Politique de confidentialité.

Cette Politique explique comment nous traitons les données personnelles lorsque vous naviguez sur yagopartal.com, lorsque vous effectuez un achat en boutique ou lorsque vous nous contactez.

Cette politique s’applique uniquement à yagopartal.com. Si vous accédez à d’autres domaines ou services liés, leurs propres politiques s’appliqueront.

1. Responsable du traitement

Zoo Portraits, S.L. (Espagne) Numéro fiscal (NIF) : B66773912 Adresse : C/ Diputacio 363, 08009 Barcelone, Espagne E-mail : mail@yagopartal.com WhatsApp (messages uniquement) : +34 644 44 20 03 (pas d’appels téléphoniques)

Si vous avez des questions relatives à la confidentialité ou souhaitez exercer vos droits, écrivez à mail@yagopartal.com.

2. Quelles données nous traitons

Selon la manière dont vous utilisez le site, nous pouvons traiter :

• Données d’achat : nom et prénom, e-mail, téléphone (lorsque nécessaire pour la livraison ou certaines méthodes d’expédition), adresse de livraison/facturation, pays, langue/devise, détails de commande, incidents et communications associées.
• Données de paiement : informations nécessaires au traitement du paiement (par exemple, identifiants de transaction). Nous ne stockons pas les coordonnées complètes de la carte ; celles-ci sont gérées par le prestataire de paiement.
• Compte client (le cas échéant) : identifiants et données de profil de base.
• Communications : messages que vous nous envoyez (e-mail ou WhatsApp) et les informations qu’ils contiennent.
• Newsletter/marketing (si vous vous abonnez) : e-mail et préférences, ainsi que les métriques de distribution (ouvertures/clics, selon la configuration).
• Paniers abandonnés et relance de panier (si activée) : informations du panier, identifiants techniques et, si vous fournissez votre e-mail pendant le processus, communications pour vous rappeler votre panier.
• Données techniques et d’utilisation : IP, identifiants de session/cookies, navigateur, système d’exploitation, pages visitées, événements d’utilisation et données similaires (notamment si vous acceptez les cookies analytiques/marketing).
• Sécurité : journaux et signaux techniques pour prévenir la fraude et les abus.

Nous ne traitons pas intentionnellement de catégories particulières de données (santé, idéologie, etc.). Merci de ne pas nous communiquer de telles données.

3. Origine des données

• Directement de vous : lorsque vous achetez, vous inscrivez, remplissez des formulaires ou nous écrivez.
• De prestataires nécessaires à la commande : confirmations de paiement, incidents de livraison, suivi, etc.

4. Finalités, base légale et conservation

A) Achat et gestion des commandes

Finalité : traiter la commande, les paiements, la production à la demande, l’expédition, le support, les retours/remboursements. Base légale : exécution du contrat (art. 6.1.b RGPD) et obligations légales (art. 6.1.c). Conservation : pendant la relation d’achat puis, ensuite, pendant la durée exigée par la réglementation fiscale/commerciale et pour traiter les réclamations.

B) Paiements

Finalité : traiter les paiements, gérer les remboursements et prévenir la fraude. Base légale : exécution du contrat (art. 6.1.b) et, le cas échéant, intérêt légitime en matière de sécurité (art. 6.1.f). Conservation : le temps nécessaire à la gestion du paiement et aux obligations légales applicables.

C) Support client (e-mail / WhatsApp)

Finalité : répondre aux demandes et gérer les incidents. Base légale : intérêt légitime (art. 6.1.f) ou exécution du contrat (art. 6.1.b) si la demande concerne une commande. Conservation : le temps nécessaire à la résolution de la demande et au maintien d’une traçabilité raisonnable.

D) Newsletter et communications commerciales

Finalité : vous envoyer des actualités, lancements et contenus commerciaux. Base légale : consentement (art. 6.1.a). Désinscription : vous pouvez vous désabonner via le lien présent dans l’e-mail ou en écrivant à mail@yagopartal.com. Conservation : jusqu’au retrait de votre consentement ou à la demande de suppression.

E) Relance de panier (si activée)

Finalité : vous rappeler un panier initié afin que vous puissiez finaliser l’achat. Base légale : intérêt légitime (art. 6.1.f) pour faciliter la finalisation de l’achat, sauf opposition ; et/ou consentement, selon la configuration et le pays. Opposition : vous pouvez demander à ne pas être contacté à cette fin.

F) Analyse et marketing (cookies et technologies similaires)

Finalité : mesurer l’utilisation, améliorer le site web et (si vous acceptez) la publicité/le retargeting. Base légale : consentement (art. 6.1.a) lorsque ce n’est pas strictement nécessaire. Conservation : selon la durée de chaque cookie/technologie et la configuration que vous acceptez.

