Politique de protection des données de l’appli Lidl

Politique de protection des données de l’appli Lidl
(Version 1.0, situation au 25 mai 2018)

Nous vous remercions d’utiliser notre application Lidl (ci-après : l’appli) et de l’intérêt que vous portez à notre politique de protection des données. Lorsque vous utilisez notre appli, nous voulons que vous vous sentiez à l’aise et en sécurité et nous estimons que l’application de mesures de protection des données est un critère de qualité orienté clients.

La présente politique de protection des données vous informe sur la nature et l’étendue du traitement de vos données à caractère personnel par Lidl Belgium GmbH & Co. KG (dans le cadre de cette déclaration relative à la vie privée, aussi désignée « Lidl » ou « nous »). Les données à caractère personnel sont des informations qui sont directement ou indirectement imputables à votre personne et/ou qui permettent de vous identifier. Le règlement général sur la protection des données (RGPD) sert en particulier de fondement juridique pour la protection des données.

Table des matières

1. Généralités.

2. Téléchargement de notre appli dans un App Store.

3. Utilisation de notre appli

4. Accès aux fonctions et capteurs de votre terminal mobile.

5. Analyse de l’utilisation et publicité.

6. Autres Fonctions.

7. Destinataires en dehors de l’Union européenne.

8. Vos droits en tant que personne concernée.

9. Personne de contact.

10. Nom et coordonnées du responsable du traitement et coordonnées du délégué à la protection des données 

1. Généralités

Le traitement des données par Lidl Belgium GmbH & Co. KG dans le cadre de l’utilisation de notre appli peut être classé en trois grandes catégories :

·       lorsque vous téléchargez notre appli, les informations nécessaires sont transmises à l’App Store utilisé ;

·       pour vous permettre d’utiliser une multitude de fonctions, comme la recherche de magasins Lidl dans votre région, notre appli doit pouvoir accéder aux différents capteurs et fonctions de votre terminal mobile ;

·       lors de l’utilisation de notre appli, différentes informations sont échangées entre votre terminal et notre serveur. Il peut s’agir dans ce cas-ci aussi de données à caractère personnel. Les informations ainsi collectées sont entre autres utilisées pour :

·       faciliter vos achats dans un magasin Lidl ou sur un de nos sites Internet ;

·       optimiser notre appli ;

·       afficher de la publicité dans le navigateur de votre terminal et/ou au moyen de notifications « push ».

2. Téléchargement de notre appli dans un App Store

Lorsque vous téléchargez notre appli, les données suivantes sont automatiquement traitées par l’exploitant de l’App Store utilisé (Apple App Store ou Google Play) :

·       le nom d’utilisateur dans l’App Store ;

·       l’adresse e-mail enregistrée dans l’App Store ;

·       le numéro de client de votre compte App Store ;

·       le moment du téléchargement ;

·       des informations de paiement ;

·       l’identifiant de l’appareil.

Nous n’avons aucune influence sur cette collecte de données et déclinons dès lors toute responsabilité à cet effet. Vous trouverez de plus amples informations sur ce traitement de données dans la déclaration relative à la vie privée des exploitants des App Stores :

·       Google Play Store 

·       Apple App Store 

3. Utilisation de notre appli

Finalités du traitement des données/fondements juridiques

Lorsque vous utilisez notre appli, nous transférons automatiquement et sans intervention de votre part :

le terminal mobile sur lequel vous démarrez notre appli ;
l’adresse IP de votre terminal mobile ;
la date et l’heure de l’accès ;
la demande du client  ;
le code de réponse http ;
·       le volume de données transféré ; ainsi que

·       la version de l’appli utilisée sur nos serveurs, où nous les stockons temporairement dans un fichier journal pour les finalités suivantes :

·       la protection de nos systèmes ;

·       l’analyse d’erreurs ;

la prévention de tout comportement abusif et/ou frauduleux.
Le fondement juridique du traitement de l’adresse IP est l’article 6, alinéa 1er, point f) du RGPD. Notre intérêt légitime découle des finalités du traitement des données énumérées ci-dessus.

