Politique de confidentialité

Dernière mise à jour : 15 juin 2026.

PRÉAMBULE

La présente politique de confidentialité a pour objectif de présenter aux utilisateurs du site sefia.co (le « Site ») les mesures relatives au traitement de leurs données à caractère personnel et, notamment, de les informer sur la manière dont leurs données personnelles peuvent être collectées et traitées sur le Site, conformément au Règlement (UE) 2016/679 du 27 avril 2016 (« RGPD ») et à la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés (« Loi Informatique et Libertés »).

IDENTITÉ DU RESPONSABLE DE TRAITEMENT

Le responsable de traitement est la société Séfia Co OÜ, société de droit estonien (osaühing), immatriculée au registre des entreprises estonien (Äriregister) sous le numéro 17291645, dont le siège social est situé Jõe tn 3-406, 10151 Tallinn, Estonie (ci-après « Séfia », « nous », « notre » ou « nos »).

Pour toute question relative au traitement de vos données personnelles, vous pouvez contacter Séfia à l'adresse électronique suivante : contact@sefia.co.

LES TRAITEMENTS DES DONNÉES DES UTILISATEURS

La présente politique s'adresse à tous les utilisateurs du Site, qu'ils soient simples visiteurs, prospects ou clients du responsable de traitement.

Le responsable de traitement s'assure que seules les données strictement nécessaires aux finalités pour lesquelles elles sont traitées sont collectées et traitées.

Le moment de la collecte des données

Le responsable de traitement est susceptible de collecter les données personnelles des utilisateurs :

• lors de leur visite sur le Site ;
• lors de l'utilisation des fonctionnalités et des services proposés sur le Site, notamment lors d'une commande ;
• lors d'échanges avec le responsable de traitement, notamment via le service client ou les formulaires mis à disposition ;
• lors de l'inscription à la newsletter ou aux communications par SMS et WhatsApp ;
• lors de la création, de la mise à jour et de la gestion du compte utilisateur ;
• lorsque l'utilisateur dépose un avis ou un contenu sur le Site.

La nature des données collectées

Les données personnelles que le responsable de traitement est amené à recueillir désignent les informations identifiant les utilisateurs personnellement, telles que :

• données d'identification : civilité, nom, prénom, adresse électronique, adresse postale, numéro de téléphone ;
• données relatives à la gestion et à la sécurisation du compte : identifiants de connexion, mot de passe (sous forme chiffrée), historique de commandes, points de fidélité, parrainages ;
• données relatives à la gestion de la relation commerciale : numéro de commande, factures, adresse de facturation et de livraison, données relatives au moyen de paiement utilisé ;
• données de communication marketing : adresse électronique et/ou numéro de téléphone collectés aux fins d'envoi de la newsletter et des communications commerciales par e-mail, SMS et WhatsApp ;
• données relatives aux avis et contenus déposés par l'utilisateur sur le Site ;
• données de connexion : adresse IP, logs de connexion, type de navigateur, informations relatives à l'appareil et à la navigation.

Concernant le paiement, les données relatives aux moyens de paiement (notamment le numéro de carte bancaire et sa date de validité) sont collectées et traitées directement par notre prestataire de services de paiement, agissant en qualité de responsable ou de sous-traitant selon le cas. Séfia ne stocke pas les numéros de carte bancaire et le cryptogramme visuel n'est jamais conservé.

Conformément à l'article L.133-24 du Code monétaire et financier, les données relatives à la transaction peuvent être conservées par le prestataire de paiement, à des fins de preuve en cas de contestation, pendant une durée de treize (13) mois (voire quinze (15) mois en cas de débit différé) suivant la date de débit.

Les cookies et traceurs

Les cookies sont des fichiers texte stockés dans le navigateur de l'utilisateur lors de la consultation du Site. Le Site utilise des cookies et traceurs qui permettent essentiellement :

• d'assurer le bon fonctionnement et la sécurité du Site, ainsi que la mémorisation du panier et des préférences de l'utilisateur (cookies strictement nécessaires, dispensés de consentement) ;
• d'afficher, lors de la première visite, le bandeau permettant à l'utilisateur d'accepter ou de refuser les cookies, et de conserver son choix ;
• d'établir des statistiques de fréquentation et d'usage du Site, ainsi que de mesurer et personnaliser la publicité, via des outils tiers tels que Google Analytics et Google Ads (signaux de consentement Google Consent Mode). Les informations générées par ce type de cookies peuvent être transmises à des serveurs situés en dehors de l'Union européenne, notamment aux États-Unis (voir la section « Transferts de données hors Union européenne »).

Les cookies et traceurs non strictement nécessaires (mesure d'audience non exemptée, publicité, réseaux sociaux) ne sont déposés qu'après recueil du consentement de l'utilisateur, conformément à l'article 82 de la Loi Informatique et Libertés. L'utilisateur peut à tout moment modifier ou retirer son choix via le module de gestion des cookies accessible sur le Site.

