD)
La Société ne prend aucune décision produisant des effets juridiques à l'égard de l'Utilisateur sur la seule base d'un traitement automatisé.
6.10 Modalités d'exercice des droits
Pour exercer l'un ou l'autre de ces droits, l'Utilisateur peut adresser sa demande :
- par email à : hello@aloe-paris.co
- par courrier à : Aloe Paris — Données personnelles, 58 rue de Monceau, 75008 Paris
Afin de protéger la confidentialité des données et de prévenir toute usurpation d'identité, la Société pourra demander à l'Utilisateur de justifier de son identité avant de répondre à sa demande, conformément aux recommandations de la CNIL. Un justificatif d'identité ne sera demandé qu'en cas de doute raisonnable.
La Société s'engage à répondre dans un délai maximum d'un (1) mois à compter de la réception de la demande, conformément à l'article 12.3 du RGPD. Ce délai peut être prolongé de deux mois supplémentaires en cas de complexité de la demande ou de nombre élevé de demandes, l'Utilisateur étant alors informé de cette prolongation et de ses motifs.
6.11 Droit d'introduire une réclamation auprès de la CNIL
En cas de désaccord persistant sur le traitement de ses données, l'Utilisateur peut introduire une réclamation auprès de l'autorité de contrôle française :
Commission Nationale de l'Informatique et des Libertés (CNIL) 3 Place de Fontenoy — TSA 80715 75334 Paris Cedex 07 Téléphone : 01 53 73 22 22 Site internet : https://www.cnil.fr
ARTICLE 7 — COOKIES ET TRACEURS
7.1 Définition
Un cookie est un petit fichier texte déposé sur le terminal de l'Utilisateur (ordinateur, smartphone, tablette) lors de la visite du Site. Il permet de reconnaître le navigateur de l'Utilisateur, de stocker certaines informations sur ses préférences ou ses actions, et de faciliter la navigation.
7.2 Catégories de cookies utilisés
Conformément aux lignes directrices et à la recommandation « cookies et autres traceurs » de la CNIL (délibération n°2020-091 et n°2020-092 du 17 septembre 2020), les cookies déposés sur le Site sont classés en quatre catégories :
a) Cookies strictement nécessaires (exemptés de consentement)
Indispensables au fonctionnement du Site, ils ne nécessitent pas le consentement de l'Utilisateur. Ils incluent notamment :
| Cookie | Finalité | Durée |
|---|---|---|
_session_id |
Gestion de la session de l'Utilisateur | Session |
_secure_session_id |
Sécurisation de la session | Session |
cart |
Mémorisation du panier d'achat | 14 jours |
storefront_digest |
Authentification d'accès | Session |
_shopify_y |
Identification unique du visiteur (essentiel boutique) | 1 an |
b) Cookies de mesure d'audience
Ces cookies permettent de mesurer la fréquentation du Site et d'améliorer son fonctionnement. Certains outils peuvent bénéficier d'une exemption de consentement s'ils respectent les critères stricts de la CNIL (configuration anonymisée, finalité strictement statistique, pas de croisement avec d'autres traitements, durée limitée). À défaut, ils nécessitent le consentement de l'Utilisateur.
| Cookie | Émetteur | Finalité | Durée |
|---|---|---|---|
_ga, _gid, _gat
|
Google Analytics | Mesure d'audience | 13 mois max |
_shopify_s, _shopify_y
|
Shopify Analytics | Statistiques internes | 30 min / 1 an |
c) Cookies publicitaires et de personnalisation (consentement requis)
| Cookie / Pixel | Émetteur | Finalité | Durée |
|---|---|---|---|
_fbp, fr
|
Meta (Facebook / Instagram) | Suivi des conversions et publicité ciblée | 90 jours |
_gcl_au, IDE
|
Google Ads / DoubleClick | Mesure des conversions et publicité | 13 mois |
_ttp |
TikTok Pixel | Suivi des conversions TikTok | 13 mois |
_pinterest_ct_ua, _pin_unauth
|
Publicité ciblée | 1 an |
d) Cookies de réseaux sociaux
Boutons de partage et contenus intégrés (vidéos, posts) susceptibles de déposer leurs propres cookies. Ces cookies sont déposés directement par les plateformes concernées et soumis à leur propre politique de confidentialité.