Durée de conservation / Critères de détermination de la durée de conservation

Les données sont conservées pendant une période de quatorze jours et sont ensuite automatiquement supprimées.

4. Accès aux fonctions et capteurs de votre terminal mobile

Finalités du traitement des données/fondements juridiques

Données de localisation

Si, dans le cadre de l’utilisation de notre appli et/ou dans les paramètres de votre terminal mobile, vous avez autorisé la géolocalisation dans la boîte de dialogue « Autorisations », nous utilisons cette fonction pour vous proposer des services personnalisés et liés à votre emplacement actuel. Dans le cadre de la fonction « Trouver mon magasin » en particulier, nous traitons votre emplacement sur la base du GPS et du réseau afin de pouvoir afficher les magasins les plus proches de vous.

Photos / médias / fichiers de votre terminal mobile / contenu du support de stockage USB (lire, modifier, supprimer)

Si vous créez une liste d’achats ou un panier dans notre appli, ceux-ci seront directement sauvegardés dans la mémoire de votre terminal mobile ou sur un support de stockage connecté, en fonction du lieu d’installation de l’appli et de l’espace mémoire disponible.

Appareil photo (prise de photos et enregistrement de vidéos)

L’appareil photo de votre terminal mobile est utilisé pour scanner les codes QR et pour la fonction « Snap'n Buy » (pour plus de détails, voir le point 7.1 ci-dessous).

Informations de connexion WLAN

Notre appli utilise la connexion WLAN de votre terminal mobile pour se connecter à Internet.

Autres fonctions ou capteurs du terminal

L’accès aux autres fonctions ou capteurs de votre terminal mobile permet notamment à notre appli de charger des données sur Internet et de traiter des messages d’erreur. Ceci permet également de lancer notre appli lors du démarrage et de désactiver l’état de veille de l’appareil. Enfin, dans la mesure où vous avez donné votre consentement, notre appli peut vous faire parvenir des notifications « push » pour vous informer de nos offres et promotions du moment.

Le fondement juridique du traitement de vos données de localisation est votre consentement conformément à l’article 6, alinéa 1er, point a) du RGPD.

Durée de conservation / Critères de détermination de la durée de conservation

Vos données de localisation sont supprimées après la désinstallation de notre appli.

5. Analyse de l’utilisation et publicité

Finalités du traitement des données/fondements juridiques

Pour améliorer les fonctions de notre appli ainsi que notre offre et sa commercialisation, nous établissons des profils d’utilisation pseudonymisés afin de déterminer le comportement d’utilisation. Le fondement juridique de ce traitement est l’article 6, alinéa 1er, point f) du RGPD. Il est à la fois dans votre intérêt et dans le nôtre de concevoir notre appli en fonction des besoins et de l’optimiser en permanence pour vous offrir une meilleure expérience d’achat et éviter l’affichage de publicités qui ne revêtent aucun intérêt pour vous. Ce traitement est dès lors considéré comme légitime conformément au règlement susmentionné. Pour l’analyse de l’utilisation et la publicité, nous utilisons les services suivants :

Google Analytics.

Dans le cadre de cette appli, nous utilisons Google Analytics, un service de Google LLC (« Google ») pour l’analyse du comportement des utilisateurs. Google traite à cet effet les informations suivantes :

•       le terminal mobile sur lequel vous démarrez notre appli ;

•       le type/la version du navigateur ;

•       le système d’exploitation utilisé ;

•       l’adresse IP ;

•       l’heure de la requête du serveur.

Les informations sont utilisées pour :

·       analyser l’utilisation de notre appli ;

·       compiler des rapports sur les activités de l’appli  ;

·       fournir d’autres services liés à l’utilisation de l’appli et d’Internet à des fins d’études de marché et de conception des pages Internet en fonction des besoins.

