Politique de confidentialité
Politique de Confidentialité
Ce Jour-Là -- cejourla-editions.fr
Version en vigueur au 14 mai 2026
Dernière mise à jour : 14 mai 2026
Table des matières
- Responsable du traitement
- Définitions
- Donnees personnelles collectées
- Finalités et bases légales des traitements
- Destinataires et sous-traitants
- Transferts de donnees hors de l'Union europeenne
- Durées de conservation
- Utilisation de l'intelligence artificielle
- Cookies et traceurs
- Droits des personnes concernees
- Modalites d'exercice des droits
- Sécurité des donnees
- Donnees relatives aux mineurs
- Donnees sensibles
- Profilage et décision automatisee
- Directives relatives au sort des donnees après le décès
- Modification de la politique de confidentialite
- Réclamation auprès de la CNIL
- Médiation
- Contact
1. Responsable du traitement
Le responsable du traitement des donnees a caractère personnel collectées sur le site cejourla-editions.fr et le sous-domaine experience.cejourla-editions.fr (ci-après collectivement le "Site") est :
Estelle Patry EI (Entrepreneur individuel)
Siège social : 203 rue Maryse Bastie, 76620 Le Havre, France
SIRET : 101 761 880 00018
Code APE/NAF : 58.11Z (Édition de livres)
Email : bonjour@cejourla-editions.fr
Conformément à l'article 37 du Règlement (UE) 2016/679 du 27 avril 2016 (ci-après "RGPD"), la désignation d'un délégué à la protection des donnees (DPO) n'est pas obligatoire au regard de la nature et de l'échelle des traitements mis en œuvre. Le responsable du traitement reste néanmoins l'interlocuteur unique pour toute question relative à la protection des donnees personnelles.
2. Définitions
- "Donnees personnelles" : toute information se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement, au sens de l'article 4.1 du RGPD.
- "Traitement" : toute operation ou ensemble d'operations effectuées sur des donnees personnelles, au sens de l'article 4.2 du RGPD.
- "Personne concernée" : toute personne physique dont les donnees personnelles font l'objet d'un traitement.
- "Sous-traitant" : toute personne physique ou morale qui traite des donnees personnelles pour le compte du responsable du traitement, au sens de l'article 4.8 du RGPD.
- "Expérience" : produit personnalisé édité par le responsable du traitement, se présentant sous forme de livre numérique (PDF) et/ou de livre imprimé, dont le contenu est généré sur la base d'informations fournies par le Client. Ce terme est defini plus en detail dans les Conditions Générales de Vente.
- "Client" : toute personne physique effectuant un achat ou utilisant les services du Site.
- "Destinataire de l'Expérience" : la personne physique pour laquelle l'Expérience est personnalisée, qui peut être le Client lui-même ou un tiers.
3. Donnees personnelles collectées
Conformément aux articles 13 et 14 du RGPD, nous vous informons des catégories de donnees personnelles collectées et traitées dans le cadre de l'utilisation du Site.
3.1 Donnees fournies directement par le Client
| Catégorie | Donnees collectées | Caractere obligatoire | Moment de la collecte |
|---|---|---|---|
| Identité du Client | Nom, prénom | Obligatoire | Commande |
| Coordonnees du Client | Adresse email | Obligatoire | Commande |
| Coordonnees du Client | Adresse postale | Obligatoire pour livres physiques | Commande |
| Coordonnees du Client | Numéro de téléphone | Facultatif | Commande |
| Identité du Destinataire | Prénom du destinataire | Obligatoire | Questionnaire de personnalisation |
| Informations de personnalisation | Date de naissance du destinataire | Obligatoire | Questionnaire de personnalisation |
| Informations de personnalisation | Lieu de naissance | Obligatoire | Questionnaire de personnalisation |
| Informations de personnalisation | Passions et centres d'intérêt | Facultatif | Questionnaire de personnalisation |
| Informations de personnalisation | Anecdotes familiales (texte libre) | Une anecdote obligatoire, deux anecdotes facultatives | Questionnaire de personnalisation |
| Informations de personnalisation | Relation avec le destinataire | Obligatoire | Questionnaire de personnalisation |
| Photo du Destinataire | Photographie du visage du destinataire | Facultatif — consentement explicite requis (droit à l'image) | Questionnaire de personnalisation (étape 2) |
| Prospection | Adresse email | Consentement requis | Inscription newsletter |
3.2 Donnees collectées automatiquement
| Catégorie | Donnees collectées | Base légale |
|---|---|---|
| Donnees de navigation | Adresse IP, type et version du navigateur (user-agent), système d'exploitation | Intérêt légitime (securite) |
| Donnees d'usage | Pages visitees, durée de visite, parcours de navigation sur l'ensemble du Site (boutique et questionnaire) | Consentement (analytics) |
| Donnees de securite | Logs de connexion (adresse IP, horodatage), jeton anti-robot | Intérêt légitime (securite, prévention de la fraude) |
| Cookies | Identifiants de session, préférences, traceurs analytics | Selon la catégorie (voir article 9) |
3.3 Donnees de paiement
Les donnees bancaires (numéro de carte, date d'expiration, cryptogramme) sont collectées et traitées exclusivement par notre prestataire de paiement Stripe, par l'intermédiaire de Shopify Payments. Ces donnees ne sont jamais stockees sur nos serveurs ni accessibles par nos equipes. Seule la confirmation du paiement (montant, date, identifiant de transaction) nous est transmise.
