Politique de confidentialité
1. Identité du Responsable du Traitement
La présente Politique de Confidentialité s'applique aux données personnelles traitées par :
Dénomination sociale : Citibox France SAS — Numéro SIRET / RCS : 853265577 — Siège social : 43, Avenue de la Grande Armée, 75116 Paris (France) — Adresse e-mail : citiboxfr@citibox.com.
2. Données traitées et acteurs concernés
Citibox France SAS opère un réseau de Points de Retrait (ci-après « PUDOs »), en partenariat avec des transporteurs (dont Amazon Hub Counter), permettant aux destinataires de colis de retirer leurs envois dans des commerces de proximité partenaires.
2.1 Gérants et employés des commerces partenaires (PUDOs) — Dans sa qualité de responsable du traitement, Citibox France SAS collecte les données suivantes : nom, prénom, dénomination sociale du commerce, adresse postale, e-mail, téléphone, coordonnées bancaires nécessaires au versement de la rémunération (0,25 € par colis géré), volume de colis traités, horaires d'ouverture, capacité de stockage.
2.2 Destinataires de colis (utilisateurs finaux) — Dans le cadre de son activité de réseau de points de retrait pour le compte de transporteurs partenaires (notamment Amazon Hub Counter), Citibox France SAS peut être amenée à traiter, en qualité de sous-traitant : identifiant du colis, code de retrait, horodatage de dépôt et de retrait, données de contact transmises par le transporteur partenaire en cas d'incident.
2.3 Visiteurs du Site web — Par le biais de la navigation et via l'utilisation de cookies, Citibox France SAS collecte des données de navigation conformément à sa Politique de Cookies.
2.4 Personnes ayant rempli le formulaire de contact (Leads) — Lorsque vous soumettez le formulaire « Devenir un point relais », Citibox France SAS collecte : nom, dénomination commerciale, adresse postale, e-mail et téléphone afin d'être recontacté(e) par l'équipe commerciale.
3. Finalités et bases légales du traitement
3.1 Gestion du réseau de PUDOs (gérants de commerces) — Finalité : gestion des relations contractuelles, versement des rémunérations, gestion des incidents, support opérationnel. Base légale : exécution du contrat (Art. 6.1.b RGPD) ; obligation légale (Art. 6.1.c RGPD) pour les données comptables et fiscales.
3.2 Gestion des colis pour le compte des transporteurs partenaires — Finalité : traitement opérationnel des colis, traçabilité, gestion des incidents. Base légale : exécution du contrat de sous-traitance (Art. 6.1.b RGPD).
3.3 Fonctionnement du Site web et cookies — Finalité : assurer le fonctionnement technique du Site, analyser l'audience, améliorer l'expérience utilisateur. Base légale : intérêt légitime (Art. 6.1.f RGPD) pour les cookies strictement nécessaires ; consentement (Art. 6.1.a RGPD) pour les cookies analytiques et de marketing.
3.4 Traitement des demandes et réclamations — Finalité : répondre aux demandes d'information, réclamations et exercice de droits. Base légale : intérêt légitime (Art. 6.1.f RGPD) et obligation légale (Art. 6.1.c RGPD).
3.5 Traitement des candidatures de partenariat (formulaire de contact) — Finalité : recontacter les commerces ayant exprimé un intérêt pour rejoindre le réseau, leur transmettre les conditions d'éligibilité, organiser un rendez-vous commercial. Base légale : intérêt légitime (Art. 6.1.f RGPD) et consentement explicite donné via la case à cocher (Art. 6.1.a RGPD).
4. Durée de conservation des données
Données des gérants de PUDOs (données contractuelles) : durée de la relation contractuelle, puis 5 ans à compter de la fin du contrat (prescription de droit commun, Art. 2224 Code civil).
Données comptables et fiscales : 10 ans conformément au Code de commerce français.