Les adresses IP sont anonymisées de manière à rendre toute identification impossible (masquage IP). Vous pouvez à tout moment vous opposer à l’utilisation de Google Analytics, avec effet dans le futur, dans l’option du menu « Informations juridiques/Tracking » de cette appli.

adjust

Notre appli utilise également l’outil d’analyse adjust, un produit de la société adjust GmbH. Lorsque vous installez notre appli, adjust sauvegarde les données d’installation et d’événement (par exemple l’utilisation de l’appli), ce qui nous permet de comprendre comment vous interagissez avec notre appli mais aussi d’analyser et optimiser nos campagnes publicitaires mobiles. Pour procéder à cette analyse, adjust utilise :

·       l’IDFA (Identifier for Advertising, identifiant publicitaire pour les appareils iOS) ou l’ID publicitaire Android ;

·       l’adresse IP/ MAC ;

·       l’en-tête HTTP ;

·       une empreinte digitale de votre terminal (en plus des informations suivantes : heure d’accès, pays, langue, paramètres locaux, système d’exploitation et sa version ainsi que la version de l’appli).

Ces données sont anonymisées avant leur traitement pour les finalités susmentionnées, ce qui signifie qu’il est impossible, pour nous comme pour adjust, de vous identifier sur la base de ces données.

Vous pouvez à tout moment réinitialiser ou désactiver l’IDFA et l’ID publicitaire Android dans votre système d’exploitation.

Si vous ne souhaitez pas être suivi(e) par adjust, vous pouvez à tout moment vous y opposer, avec effet dans le futur, dans l’option du menu « Informations juridiques/Tracking » de cette appli.

Notifications push au moyen d’Accengage

Avec votre consentement, nous vous montrons des notifications push personnalisées (messages sur votre terminal mobile qui, sans ouvrir notre appli, s’affichent à la fois sur l’écran de verrouillage, sur l’écran d’accueil et lors de l’utilisation d’autres applis). Si elle n’est pas encore ouverte, notre appli s’ouvre en cliquant / appuyant sur la notification push et le message correspondant s’affiche dans l’appli. Pour créer et afficher ces notifications push, nous utilisons l’outil Accengage de la société Accengage SAS. Cet outil établit, au moyen des données suivantes, des profils d’utilisation pseudonymisés et leur attribue des numéros d’identification uniques :

Apple IDFA (Identifier for Advertisers, numéro d’identification du système d’exploitation iOS à des fins publicitaires) ;
Google GAID (Google Advertising ID ; numéro d’identification du système d’exploitation Android à des fins publicitaires) ;
Push Notification Token ;
Mobile Session ID ;
·       comportement d’utilisation dans l’appli.

Ces informations sont analysées par Accengage au moyen d’un algorithme afin de pouvoir afficher ensuite des recommandations de produits ciblées et des notifications push intéressantes pour vous. Ces données ne sont en aucun cas utilisées pour vous identifier personnellement. De même, aucun profil d’utilisation n’est établi avec vos données à caractère personnel.

Vous pouvez à tout moment réinitialiser ou désactiver l’IDFA et l’ID publicitaire Android dans votre système d’exploitation.

Si vous ne souhaitez pas qu’Accengage établisse un profil et envoie des notifications push, vous pouvez à tout moment vous y opposer, avec effet dans le futur, dans l’option du menu « Informations juridiques/Tracking » de cette appli.

Vous recevez des notifications push de notre appli avec votre consentement uniquement. Si vous ne souhaitez plus recevoir de notifications push de notre part, vous pouvez retirer ce consentement, par exemple :

en bloquant l’envoi de notifications push sur votre terminal mobile, de manière générale, dans les paramètres système ; ou
·       en bloquant l’envoi de nos notifications push dans l’option du menu « Notifications Push » de notre appli Android.