4. Finalités et bases légales des traitements
Conformément à l'article 6 du RGPD, chaque traitement de donnees personnelles repose sur une base légale. Le tableau ci-dessous détaillé les finalités poursuivies et leurs bases légales respectives.
| Finalité du traitement | Base légale | Donnees concernees |
|---|---|---|
| Exécution de la commande : traitement de la commande, personnalisation de l'Expérience, génération du contenu, livraison du produit numérique ou physique | Exécution du contrat (art. 6.1.b RGPD) | Identité, coordonnées, informations de personnalisation |
| Génération du contenu personnalisé : utilisation des informations fournies dans le questionnaire pour créer le contenu éditorial de l'Expérience à l'aide de services d'intelligence artificielle | Exécution du contrat (art. 6.1.b RGPD) | Informations de personnalisation (prénom, date de naissance, lieu, passions, anecdotes, relation) |
| Stylisation du portrait : si une photo du destinataire est fournie, création d'un portrait artistique stylisé Art Déco par intelligence artificielle, préservant la ressemblance faciale. La photo originale est conservée 30 jours maximum après la création du livre, pour permettre une réimpression en cas de défaut qualité signalé par le Client, puis supprimée automatiquement. Seul le portrait stylisé est conservé dans le livre. | Consentement explicite (art. 6.1.a RGPD) — le Client certifie disposer du droit à l'image de la personne photographiée | Photo du destinataire |
| Livraison des livres physiques : transmission de l'adresse postale au prestataire d'impression pour fabrication et expédition | Exécution du contrat (art. 6.1.b RGPD) | Nom, prénom, adresse postale du Client |
| Communication transactionnelle : envoi des confirmations de commande, notifications d'expédition, livraison du PDF par email | Exécution du contrat (art. 6.1.b RGPD) | Adresse email, nom, prénom |
| Service après-vente : gestion des demandes, réclamations, exercice du droit de rétractation | Exécution du contrat (art. 6.1.b RGPD) | Identité, coordonnées, référence de commande |
| Facturation et comptabilite : établissement des factures, conservation des pieces comptables | Obligation légale (art. 6.1.c RGPD) -- articles L.123-22 et suivants du Code de commerce, article 289 du CGI | Identité, coordonnées, donnees de commande |
| Prospection commerciale : envoi de newsletters, offres promotionnelles, sequences d'emails post-achat | Consentement (art. 6.1.a RGPD) pour la newsletter ; intérêt légitime (art. 6.1.f RGPD) pour la prospection concernant des produits analogues au profit de clients existants, conformément à l'article L.34-5 du CPCE | Adresse email |
| Mesure d'audience et amélioration du service : analyses statistiques de fréquentation du questionnaire | Consentement (art. 6.1.a RGPD) | Donnees de navigation et d'usage |
| Sécurité du Site : prévention de la fraude, détection des intrusions, protection contre les attaques automatisees (bots), journalisation des accès | Intérêt légitime (art. 6.1.f RGPD) | Adresse IP, logs de connexion, jeton anti-robot |
| Conservation au titre des obligations légales : conservation des donnees de connexion au titre de l'article 6-II de la LCEN | Obligation légale (art. 6.1.c RGPD) | Donnees de connexion |
Note relative à l'intérêt légitime : Lorsque le traitement est fonde sur l'intérêt légitime du responsable du traitement, une mise en balance a été effectuée entre cet intérêt et les droits et libertés fondamentaux des personnes concernees. La securite du Site et la prévention de la fraude constituent un intérêt légitime prépondérant. S'agissant de la prospection par email relative à des produits analogues, le Client dispose à tout moment du droit de s'opposer à ce traitement (voir article 10).
5. Destinataires et sous-traitants
Les donnees personnelles collectées sont susceptibles d'être communiquées aux destinataires suivants, agissant en qualité de sous-traitants au sens de l'article 28 du RGPD, dans le strict cadre des finalités énoncées à l'article 4.
