Politique de confidentialité.

Cette Politique explique comment nous traitons les données personnelles lorsque vous naviguez sur yagopartal.com, lorsque vous effectuez un achat en boutique ou lorsque vous nous contactez.

Cette politique s’applique uniquement à yagopartal.com. Si vous accédez à d’autres domaines ou services liés, leurs propres politiques s’appliqueront.

1. Responsable du traitement

Zoo Portraits, S.L. (Espagne) Numéro fiscal (NIF) : B66773912 Adresse : C/ Diputacio 363, 08009 Barcelone, Espagne E-mail : mail@yagopartal.com WhatsApp (messages uniquement) : +34 644 44 20 03 (pas d’appels téléphoniques)

Si vous avez des questions relatives à la confidentialité ou souhaitez exercer vos droits, écrivez à mail@yagopartal.com.

2. Quelles données nous traitons

Selon la manière dont vous utilisez le site, nous pouvons traiter :

• Données d’achat : nom et prénom, e-mail, téléphone (lorsque nécessaire pour la livraison ou certaines méthodes d’expédition), adresse de livraison/facturation, pays, langue/devise, détails de commande, incidents et communications associées.
• Données de paiement : informations nécessaires au traitement du paiement (par exemple, identifiants de transaction). Nous ne stockons pas les coordonnées complètes de la carte ; celles-ci sont gérées par le prestataire de paiement.
• Compte client (le cas échéant) : identifiants et données de profil de base.
• Communications : messages que vous nous envoyez (e-mail ou WhatsApp) et les informations qu’ils contiennent.
• Newsletter/marketing (si vous vous abonnez) : e-mail et préférences, ainsi que les métriques de distribution (ouvertures/clics, selon la configuration).
• Paniers abandonnés et relance de panier (si activée) : informations du panier, identifiants techniques et, si vous fournissez votre e-mail pendant le processus, communications pour vous rappeler votre panier.
• Données techniques et d’utilisation : IP, identifiants de session/cookies, navigateur, système d’exploitation, pages visitées, événements d’utilisation et données similaires (notamment si vous acceptez les cookies analytiques/marketing).
• Sécurité : journaux et signaux techniques pour prévenir la fraude et les abus.

Nous ne traitons pas intentionnellement de catégories particulières de données (santé, idéologie, etc.). Merci de ne pas nous communiquer de telles données.

3. Origine des données

• Directement de vous : lorsque vous achetez, vous inscrivez, remplissez des formulaires ou nous écrivez.
• De prestataires nécessaires à la commande : confirmations de paiement, incidents de livraison, suivi, etc.

4. Finalités, base légale et conservation

A) Achat et gestion des commandes

Finalité : traiter la commande, les paiements, la production à la demande, l’expédition, le support, les retours/remboursements. Base légale : exécution du contrat (art. 6.1.b RGPD) et obligations légales (art. 6.1.c). Conservation : pendant la relation d’achat puis, ensuite, pendant la durée exigée par la réglementation fiscale/commerciale et pour traiter les réclamations.

B) Paiements

Finalité : traiter les paiements, gérer les remboursements et prévenir la fraude. Base légale : exécution du contrat (art. 6.1.b) et, le cas échéant, intérêt légitime en matière de sécurité (art. 6.1.f). Conservation : le temps nécessaire à la gestion du paiement et aux obligations légales applicables.

C) Support client (e-mail / WhatsApp)

Finalité : répondre aux demandes et gérer les incidents. Base légale : intérêt légitime (art. 6.1.f) ou exécution du contrat (art. 6.1.b) si la demande concerne une commande. Conservation : le temps nécessaire à la résolution de la demande et au maintien d’une traçabilité raisonnable.

D) Newsletter et communications commerciales

Finalité : vous envoyer des actualités, lancements et contenus commerciaux. Base légale : consentement (art. 6.1.a). Désinscription : vous pouvez vous désabonner via le lien présent dans l’e-mail ou en écrivant à mail@yagopartal.com. Conservation : jusqu’au retrait de votre consentement ou à la demande de suppression.