7.3 Recueil du consentement
Conformément à l'article 82 de la Loi Informatique et Libertés et aux lignes directrices de la CNIL, le consentement de l'Utilisateur est recueilli avant tout dépôt de cookies non strictement nécessaires, via un bandeau apparaissant à la première visite. Ce bandeau propose à l'Utilisateur, sur un pied d'égalité, les choix suivants :
- Accepter tous les cookies
- Refuser tous les cookies
- Paramétrer ses choix (par catégorie)
Le refus est aussi simple et accessible que l'acceptation. Aucun cookie non essentiel n'est déposé avant l'expression d'un choix.
7.4 Durée de validité du consentement
Le consentement de l'Utilisateur est conservé pour une durée maximale de six (6) mois. Au-delà, un nouveau consentement est sollicité.
7.5 Modification ou retrait du consentement
L'Utilisateur peut à tout moment modifier ou retirer son consentement aux cookies via le lien permanent « Gérer mes cookies » accessible depuis le footer du Site, ou en paramétrant son navigateur pour bloquer les cookies.
Pour information, le paramétrage des principaux navigateurs est disponible aux adresses suivantes :
- Google Chrome : https://support.google.com/chrome/answer/95647
- Mozilla Firefox : https://support.mozilla.org/fr/kb/protection-renforcee-contre-pistage-firefox-ordinateur
- Safari : https://support.apple.com/fr-fr/guide/safari/sfri11471/mac
- Microsoft Edge : https://support.microsoft.com/fr-fr/microsoft-edge
Le refus des cookies n'empêche pas la navigation sur le Site mais peut altérer certaines fonctionnalités.
ARTICLE 8 — SÉCURITÉ DES DONNÉES
La Société met en œuvre les mesures techniques et organisationnelles appropriées, conformément à l'article 32 du RGPD, pour garantir un niveau de sécurité adapté au risque, notamment :
- chiffrement des communications via le protocole HTTPS / TLS sur l'ensemble du Site ;
- chiffrement des mots de passe stockés (hachage avec sel) ;
- contrôle des accès aux données par habilitations ;
- sauvegardes régulières et plan de continuité ;
- traçabilité des actions sensibles ;
- sensibilisation du personnel à la protection des données ;
- contrats de sous-traitance conformes à l'article 28 du RGPD avec l'ensemble des prestataires.
En cas de violation de données susceptible d'engendrer un risque pour les droits et libertés des personnes, la Société notifie l'incident à la CNIL dans un délai de 72 heures conformément à l'article 33 du RGPD, et informe les personnes concernées si le risque est élevé conformément à l'article 34.
ARTICLE 9 — DURÉE DE CONSERVATION
Les durées de conservation détaillées par finalité sont précisées à l'Article 3. De manière générale :
- Les données strictement nécessaires à l'exécution du contrat sont conservées pendant la durée de la relation commerciale, augmentée des délais de prescription légale ;
- Les données utilisées à des fins de prospection sont conservées 3 ans à compter du dernier contact actif émanant de l'Utilisateur (clic sur un email, connexion au compte, achat, etc.) ;
- Les données conservées au titre des obligations comptables et fiscales le sont pendant 10 ans ;
- Les cookies sont conservés pour une durée maximale de 13 mois ;
- Les données de connexion (logs) sont conservées pendant 12 mois ;
- Au terme de ces durées, les données sont supprimées ou anonymisées de manière irréversible.
ARTICLE 10 — MODIFICATIONS DE LA PRÉSENTE POLITIQUE
La Société peut être amenée à modifier la présente Politique pour refléter les évolutions législatives, réglementaires, jurisprudentielles ou techniques. Toute modification substantielle sera portée à la connaissance des Utilisateurs par une mention visible sur le Site et, le cas échéant, par email pour les Utilisateurs enregistrés.
La version applicable est celle en vigueur à la date de consultation du Site, telle qu'indiquée en haut du présent document.
ARTICLE 11 — DROIT APPLICABLE ET LANGUE
La présente Politique est régie par le droit français et le droit de l'Union européenne. Elle est rédigée en langue française. En cas de traduction dans une autre langue, seule la version française fait foi.
ARTICLE 12 — CONTACT
Pour toute question relative à la présente Politique ou au traitement de ses données personnelles, l'Utilisateur peut contacter :
Aloe Paris — Service Données Personnelles Email : hello@aloe-paris.co] Courrier postal : 58 rue de Monceau, 75008 Paris, France
L'Utilisateur peut également contacter la CNIL à l'adresse indiquée à l'Article 6.11.