| Sous-traitant | Rôle | Pays | Données concernées | Garanties pour les transferts |
|---|---|---|---|---|
| Shopify International Limited | Hébergement boutique en ligne, gestion des commandes et du paiement | Irlande (UE) / Canada | Identité, coordonnées, données de commande, données de paiement (via Stripe) | Décision d'adéquation Canada ; DPA Shopify |
| Vercel, Inc. | Hébergement du sous-domaine experience.cejourla-editions.fr | États-Unis | Données de navigation, brouillons du questionnaire | EU-US Data Privacy Framework (DPF) ; DPA Vercel |
| Supabase, Inc. | Base de données — commandes et brouillons du questionnaire | États-Unis / UE | Informations de personnalisation, données de commande | Clauses contractuelles types (CCT, décision UE 2021/914) ; DPA Supabase ; SOC 2 Type II ; ISO 27001 |
| Stripe, Inc. (via Shopify Payments) | Traitement des paiements par carte bancaire | États-Unis / Irlande | Données bancaires (jamais stockées par nous) | EU-US DPF ; certification PCI-DSS ; DPA Stripe |
| Brevo (Sendinblue SAS) | Envoi d'emails transactionnels et marketing | France (UE) | Adresse email, nom, prénom | Hébergement en UE ; DPA Brevo |
| PostHog, Inc. | Analytics de la boutique et du questionnaire (mesure d'audience, analyse du parcours utilisateur) | États-Unis / UE | Données de navigation et d'usage (soumises au consentement cookies) | EU-US DPF ; DPA PostHog ; instance EU (eu.i.posthog.com) ; anonymisation IP activée |
| Sentry (Functional Software, Inc.) | Surveillance des erreurs techniques | États-Unis | Données techniques (logs d'erreurs, IP anonymisée) | EU-US DPF ; DPA Sentry |
| Cloudprinter.com B.V. | Impression et expédition des livres | Pays-Bas (UE) | Nom, adresse postale, contenu du livre à imprimer | Localisation UE ; DPA Cloudprinter |
| Render Services, Inc. | Conversion technique des PDFs au format imprimerie (microservice éphémère, aucun stockage persistant) | États-Unis (data center Frankfurt, UE) | Contenu du livre en transit uniquement, traitement éphémère | EU-US DPF ; DPA Render ; CCT |
| Anthropic PBC | Génération de contenu éditorial personnalisé par IA | États-Unis | Informations de personnalisation (voir article 8) | EU-US DPF ; DPA Anthropic ; rétention API limitée à 30 jours pour monitoring d'abus, puis suppression automatique ; aucune utilisation pour entraînement de modèles |
| OpenAI, Inc. | Génération de contenu éditorial ; modération de photos et de souvenirs partagés | États-Unis | Informations de personnalisation, photo du destinataire (éphémère), texte des souvenirs (anonyme) | Clauses contractuelles types (CCT, décision UE 2021/914) ; DPA OpenAI ; rétention API limitée à 30 jours pour monitoring d'abus, puis suppression automatique ; aucune utilisation pour entraînement de modèles |
| Replicate, Inc. | Stylisation du portrait Art Déco à partir de la photo (IP-Adapter + FLUX) | États-Unis | Photo du destinataire (URL signée temporaire, supprimée après traitement) | Clauses contractuelles types (CCT, décision UE 2021/914) ; DPA Replicate ; photo originale supprimée du service après traitement |
| Cloudflare, Inc. | CDN, DNS, protection anti-robot (Turnstile) | États-Unis | Adresse IP, jeton anti-robot | EU-US DPF ; DPA Cloudflare |
| Judge.me Limited | Collecte, modération et publication des avis clients | Hong Kong / international | Prénom, email, IP, contenu de l'avis, note, identifiant produit | DPA Judge.me ; CCT pour transferts hors UE |
| Abby (SAS Abby Inc.) | Édition et conservation des factures (auto-entrepreneur) | France (UE) | Nom, prénom, email du Client, détails commande | Hébergement en France ; DPA Abby |
Aucune donnée personnelle n'est vendue, louee ou cedee à des tiers à des fins commerciales qui leur seraient propres.
Les donnees personnelles peuvent également être communiquées aux autorites publiques competentes (administration fiscale, autorites judiciaires) en cas d'obligation légale.
5.1 Statut particulier de Shopify (co-responsabilité)
La boutique cejourla-editions.fr est hébergée par Shopify International Limited. Shopify intervient à un double titre :
- En tant que sous-traitant, pour les opérations effectuées sur instructions de Ce Jour-Là (hébergement de la boutique, traitement technique des commandes, gestion du checkout) ;
-
En tant que responsable de traitement (ou co-responsable) pour certaines fonctionnalités étendues de la plateforme Shopify lorsqu'elles sont activées sur la boutique. Il s'agit notamment :
- de Shop Pay (paiement accéléré multi-marchands), qui implique le partage de données entre Shopify et le Client pour faciliter ses futurs achats sur d'autres boutiques Shopify ;
- de l'application Shop (suivi des commandes, recommandations) ;
- des fonctionnalités de personnalisation et de mesure d'audience natives de Shopify (par exemple Shopify Audiences ou les analytics intégrés) ;
- de la détection de fraude Shopify Protect.
Dans ces cas, Shopify traite les données conformément à sa propre politique de confidentialité, sur laquelle Ce Jour-Là n'a pas de contrôle direct. Pour exercer vos droits relatifs à ces traitements spécifiques opérés par Shopify, vous pouvez consulter la politique de confidentialité des consommateurs Shopify et utiliser le portail dédié pour vos demandes à l'adresse https://privacy.shopify.com/fr.
Les traitements effectués par Ce Jour-Là (génération de l'Expérience, contact, livraison, facturation) demeurent quant à eux soumis intégralement à la présente politique.
6. Transferts de donnees hors de l'Union europeenne
Certains de nos sous-traitants sont établis en dehors de l'Union europeenne, principalement aux États-Unis et au Canada. Conformément aux articles 44 a 49 du RGPD, ces transferts sont encadres par les mécanismes suivants :
6.1 États-Unis -- EU-US Data Privacy Framework (DPF)
À la suite de la décision d'adéquation adoptee par la Commission europeenne le 10 juillet 2023 (décision d'exécution (UE) 2023/1795), les transferts de donnees vers les organisations americaines certifiées au titre du EU-US Data Privacy Framework beneficient d'un niveau de protection adéquat au sens de l'article 45 du RGPD.
Les sous-traitants suivants sont certifiés au titre du EU-US Data Privacy Framework (statut vérifié au 14 mai 2026 sur dataprivacyframework.gov/list) : Vercel, Stripe, PostHog, Sentry, Cloudflare, Render, Anthropic.
Les sous-traitants suivants ne sont pas certifiés DPF. Les transferts vers ces sous-traitants sont encadrés par les clauses contractuelles types (CCT) adoptées par la Commission européenne (décision d'exécution (UE) 2021/914 du 4 juin 2021), intégrées dans leurs accords de traitement des données respectifs : Supabase, OpenAI, Replicate.