5. Caractère obligatoire ou facultatif des données

• Données nécessaires à l’achat : si vous ne les fournissez pas, nous ne pouvons pas traiter la commande (par exemple, adresse de livraison).
• Données facultatives : newsletter, certaines communications ou champs non obligatoires du checkout.

6. Destinataires des données

Nous partageons les données uniquement lorsque cela est nécessaire pour fournir le service, en vertu d’une obligation légale ou avec votre consentement.

Sous-traitants habituels de ce site

• Plateforme e-commerce et backend commerce : Shopify Inc. (Canada / États-Unis) — gestion des commandes, comptes clients, checkout, récupération de paniers abandonnés.
• Hébergement frontend et CDN : Vercel Inc. (États-Unis) — diffusion du site yagopartal.com.
• Production et logistique POD (tier 1) : Printful Inc. (États-Unis / Lettonie) — fabrication à la demande et expédition directe, connecté via Shopify.
• Production fine art et dropship (tier 2) : WhiteWall GmbH (Allemagne) — fabrication et impression d’œuvres fine art (Hahnemühle Photo Rag, Diasec, cadre Hambourg, ArtBox) et expédition directe à l’acheteur. Reçoit nom, adresse de livraison, téléphone et données de commande.
• Logistique spécialisée fine art (tier 3) : Convelio / Velico SAS (France) — gestion d’expéditions de pièces de grande valeur avec assurance nail-to-nail et fenêtre de livraison coordonnée.
• Paiements :
  • Shopify Payments (Stripe Payments Europe Ltd, Irlande) — paiements par carte et méthodes compatibles.
  • PayPal Sàrl (Luxembourg) — si vous choisissez cette méthode.
• E-mail marketing et automations : Klaviyo Inc. (États-Unis) — prestataire prévu à partir du lancement d’Animal Kinhood Drop 01 Otto le 15 juillet 2026. Klaviyo traitera la newsletter, la segmentation et les flux automatisés (bienvenue, panier abandonné, après-achat), recevant e-mail, nom, historique de commandes et comportement on-site (uniquement si vous avez consenti au tracking). Jusqu’à cette date, les e-mails opérationnels (confirmation de commande, notifications d’expédition) sont gérés par Shopify.
• E-mail transactionnel : Shopify Email pour confirmations de commande et messages opérationnels.
• Certificats d’authenticité (COA) et blockchain : Verisart Ltd. (Royaume-Uni — décision d’adéquation UE 2021) — émission et enregistrement on-chain de certificats d’authenticité. Reçoit nom de l’acheteur, e-mail, données de l’œuvre et numéro d’édition. Les métadonnées minimales sont enregistrées de manière publique et irréversible sur blockchain (voir §12 sur les limitations techniques du droit à l’effacement).
• Facturation et comptabilité : Holded SL (Espagne) — facturation, comptabilité et obligations fiscales. Reçoit données identificatives, adresse de facturation, NIF/VAT le cas échéant, montants et concepts de facture.
• Consentement aux cookies : bannière de cookies personnalisée basée sur localStorage du navigateur. Aucune donnée relative à votre choix de consentement n’est envoyée à des services externes.
• Analyse (uniquement avec votre consentement) : Google LLC (États-Unis) — Google Analytics 4 avec anonymisation IP, sans Google Signals ni fonctions publicitaires activées.
• Marketing et retargeting (uniquement avec votre consentement) : Meta Platforms Inc. (États-Unis) — Meta Pixel pour la mesure de conversions de campagnes Facebook et Instagram.

Autres destinataires

• Transporteurs (pour livrer les commandes).
• Banques / entités de paiement (selon la méthode choisie).
• Autorités publiques (si la loi l’exige : fiscales, consommateurs, etc.).

Nous ne vendons pas vos données personnelles.

7. Transferts internationaux

Une partie des sous-traitants ci-dessus traite des données en dehors de l’Espace économique européen (EEE), principalement aux États-Unis et au Royaume-Uni. Nous appliquons les garanties suivantes :

• États-Unis : nous nous appuyons sur la décision d’adéquation EU-US Data Privacy Framework (DPF) (Décision d’exécution (UE) 2023/1795 de la Commission européenne du 10 juillet 2023) lorsque le sous-traitant est certifié DPF. Certifiés : Google LLC, Meta Platforms Inc., Klaviyo Inc., Vercel Inc. Vérifiez les certifications sur https://www.dataprivacyframework.gov/list. En tant que mécanisme de repli en cas d’invalidation du DPF (affaire Schrems III en cours devant la CJUE), nous appliquons les Clauses Contractuelles Types (CCT) approuvées par la Décision d’exécution (UE) 2021/914.
• Royaume-Uni : décision d’adéquation UE-UK (2021/1772) + UK International Data Transfer Agreement (IDTA) en repli.
• Autres pays tiers sans adéquation : CCT + Évaluation d’impact des transferts (TIA) documentée.

