1. Objet, portée, opposabilité

La présente Politique de confidentialité encadre l’ensemble des traitements de données personnelles réalisés dans le cadre de l’usage des sites tmpx.fr et declicdart.fr, ainsi que des dispositifs associés (formulaires, tunnels, communications, comptes utilisateurs, enchères privées, ventes, support).

Elle complète les Mentions légales, les CGU et les CGV.
En cas de contradiction, les CGV prévalent pour tout ce qui concerne les transactions, et la présente Politique prévaut pour tout ce qui concerne les données personnelles.

Toute navigation, inscription, utilisation de service, participation à une enchère ou achat implique l’acceptation pleine, entière et sans réserve de la présente Politique.

2. Textes applicables

Cette Politique est établie conformément :

• au Règlement (UE) 2016/679 (RGPD),

• à la loi n°78-17 modifiée,

• et à toute réglementation française et européenne applicable en matière de protection des données.

3. Responsable du traitement, contact RGPD

Le responsable du traitement est :

tmpx (nom artistique)
Projet : Déclic d’Art
Contact juridique et RGPD : 📧 rgpd@declicdart.fr

Toute correspondance adressée à cette adresse est réputée valablement notifiée à l’éditeur/responsable du traitement.

Un Délégué à la Protection des Données (DPO) est désigné en interne.

4. Architecture des sites, hébergement, noms de domaine

• Noms de domaine : enregistrés via LWS – Ligne Web Services.

• Hébergement :

  • tmpx.fr : hébergé par LWS – Ligne Web Services (France).

  • declicdart.fr : hébergé par Système.io – ITACWT Limited (Irlande).

Le responsable du traitement peut recourir à des prestataires techniques (sous-traitants) pour l’exécution de services nécessaires : hébergement, emailing, sécurité, paiement, analytics, support.

5. Principes de traitement (RGPD)

Le responsable du traitement applique les principes suivants :

• minimisation : seules les données strictement nécessaires sont demandées,

• finalité déterminée : pas d’usage hors périmètre annoncé,

• durée limitée : conservation encadrée et purge/archivage,

• sécurité et confidentialité : mesures techniques et organisationnelles,

• exactitude : mises à jour à la demande,

• responsabilité : tenue interne d’une documentation RGPD (registre des traitements, preuves de consentement, contrats de sous-traitance, procédures).

6. Données collectées

6.1 Données fournies par l’utilisateur

Selon les usages, peuvent être collectées :

• identité (nom, prénom, pseudonyme),

• e-mail,

• téléphone,

• adresses de livraison et/ou facturation,

• informations de compte (identifiant, historique, préférences),

• informations liées aux enchères/ventes (offres, adjudications, facturation, livraison, échanges support),

• contenus transmis volontairement (messages, pièces justificatives si nécessaires).

6.2 Données techniques et de navigation

Peuvent être collectées automatiquement :

• adresse IP, logs, horodatages,

• type de navigateur, OS, appareil,

• pages consultées, événements techniques,

• identifiants de session, cookies techniques,

• signaux de sécurité (détection d’abus, tentatives d’intrusion, anomalies).

6.3 Données de paiement

Les paiements sont traités via des prestataires de paiement sécurisés.
Le responsable du traitement n’a pas vocation à stocker les données complètes de carte bancaire. Les informations bancaires sont, en principe, gérées par le prestataire de paiement selon ses propres standards.

7. Finalités des traitements

Les données sont traitées uniquement pour :

• créer et gérer les comptes utilisateurs,

• gérer l’accès aux espaces réservés et au cercle privé,

• gérer la participation aux enchères privées (y compris “enchère maximale”),

• gérer les adjudications, paiements, factures, livraisons, support,

• établir, transmettre ou archiver les documents liés à l’œuvre (ex. certificat d’authenticité),

• assurer la sécurité, l’intégrité, la traçabilité, la lutte anti-fraude et anti-abus,

• gérer les communications liées au projet (informations de service, suivi de commande, messages transactionnels),

• envoyer des communications d’information/actualité/événements lorsque la base légale le permet (consentement ou intérêt légitime selon cas),

• répondre aux obligations légales, comptables et fiscales.

8. Bases légales (par finalité)

Selon les cas, le traitement repose sur :

• exécution d’un contrat (CGU/CGV) : compte, enchères, ventes, livraisons, support,

• obligation légale : comptabilité, facturation, archivage légal,

• consentement : communications non strictement nécessaires, certains cookies,

• intérêt légitime : sécurité, prévention des abus, preuve, amélioration technique et stabilité des services.

9. Communications (email, téléphone, messagerie)

9.1 Messages transactionnels

Sans consentement spécifique, l’utilisateur peut recevoir des messages strictement nécessaires :

• confirmations, notifications d’enchères, adjudications,

• informations de livraison, support, sécurité,

• informations techniques liées au compte.

9.2 Messages d’information et contenus (newsletter / annonces)

Lorsque requis, le consentement est collecté.
Un lien de désinscription est fourni dans les emails quand applicable.
Le désabonnement ne supprime pas les messages transactionnels indispensables.

10. Publication et traçabilité des ventes (Catalogue Raisonné)

Dans le cadre du projet, certaines informations relatives à la traçabilité artistique peuvent être conservées et, le cas échéant, publiées de manière volontaire (ex. statut “vendue/adjugée”, date, référence d’œuvre), dans un objectif de documentation et d’authentification.

