Politique de Confidentialité et Protection des Données (RGPD)
Harmony SAS s’engage à protéger la vie privée de ses utilisateurs et à traiter leurs données personnelles conformément au Règlement Général sur la Protection des Données (RGPD – UE n°2016-679), à la loi Informatique et Libertés du 6 janvier 1978 modifiée, et à la loi du 21 juin 2014 pour la Confiance dans l’Économie Numérique.
1. Responsable du traitement
Le responsable du traitement des données personnelles collectées sur www.harmony-bracelet.fr est :
Société : Harmony SAS
Représentant légal : Madame Claire Martinez, Présidente
Adresse : 42 Rue de l’Ecopôle, 31000 Toulouse
Email : contact@harmony-bracelet.fr
En tant que responsable du traitement, Harmony SAS s’engage à respecter le cadre des dispositions légales en vigueur : établir les finalités de ses traitements, fournir une information complète aux personnes concernées, recueillir leurs consentements lorsque requis, et maintenir un registre des traitements conforme à la réalité.
2. Finalités des données collectées
Harmony SAS est susceptible de traiter les données personnelles des utilisateurs pour les finalités suivantes:
- Navigation et amélioration du site : données de connexion et de navigation (pages consultées, durée de session, résolution d’écran) afin d’améliorer l’expérience utilisateur et le contenu du site.
- Traitement des demandes entrantes : nom, prénom, email, objet et message saisis dans les formulaires de contact, de demande de réparation et de candidature revendeur.
- Gestion de l’espace utilisateur : email, mot de passe (hashé), historique des demandes SAV, données de couplage avec l’application mobile.
- Prévention de la fraude informatique (spamming, hacking) : adresse IP, matériel informatique utilisé pour la navigation.
- Enquêtes de satisfaction facultatives : adresse email (avec consentement).
- Campagnes de communication — newsletter : adresse email (sur consentement explicite et révocable à tout moment).
- Mesure d’audience anonymisée : via Google Analytics 4, avec consentement préalable (bandeau CookieYes).
Harmony SAS ne commercialise pas les données personnelles de ses utilisateurs. Elles sont utilisées uniquement par nécessité fonctionnelle ou à des fins statistiques et d’analyses internes.ntatif des pages principales du site (page d’accueil, pages produit, FAQ, formulaires).
3. Données collectées, bases légales et durées de conservation
| Données collectées | Finalité | Base légale RGPD | Durée de conservation |
| Nom, prénom, email (formulaire de contact) | Traitement de la demande d’information ou de contact | Intérêt légitime (art. 6.1.f) | 3 ans à compter du dernier contact (recommandation CNIL) |
| Nom, prénom, email, n° de série, description (formulaire SAV / réparation) | Traitement de la demande de réparation ou d’assistance — gestion de la garantie | Exécution du contrat de garantie (art. 6.1.b) | Durée de la garantie (3 ans) + 2 ans après expiration |
| Raison sociale, nom, email (formulaire candidature revendeur) | Instruction de la candidature au réseau de distribution | Intérêt légitime (art. 6.1.f) | Durée de la relation commerciale + 5 ans (prescription commerciale) |
| Adresse email (newsletter) | Envoi de la newsletter Harmony | Consentement explicite (art. 6.1.a) — révocable à tout moment | Jusqu’au désabonnement, puis suppression sous 30 jours |
| Données de navigation (cookies analytiques — Google Analytics 4) | Mesure d’audience anonymisée | Consentement (art. 6.1.a) — bandeau CookieYes | 13 mois maximum (durée maximale fixée par la CNIL) |
| Adresse IP, empreinte navigateur | Prévention de la fraude et sécurité informatique (Wordfence) | Intérêt légitime (art. 6.1.f) | 6 mois |
| Email, mot de passe hashé (espace utilisateur) | Authentification sécurisée sur l’espace utilisateur | Exécution du contrat de service (art. 6.1.b) | Durée du compte + 3 ans après clôture |
4. Droits des utilisateurs
Conformément aux articles 15 à 21 du RGPD, chaque utilisateur dispose des droits suivants sur ses données personnelles :
- Droit d’accès (art. 15 RGPD) : obtenir une copie de l’ensemble des données personnelles détenues par Harmony SAS.
- Droit de rectification (art. 16 RGPD) : corriger des données inexactes, incomplètes ou périmées.
- Droit à l’effacement / droit à l’oubli (art. 17 RGPD) : demander la suppression des données, lorsque leur collecte, utilisation ou conservation n’est plus justifiée.
- Droit à la limitation du traitement (art. 18 RGPD) : demander la suspension temporaire du traitement de ses données.
- Droit d’opposition (art. 21 RGPD) : s’opposer au traitement, notamment à des fins de prospection commerciale (désinscription newsletter).