Destinataires / Catégories de destinataires

Les informations générées par Google Analytics sur votre utilisation sont en principe transférées sur un serveur de Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043 aux États-Unis où elles sont sauvegardées. Votre adresse IP n’est en aucun cas associée à d’autres données de Google. Les informations générées par adjust sur votre utilisation sont transférées sur des serveurs d’adjust GmbH, Saarbrücker Str. 38a, 10405 Berlin, où elles sont sauvegardées. Les informations générées par Accengage sur votre utilisation sont transférées sur des serveurs d’Accengage SAS, rue du 4 Septembre 31, F-75002 Paris (France), où elles sont sauvegardées. Ces informations sont aussi, le cas échéant, transmises à des tiers dans la mesure où cela est prescrit par la loi ou si des tiers traitent ces données en se conformant à des instructions.

Durée de conservation / Critères de détermination de la durée de conservation

Après l’anonymisation de vos données à caractère personnel, il n’est plus possible de les relier à votre personne. Les données d’analyse statistiques sont supprimées dans Google Analytics, dans le logiciel d’adjust et dans le logiciel d’Accengage après 26 mois. Les rapports établis sur la base de Google Analytics, d’adjust ou d’Accengage ne contiennent plus aucune référence à des personnes.

Possibilité d’opposition / Opt-Out

Si vous ne souhaitez pas faire l’objet d’un suivi, vous pouvez à tout moment vous opposer à toutes ou à certaines mesures de tracking susmentionnées, avec effet dans le futur, comme suit :

·       Google Analytics et adjust : en supprimant les coches correspondantes dans l’option du menu « Informations juridiques/Tracking » de cette appli ;

·       Accengage : en supprimant la coche correspondante « Envoyer les données » dans l’option du menu « Informations juridiques/Tracking/Accengage ».

6. Autres Fonctions

6.1 Sites que vous pouvez consulter via le navigateur intégré (In-App-Browser)

Si vous exécutez une autre fonction via notre appli (se connecter à votre compte client, passer une commande...) ou si vous sélectionnez des offres spéciales (par exemple dans l’option « La cuisine de Lidl »), vous accédez via le navigateur intégré (iOS : Safari/ Android : Chrome) aux pages correspondantes de notre site Internet www.lidl.be ou à des sites Internet de partenaires qui y sont mentionnés. Notre offre disponible dans l’appli ainsi que nos contenus consultables en ligne via le navigateur intégré contiennent aussi des liens vers d’autres sites Internet.

Si vous consultez des sites Internet via le navigateur intégré (par exemple au moyen de liens), vos données à caractère personnel sont traitées sur ces sites Internet en dérogation de la présente politique de protection des données. La présente politique de protection des données s’applique uniquement à notre appli. Nous vous invitons à prendre connaissance des dispositions en matière de protection des données des sites Internet dont les liens apparaissent dans l’appli. Nous déclinons toute responsabilité pour les contenus de tiers mis à votre disposition via des liens ou identifiés de manière spécifique et nous ne nous approprions pas leur contenu. Seul l’exploitant du site Internet dont il est fait mention est responsable de contenus illicites, erronés ou incomplets ainsi que des dommages découlant de l’utilisation ou de la non-utilisation des informations.

7. Destinataires en dehors de l’Union européenne

À l’exception des traitements mentionnés au point 5 par Google Analytics, nous ne transmettons pas vos données à des destinataires dont le siège est situé en dehors de l’Union européenne ou de l’Espace économique européen. Les traitements mentionnés requièrent une transmission de données sur les serveurs de Google Inc. aux États-Unis. Pour les États-Unis, la Commission européenne a, par sa décision du 12 juillet 2016, décrété qu’il existait un niveau de protection de données adéquat en vertu des dispositions de l’EU-U.S. Privacy Shield (la « décision d’adéquation » selon l’article 45 du RGPD). Nous faisons appel au prestataire Google LLC, 1600 Amphitheatre Parkway, Mountain View, 94043 Californie (États-Unis), qui est certifié selon l’EU-U.S. Privacy Shield.