Exemples habituels :

• Shopify (infrastructure, backend commerce et paiements),
• Printful (selon le centre de production/expédition),
• Verisart (certificats d’authenticité blockchain · adéquation UK),
• Klaviyo (e-mail marketing · DPF certifié),
• prestataires de paiement (Stripe Irlande · PayPal Luxembourg),
• Google LLC (GA4, si actif et consenti · DPF certifié),
• Meta Platforms (Pixel, si actif et consenti · DPF certifié),
• Vercel (nœuds de périphérie CDN · DPF certifié).

Pour plus d’informations sur les sous-traitants spécifiques et leurs garanties, contactez privacy@yagopartal.com.

8. Cookies, analyse et publicité

Ce site utilise des cookies et technologies similaires. Le consentement et la configuration sont gérés via notre bannière de cookies.

• Vous pouvez accepter, refuser ou configurer les catégories (nécessaires, préférences, analyse, marketing).
• Si vous acceptez l’analyse/le marketing, des outils tels que GA4 et le Meta Pixel peuvent être activés sur ce site.
• Les préférences de cookies sont stockées localement dans votre navigateur (localStorage). Aucune donnée relative à votre choix de consentement n’est envoyée à des services externes.

Si vous désactivez les cookies, certaines fonctionnalités peuvent ne pas fonctionner correctement (par exemple, panier, connexion ou préférences).

9. Vos droits

En tant que personne concernée, vous pouvez exercer à tout moment les droits suivants :

• Accès (art. 15 RGPD) : obtenir confirmation que nous traitons vos données et une copie de celles-ci.
• Rectification (art. 16) : corriger des données inexactes ou incomplètes.
• Effacement (art. 17, « droit à l’oubli ») : demander la suppression lorsque les données ne sont plus nécessaires ou que vous retirez votre consentement. Limitation : les données enregistrées sur blockchain (Verisart) sont techniquement irréversibles · voir §12.
• Limitation du traitement (art. 18).
• Opposition (art. 21), y compris l’opposition au marketing direct.
• Portabilité (art. 20) : recevoir vos données dans un format structuré et lisible par machine.
• Retirer le consentement (art. 7.3) lorsque le traitement est fondé sur le consentement. Le retrait n’affecte pas la licéité du traitement antérieur.
• Ne pas faire l’objet de décisions automatisées ayant des effets juridiques ou similaires significatifs (art. 22). Voir §11.

Comment les exercer : écrivez à privacy@yagopartal.com (ou mail@yagopartal.com en indiquant « Demande RGPD » en objet). En cas de doute raisonnable sur votre identité, nous pourrons demander des informations supplémentaires à des fins de vérification.

Délai de réponse : nous répondrons dans un délai de 1 mois à compter de la réception (art. 12.3 RGPD). Dans les cas complexes, nous pouvons prolonger de 2 mois supplémentaires en vous informant du motif.

Droit de déposer une réclamation : vous pouvez déposer une réclamation auprès de :

• l’Agence espagnole de protection des données (AEPD) — autorité chef de file (lead supervisory authority), <www.aepd.es> ;
• ou auprès de l’autorité de contrôle de votre pays de résidence dans l’UE/EEE : la CNIL (France), <www.cnil.fr> ; BfDI ou autorité du Land compétente (Allemagne) ; Garante (Italie) ; ICO (Royaume-Uni sous UK GDPR) ; ou autre autorité nationale équivalente.

10. Durées de conservation

Traitement	Durée
Commandes et données d’achat	6 ans (obligations fiscales AEAT · Loi 58/2003 art. 66)
Réclamations de consommation	5 ans (TRLGDCU + Code civil)
Newsletter et marketing	Jusqu’au retrait du consentement · en cas de désinscription, jusqu’à 12 mois supplémentaires en liste de suppression pour éviter les renvois
Logs et sécurité	12 mois (intérêt légitime en sécurité)
Cookies analyse	Jusqu’à 14 mois (GA4 server-side default)
Cookies marketing	Jusqu’à 90 jours (Meta Pixel) ou selon consentement
Certificats COA on-chain (Verisart)	Permanents (limitation technique blockchain · voir §12)

11. Décisions automatisées

Nous ne prenons pas de décisions automatisées produisant des effets juridiques ou similaires significatifs à votre égard, fondées exclusivement sur un traitement automatisé. Nos prestataires de paiement (Shopify Payments, PayPal) peuvent appliquer des règles anti-fraude standard avant d’approuver les transactions · cela est considéré comme nécessaire à l’exécution du contrat et à la prévention de la fraude au titre de l’art. 6.1.b et 6.1.f RGPD.