Ce cadre garantit notamment :
- la limitation de l'accès aux donnees par les services de renseignement americains à ce qui est nécessaire et proportionné ;
- la mise en place d'un mécanisme de recours indépendant (Data Protection Review Court) permettant aux citoyens europeens de contester un accès illicite a leurs donnees.
6.2 Canada -- Decision d'adéquation
Les transferts de donnees vers le Canada (Shopify) sont couverts par la décision d'adéquation de la Commission europeenne du 20 décembre 2001 (décision 2002/2/CE), reconnaissant que la loi canadienne sur la protection des renseignements personnels et les documents électroniques (LPRPDE/PIPEDA) assure un niveau de protection adéquat.
6.3 Garanties supplémentaires
En complément des décisions d'adéquation, des clauses contractuelles types (CCT) adoptees par la Commission europeenne (décision d'exécution (UE) 2021/914 du 4 juin 2021) sont intégrées dans les contrats conclus avec nos sous-traitants, dans l'hypothese ou la décision d'adéquation viendrait a être invalidee ou ne couvrirait pas l'ensemble des traitements.
Vous pouvez obtenir une copie des garanties appropriées en nous ecrivant à l'adresse indiquée à l'article 20 de la présente politique.
7. Durées de conservation
Conformément au principe de limitation de la conservation (article 5.1.e du RGPD), les donnees personnelles ne sont conservees que pendant la durée strictement nécessaire aux finalités pour lesquelles elles ont été collectées.
| Catégorie de donnees | Durée de conservation | Fondement |
|---|---|---|
| Donnees de commande (identité, coordonnées, details de la commande) | 5 ans à compter de la dernière commande | Obligation légale (art. L.123-22 Code de commerce -- conservation des pieces comptables) |
| Donnees du questionnaire de personnalisation | 3 ans après la livraison de l'Expérience, puis anonymisation automatique | Exécution du contrat (SAV, regeneration éventuelle) |
| Brouillons du questionnaire non convertis en commande | 30 jours après la dernière modification, puis suppression automatique | Intérêt légitime (faciliter la reprise du parcours) |
| Photo du destinataire | Conservée 30 jours maximum après la création du livre, pour permettre une réimpression en cas de défaut qualité signalé par le Client. Un job de nettoyage automatique supprime quotidiennement les photos arrivées à terme. | Consentement explicite (art. 6.1.a) + minimisation (art. 5.1.c) |
| Donnees de prospection (email newsletter) | 3 ans à compter du dernier contact actif (ouverture d'email, clic, achat) | Recommandation CNIL (délibération n° 2016-264) |
| Factures et pieces comptables | 10 ans à compter de la clôture de l'exercice | Obligation légale (art. L.123-22 Code de commerce) |
| Donnees de connexion (logs d'accès) | 1 an à compter de leur collecte | Obligation légale (art. 6-II LCEN ; art. R.10-13 du Code des postes et des communications électroniques ; décret n° 2021-1362 du 20 octobre 2021) |
| Cookies analytics | 13 mois maximum à compter du dépôt | Recommandation CNIL (délibération n° 2020-091) |
| Donnees de paiement | Non stockees par nos soins (gerees par Stripe) | N/A |
| Avis clients (prénom, email, IP, contenu) | Conservés tant que l'avis est publié (Judge.me). Suppression sur demande à tout moment via bonjour@cejourla-editions.fr. | Consentement (acte positif lors de la soumission) ; intérêt légitime (publication d'avis vérifiables -- art. L.111-7-2 Code de la consommation) |
À l'expiration des durées de conservation, les donnees sont soit supprimees de manière irréversible, soit anonymisees de facon à rendre impossible toute identification ulterieure de la personne concernée.
8. Utilisation de l'intelligence artificielle
8.1 Principe de transparence
Conformément aux recommandations de la CNIL relatives à l'intelligence artificielle et aux donnees personnelles, nous vous informons que le contenu éditorial de l'Expérience est généré à l'aide de services d'intelligence artificielle fournis par des prestataires tiers (Anthropic et OpenAI).
8.2 Donnees transmises aux services d'IA
Dans le cadre de la génération de votre Expérience, les informations suivantes, fournies dans le questionnaire de personnalisation, sont transmises aux services d'intelligence artificielle :
- le prénom du destinataire ;
- la date de naissance ;
- le lieu de naissance ;
- les passions et centres d'intérêt (le cas échéant) ;
- les anecdotes familiales (le cas échéant) ;
- la relation entre le Client et le destinataire ;
- la photo du destinataire (si fournie, avec consentement explicite) — transmise à OpenAI pour modération de contenu et à Replicate pour la stylisation du portrait Art Déco. La photo originale est conservée 30 jours maximum après la création du livre (pour réimpression éventuelle en cas de défaut qualité), puis supprimée automatiquement.
8.2b Souvenirs partagés par les visiteurs
Les visiteurs du Site peuvent partager des souvenirs sur les pages dédiées. Cette fonctionnalité est réservée aux personnes âgées de 15 ans ou plus, conformément à l'article 8 du RGPD et à l'article 45 de la loi Informatique et Libertés.
Donnees collectées :
- Le texte du souvenir (obligatoire, 10 à 280 caractères) ;
- Un prénom (facultatif, affiché publiquement) ;
- L'adresse IP (preuve de consentement, art. 7.1 RGPD) ;
- Le thème choisi et la date de publication.
