Politiques de confidentialité du site

Politiques générales de confidentialité du site
La présente Politique de confidentialité décrit la façon dont vos informations personnelles sont recueillies, utilisées et partagées lorsque vous vous rendez sur shoptoute.ca (le « Site ») ou que vous y effectuez un achat.

INFORMATIONS PERSONNELLES RECUEILLIES
Lorsque vous vous rendez sur le Site, nous recueillons automatiquement certaines informations concernant votre appareil, notamment des informations sur votre navigateur web, votre adresse IP, votre fuseau horaire et certains des cookies qui sont installés sur votre appareil. En outre, lorsque vous parcourez le Site, nous recueillons des informations sur les pages web ou produits individuels que vous consultez, les sites web ou les termes de recherche qui vous ont permis d'arriver sur le Site, ainsi que des informations sur la manière dont vous interagissez avec le Site. Nous désignons ces informations collectées automatiquement sous l'appellation « Informations sur l'appareil ».

Nous recueillons les Informations sur l'appareil à l'aide des technologies suivantes :

 FICHIERS TÉMOINS (COOKIES)
Voici une liste de fichiers témoins que nous utilisons. Nous les avons énumérés ici pour que vous ayez la possibilité de choisir si vous souhaitez les autoriser ou non.

_session_id, identificateur unique de session, permet à Shopify de stocker les informations relatives à votre session (référent, page de renvoi, etc.).

_shopify_visit, aucune donnée retenue, persiste pendant 30 minutes depuis la dernière visite. Utilisé par le système interne de suivi des statistiques du fournisseur de notre site web pour enregistrer le nombre de visites.

_shopify_uniq, aucune donnée retenue, expire à minuit (selon l’emplacement du visiteur) le jour suivant. Calcule le nombre de visites d’une boutique par client unique.

cart, identificateur unique, persiste pendant 2 semaines, stocke l’information relative à votre panier d’achat.

_secure_session_id, identificateur unique de session

storefront_digest, identificateur unique, indéfini si la boutique possède un mot de passe, il est utilisé pour savoir si le visiteur actuel a accès.
  - Les « fichiers journaux » suivent l'activité du Site et recueillent des données telles que votre adresse IP, le type de navigateur que vous utilisez, votre fournisseur d'accès Internet, vos pages référentes et de sortie, et vos données d'horodatage (date et heure).
    - Les « pixels invisibles », les « balises » et les « pixels » sont des fichiers électroniques qui enregistrent des informations sur la façon dont vous parcourez le Site.
 
Par ailleurs, lorsque vous effectuez ou tentez d'effectuer un achat par le biais du Site, nous recueillons certaines informations vous concernant, notamment votre nom, votre adresse de facturation, votre adresse d'expédition, vos informations de paiement (y compris vos numéros de cartes de crédit, votre adresse e-mail et votre numéro de téléphone.  Ces informations collectées automatiquement sont désignées par l’appellation « Informations sur la commande ».

Lorsque nous utilisons l'expression « Informations personnelles » dans la présente Politique de confidentialité, nous faisons allusion à la fois aux Informations sur l'appareil et aux Informations sur la commande.

COMMENT UTILISONS-NOUS VOS INFORMATIONS PERSONNELLES ?
En règle générale, nous utilisons les Informations sur la commande que nous recueillons pour traiter toute commande passée par le biais du Site (y compris pour traiter vos informations de paiement, organiser l'expédition de votre commande et vous fournir des factures et/ou des confirmations de commande).  En outre, nous utilisons ces Informations sur la commande pour :
communiquer avec vous ; évaluer les fraudes ou risques potentiels ; et
lorsque cela correspond aux préférences que vous nous avez communiquées, vous fournir des informations ou des publicités concernant nos produits ou services.

Nous utilisons les Informations sur l'appareil (en particulier votre adresse IP) que nous recueillons pour évaluer les fraudes ou risques potentiels et, de manière plus générale, pour améliorer et optimiser notre Site (par exemple, en générant des analyses sur la façon dont nos clients parcourent et interagissent avec le Site, et pour évaluer la réussite de nos campagnes de publicité et de marketing).

PARTAGE DE VOS INFORMATIONS PERSONNELLES
Nous partageons vos Informations personnelles avec des tiers qui nous aident à les utiliser aux fins décrites précédemment.  Par exemple, nous utilisons Shopify pour héberger notre boutique en ligne – pour en savoir plus sur l'utilisation de vos Informations personnelles par Shopify, veuillez consulter la page suivante : https://www.shopify.fr/legal/confidentialite.  Nous utilisons également Google Analytics pour mieux comprendre comment nos clients utilisent le Site – pour en savoir plus sur l'utilisation de vos Informations personnelles par Google, veuillez consulter la page suivante : https://www.google.com/intl/fr/policies/privacy/.  Vous pouvez aussi désactiver Google Analytics ici : https://tools.google.com/dlpage/gaoptout.