Données de traçabilité opérationnelle des colis : durée définie par le transporteur partenaire dans le cadre du contrat de sous-traitance.
Données de navigation et cookies : conformément à la Politique de Cookies (maximum 13 mois selon les recommandations CNIL).
Données des candidatures de partenariat (Leads) : 12 mois à compter de la dernière interaction commerciale, puis suppression sauf transformation en relation contractuelle.
Journal d'incident technique du formulaire (cas de défaillance d'envoi) : 30 jours maximum, sur un compartiment de logs à accès restreint, à seule fin de récupération du Lead. Voir section 5 pour les détails.
5. Destinataires, transferts internationaux et sous-traitants techniques
Les données personnelles traitées par Citibox France SAS peuvent être communiquées aux catégories de destinataires suivantes :
— Transporteurs partenaires (dont Amazon Hub Counter) : pour la gestion opérationnelle des colis, dans le cadre des contrats de sous-traitance.
— Prestataires techniques et informatiques : Google Cloud Platform (hébergement), Google Workspace (Apps Script + Google Sheets, stockage des candidatures du formulaire de contact). Chaque sous-traitant intervient sur la base d'un Data Processing Addendum conforme au RGPD. La vérification anti-bot du formulaire de contact est réalisée en interne (aucun sous-traitant tiers).
— Autorités compétentes : dans la mesure où la communication est requise ou obligatoire en vertu de la législation en vigueur (autorités judiciaires, administrations fiscales).
Transferts internationaux : Citibox France SAS s'engage à ne transférer de données personnelles vers des pays tiers qu'en présence de garanties appropriées, conformément aux Articles 44 à 49 du RGPD (décisions d'adéquation, clauses contractuelles types).
Journal d'incident technique de récupération de Lead : en cas d'échec d'enregistrement de votre demande dans notre infrastructure, nous pouvons conserver temporairement le contenu de votre formulaire (nom, e-mail, téléphone, adresse, message) dans nos journaux d'incident pour une durée maximale de 30 jours, à seule fin de récupération manuelle. L'accès à ces journaux est strictement limité à notre équipe SRE et tracé. Cette mesure est fondée sur l'intérêt légitime (Art. 6.1.f RGPD) à honorer une démarche que vous avez initiée auprès de nous.
6. Droits des personnes concernées
Conformément au RGPD et à la Loi Informatique et Libertés, toute personne dont les données sont traitées par Citibox France SAS dispose des droits suivants : droit d'accès (Art. 15), droit de rectification (Art. 16), droit à l'effacement (Art. 17), droit à la limitation du traitement (Art. 18), droit à la portabilité (Art. 20), droit d'opposition (Art. 21), droit de retrait du consentement à tout moment.
Pour exercer ces droits, vous pouvez adresser votre demande par e-mail à citiboxfr@citibox.com en indiquant le droit que vous souhaitez exercer et en joignant une copie d'un document d'identité.
Le délai de réponse est d'un (1) mois à compter de la réception de la demande, pouvant être prolongé de deux mois en cas de demandes complexes (Art. 12 RGPD).
Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la CNIL : www.cnil.fr — 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07.
7. Mesures de sécurité
Citibox France SAS met en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, conformément à l'Article 32 du RGPD. Ces mesures comprennent notamment le chiffrement des données en transit et au repos, le contrôle des accès selon le principe du moindre privilège, et des procédures de gestion des incidents de sécurité.
En cas de violation de données à caractère personnel susceptible d'engendrer un risque pour les droits et libertés des personnes concernées, Citibox France SAS s'engage à notifier la CNIL dans un délai de 72 heures conformément à l'Article 33 du RGPD.
8. Modification de la politique de confidentialité
Citibox France SAS se réserve le droit de modifier la présente Politique de Confidentialité à tout moment, dans le respect de la réglementation applicable. Toute modification substantielle sera communiquée aux personnes concernées par publication sur le Site ou par tout autre moyen de communication approprié.