Politique de confidentialité

1. Introduction et champ d'application

LUXROUTAGE est un prestataire de solutions logistiques pour le commerce électronique.

Ses activités couvrent la réception et le contrôle des marchandises, leur stockage, la préparation des commandes, l'expédition ainsi que le transport et le suivi des colis, pour le compte de ses donneurs d'ordre.

LUXROUTAGE accorde une grande importance à la protection de la vie privée et au respect des données à caractère personnel des personnes avec lesquelles elle interagit.

La présente politique de confidentialité a pour objet de vous informer, de manière claire et transparente, sur les traitements de données que nous mettons en œuvre, sur les finalités poursuivies, sur les bases légales sur lesquelles ils reposent, sur les destinataires des données, sur les durées de conservation appliquées et sur les droits dont vous disposez.

Elle s'applique à l'ensemble des traitements réalisés dans le cadre de nos activités, notamment lorsque vous naviguez sur le site www.luxroutage.lu (ci-après le « Site »), lorsque vous nous adressez une demande de contact ou de devis, lorsque vous êtes client, prospect, fournisseur ou sous-traitant, et lorsque vos données figurent dans une commande que nous traitons pour le compte d'un donneur d'ordre.

La présente politique ne couvre pas les traitements mis en oeuvre par des tiers, notamment par nos donneurs d'ordre agissant en qualité de responsables du traitement, ni par les sites internet vers lesquels le Site pourrait renvoyer au moyen de liens hypertextes.

Le groupe LUXROUTAGE dispose d'établissements au Luxembourg et en France.

Le traitement de vos données est réalisé conformément au Règlement (UE) 2016/679 du 27 avril 2016 (ci-après le « RGPD »), à la loi luxembourgeoise du 1er août 2018 portant organisation de la Commission nationale pour la protection des données et du régime général sur la protection des données, ainsi que, pour l'établissement français, à la loi française n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés.

2. Définitions

Pour faciliter la lecture de la présente politique, les principaux termes employés ont la signification suivante, conformément à l'article 4 du RGPD :

  • Donnée à caractère personnel : toute information se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement (nom, identifiant, données de localisation, etc.).
  • Traitement : toute opération appliquée à des données, telle que la collecte, l'enregistrement, l'organisation, la conservation, la consultation, l'utilisation, la communication ou l'effacement.
  • Responsable du traitement : la personne qui détermine les finalités et les moyens du traitement, en l'espèce LUXROUTAGE.
  • Sous-traitant : la personne qui traite des données pour le compte du responsable du traitement et sur ses instructions.
  • Personne concernée : la personne physique dont les données sont traitées (client, prospect, contact, destinataire de colis, etc.).
  • Destinataire : la personne ou l'entité à laquelle les données sont communiquées.
  • Consentement : toute manifestation de volonté libre, spécifique, éclairée et univoque par laquelle vous acceptez un traitement de vos données.
  • Violation de données : toute atteinte à la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération ou la divulgation non autorisée de données.

3. Responsable du traitement

Les données sont traitées sous la responsabilité de Luxroutage :

LUXROUTAGE S.A.
Business Park Contern
11, rue Paul Rischard
L-5324 Contern, Luxembourg
Tél. : +352 28 12 52-1
dpo@luxroutage.lu

4. Délégué à la protection des données

LUXROUTAGE a désigné un délégué à la protection des données (DPD ou « DPO »), chargé de veiller à la conformité des traitements et de constituer votre point de contact privilégié pour toute question relative à la protection de vos données ou à l'exercice de vos droits.

Vous pouvez contacter le délégué à la protection des données :

  • par e-mail : dpo@luxroutage.lu
  • par courrier : LUXROUTAGE S.A., à l'attention du Délégué à la protection des données, Business Park Contern, 11, rue Paul Rischard, L-5324 Contern, Luxembourg.