Enfin, il se peut que nous partagions aussi vos Informations personnelles pour respecter les lois et règlementations applicables, répondre à une assignation, à un mandat de perquisition ou à toute autre demande légale de renseignements que nous recevons, ou pour protéger nos droits.

Comme indiqué ci-dessus, nous utilisons vos Informations personnelles pour vous proposer des publicités ciblées ou des messages de marketing qui, selon nous, pourraient vous intéresser.  Pour en savoir plus sur le fonctionnement de la publicité ciblée, vous pouvez consulter la page d'information de la Network Advertising Initiative (NAI) à l'adresse suivante : http://www.networkadvertising.org/understanding-online-advertising/how-does-it-work.

Vous pouvez refuser la publicité ciblée ici :
    FACEBOOK – https://www.facebook.com/settings/?tab=ads
    GOOGLE – https://www.google.com/settings/ads/anonymous
    BING – https://about.ads.microsoft.com/fr-fr/ressources/politiques/annonces-personnalisees

En outre, vous pouvez refuser certains de ces services en vous rendant sur le portail de désactivation de Digital Advertising Alliance à l'adresse suivante : https://optout.aboutads.info/?c=3&lang=fr.

NE PAS SUIVRE
Veuillez noter que nous ne modifions pas la collecte de données de notre Site et nos pratiques d'utilisation lorsque nous détectons un signal « Ne pas suivre » sur votre navigateur.

VOS DROITS
Si vous êtes résident(e) européen(ne), vous disposez d'un droit d'accès aux informations personnelles que nous détenons à votre sujet et vous pouvez demander à ce qu'elles soient corrigées, mises à jour ou supprimées. Si vous souhaitez exercer ce droit, veuillez nous contacter au moyen des coordonnées précisées ci-dessous.

Par ailleurs, si vous êtes résident(e) européen(ne), notez que nous traitons vos informations dans le but de remplir nos obligations contractuelles à votre égard (par exemple si vous passez une commande sur le Site) ou de poursuivre nos intérêts commerciaux légitimes, énumérés ci-dessus.  Veuillez également noter que vos informations seront transférées hors de l'Europe, y compris au Canada et aux États-Unis.


RÉTENTION DES DONNÉES
Lorsque vous passez une commande par l'intermédiaire du Site, nous conservons les Informations sur votre commande dans nos dossiers, sauf si et jusqu'à ce que vous nous demandiez de les supprimer.

CHANGEMENTS
Nous pouvons être amenés à modifier la présente politique de confidentialité de temps à autre afin d'y refléter, par exemple, les changements apportés à nos pratiques ou pour d'autres motifs opérationnels, juridiques ou réglementaires.


NOUS CONTACTER
Pour en savoir plus sur nos pratiques de confidentialité, si vous avez des questions ou si vous souhaitez déposer une réclamation, veuillez nous contacter par e-mail à info@shoptoute.ca, ou par courrier à l'adresse suivante :
4579 rue Sainte-Catherine Est, Montréal, QC, H1V 1Y8, Canada

Mise à jour de notre politique de confidentialité conforme à la loi 25 (QUÉBEC) 
(dernière mise à jour, septembre 2023)

1. Procédure de conservation, de destruction et d’anonymisation des renseignements personnels

*La durée de conservation des renseignements concernant les clients est variable en fonction du type de renseignement personnel. Pour plus de détails, se référer à l’inventaire complet des renseignements personnels détenus. Attention des délais de conservation spécifiques peuvent s’appliquer.

1.2 Méthodes de stockage sécurisé
1.2.1 Les renseignements personnels se trouvent aux endroits suivants : Cloud Shopify.
1.2.2 Le degré de sensibilité de chacun de ces lieux de stockage a été établi.
1.2.3 Ces lieux de stockage, qu’ils soient papier ou numérique, sont adéquatement sécurisés.
1.2.4 L’accès à ces lieux de stockage a été restreint aux seules personnes autorisées.

2.Procédure de demande d’accès aux renseignements personnels et de traitement des plaintes

2. Procédure de demande d’accès
2.1 Soumission de la demande
2.1.1 L'individu qui souhaite accéder à ses renseignements personnels doit soumettre une demande écrite au responsable de la protection des renseignements personnels de Studio Toute. La demande peut être envoyée par courriel ou par courrier postal à :

Vincent Tourigny / Studio Toute
info@shoptoute.ca
4579 rue Sainte-Catherine Est, Montréal, QC, H1V 1Y8, Canada

2.1.2 La demande doit clairement indiquer qu'il s'agit d'une demande d'accès aux renseignements personnels, et fournir des informations suffisantes pour identifier l'individu et les renseignements recherchés.
2.1.3 Ces informations peuvent inclure le nom, l'adresse ainsi que toute autre information pertinente pour identifier de manière fiable l'individu qui effectue la demande.