- Droit à la portabilité (art. 20 RGPD) : recevoir ses données dans un format structuré, lisible par machine, lorsque le traitement est fondé sur le consentement ou un contrat.
- Droit de retirer son consentement à tout moment (art. 13-2c RGPD) : sans que cela remette en cause la licéité des traitements effectués avant le retrait.
- Droit de définir le sort de ses données après son décès : désigner un tiers à qui Harmony SAS devra communiquer (ou non) ses données. À défaut d’instructions, Harmony SAS s’engage à détruire les données dès connaissance du décès, sauf obligation légale de conservation.
Pour exercer ces droits, l’utilisateur doit adresser sa demande par écrit, accompagnée d’une copie d’une pièce d’identité (carte nationale d’identité ou passeport) :
- Par email : dpo@harmony-bracelet.fr
- Par courrier : Harmony SAS — DPO, 42 Rue de l’Ecopôle, 31000 Toulouse
Délai de réponse : 30 jours calendaires maximum à compter de la réception de la demande (article 12 du RGPD). En cas de demande complexe, ce délai peut être prolongé de 2 mois supplémentaires, avec information préalable de l’utilisateur.
En cas de réclamation non résolue, l’utilisateur peut déposer une plainte auprès de la CNIL : www.cnil.fr/fr/plaintes.
5. Non-communication des données personnelles
Harmony SAS s’interdit de traiter, héberger ou transférer les informations collectées sur ses utilisateurs vers un pays situé en dehors de l’Union Européenne ou non reconnu comme « adéquat » par la Commission Européenne, sans en informer préalablement l’utilisateur.
Les données personnelles ne sont pas revendues à des tiers. Seule l’hypothèse d’un rachat de Harmony SAS permettrait la transmission des données à l’éventuel acquéreur, qui serait à son tour tenu des mêmes obligations de conservation et de modification vis-à-vis des utilisateurs.
Les principales personnes susceptibles d’avoir accès aux données des utilisateurs sont les agents du service client de Harmony SAS, ainsi que les sous-traitants techniques suivants, dans la limite stricte de leurs attributions :
- O2switch (hébergement) : accès aux données d’hébergement pour maintenance technique — données hébergées en France (Clermont-Ferrand), alimentation 100% énergie renouvelable, conformité RGPD garantie.
- Google LLC (Google Analytics 4) : mesure d’audience anonymisée, avec consentement préalable. Paramétrage en anonymisation IP activée.
- GreenPulse SAS (agence webmaster) : accès à l’administration WordPress pour maintenance et évolutions du site, dans le cadre du contrat de prestation.
6. Sécurité des données
Pour assurer la sécurité et la confidentialité des données personnelles, y compris les données de santé collectées via l’application mobile, Harmony SAS et ses prestataires techniques mettent en œuvre les mesures de sécurité suivantes :
- Chiffrement des communications : protocole HTTPS/TLS 1.3 sur l’ensemble du site (certificat SSL Let’s Encrypt, renouvellement automatique).
- Protection contre les intrusions : pare-feu applicatif Wordfence (WAF), protection contre les attaques brute-force, scan quotidien des fichiers WordPress.
- Pseudonymisation et hachage des mots de passe : les mots de passe des comptes utilisateurs sont stockés sous forme hachée (algorithme bcrypt) et ne sont jamais stockés en clair.
- Sauvegardes chiffrées : sauvegardes quotidiennes automatiques via JetBackup (o2switch), hébergées en France, avec une rétention glissante de 30 jours et isolées des fichiers de production..
- Accès restreint : seuls les personnels habilités de Harmony SAS et les sous-traitants contractuellement engagés ont accès aux données.
Quels que soient les efforts fournis, aucune méthode de transmission sur Internet et aucune méthode de stockage électronique n’est totalement sûre. Harmony SAS ne peut garantir une sécurité absolue.
7. Notification d’incident de sécurité
Conformément à l’article 33 du RGPD, en cas de violation de données susceptible d’engendrer un risque pour les droits et libertés des personnes concernées, Harmony SAS s’engage à :
- Notifier la CNIL dans un délai de 72 heures suivant la prise de connaissance de la violation.
- Informer les utilisateurs concernés dans les meilleurs délais si la violation est susceptible d’engendrer un risque élevé pour leurs droits et libertés, afin qu’ils puissent prendre les mesures appropriées.
- Documenter toute violation dans le registre interne des violations, conformément à l’article 33.5 du RGPD.
Nos procédures de notification d’incident tiennent compte de nos obligations légales nationales et européennes. Aucune information personnelle de l’utilisateur n’est publiée à son insu, échangée, transférée, cédée ou vendue sur quelque support que ce soit à des tiers.