Les cookies ne sont conservés que pendant une durée maximale de treize (13) mois. Le choix de l'utilisateur (acceptation ou refus) est conservé pendant une durée n'excédant pas six (6) mois.

L'utilisateur peut également configurer son navigateur afin d'être informé de la présence de cookies et de les accepter ou de les refuser, au cas par cas ou de façon générale. La marche à suivre est décrite dans le menu d'aide de chaque navigateur (Safari, Google Chrome, Mozilla Firefox, Microsoft Edge, Opera). L'utilisateur peut enfin exprimer ses choix en matière de cookies publicitaires via la plateforme européenne Youronlinechoices (www.youronlinechoices.com/fr). Le paramétrage choisi est susceptible de modifier les conditions d'accès aux services du Site nécessitant l'utilisation de cookies.

Les finalités de la collecte et les bases légales

Les données personnelles des utilisateurs sont collectées et traitées pour les finalités suivantes :

• le bon fonctionnement, la sécurité et l'amélioration permanente du Site, de ses services et fonctionnalités (intérêt légitime — art. 6.1.f RGPD) ;
• la création, la tenue et la gestion du compte utilisateur (exécution du contrat — art. 6.1.b RGPD) ;
• la gestion commerciale : traitement et suivi des commandes, paiement, livraison, retours et échanges, suivi de la relation client (exécution du contrat — art. 6.1.b RGPD) ;
• la gestion de la facturation et le respect des obligations comptables et fiscales (obligation légale — art. 6.1.c RGPD) ;
• la gestion des demandes des utilisateurs (contact, service client) et l'exercice de leurs droits sur leurs données (intérêt légitime / obligation légale) ;
• l'envoi de la newsletter et de communications commerciales par e-mail, SMS et WhatsApp (consentement — art. 6.1.a RGPD et art. L.34-5 du Code des postes et des communications électroniques) ;
• la réalisation de statistiques d'audience et la personnalisation de la publicité (consentement — art. 82 de la Loi Informatique et Libertés) ;
• la gestion des avis et contenus déposés par les utilisateurs, ainsi que des programmes de fidélité et de parrainage (consentement / intérêt légitime) ;
• la prévention et la détection de la fraude et la sécurité des transactions (intérêt légitime — art. 6.1.f RGPD) ;
• le respect des obligations légales et réglementaires applicables et la constatation, l'exercice ou la défense de droits en justice (obligation légale / intérêt légitime).

Informations lors de la collecte et consentement

Les données dont la communication est obligatoire pour bénéficier d'un service ou d'une fonctionnalité sont signalées comme telles lors de la collecte, en principe par un astérisque (*). À défaut de communication de ces données, l'utilisateur peut être empêché d'accéder à la fonctionnalité concernée.

Lorsque le traitement repose sur le consentement (notamment les communications commerciales par e-mail, SMS et WhatsApp et les cookies non essentiels), celui-ci est recueilli par un acte positif clair, distinct et préalable. L'utilisateur peut retirer son consentement à tout moment, aussi facilement qu'il l'a donné, sans que ce retrait ne porte atteinte à la licéité du traitement fondé sur le consentement effectué avant ce retrait.

Conformément à l'article 8 du RGPD et à l'article 45 de la Loi Informatique et Libertés, un mineur peut consentir seul à un traitement de données dans le cadre de l'offre directe de services de la société de l'information à compter de l'âge de quinze (15) ans. Lorsque le mineur est âgé de moins de quinze (15) ans, le consentement est donné conjointement par le mineur et le ou les titulaires de l'autorité parentale. Le Site n'est pas destiné aux enfants et Séfia ne collecte pas sciemment de données relatives à des mineurs de moins de quinze (15) ans.

Les destinataires des données

Les données personnelles des utilisateurs peuvent être communiquées aux catégories de destinataires suivantes :

• les services internes habilités du responsable de traitement (service commercial, service marketing, service client) ;
• les sous-traitants agissant au nom et pour le compte du responsable de traitement, notamment : l'hébergeur et fournisseur de la plateforme e-commerce (Shopify) ; le ou les prestataires de services de paiement ; les prestataires de livraison et de logistique ; les prestataires de routage des e-mails, SMS et messages WhatsApp ; l'expert-comptable ; les prestataires d'outils de statistiques et de publicité (Google, Meta) ;
• les réseaux sociaux : lorsque l'utilisateur clique sur un lien renvoyant vers les comptes sociaux de Séfia (Facebook, Instagram, TikTok) et qu'il est connecté à son propre compte, le réseau social concerné est susceptible de traiter ses données selon sa propre politique de confidentialité ;
• les autorités administratives ou judiciaires, lorsque la loi l'exige.

Chaque sous-traitant est lié au responsable de traitement par un contrat conforme à l'article 28 du RGPD et ne traite les données que sur instruction documentée du responsable de traitement.