2.2 Réception de la demande
2.2.1 Une fois la demande reçue, un accusé de réception est envoyé à l'individu pour confirmer que sa demande a été prise en compte.
2.2.2 La demande devra être traitée dans les trente (30) jours suivant sa réception.

2.3 Vérification de l’identité
2.3.1 Avant de traiter la demande, l'identité de l'individu doit être vérifiée de manière raisonnable. Cela peut être fait en demandant des informations supplémentaires ou en vérifiant l'identité de l'individu en personne.
2.3.2 Si l'identité ne peut pas être vérifiée de manière satisfaisante, l'organisation peut refuser de divulguer les renseignements personnels demandés.

2.4 Réponse aux demandes incomplètes ou excessives
2.4.1 Si une demande d'accès aux renseignements personnels est incomplète ou excessive, le responsable de la protection des renseignements personnels communique avec l'individu pour demander des informations supplémentaires ou clarifications.
2.4.2 L'organisation se réserve le droit de refuser une demande si elle est manifestement abusive, excessive ou non justifiée.

2.5 Traitement de la demande
2.5.1 Une fois l'identité vérifiée, le responsable de la protection des renseignements personnels pour traiter les demandes d'accès aux renseignements personnels procède à la collecte des renseignements demandés.
2.5.2 Le responsable consulte les dossiers pertinents pour recueillir les renseignements personnels demandés, en veillant à respecter les restrictions légales éventuelles.

2.6 Examen des renseignements
2.6.1 Avant de communiquer les renseignements personnels à l'individu, le responsable examine attentivement les informations pour s'assurer qu'elles ne contiennent pas de renseignements tiers confidentiels ou susceptibles de porter atteinte à d'autres droits.
2.6.2 Si des renseignements de tiers sont présents, le responsable évalue s'ils peuvent être dissociés ou s'ils doivent être exclus de la divulgation.

2.7 Communication des renseignements
2.7.1 Une fois les vérifications terminées, les renseignements personnels sont communiqués à l'individu dans un délai raisonnable, conformément aux exigences légales en vigueur.
2.7.2 Les renseignements personnels peuvent être communiqués à l'individu par voie électronique, par courrier postal sécurisé ou en personne, selon les préférences de l'individu et les mesures de sécurité appropriées.

2.8 Suivi et documentation
2.8.1 Toutes les étapes du processus de traitement de la demande d'accès aux renseignements personnels doivent être consignées de manière précise et complète.
2.8.2 Les détails de la demande, les actions entreprises, les décisions prises et les dates correspondantes doivent être enregistrés dans un registre de suivi des demandes d'accès.
• Date de réception de la demande ;
• Date de l’accusé de réception ;
• Date de la vérification de l’identité ;
• Méthode de vérification de l’identité ;
• Décision – demande d’accès acceptée ou refusée ;
• Date de la communication des renseignements (si applicable).

2.9 Protection de la confidentialité
2.9.1 Tout le personnel impliqué dans le traitement des demandes d'accès aux renseignements personnels doit respecter la confidentialité et la protection des données.

2.10 Gestion des plaintes et des recours
2.10.1 Si un individu est insatisfait de la réponse à sa demande d'accès aux renseignements personnels, il doit être informé des procédures de réclamation et des recours disponibles devant la Commission d’accès à l’information.
2.10.2 Les plaintes doivent être traitées conformément aux politiques et procédures internes en matière de gestion des plaintes (section suivante).

2.11 Procédure de traitement des plaintes
2.11.1 Réception des plaintes
2.11.1.1 Les plaintes peuvent être déposées par écrit, par téléphone, par courrier électronique ou via tout autre canal de communication officiel. Elles doivent être enregistrées dans un registre centralisé, accessible uniquement au personnel désigné.
2.11.1.2 Les employés doivent informer immédiatement le service responsable de la réception des plaintes.

2.11.2 Évaluation préliminaire
2.11.2.1 Le responsable désigné examine chaque plainte pour évaluer sa pertinence et sa gravité.
2.11.2.2 Les plaintes frivoles, diffamatoires ou sans fondement évident peuvent être rejetées. Toutefois, une justification doit être fournie au plaignant.