Principe de minimisation renforcé : les données personnelles des acquéreurs (identité, coordonnées) ne sont pas destinées à être rendues publiques.
Toute publication éventuelle se fait, par défaut, sous forme anonymisée ou pseudonymisée, sauf consentement explicite de l’intéressé ou obligation légale.

11. Destinataires des données, non-vente, non-location

Les données ne sont jamais vendues, jamais louées, jamais échangées à des fins commerciales.

Peuvent être destinataires, uniquement si nécessaire :

• le responsable du traitement (accès restreint),

• les sous-traitants techniques (hébergement, emailing, outils, sécurité),

• les prestataires de paiement (paiements),

• les transporteurs (livraison),

• les autorités compétentes sur réquisition légale.

Les sous-traitants agissent uniquement sur instruction, avec engagements contractuels (confidentialité, sécurité, RGPD).

12. Transferts hors UE

Certains outils techniques peuvent impliquer des transferts hors UE.
Dans ce cas, les transferts sont encadrés par des garanties conformes au RGPD :

• décision d’adéquation, ou

• clauses contractuelles types, ou

• mécanisme reconnu.

13. Durées de conservation

Les données sont conservées selon une logique “finalité + obligation légale + preuve” :

• Compte utilisateur : durée d’activité du compte, puis suppression/archivage selon nécessité légale et probatoire.

• Données de vente/facturation : conservation selon délais légaux comptables/fiscaux applicables.

• Support et litiges : durée nécessaire au traitement puis archivage probatoire limité.

• Logs et sécurité : durée limitée, strictement nécessaire à la sécurité et à la preuve technique.

• Prospects (formulaires / tunnels) : conservation limitée et purge en cas d’inactivité, sauf obligation ou interaction relançant la relation.

Le responsable du traitement peut conserver certaines données en archivage intermédiaire lorsque cela est nécessaire :

• pour respecter une obligation légale,

• ou pour la constatation, l’exercice ou la défense de droits en justice.

14. Sécurité, confidentialité, restrictions d’accès

Mesures mises en œuvre, notamment :

• contrôle des accès, segmentation des droits,

• chiffrement/communication sécurisée (lorsque applicable),

• sauvegardes, monitoring, durcissement,

• mesures anti-bot, anti-intrusion, anti-scraping,

• journalisation des accès et actions sensibles.

L’utilisateur reconnaît qu’aucun système n’est invulnérable et accepte le risque résiduel inhérent au numérique, sans que cela n’exonère le responsable de ses obligations de moyens renforcés en sécurité.

15. Violation de données (data breach)

En cas de violation de données personnelles présentant un risque pour les droits et libertés des personnes, le responsable du traitement :

• notifiera l’autorité compétente lorsque requis,

• informera les personnes concernées lorsque requis,

• mettra en œuvre sans délai des mesures correctives et de limitation d’impact.

16. Cookies et traceurs

Les sites utilisent des cookies :

• techniques / fonctionnels : nécessaires au fonctionnement (session, sécurité, préférences),

• statistiques : mesure d’audience et amélioration.

L’utilisateur peut gérer ses préférences via le bandeau cookies et/ou son navigateur.
Le refus de certains cookies peut dégrader certaines fonctionnalités.

17. Droits RGPD et modalités d’exercice (avec verrou probatoire)

L’utilisateur dispose des droits suivants :

• accès, rectification,

• effacement (dans les limites légales),

• opposition,

• limitation,

• portabilité,

• retrait du consentement (sans rétroactivité).

Exercice des droits : 📧 rgpd@declicdart.fr
Délai : réponse sous 1 mois, prolongeable en cas de complexité (conformément au RGPD).

Vérification d’identité

Pour protéger l’utilisateur contre l’usurpation, une preuve d’identité peut être demandée si un doute raisonnable existe.
La demande sera limitée au strict nécessaire.

Demandes abusives

Les demandes manifestement abusives, excessives ou répétitives pourront être refusées ou facturées (lorsque la loi le permet), après justification.

18. Réclamation CNIL

L’utilisateur peut introduire une réclamation auprès de l’autorité de contrôle française : CNIL.

19. Valeur probatoire, logs, consentements

Les éléments techniques conservés par le responsable du traitement (horodatages, journaux, historiques d’actions, preuves d’acceptation CGU/CGV, consentements, confirmations email, traces de connexion) ont valeur probatoire, sauf preuve contraire.

20. Mineurs

Les services, enchères et achats sont réservés aux personnes majeures et juridiquement capables.
Si des données de mineur étaient collectées par erreur, elles seront supprimées dès signalement.

21. Contenu transmis par l’utilisateur

Tout contenu transmis volontairement (messages, fichiers, justificatifs) est traité exclusivement pour la finalité correspondante (support, livraison, conformité, sécurité).
L’utilisateur s’interdit de transmettre des données excessives ou des informations sensibles non nécessaires.

22. Liens externes

Les sites peuvent contenir des liens vers des sites tiers.
Le responsable du traitement n’exerce aucun contrôle et décline toute responsabilité sur leurs pratiques. L’utilisateur est invité à consulter leurs politiques.

23. Mise à jour de la Politique

La présente Politique peut être modifiée à tout moment pour refléter :

• évolutions légales,

• évolutions techniques,

• évolutions organisationnelles.

La version opposable est celle publiée en ligne à la date de consultation.

24. Acceptation

En utilisant les sites tmpx.fr et declicdart.fr, l’utilisateur reconnaît avoir lu, compris et accepté la présente Politique de confidentialité.