Consentements recueillis (acte positif, cases à cocher) :
- Confirmation d'âge (15 ans ou plus) ;
- Acceptation des conditions d'utilisation, incluant la publication du souvenir et la licence d'utilisation (voir ci-dessous) ;
- Chaque consentement est horodaté et associé à l'adresse IP du visiteur dans des colonnes dédiées en base de donnees.
Licence d'utilisation : en publiant un souvenir, le visiteur accorde à Ce Jour-Là une licence gratuite, non exclusive et sans limite de durée pour reproduire, afficher et promouvoir ce souvenir sur l'ensemble de ses supports (site web, réseaux sociaux, communications). Le visiteur peut retirer cette licence à tout moment en supprimant son souvenir.
Modération automatique : avant publication, le texte fait l'objet de deux analyses :
-
Modération de contenu : analyse par le service de modération d'OpenAI (modele
omni-moderation-latest) pour détecter tout contenu inapproprié (propos haineux, violents, sexuels, etc.). - Détection de donnees personnelles : analyse par le modele GPT-4o-mini d'OpenAI pour détecter la présence involontaire de donnees personnelles identifiantes (nom complet, adresse postale, etc.). Si des donnees personnelles sont détectées, le souvenir n'est pas publié et l'utilisateur est invité à reformuler.
Seuls le texte du souvenir et le prénom (le cas échéant) sont transmis à OpenAI — aucun email, identifiant ou autre donnée personnelle.
Durée de conservation : les souvenirs publiés sont conservés sans limite de durée, sauf suppression par l'auteur ou par notre équipe. L'adresse IP associée au consentement est purgée après 3 ans (prescription CNIL).
Droit à l'effacement et anonymat (art. 11 RGPD) : les souvenirs sont publiés de manière pseudonyme (prénom facultatif uniquement). Conformément à l'article 11 du RGPD, lorsque le responsable du traitement n'est pas en mesure d'identifier la personne concernée, les droits d'accès, de rectification et d'effacement (articles 15 à 20) ne s'appliquent pas. L'auteur peut modifier ou supprimer son souvenir à tout moment depuis le même navigateur grâce à un jeton d'identification locale. En cas de perte d'accès, une demande de suppression peut être adressée à bonjour@cejourla-editions.fr — nous supprimerons le contenu par bienveillance, sans obligation légale de vérification d'identité.
Signalement de contenu (DSA art. 16) : tout visiteur peut signaler un souvenir en indiquant un motif. Si un souvenir reçoit plusieurs signalements, il est automatiquement masqué en attente de vérification. Le signaleur est informé du traitement de son signalement (DSA art. 17).
8.3 Finalité exclusive
Ces donnees sont utilisees exclusivement pour générer le contenu éditorial de l'Expérience commandee. Conformément aux conditions d'utilisation API et aux accords de traitement des données (DPA) signés avec nos prestataires d'IA (Anthropic, OpenAI), les données transmises via leurs API :
- ne sont pas utilisées pour l'entraînement de leurs modèles d'intelligence artificielle ;
- sont conservées par le prestataire pendant une durée maximale de 30 jours, à des fins exclusives de monitoring d'abus et de sécurité, puis supprimées automatiquement ;
- sont transmises via des connexions chiffrées (TLS 1.2 ou supérieur).
Aucune donnée personnelle n'est conservée durablement par les prestataires d'IA au-delà de ce délai de 30 jours imposé pour la sécurité du service.
8.4 Absence de décision automatisee
L'utilisation de l'intelligence artificielle dans le cadre de notre service ne constitue pas un profilage ni une décision automatisee au sens de l'article 22 du RGPD. Elle ne produit aucun effet juridique ni effet significatif similaire à l'égard de la personne concernée. Le contenu généré est un contenu éditorial créatif destiné à constituer un produit personnalisé commande par le Client.
8.5 Mesures de protection
Afin de proteger les donnees personnelles transmises aux services d'IA :
- les donnees sont transmises via des connexions chiffrées (TLS) ;
- seules les donnees strictement nécessaires à la génération du contenu sont transmises ;
- les donnees sensibles potentiellement présentes dans les champs de texte libre font l'objet d'une attention particulière (voir article 14) ;
- les prestataires d'IA sont lies par des accords de traitement des donnees conformes à l'article 28 du RGPD.
9. Cookies et traceurs
Conformément à l'article 82 de la loi n° 78-17 du 6 janvier 1978 modifiée (loi Informatique et Libertés), à la directive 2002/58/CE (directive ePrivacy), ainsi qu'aux lignes directrices et à la recommandation de la CNIL du 17 septembre 2020 relatives à l'usage des cookies et autres traceurs, le dépôt de cookies et autres traceurs sur votre terminal est soumis aux règles suivantes.