E) Relance de panier (si activée)

Finalité : vous rappeler un panier initié afin que vous puissiez finaliser l’achat. Base légale : intérêt légitime (art. 6.1.f) pour faciliter la finalisation de l’achat, sauf opposition ; et/ou consentement, selon la configuration et le pays. Opposition : vous pouvez demander à ne pas être contacté à cette fin.

F) Analyse et marketing (cookies et technologies similaires)

Finalité : mesurer l’utilisation, améliorer le site web et (si vous acceptez) la publicité/le retargeting. Base légale : consentement (art. 6.1.a) lorsque ce n’est pas strictement nécessaire. Conservation : selon la durée de chaque cookie/technologie et la configuration que vous acceptez.

5. Caractère obligatoire ou facultatif des données

• Données nécessaires à l’achat : si vous ne les fournissez pas, nous ne pouvons pas traiter la commande (par exemple, adresse de livraison).
• Données facultatives : newsletter, certaines communications ou champs non obligatoires du checkout.

6. Destinataires des données

Nous partageons les données uniquement lorsque cela est nécessaire pour fournir le service, en vertu d’une obligation légale ou avec votre consentement.

Sous-traitants habituels de ce site

• Plateforme e-commerce et backend commerce : Shopify Inc. (Canada / États-Unis) — gestion des commandes, comptes clients, checkout, récupération de paniers abandonnés.
• Hébergement frontend et CDN : Vercel Inc. (États-Unis) — diffusion du site yagopartal.com.
• Production et logistique POD (tier 1) : Printful Inc. (États-Unis / Lettonie) — fabrication à la demande et expédition directe, connecté via Shopify.
• Production fine art et dropship (tier 2) : WhiteWall GmbH (Allemagne) — fabrication et impression d’œuvres fine art (Hahnemühle Photo Rag, Diasec, cadre Hambourg, ArtBox) et expédition directe à l’acheteur. Reçoit nom, adresse de livraison, téléphone et données de commande.
• Logistique spécialisée fine art (tier 3) : Convelio / Velico SAS (France) — gestion d’expéditions de pièces de grande valeur avec assurance nail-to-nail et fenêtre de livraison coordonnée.
• Paiements :
  • Shopify Payments (Stripe Payments Europe Ltd, Irlande) — paiements par carte et méthodes compatibles.
  • PayPal Sàrl (Luxembourg) — si vous choisissez cette méthode.
• E-mail marketing et automations : Klaviyo Inc. (États-Unis) — prestataire prévu à partir du lancement d’Animal Kinhood Drop 01 Otto le 1er juillet 2026. Klaviyo traitera la newsletter, la segmentation et les flux automatisés (bienvenue, panier abandonné, après-achat), recevant e-mail, nom, historique de commandes et comportement on-site (uniquement si vous avez consenti au tracking). Jusqu’à cette date, les e-mails opérationnels (confirmation de commande, notifications d’expédition) sont gérés par Shopify.
• E-mail transactionnel : Shopify Email pour confirmations de commande et messages opérationnels.
• Certificats d’authenticité (COA) et blockchain : Verisart Ltd. (Royaume-Uni — décision d’adéquation UE 2021) — émission et enregistrement on-chain de certificats d’authenticité. Reçoit nom de l’acheteur, e-mail, données de l’œuvre et numéro d’édition. Les métadonnées minimales sont enregistrées de manière publique et irréversible sur blockchain (voir §12 sur les limitations techniques du droit à l’effacement).
• Facturation et comptabilité : Holded SL (Espagne) — facturation, comptabilité et obligations fiscales. Reçoit données identificatives, adresse de facturation, NIF/VAT le cas échéant, montants et concepts de facture.
• Consentement aux cookies : bannière de cookies personnalisée basée sur localStorage du navigateur. Aucune donnée relative à votre choix de consentement n’est envoyée à des services externes.
• Analyse (uniquement avec votre consentement) : Google LLC (États-Unis) — Google Analytics 4 avec anonymisation IP, sans Google Signals ni fonctions publicitaires activées.
• Marketing et retargeting (uniquement avec votre consentement) : Meta Platforms Inc. (États-Unis) — Meta Pixel pour la mesure de conversions de campagnes Facebook et Instagram.