2.11.3 Enquête et analyse
2.11.3.1 Le responsable chargé de la plainte mène une enquête approfondie en collectant des preuves, en interrogeant les parties concernées et en recueillant tous les documents pertinents.
2.11.3.2 Le responsable doit être impartial et avoir l'autorité nécessaire pour résoudre la plainte.
2.11.3.3 Le responsable doit maintenir la confidentialité des informations liées à la plainte et veiller à ce que toutes les parties impliquées soient traitées équitablement.

2.11.4 Résolution de la plainte
2.11.4.1 Le responsable de la plainte propose des solutions appropriées pour résoudre la plainte dans les meilleurs délais.
2.11.4.2 Les solutions peuvent inclure des mesures correctives, des compensations financières ou toute autre action nécessaire pour résoudre la plainte de manière satisfaisante.

2.11.5 Communication avec le plaignant
2.11.5.1 Le responsable de la plainte communique régulièrement avec le plaignant pour le tenir informé de l'avancement de l'enquête et de la résolution de la plainte.
2.11.5.2 Toutes les communications doivent être professionnelles, empathiques et respectueuses.

2.11.6 Clôture de la plainte
2.11.6.1 Une fois la plainte résolue, le responsable de la plainte doit fournir une réponse écrite au plaignant, résumant les mesures prises et les solutions proposées.
2.11.6.2 Toutes les informations et documents relatifs à la plainte doivent être conservés dans un dossier confidentiel.

3.Procédure de demande de désindexation et de suppression des renseignements personnels

Aperçu/ Cette procédure vise à répondre aux craintes et aux préoccupations de confidentialité et de protection des renseignements personnels de nos clients.
Objectif/ Le but de cette procédure est de fournir un mécanisme structuré pour gérer les demandes de désindexation et de suppression des renseignements personnels émanant de nos clients.
Portée/ Cette procédure s'applique à notre équipe interne chargée de la gestion des demandes de désindexation et de suppression des renseignements personnels. Elle couvre toutes les informations publiées sur nos plateformes en ligne, y compris notre site web, nos applications mobiles, nos bases de données ou tout autre support numérique utilisé par nos clients.
Définitions/ Suppression des renseignements personnels : action d'effacer complètement les données, les rendant indisponibles et irrécupérables.
Désindexation des renseignements personnels: retrait des informations des moteurs de recherche, les rendant moins visibles, mais toujours accessibles directement.La suppression élimine définitivement les données, tandis que la désindexation limite leur visibilité en ligne.

3.1 Réception des demandes
3.1.1 Les demandes de désindexation et de suppression des renseignements personnels doivent être reçues par l'équipe responsable désignée.
3.1.2 Les clients peuvent soumettre leurs demandes en écrivant à l’adresse courriel dédiée : info@shoptoute.ca

3.2 Vérification de l'identité
3.2.1 Avant de traiter la demande, l'identité de l'individu doit être vérifiée de manière raisonnable.
3.2.2 Cela peut être fait en demandant des informations supplémentaires ou en vérifiant l'identité de l'individu en personne.
3.2.3 Si l'identité ne peut pas être vérifiée de manière satisfaisante, l'organisation peut refuser de donner suite à la demande.

3.3 Évaluation des demandes
5.3.1 L'équipe responsable doit examiner attentivement les demandes et les renseignements personnels concernés pour déterminer leur admissibilité à la désindexation ou à la suppression.
5.3.2 Les demandes doivent être traitées de manière confidentielle et dans le respect des délais prévus.

3.4 Raisons d’un refus
3.4.1 Il existe aussi des raisons parfaitement valables pour lesquelles nous pourrions refuser de supprimer ou de désindexer des renseignements personnels :
• Pour continuer à fournir des biens et des services au client ;
• Pour des raisons d’exigence du droit du travail ;
• Pour des raisons juridiques en cas de litige.

3.5 Désindexation ou suppression des renseignements personnels
3.5.1 L'équipe responsable doit prendre les mesures nécessaires pour désindexer ou supprimer les renseignements personnels conformément aux demandes admissibles.

3.6 Communication du suivi
3.6.1 L'équipe responsable est chargée de communiquer avec les demandeurs tout au long du processus, en fournissant des confirmations d'accusé de réception et des mises à jour régulières sur l'état d'avancement de leur demande.
3.6.2 Tout retard ou problème rencontré lors du traitement des demandes doit être communiqué aux demandeurs avec des explications claires.

3.7 Suivi et documentation
3.7.1 Toutes les demandes de désindexation et de suppression des renseignements personnels, ainsi que les actions entreprises pour y répondre, doivent être consignées dans un système de suivi dédié.
3.7.2 Les enregistrements doivent inclure les détails des demandes, les mesures prises, les dates et les résultats des actions effectuées.

 4. Procédure de gestion des incidents de sécurité et violations des renseignements personnels