9.1 Cookies strictement nécessaires (exempts de consentement)
Ces cookies sont indispensables au fonctionnement du Site et ne peuvent pas être désactivés. Conformément à l'article 82 de la loi Informatique et Libertés, ils sont exempts du recueil du consentement.
| Cookie | Finalité | Durée |
|---|---|---|
| Cookie de session Shopify | Gestion du panier et de la session d'achat | Durée de la session |
| Cookie d'authentification | Maintien de la connexion utilisateur | Durée de la session |
| Cookie de choix cookies | Memorisation de votre choix en matière de consentement aux cookies | 13 mois |
| Cookie CSRF | Protection contre les attaques de type cross-site request forgery | Durée de la session |
| Cloudflare Turnstile | Protection anti-robot du questionnaire | Durée de la session |
9.2 Cookies de mesure d'audience (soumis au consentement)
Ces cookies permettent de mesurer la fréquentation du questionnaire et d'analyser le parcours utilisateur afin d'améliorer le service. Ils ne sont déposés qu'après obtention de votre consentement.
| Cookie | Fournisseur | Finalité | Durée |
|---|---|---|---|
| PostHog | PostHog Inc. (États-Unis) | Mesure d'audience et analyse du parcours questionnaire | 13 mois maximum |
9.3 Cookies de contenus tiers intégrés (soumis au consentement)
Certaines pages du Site intègrent des contenus provenant de services tiers (lecteurs vidéo et audio). Ces intégrations déposent leurs propres cookies. Ils ne sont chargés qu'après obtention de votre consentement (catégorie « Contenus externes » du bandeau de gestion des cookies) ou après une action explicite de votre part (clic sur le lecteur).
| Cookie | Fournisseur | Finalité | Durée |
|---|---|---|---|
sp_t, sp_dc, sp_landing
|
Spotify AB (Suède, UE) | Lecteur Spotify intégré sur les pages playlists | Session à 1 an |
VISITOR_INFO1_LIVE, YSC, __Secure-YEC, PREF
|
Google Ireland Ltd / YouTube (Irlande, UE) | Lecteur vidéo YouTube intégré sur les pages souvenir | Session à 2 ans |
9.4 Absence de cookies publicitaires et de ciblage
Le Site ne dépose aucun cookie publicitaire, de ciblage ni de pistage publicitaire. Aucune donnée n'est transmise à des régies publicitaires.
9.5 Gestion de vos choix
Lors de votre premiere visite sur le Site, un bandeau d'information vous permet d'accepter ou de refuser le dépôt de cookies non essentiels. Vous pouvez modifier vos préférences à tout moment en cliquant sur le lien "Gerer les cookies" présent en pied de page du Site.
Vous pouvez également configurer votre navigateur pour qu'il refuse systematiquement les cookies. Toutefois, le refus de cookies strictement nécessaires peut alterer le fonctionnement du Site.
Pour en savoir plus sur la gestion des cookies dans votre navigateur :
- Chrome : support.google.com/chrome/answer/95647
- Firefox : support.mozilla.org/fr/kb/activer-désactiver-cookies
- Safari : support.apple.com/fr-fr/guide/safari/sfri11471
- Edge : support.microsoft.com/fr-fr/microsoft-edge/supprimer-les-cookies
10. Droits des personnes concernees
Conformément au RGPD (articles 15 a 22) et à la loi Informatique et Libertés (articles 48 a 56 et 84 a 86), vous disposez des droits suivants sur vos donnees personnelles :
10.1 Droit d'accès (article 15 RGPD)
Vous avez le droit d'obtenir la confirmation que des donnees personnelles vous concernant sont ou ne sont pas traitées et, lorsqu'elles le sont, l'accès à ces donnees ainsi qu'aux informations prévues par l'article 15 du RGPD (finalités, catégories de donnees, destinataires, durée de conservation, etc.).
10.2 Droit de rectification (article 16 RGPD)
Vous pouvez obtenir la rectification de donnees personnelles vous concernant qui seraient inexactes ou le complément de donnees incompletes.
10.3 Droit à l'effacement (article 17 RGPD)
Vous pouvez demander l'effacement de vos donnees personnelles dans les cas prévus par l'article 17 du RGPD, notamment lorsque les donnees ne sont plus nécessaires aux finalités pour lesquelles elles ont été collectées, lorsque vous retirez votre consentement ou lorsque vous vous opposez au traitement.
Limites : Ce droit ne s'applique pas lorsque le traitement est nécessaire au respect d'une obligation légale (par exemple, conservation des factures pendant 10 ans) ou à la constatation, l'exercice ou la defense de droits en justice.
10.4 Droit à la limitation du traitement (article 18 RGPD)
Vous pouvez demander la limitation du traitement de vos donnees, notamment lorsque vous contestez l'exactitude des donnees ou lorsque vous vous etes oppose au traitement en application de l'article 21 du RGPD.
10.5 Droit à la portabilité des donnees (article 20 RGPD)
Vous avez le droit de recevoir les donnees personnelles vous concernant que vous nous avez fournies, dans un format structure, couramment utilise et lisible par machine, et de les transmettre à un autre responsable du traitement. Ce droit s'applique lorsque le traitement est fonde sur le consentement ou sur l'exécution du contrat et qu'il est effectué à l'aide de procedes automatises.
En pratique, ce droit porte notamment sur les donnees du questionnaire de personnalisation et les donnees de votre compte client.
10.6 Droit d'opposition (article 21 RGPD)
Vous pouvez à tout moment vous opposer au traitement de vos donnees personnelles fonde sur l'intérêt légitime du responsable du traitement (article 6.1.f du RGPD), pour des raisons tenant à votre situation particulière.
Prospection commerciale : Conformément à l'article 21.2 du RGPD, vous disposez d'un droit d'opposition absolu et inconditionnel au traitement de vos donnees à des fins de prospection commerciale. Chaque email de prospection contient un lien de désinscription.