Autres destinataires

• Transporteurs (pour livrer les commandes).
• Banques / entités de paiement (selon la méthode choisie).
• Autorités publiques (si la loi l’exige : fiscales, consommateurs, etc.).

Nous ne vendons pas vos données personnelles.

7. Transferts internationaux

Une partie des sous-traitants ci-dessus traite des données en dehors de l’Espace économique européen (EEE), principalement aux États-Unis et au Royaume-Uni. Nous appliquons les garanties suivantes :

• États-Unis : nous nous appuyons sur la décision d’adéquation EU-US Data Privacy Framework (DPF) (Décision d’exécution (UE) 2023/1795 de la Commission européenne du 10 juillet 2023) lorsque le sous-traitant est certifié DPF. Certifiés : Google LLC, Meta Platforms Inc., Klaviyo Inc., Vercel Inc. Vérifiez les certifications sur https://www.dataprivacyframework.gov/list. En tant que mécanisme de repli en cas d’invalidation du DPF (affaire Schrems III en cours devant la CJUE), nous appliquons les Clauses Contractuelles Types (CCT) approuvées par la Décision d’exécution (UE) 2021/914.
• Royaume-Uni : décision d’adéquation UE-UK (2021/1772) + UK International Data Transfer Agreement (IDTA) en repli.
• Autres pays tiers sans adéquation : CCT + Évaluation d’impact des transferts (TIA) documentée.

Exemples habituels :

• Shopify (infrastructure, backend commerce et paiements),
• Printful (selon le centre de production/expédition),
• Verisart (certificats d’authenticité blockchain · adéquation UK),
• Klaviyo (e-mail marketing · DPF certifié),
• prestataires de paiement (Stripe Irlande · PayPal Luxembourg),
• Google LLC (GA4, si actif et consenti · DPF certifié),
• Meta Platforms (Pixel, si actif et consenti · DPF certifié),
• Vercel (nœuds de périphérie CDN · DPF certifié).

Pour plus d’informations sur les sous-traitants spécifiques et leurs garanties, contactez privacy@yagopartal.com.

8. Cookies, analyse et publicité

Ce site utilise des cookies et technologies similaires. Le consentement et la configuration sont gérés via notre bannière de cookies.

• Vous pouvez accepter, refuser ou configurer les catégories (nécessaires, préférences, analyse, marketing).
• Si vous acceptez l’analyse/le marketing, des outils tels que GA4 et le Meta Pixel peuvent être activés sur ce site.
• Les préférences de cookies sont stockées localement dans votre navigateur (localStorage). Aucune donnée relative à votre choix de consentement n’est envoyée à des services externes.

Si vous désactivez les cookies, certaines fonctionnalités peuvent ne pas fonctionner correctement (par exemple, panier, connexion ou préférences).

9. Vos droits

En tant que personne concernée, vous pouvez exercer à tout moment les droits suivants :

• Accès (art. 15 RGPD) : obtenir confirmation que nous traitons vos données et une copie de celles-ci.
• Rectification (art. 16) : corriger des données inexactes ou incomplètes.
• Effacement (art. 17, « droit à l’oubli ») : demander la suppression lorsque les données ne sont plus nécessaires ou que vous retirez votre consentement. Limitation : les données enregistrées sur blockchain (Verisart) sont techniquement irréversibles · voir §12.
• Limitation du traitement (art. 18).
• Opposition (art. 21), y compris l’opposition au marketing direct.
• Portabilité (art. 20) : recevoir vos données dans un format structuré et lisible par machine.
• Retirer le consentement (art. 7.3) lorsque le traitement est fondé sur le consentement. Le retrait n’affecte pas la licéité du traitement antérieur.
• Ne pas faire l’objet de décisions automatisées ayant des effets juridiques ou similaires significatifs (art. 22). Voir §11.

Comment les exercer : écrivez à privacy@yagopartal.com (ou mail@yagopartal.com en indiquant « Demande RGPD » en objet). En cas de doute raisonnable sur votre identité, nous pourrons demander des informations supplémentaires à des fins de vérification.