12. Traitement sur blockchain (Verisart · COA)

Lorsque vous acquérez une édition limitée, nous émettons un certificat d’authenticité (COA) enregistré via Verisart Ltd (Royaume-Uni) qui ancre des métadonnées minimales sur blockchain publique.

• Données sur la chaîne : hash cryptographique du certificat, adresse de portefeuille assignée au certificat, horodatage. Votre nom, e-mail ou adresse physique ne sont pas publiés sur la chaîne.
• Données hors chaîne (dans les systèmes de Verisart et Zoo Portraits, S.L.) : nom de l’acheteur, e-mail, données de l’œuvre et numéro d’édition. Celles-ci sont entièrement soumises à vos droits RGPD.
• Limitation technique du droit à l’effacement (art. 17.3.b RGPD) : les métadonnées on-chain sont techniquement irréversibles par conception de la technologie blockchain. L’effacement est exécuté dans les systèmes hors chaîne de Verisart et Zoo Portraits SL. Les données on-chain (non identifiantes directes) restent comme registre immuable d’authenticité de l’œuvre · cela est considéré comme une limitation légitime conformément aux Lignes directrices 4/2018 du Comité européen de la protection des données (EDPB).
• Base juridique : exécution du contrat (art. 6.1.b RGPD) — le COA fait partie de la prestation de l’édition limitée — et consentement éclairé à l’acquisition.

Pour toute question préalable à l’achat, contactez privacy@yagopartal.com.

13. Sécurité

Nous appliquons des mesures techniques et organisationnelles raisonnables pour protéger vos données (contrôles d’accès, chiffrement en transit via HTTPS, minimisation des données, etc.). Aucun système n’est sûr à 100 % ; si nous détectons un incident pertinent, nous agirons conformément à la réglementation applicable (notification à l’AEPD et aux personnes concernées affectées selon arts. 33-34 RGPD).

14. Modifications de cette politique

Nous pouvons mettre à jour cette Politique pour refléter des changements légaux, techniques ou commerciaux. Nous publierons la version en vigueur sur cette page en indiquant la date de « Dernière mise à jour ».

15. Vérification d’identité renforcée (KYC anti-blanchiment)

Finalité du traitement

En tant que marchand d’œuvres d’art, Zoo Portraits SL est un opérateur assujetti au titre de la loi espagnole 10/2010 du 28 avril sur la prévention du blanchiment de capitaux et du financement du terrorisme. Cette réglementation nous oblige à vérifier l’identité de nos clients et à documenter l’origine des fonds lorsque certains seuils sont dépassés ou lorsque nous détectons des indices de risque prévus par la loi.

Nous traitons tes données KYC à deux fins précises :

1. Respecter les obligations légales d’identification, de vigilance et de conservation imposées par la loi 10/2010 (articles 4 à 7, 17, 25).
2. Prévenir la fraude dans les opérations individuelles, par la vérification d’identité et le suivi continu de la relation d’affaires.

Base légale

• Respect d’une obligation légale (article 6.1.c du RGPD), articulé avec les articles 4, 5, 6, 7, 17 et 25 de la loi 10/2010. C’est la base principale ; elle couvre l’identification, le contrôle des sanctions, la déclaration d’origine des fonds et la conservation documentaire.
• Intérêt légitime à la prévention de la fraude (article 6.1.f du RGPD), pour le contrôle continu de notre portefeuille de clients face aux listes de sanctions actualisées et pour le suivi du risque opérationnel.

Catégories de données que nous traitons

Lorsque la vérification renforcée s’applique, nous pouvons recueillir :

• Données d’identification renforcées : nom et prénom, date de naissance, numéro et type de document (carte d’identité, titre de séjour, passeport), pays émetteur, date d’expiration et image du document.
• Justificatif de domicile : adresse postale et document justificatif daté de moins de 3 mois (facture de fournisseur d’énergie, relevé bancaire, certificat de résidence officiel).
• Origine des fonds : déclaration écrite signée sur la provenance des sommes utilisées pour le paiement (dans les tranches les plus élevées).
• Résultat du contrôle des sanctions : indicateurs binaires de correspondance avec les listes PPE (Personnes Politiquement Exposées), OFAC (Office of Foreign Assets Control des États-Unis), Union européenne, Nations unies et listes nationales.