10.7 Droit de retrait du consentement
Lorsque le traitement de vos donnees est fonde sur votre consentement, vous avez le droit de retirer ce consentement à tout moment, sans que cela ne porte atteinte à la licéité du traitement effectué avant ce retrait. Ce retrait peut porter notamment sur :
- les cookies de mesure d'audience (via le panneau de gestion des cookies) ;
- la newsletter (via le lien de désinscription ou par demande à notre service).
11. Modalites d'exercice des droits
11.1 Comment exercer vos droits
Vous pouvez exercer l'ensemble de vos droits :
- Par email : bonjour@cejourla-editions.fr, en précisant l'objet de votre demande et en joignant un justificatif d'identité en cas de doute raisonnable sur votre identité.
- Par courrier postal : Estelle Patry EI -- Service Donnees Personnelles, 203 rue Maryse Bastie, 76620 Le Havre, France.
11.2 Délai de réponse
Conformément à l'article 12.3 du RGPD, nous nous engageons a répondre à votre demande dans un délai d'un mois à compter de sa reception. Ce délai peut être prolonge de deux mois supplémentaires, compte tenu de la complexite et du nombre de demandes, auquel cas vous en serez informé dans le délai d'un mois.
11.3 Gratuite
L'exercice de vos droits est gratuit. Toutefois, conformément à l'article 12.5 du RGPD, en cas de demandes manifestement infondees ou excessives, notamment en raison de leur caractère répétitif, nous nous reservons le droit de refuser de donner suite à la demande ou d'exiger le paiement de frais raisonnables tenant compte des couts administratifs supportes.
11.4 Justificatif d'identité
Conformément à l'article 12.6 du RGPD, lorsque nous avons des doutes raisonnables quant à l'identité de la personne physique présentant une demande, nous pouvons demander que soient fournies des informations supplémentaires nécessaires pour confirmer son identité.
12. Sécurité des donnees
Conformément à l'article 32 du RGPD, nous mettons en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de securite adapte aux risques présentes par les traitements de donnees personnelles.
12.1 Mesures techniques
- Chiffrement en transit : l'ensemble des communications entre votre navigateur et nos serveurs sont chiffrées via le protocole TLS (HTTPS).
- Chiffrement au repos : les donnees stockees en base de donnees sont chiffrées.
- Protection contre les attaques : pare-feu applicatif, protection contre les injections, protection CSRF (double-submit cookie), limitation du débit des requetes (rate limiting).
- Protection anti-robot : le questionnaire est protege par un système de vérification (Cloudflare Turnstile) afin de prévenir les soumissions automatisees.
- Anonymisation des donnees techniques : les adresses IP dans les logs d'erreurs sont anonymisees avant transmission aux services de monitoring.
- Controle d'accès : l'accès aux interfaces d'administration est restreint par une authentification securisee.
- Mises a jour de securite : les dependances logicielles sont régulièrement mises a jour afin de corriger les vulnérabilités connues.
12.2 Mesures organisationnelles
- Principe du moindre privilege : chaque prestataire ne dispose que des accès strictement nécessaires à l'exécution de sa mission.
- Accords de traitement des donnees : des contrats conformes à l'article 28 du RGPD sont conclus avec l'ensemble de nos sous-traitants.
- Surveillance des incidents : un système de surveillance des erreurs et des anomalies est en place, permettant une détection rapide des incidents de securite.
12.3 Gestion des violations de donnees
En cas de violation de donnees a caractère personnel au sens de l'article 33 du RGPD, nous nous engageons a :
- notifier la CNIL dans un délai de 72 heures après en avoir pris connaissance, sauf si la violation n'est pas susceptible d'engendrer un risque pour les droits et libertés des personnes ;
- informer les personnes concernees dans les meilleurs délais lorsque la violation est susceptible d'engendrer un risque élevé pour leurs droits et libertés, conformément à l'article 34 du RGPD.
13. Donnees relatives aux mineurs
Le Site et les services proposes s'adressent à des personnes majeures (agees d'au moins 18 ans). L'achat d'une Expérience nécessite la capacité juridique de contracter.
Toutefois, le destinataire de l'Expérience (la personne dont la date de naissance est utilisee pour la personnalisation) peut être un mineur. Dans ce cas :
- la commande est passee et consentie par une personne majeure (le Client) ;
- les donnees du mineur sont limitees au prénom, à la date de naissance, au lieu de naissance et aux informations de personnalisation fournies par le Client, qui agit en qualité de titulaire de l'autorite parentale ou avec l'accord de celui-ci ;
- ces donnees sont soumises aux memes règles de conservation, de securite et de droits que l'ensemble des donnees traitées (articles 7, 10 et 12 de la présente politique).
Conformément à l'article 8 du RGPD et à l'article 45 de la loi Informatique et Libertés, le consentement relatif au traitement des donnees d'un mineur de moins de 15 ans doit être donné par le titulaire de l'autorite parentale.
Souvenirs partagés : la publication de souvenirs sur les pages dédiées est réservée aux personnes âgées de 15 ans ou plus. Cette condition est vérifiée par une déclaration sur l'honneur (case à cocher) au moment de la soumission.
Si vous etes titulaire de l'autorite parentale sur un mineur dont les donnees personnelles auraient été collectées sans votre consentement, vous pouvez exercer vos droits dans les conditions prévues à l'article 11 de la présente politique.
14. Donnees sensibles
14.1 Principe
Nous ne collectons pas intentionnellement de donnees sensibles au sens de l'article 9 du RGPD (donnees révélant l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l'appartenance syndicale, les donnees genetiques, biometriques, relatives à la sante ou à la vie sexuelle ou l'orientation sexuelle).