5. Principes applicables au traitement des données

Conformément à l'article 5 du RGPD, LUXROUTAGE traite vos données dans le respect des principes suivants :

  • Licéité, loyauté et transparence : vos données sont traitées de manière licite, loyale et transparente, sur le fondement d'une base légale identifiée.
  • Limitation des finalités : vos données sont collectées pour des finalités déterminées, explicites et légitimes, et ne sont pas traitées ultérieurement de manière incompatible avec celles-ci.
  • Minimisation des données : seules les données adéquates, pertinentes et limitées à ce qui est nécessaire sont collectées.
  • Exactitude : des mesures raisonnables sont prises pour que les données inexactes soient rectifiées ou effacées.
  • Limitation de la conservation : les données ne sont conservées que pour la durée nécessaire aux finalités poursuivies (voir section 14).
  • Intégrité et confidentialité : les données sont protégées par des mesures techniques et organisationnelles appropriées (voir section 15).
  • Responsabilité : LUXROUTAGE est en mesure de démontrer le respect de ces principes.

6. Personnes concernées et catégories de données

Selon le contexte de nos relations, nous traitons les catégories de personnes et de données suivantes :

  • Clients et leurs représentants (gérants, personnes de contact) : données d'identification (nom, prénom, coordonnées professionnelles), données professionnelles (fonction) et données économiques (conditions tarifaires).
  • Prospects (formulaire de demande de devis) : nom de la société, personne de contact, coordonnées (adresse, e-mail, téléphone, site internet) et informations relatives au projet logistique (volumes, plateforme e-commerce, pays de destination, etc.).
  • Personnes nous contactant (formulaire de contact) : nom, prénom, adresse e-mail, objet et contenu du message.
  • Destinataires des colis (clients finaux de nos donneurs d'ordre) : identité, adresse de livraison et coordonnées nécessaires à l'expédition et au suivi ; en cas de retour, les données figurant sur la fiche de retour éventuellement jointe par le destinataire (nom, numéro de contrat et, le cas échéant, coordonnées bancaires en vue d'un remboursement).
  • Fournisseurs et sous-traitants et leurs contacts : données d'identification, fonction et données économiques (notamment coordonnées bancaires de la société).
  • Visiteurs du Site : données de connexion et données déposées par les cookies et traceurs (voir section 17).
  • Auteurs et personnes visées par un signalement (dispositif de lanceurs d'alerte) : voir section 20.

Catégories particulières de données : nous ne traitons pas, dans le cadre de ces activités, de données dites sensibles au sens de l'article 9 du RGPD (origine raciale ou ethnique, opinions, santé, etc.). Nous vous invitons à ne pas nous communiquer de telles données, notamment dans le champ libre des formulaires.

7. Finalités et bases légales des traitements

Chaque traitement repose sur l'une des bases légales prévues par l'article 6 du RGPD, présentées dans le tableau ci-dessous :