Nous ne traitons pas de catégories particulières de données (santé, origine raciale, orientation, etc.) ni de données relatives à des infractions pénales, sauf lorsqu’une correspondance objective dans une liste publique de sanctions rend ce traitement nécessaire à l’accomplissement de nos obligations.

Destinataires

Nous partageons tes données KYC uniquement avec :

• Le gérant unique de Zoo Portraits SL, en sa qualité de représentant auprès du Service exécutif de la Commission de prévention du blanchiment (SEPBLAC). L’accès est limité à cette personne.
• Le SEPBLAC, exclusivement en cas de déclaration de soupçon (article 18 de la loi 10/2010). Si une telle déclaration intervient, elle est soumise à une confidentialité stricte : la réglementation elle-même nous interdit de t’en informer (article 24 de la loi 10/2010).
• Stripe Identity (Stripe, Inc., États-Unis), si tu choisis d’utiliser son service de vérification documentaire automatisée. Stripe agit en tant que sous-traitant dans le cadre d’un contrat signé conformément à l’article 28 du RGPD.
• OpenSanctions (Open Sanctions e.V., Allemagne), en tant que fournisseur du contrôle face aux listes internationales de sanctions. Il agit en tant que sous-traitant.

Nous ne cédons pas tes données à des tiers à des fins commerciales ou de profilage publicitaire.

Transferts internationaux

Si nous utilisons Stripe Identity, un transfert international vers les États-Unis a lieu. Ce transfert se fonde sur :

• La Décision d’Adéquation UE-États-Unis (Data Privacy Framework, DPF), en vigueur depuis juillet 2023, Stripe, Inc. étant certifiée dans le cadre.
• En mesure de repli en cas d’évolutions futures du DPF, les Clauses Contractuelles Types approuvées par la Commission européenne (Décision 2021/914) incluses dans le contrat avec Stripe.

Open Sanctions e.V. opère depuis l’Allemagne (UE) ; aucun transfert international n’est associé au contrôle des sanctions.

Durée de conservation

Nous conservons tes données KYC pendant 10 ans à compter de la fin de la relation d’affaires, conformément à l’article 25 de la loi 10/2010. Cette durée est obligatoire et prévaut sur ton droit à l’effacement au titre de l’article 17.3.b du RGPD.

Au terme de cette période, nous supprimons les données de manière sécurisée ou, si des obligations fiscales ou de défense face à des réclamations subsistent, nous les bloquons jusqu’à la clôture de ces obligations.

Tes droits

En tant que personne concernée, tu peux exercer :

• Accès et rectification : oui, à tout moment. Nous répondons dans un délai maximum d’un mois (article 12 du RGPD).
• Effacement : bloqué pendant la durée légale obligatoire de 10 ans (article 17.3.b du RGPD). Une fois ce délai écoulé, les demandes sont traitées sans restriction.
• Portabilité : non applicable à ce traitement. L’article 20 du RGPD limite le droit de portabilité aux traitements fondés sur le consentement ou l’exécution d’un contrat ; les données KYC sont traitées au titre d’une obligation légale et échappent au champ de la portabilité.
• Opposition : non applicable, pour les mêmes raisons que la portabilité (le traitement répond à une obligation légale).
• Réclamation auprès de l’AEPD : tu peux saisir l’Agence espagnole de protection des données (aepd.es) si tu estimes que le traitement ne respecte pas la réglementation.

Pour exercer tes droits, contacte-nous à privacy@yagopartal.com.

Mesures de sécurité

Nous appliquons les garanties suivantes :

• Chiffrement AES-256 au repos sur la base de données KYC.
• Chiffrement TLS 1.3 en transit sur toutes les communications contenant des données KYC.
• Accès restreint au seul gérant unique en sa qualité de représentant SEPBLAC.
• Journal d’accès audité avec une conservation de 24 mois sur chaque lecture ou modification.
• Sauvegardes chiffrées sur stockage séparé, avec accès contrôlé.

Cadre normatif : Règlement (UE) 2016/679 (RGPD) articles 6.1.c, 6.1.f, 12, 13, 17.3.b, 20, 28, 44 à 49 ; Loi Organique 3/2018 espagnole sur la protection des données personnelles ; Loi 10/2010 du 28 avril, articles 4, 5, 6, 7, 17, 18, 24 et 25 ; Décision d’exécution (UE) 2023/1795 (DPF).

Politique de confidentialité · v1.0 · revisado 19 mai 2026 · Yago Partal Studio