Transferts de données hors Union européenne

Certains prestataires de Séfia étant situés en dehors de l'Union européenne (notamment aux États-Unis : Shopify, Google, Meta/WhatsApp), des données personnelles sont susceptibles d'être transférées hors de l'Espace économique européen.

De tels transferts ne sont réalisés que vers des pays bénéficiant d'une décision d'adéquation de la Commission européenne, ou sur le fondement de garanties appropriées au sens des articles 44 et suivants du RGPD, notamment les clauses contractuelles types de la Commission européenne ou, pour les transferts vers les États-Unis, l'adhésion du prestataire au cadre de protection des données UE–États-Unis (EU-U.S. Data Privacy Framework).

Les durées de conservation

Les données personnelles sont conservées pendant la durée strictement nécessaire aux finalités pour lesquelles elles ont été collectées, puis archivées ou supprimées conformément à la réglementation en vigueur. À titre indicatif :

• les données des clients sont conservées pendant la durée de la relation contractuelle, augmentée de cinq (5) ans après le dernier achat ou la fin de la relation ;
• les données des prospects sont conservées pendant une durée de trois (3) ans à compter du dernier contact émanant de l'utilisateur ;
• les données utilisées pour la prospection par e-mail, SMS et WhatsApp sont conservées jusqu'au retrait du consentement ou au désabonnement de l'utilisateur, puis dans la limite des durées ci-dessus ;
• les documents et pièces comptables sont conservés pendant dix (10) ans à compter de la clôture de l'exercice comptable ;
• les données du compte utilisateur sont conservées pendant la durée de vie du compte, puis supprimées après une période d'inactivité prolongée ;
• les cookies et traceurs sont conservés treize (13) mois au maximum ; le choix de consentement aux cookies, six (6) mois au maximum.

SÉCURITÉ ET CONFIDENTIALITÉ

Le responsable de traitement met en œuvre toutes les mesures techniques et organisationnelles utiles et nécessaires — physiques, logiques et organisationnelles — pour préserver la sécurité et la confidentialité des données personnelles et les protéger contre toute perte accidentelle, altération, destruction ou tout accès, utilisation, modification ou divulgation non autorisés.

Le responsable de traitement exige le même niveau de sécurité de la part de ses prestataires et sous-traitants, ainsi que, de manière générale, de tout tiers destinataire des données.

MODALITÉS D'EXERCICE DES DROITS DES UTILISATEURS

Dans les conditions définies par la Loi Informatique et Libertés et par le RGPD, toute personne concernée dispose des droits suivants sur ses données personnelles :

• droit d'information : connaître les finalités et les modalités du traitement de ses données ;
• droit d'accès : obtenir la communication des données la concernant ;
• droit de rectification : faire corriger, compléter ou mettre à jour ses données ;
• droit à l'effacement : faire supprimer ses données dans les cas prévus à l'article 17 du RGPD, à savoir :
  – les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ;
  – la personne concernée retire son consentement ;
  – la personne concernée s'oppose au traitement ;
  – les données personnelles ont fait l'objet d'un traitement illicite ;
  – les données personnelles doivent être effacées pour respecter une obligation légale ;
  – les données personnelles ont été collectées dans le cadre de l'offre de services de la société de l'information à des mineurs ;
• droit à la limitation du traitement dans les cas prévus à l'article 18 du RGPD ;
• droit à la portabilité : recevoir ses données dans un format structuré, couramment utilisé et lisible par machine ;
• droit d'opposition : s'opposer, pour des motifs légitimes, au traitement de ses données, et s'opposer à tout moment et sans motif à la prospection commerciale ;
• droit de retirer son consentement à tout moment lorsque le traitement est fondé sur celui-ci ;
• droit de définir des directives relatives au sort de ses données après son décès.

Ces droits peuvent être exercés directement auprès du responsable de traitement, par courrier postal à l'adresse Séfia Co OÜ, Jõe tn 3-406, 10151 Tallinn, Estonie, ou par courrier électronique à l'adresse contact@sefia.co, accompagné le cas échéant d'un justificatif d'identité en cours de validité.

Séfia étant établie en Estonie, l'autorité de contrôle chef de file est l'autorité estonienne de protection des données (Andmekaitse Inspektsioon — www.aki.ee). Les utilisateurs résidant en France peuvent néanmoins introduire une réclamation auprès de la Commission nationale de l'informatique et des libertés (www.cnil.fr), ou auprès de l'autorité de protection des données de leur lieu de résidence.

MODIFICATION DE LA PRÉSENTE POLITIQUE DE CONFIDENTIALITÉ

La présente politique de confidentialité est susceptible d'être modifiée afin de tenir compte des évolutions législatives et réglementaires ainsi que des évolutions des pratiques du responsable de traitement. Toute version révisée sera publiée sur le Site avec une date de « Dernière mise à jour » actualisée. Les utilisateurs sont invités à en prendre régulièrement connaissance.