Délai de réponse : nous répondrons dans un délai de 1 mois à compter de la réception (art. 12.3 RGPD). Dans les cas complexes, nous pouvons prolonger de 2 mois supplémentaires en vous informant du motif.

Droit de déposer une réclamation : vous pouvez déposer une réclamation auprès de :

• l’Agence espagnole de protection des données (AEPD) — autorité chef de file (lead supervisory authority), <www.aepd.es> ;
• ou auprès de l’autorité de contrôle de votre pays de résidence dans l’UE/EEE : la CNIL (France), <www.cnil.fr> ; BfDI ou autorité du Land compétente (Allemagne) ; Garante (Italie) ; ICO (Royaume-Uni sous UK GDPR) ; ou autre autorité nationale équivalente.

10. Durées de conservation

Traitement	Durée
Commandes et données d’achat	6 ans (obligations fiscales AEAT · Loi 58/2003 art. 66)
Réclamations de consommation	5 ans (TRLGDCU + Code civil)
Newsletter et marketing	Jusqu’au retrait du consentement · en cas de désinscription, jusqu’à 12 mois supplémentaires en liste de suppression pour éviter les renvois
Logs et sécurité	12 mois (intérêt légitime en sécurité)
Cookies analyse	Jusqu’à 14 mois (GA4 server-side default)
Cookies marketing	Jusqu’à 90 jours (Meta Pixel) ou selon consentement
Certificats COA on-chain (Verisart)	Permanents (limitation technique blockchain · voir §12)

11. Décisions automatisées

Nous ne prenons pas de décisions automatisées produisant des effets juridiques ou similaires significatifs à votre égard, fondées exclusivement sur un traitement automatisé. Nos prestataires de paiement (Shopify Payments, PayPal) peuvent appliquer des règles anti-fraude standard avant d’approuver les transactions · cela est considéré comme nécessaire à l’exécution du contrat et à la prévention de la fraude au titre de l’art. 6.1.b et 6.1.f RGPD.

12. Traitement sur blockchain (Verisart · COA)

Lorsque vous acquérez une édition limitée, nous émettons un certificat d’authenticité (COA) enregistré via Verisart Ltd (Royaume-Uni) qui ancre des métadonnées minimales sur blockchain publique.

• Données sur la chaîne : hash cryptographique du certificat, adresse de portefeuille assignée au certificat, horodatage. Votre nom, e-mail ou adresse physique ne sont pas publiés sur la chaîne.
• Données hors chaîne (dans les systèmes de Verisart et Zoo Portraits, S.L.) : nom de l’acheteur, e-mail, données de l’œuvre et numéro d’édition. Celles-ci sont entièrement soumises à vos droits RGPD.
• Limitation technique du droit à l’effacement (art. 17.3.b RGPD) : les métadonnées on-chain sont techniquement irréversibles par conception de la technologie blockchain. L’effacement est exécuté dans les systèmes hors chaîne de Verisart et Zoo Portraits SL. Les données on-chain (non identifiantes directes) restent comme registre immuable d’authenticité de l’œuvre · cela est considéré comme une limitation légitime conformément aux Lignes directrices 4/2018 du Comité européen de la protection des données (EDPB).
• Base juridique : exécution du contrat (art. 6.1.b RGPD) — le COA fait partie de la prestation de l’édition limitée — et consentement éclairé à l’acquisition.

Pour toute question préalable à l’achat, contactez privacy@yagopartal.com.

13. Sécurité

Nous appliquons des mesures techniques et organisationnelles raisonnables pour protéger vos données (contrôles d’accès, chiffrement en transit via HTTPS, minimisation des données, etc.). Aucun système n’est sûr à 100 % ; si nous détectons un incident pertinent, nous agirons conformément à la réglementation applicable (notification à l’AEPD et aux personnes concernées affectées selon arts. 33-34 RGPD).

14. Modifications de cette politique

Nous pouvons mettre à jour cette Politique pour refléter des changements légaux, techniques ou commerciaux. Nous publierons la version en vigueur sur cette page en indiquant la date de « Dernière mise à jour ».

Politique de confidentialité · v1.0 · revisado 19 mai 2026 · Yago Partal Studio