8. Vos droits en tant que personne concernée

8.1 Généralités
Outre le droit de retirer les consentements que vous nous avez donnés, vous disposez des droits suivants, si toutes les conditions légales sont réunies :

·     droit d’accès à vos données à caractère personnel qui sont conservées chez nous conformément à l’article 15 du RGPD et au § 34 de la loi fédérale sur la protection des données ;

·     droit de rectification de données inexactes ou incomplètes selon l’article 16 du RGPD ;

·     droit à l’effacement de vos données qui sont conservées chez nous conformément à l’article 17 du RGPD et au § 35 de la loi fédérale sur la protection des données ;

·     droit à la limitation du traitement de vos données conformément à l’article 18 du RGPD ;

·     droit à la portabilité des données conformément à l’article 20 du RGPD ;

·     droit d’opposition conformément à l’article 21 du RGPD.

8.2. Droit d’accès conformément à l’article 15 du RGPD

Conformément à l’article 15, alinéa 1er du RGPD, vous avez le droit d’obtenir sur demande et gratuitement des informations sur les données à caractère personnel que nous conservons à votre sujet. Ces informations englobent notamment :

·       les finalités du traitement de vos données à caractère personnel ;

·       les catégories de données à caractère personnel qui sont traitées ;

·       les destinataires ou catégories de destinataires auxquels les données à caractère personnel vous concernant ont été ou seront communiquées ;

·       la durée de conservation prévue des données à caractère personnel vous concernant ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée de conservation ;

·       l’existence d’un droit de demander la rectification ou l’effacement de données à caractère personnel vous concernant, d’un droit à la limitation du traitement par le responsable du traitement ou d’un droit de s’opposer à ce traitement ;

·       l’existence d’un droit d’introduire une réclamation auprès d’une autorité de contrôle ;

·       toutes les informations disponibles sur l’origine des données, si les données à caractère personnel ne sont pas collectées auprès de la personne concernée ;

·       l’existence d’une prise de décision automatisée, y compris un profilage, visée à l’article 22, alinéas 1er et 4 du RGPD, et, au moins dans de tels cas, des informations utiles concernant la logique sous-jacente ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée.

Lorsque les données à caractère personnel sont transférées vers un pays tiers ou à une organisation internationale, vous avez le droit d’être informé(e) des garanties appropriées, en vertu de l’article 46 du RGPD, en ce qui concerne ce transfert.

8.3. Droit de rectification conformément à l’article 16 du RGPD

Vous avez le droit d’exiger de nous, dans les meilleurs délais, la rectification des données à caractère personnel vous concernant qui sont inexactes. Compte tenu des finalités du traitement, vous avez le droit d’exiger que les données à caractère personnel incomplètes soient complétées, y compris en fournissant une déclaration complémentaire.

8.4. Droit à l’effacement conformément à l’article 17 du RGPD

Vous avez le droit d’exiger de nous l’effacement, dans les meilleurs délais, de données à caractère personnel vous concernant, lorsque l’un des motifs suivants s’applique :

·       les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d’une autre manière ;

·       vous retirez votre consentement sur lequel est fondé le traitement, conformément à l’article 6, alinéa 1er, point a), ou à l’article 9, alinéa 2, point a) du RGPD, et il n’existe pas d’autre fondement juridique au traitement ;

·       vous vous opposez au traitement en vertu de l’article 21, alinéa 1er ou alinéa 2 du RGPD, et il n’existe pas de motif légitime impérieux pour le traitement dans le cas de l’article 21, alinéa 1er du RGPD ;

·       les données à caractère personnel ont fait l’objet d’un traitement illicite ;

·       les données à caractère personnel doivent être effacées pour respecter une obligation légale ;

·       les données à caractère personnel ont été collectées dans le cadre de l’offre de services de la société de l’information visée à l’article 8, alinéa 1er du RGPD.

Lorsque nous avons rendu publiques les données à caractère personnel et que nous sommes tenus de les effacer, nous prenons, compte tenu des technologies disponibles et des coûts de mise en œuvre, des mesures raisonnables pour informer les tiers qui traitent vos données que vous avez demandé l’effacement de tout lien vers ces données à caractère personnel, ou de toute copie ou reproduction de celles-ci.