14.2 Photo du destinataire
Lorsque le Client fournit une photo du destinataire de l'Expérience, cette photo est traitée par un service d'intelligence artificielle (Replicate) pour créer un portrait artistique stylisé. La photo n'est pas utilisée à des fins d'identification biométrique au sens de l'article 9 du RGPD : le traitement vise uniquement la création d'une illustration artistique inspirée de la ressemblance faciale. La photo originale est conservée 30 jours maximum après la création du livre, pour permettre une réimpression en cas de défaut qualité signalé par le Client, puis supprimée automatiquement. Le Client certifie, au moment de l'upload, disposer du droit à l'image de la personne photographiée (article 9 du Code civil) et que celle-ci (ou son représentant légal) a consenti à cette utilisation.
14.3 Champs de texte libre
Le questionnaire de personnalisation comporte des champs de texte libre (anecdotes familiales, passions) dans lesquels le Client est susceptible, de sa propre initiative, d'inclure des informations pouvant relever de catégories sensibles. En renseignant ces champs, le Client donne son consentement explicite au traitement de ces donnees au sens de l'article 9.2.à du RGPD, et ce pour la seule finalité de personnalisation de l'Expérience.
Le Client est invité à ne communiquer que les informations qu'il juge pertinentes et a ne pas inclure d'informations relatives à la sante, aux convictions politiques ou religieuses, ou à tout autre sujet dont la divulgation pourrait porter atteinte aux droits du destinataire de l'Expérience.
15. Profilage et décision automatisee
Conformément à l'article 22 du RGPD, nous vous informons que nos traitements de donnees personnelles n'impliquent aucune décision fondee exclusivement sur un traitement automatise, y compris le profilage, produisant des effets juridiques vous concernant ou vous affectant de manière significative.
L'utilisation de l'intelligence artificielle décrite à l'article 8 a pour unique objet la création d'un contenu éditorial personnalisé et ne constitue ni un profilage ni une prise de décision automatisee au sens du RGPD.
16. Directives relatives au sort des donnees après le décès
Conformément à l'article 85 de la loi n° 78-17 du 6 janvier 1978 modifiée (loi Informatique et Libertés), toute personne peut définir des directives relatives à la conservation, à l'effacement et à la communication de ses donnees a caractère personnel après son décès. Ces directives peuvent être :
- Directives générales : elles portent sur l'ensemble des donnees personnelles de la personne et peuvent être enregistrees auprès d'un tiers de confiance numérique certifié par la CNIL.
- Directives particulieres : elles portent sur des traitements spécifiques et peuvent être enregistrees auprès du responsable du traitement concerne.
Vous pouvez nous communiquer vos directives particulieres à l'adresse indiquée à l'article 20 de la présente politique.
En l'absence de directives, les heritiers de la personne decedee peuvent exercer les droits suivants :
- droit d'accès, s'il est nécessaire pour le règlement de la succession ;
- droit de prendre en compte le décès et de proceder à la clôture du compte ;
- droit de s'opposer à la poursuite du traitement des donnees du defunt.
17. Modification de la politique de confidentialite
La présente politique de confidentialite peut être modifiée à tout moment afin de tenir compte des évolutions légales, réglementaires, jurisprudentielles, des recommandations de la CNIL ou des modifications de nos services.
En cas de modification substantielle, nous vous en informerons :
- par la publication d'un avis visible sur le Site ;
- par email si vous etes un Client disposant d'un compte.
La date de dernière mise à jour figurant en tête de la présente politique sera actualisee en conséquence. Nous vous invitons à la consulter régulièrement.
La version de la politique de confidentialite applicable est celle en vigueur au moment de votre utilisation du Site.
18. Réclamation auprès de la CNIL
Si vous estimez, après nous avoir contactes, que vos droits en matière de protection des donnees personnelles ne sont pas respectes, vous avez le droit d'introduire une réclamation auprès de l'autorite de contrôle compétente.
Pour la France, l'autorite de contrôle est la Commission nationale de l'informatique et des libertés (CNIL) :
CNIL
3 Place de Fontenoy, TSA 80715
75334 Paris Cedex 07
Téléphone : 01 53 73 22 22
Site web : www.cnil.fr
Téléservice de plainte en ligne : www.cnil.fr/fr/plaintes
19. Médiation
Conformément aux dispositions du Code de la consommation relatives au règlement amiable des litiges, le Client consommateur à le droit de recourir gratuitement à un médiateur de la consommation. Le médiateur désigné est :
MEDIATION CONSOMMATION DEVELOPPEMENT
Centre d'Affaires Stéphanois, Immeuble l'Horizon, Esplanade de France
3 rue J. Constant Milleret, 42000 Saint-Étienne
Site web : https://www.medconsodev.eu
Les modalités de saisine du médiateur sont détaillées dans nos Conditions Générales de Vente.
20. Contact
Pour toute question relative à la présente politique de confidentialite ou pour exercer vos droits, vous pouvez nous contacter :
Par email : bonjour@cejourla-editions.fr
Par courrier : Estelle Patry EI -- Service Donnees Personnelles, 203 rue Maryse Bastie, 76620 Le Havre, France
Nous nous efforcerons de répondre à toute demande dans les meilleurs délais et, en tout état de cause, dans le délai d'un mois prévu par le RGPD.
La présente politique de confidentialite est complémentaire aux Conditions Générales de Vente et aux Mentions Légales du Site.