Finalité Données Base légale Conservation
Gestion de la relation client (contrats, suivi commercial, gestion des commandes) Identification, données professionnelles, données économiques Exécution du contrat et mesures précontractuelles (art. 6.1.b) pour le cocontractant ; intérêt légitime (art. 6.1.f) pour les coordonnées des collaborateurs des clients 10 ans à compter de la fin de la relation contractuelle
Gestion des fournisseurs et sous-traitants Identification, fonction, données économiques Exécution du contrat (art. 6.1.b) ; intérêt légitime (art. 6.1.f) pour les coordonnées des contacts 10 ans à compter de la fin de la relation contractuelle
Exécution des prestations logistiques (préparation, expédition, livraison et suivi des colis) Identité et adresse des destinataires, données de suivi Exécution du contrat conclu avec le donneur d'ordre (art. 6.1.b) ; intérêt légitime (art. 6.1.f) Durée nécessaire à l'exécution de la commande, puis obligations légales de conservation
Traitement des retours et destruction sécurisée des supports Données figurant sur les fiches de retour Exécution du contrat (art. 6.1.b) et intérêt légitime (art. 6.1.f) Destruction dès l'enregistrement du retour
Réponse aux demandes (formulaire de contact et de devis) Coordonnées et contenu de la demande Mesures précontractuelles (art. 6.1.b) ou intérêt légitime à répondre (art. 6.1.f) Durée nécessaire au traitement de la demande ; pour les prospects, jusqu'à 3 ans après le dernier contact
Gestion des cookies et traceurs Données de navigation Consentement (art. 6.1.a) pour les traceurs non essentiels ; intérêt légitime pour les traceurs strictement nécessaires 13 mois maximum (voir section 17)
Dispositif de signalement (lanceurs d'alerte) Données relatives au signalement et aux personnes concernées Obligation légale (art. 6.1.c) et intérêt légitime (art. 6.1.f) Durée nécessaire au traitement du signalement
Gestion des demandes d'exercice des droits Identité et justificatifs Obligation légale (art. 6.1.c) Durée nécessaire au traitement, puis archivage à des fins de preuve
Respect des obligations légales (comptables, fiscales) Données contractuelles et de facturation Obligation légale (art. 6.1.c) Durées légales de conservation comptable et fiscale

Précisions sur les bases légales

  • Exécution d'un contrat ou de mesures précontractuelles (art. 6.1.b). Lorsque vous êtes notre cocontractant, ou un prospect demandant un devis, le traitement est nécessaire à la conclusion ou à l'exécution du contrat.
  • Respect d'une obligation légale (art. 6.1.c). Certains traitements répondent à des obligations qui s'imposent à nous, notamment en matière comptable, fiscale et de protection des lanceurs d'alerte.
  • Intérêt légitime (art. 6.1.f). D'autres traitements reposent sur nos intérêts légitimes, par exemple le développement et la gestion de notre activité, la sécurité de nos systèmes ou la communication avec les contacts de nos clients et fournisseurs. Nous procédons, lorsque cela est requis, à une mise en balance entre ces intérêts et vos droits et libertés. Vous pouvez à tout moment vous opposer à un traitement fondé sur cette base, pour des raisons tenant à votre situation particulière (voir section 21).
  • Consentement (art. 6.1.a). Lorsque le traitement repose sur votre consentement, notamment pour certains traceurs, vous pouvez le retirer à tout moment, sans que cela n'affecte la licéité du traitement effectué avant le retrait.

8. Caractère obligatoire ou facultatif de la collecte

Dans nos formulaires, les champs dont la fourniture est nécessaire sont signalés comme obligatoires (par exemple par un astérisque). À défaut de les renseigner, nous pourrions ne pas être en mesure de traiter votre demande, d'établir un devis ou d'exécuter nos prestations.

Les autres informations sont facultatives et destinées à mieux répondre à votre besoin.

9. Origine des données

Vos données sont collectées :

  • directement auprès de vous, lorsque vous remplissez un formulaire du Site, échangez avec nos équipes ou concluez un contrat ;
  • indirectement, auprès de nos donneurs d'ordre, s'agissant des données des destinataires de colis transmises dans le cadre des commandes que nous exécutons pour leur compte.

En cas de collecte indirecte, l'information prévue à l'article 14 du RGPD est assurée, le cas échéant, par le donneur d'ordre concerné ainsi que par la présente politique.

10. Destinataires des données

Vos données sont accessibles, selon le besoin d'en connaître, aux services internes concernés (commercial, exploitation et logistique, informatique, comptabilité).

Elles peuvent être communiquées aux catégories de destinataires externes suivantes :

  • transporteurs et prestataires de livraison partenaires, pour l'acheminement des colis ;
  • prestataires informatiques et d'hébergement assurant le fonctionnement de nos outils et de notre système de gestion d'entrepôt ;
  • prestataire de destruction et de gestion des déchets, pour la destruction sécurisée des supports ;
  • conseils externes (comptables, juridiques) ;
  • autorités, administrations et organismes publics, lorsque la loi nous l'impose ou nous y autorise.