8.5. Droit à la limitation du traitement conformément à l’article 18 du RGPD

Vous avez le droit d’exiger de nous la limitation du traitement lorsque l’un des éléments suivants s’applique :

·       vous contestez l’exactitude des données à caractère personnel ;

·       le traitement est illicite et vous exigez, à la place de leur effacement, la limitation de l’utilisation des données à caractère personnel ;

·       le responsable du traitement n’a plus besoin des données à caractère personnel aux fins du traitement, mais celles-ci sont encore nécessaires à la personne concernée pour la constatation, l’exercice ou la défense de droits en justice ;

·       vous vous opposez au traitement en vertu de l’article 21, alinéa 1er du RGPD, tant qu’il n’est pas certain que les motifs légitimes poursuivis par le responsable du traitement priment ceux de la personne concernée.

8.6. Droit à la portabilité des données conformément à l’article 20 du RGPD

Vous avez le droit de recevoir les données à caractère personnel vous concernant que vous nous avez fournies, dans un format structuré, couramment utilisé et lisible par machine, et vous avez le droit de transmettre ces données à un autre responsable du traitement sans que nous y fassions obstacle, lorsque :

·       le traitement est fondé sur le consentement en application de l’article 6, alinéa 1er, point a), ou de l’article 9, alinéa 2, point a), ou sur un contrat en application de l’article 6, alinéa 1er, point b) du RGPD ;

·       le traitement est effectué à l’aide de procédés automatisés.

Lorsque vous exercez votre droit à la portabilité des données, vous avez le droit d’obtenir que nous transmettions directement les données à caractère personnel à un autre responsable du traitement, lorsque cela est techniquement possible.

8.7 Droit d’opposition conformément à l’article 21 du RGPD

Conformément aux dispositions de l’article 21, alinéa 1er du RGPD, le traitement des données peut être refusé pour des raisons tenant à votre situation particulière.

Le droit d’opposition général susmentionné s’applique à toutes les finalités de traitement décrites dans la présente politique de protection des données et conformes à l’article 6, alinéa 1er, point f) du RGPD. À la différence du droit d’opposition spécial axé sur le traitement de données à des fins commerciales (voir en particulier les points 9 et 11.6), nous ne sommes tenus, en vertu du RGPD, de faire appliquer un tel droit d’opposition général que si vous invoquez à notre égard des motifs impérieux, comme un risque pour la vie ou la santé. Par ailleurs, il est possible de s’adresser à l’autorité de contrôle compétente pour Lidl Belgium GmbH & Co. KG ou au délégué à la protection des données ('Data Protection Officer', DPO) de Lidl Belgium GmbH & Co. KG.

9. Personne de contact

9.1 Personne de contact pour toute question ou pour l’exercice de vos droits relatifs à la protection des données

Pour toute question sur le site Internet ou sur l’exercice de vos droits dans le cadre du traitement de vos données (droits relatifs à la protection des données), vous pouvez vous adresser à notre service clientèle 

9.2 Personne de contact pour des questions sur la protection des données

Si vous avez d’autres questions sur le traitement de vos données, vous pouvez vous adresser au délégué à la protection des données de Lidl (voir point 10).

9.3 Droit de réclamation auprès d’une autorité de contrôle

De plus, vous pouvez à tout moment introduire une réclamation auprès de l’autorité de contrôle compétente en matière de protection des données. Vous pouvez vous adresser à l’autorité de contrôle compétente en matière de protection des données du land dans lequel vous êtes domicilié(e) ou à l’autorité du land de Baden-Württemberg dans lequel Lidl Belgium GmbH & Co. KG a son siège.

10. Nom et coordonnées du responsable du traitement et coordonnées du délégué à la protection des données

La présente politique de protection des données s’applique au traitement des données par Lidl Belgium GmbH & Co. KG, Guldensporenpark 90, blok J, 9820 Merelbeke (« responsable du traitement ») et l’appli Lidl. Le délégué à la protection des données de Lidl Belgium GmbH & Co. KG peut être contacté à l’adresse susmentionnée (à l’attention du délégué à la protection des données) ou à l’adresse e-mail privacy@lidl.be.