Nous ne vendons pas vos données à caractère personnel et ne les communiquons pas à des tiers à des fins de prospection commerciale qui leur seraient propres.

11. Recours à des sous-traitants

Pour certaines opérations, LUXROUTAGE fait appel à des sous-traitants qui traitent des données pour son compte et sur ses instructions. Conformément à l'article 28 du RGPD, ces prestataires sont sélectionnés en fonction des garanties qu'ils présentent et sont liés par un contrat encadrant leurs obligations, notamment :

  • ne traiter les données que sur instruction documentée du responsable du traitement ;
  • garantir la confidentialité des données et la formation des personnes habilitées ;
  • mettre en oeuvre des mesures de sécurité appropriées ;
  • assister le responsable du traitement dans le respect de ses obligations et la gestion des demandes d'exercice des droits ;
  • supprimer ou restituer les données au terme de la prestation.

12. Responsabilité conjointe

Lorsque les établissements luxembourgeois et français du groupe déterminent conjointement les finalités et les moyens d'un traitement, ils agissent en qualité de responsables conjoints au sens de l'article 26 du RGPD.

Dans ce cas, un accord définit de manière transparente leurs obligations respectives, notamment quant à l'exercice de vos droits et à la communication des informations.

13. Transferts de données en dehors de l'Union européenne

Dans le cadre des expéditions internationales, les données strictement nécessaires à la livraison (identité et adresse du destinataire) peuvent être transmises à des transporteurs et à des autorités douanières situés dans le pays de destination, y compris en dehors de l'Espace économique européen, lorsque la commande l'exige.

Ces transferts reposent alors sur la nécessité d'exécuter le contrat ou de prendre des mesures précontractuelles (article 49.1.b du RGPD).

14. Durées de conservation

Vos données sont conservées pour la durée strictement nécessaire aux finalités décrites à la section 7, selon les principes suivants :

Données concernées Durée de conservation
Données des clients et fournisseurs (contrats, facturation) 10 ans à compter de la fin de la relation contractuelle, conformément aux obligations comptables et commerciales
Données des destinataires de colis Durée nécessaire à l'exécution de la commande et au traitement des éventuelles réclamations, puis archivage conforme aux obligations légales
Fiches de retour Destruction dès l'enregistrement du retour
Données des prospects (devis, contact) Durée nécessaire au traitement de la demande ; en l'absence de relation contractuelle, jusqu'à 3 ans après le dernier contact
Données de connexion et journaux techniques Conformément aux obligations légales applicables en matière de conservation des logs
Cookies et traceurs 13 mois maximum pour les traceurs ; 25 mois maximum pour les données d'audience associées
Signalements (lanceurs d'alerte) Durée nécessaire au traitement du signalement, puis archivage ou suppression selon la réglementation
Justificatifs liés à l'exercice des droits Durée nécessaire au traitement, puis conservation à des fins de preuve dans la limite des délais de prescription

À l'expiration de ces durées, vos données sont supprimées ou anonymisées de manière irréversible.

Certaines données peuvent faire l'objet d'un archivage intermédiaire à accès restreint, lorsque leur conservation est nécessaire au respect d'une obligation légale ou à la constatation, à l'exercice ou à la défense de droits en justice.

15. Sécurité des données

LUXROUTAGE met en œuvre des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque et de protéger vos données contre la destruction, la perte, l'altération, la divulgation ou l'accès non autorisés, notamment :

  • le contrôle des accès physiques aux locaux et aux espaces de stockage (bureaux et armoires fermant à clé) ;
  • la gestion des accès logiques selon le principe du besoin d'en connaître, ainsi qu'une politique de renouvellement régulier des mots de passe ;
  • des engagements de confidentialité du personnel et un encadrement contractuel des prestataires ;
  • des mesures de sauvegarde et de protection de nos systèmes d'information.

Ces mesures font l'objet d'un réexamen régulier afin de tenir compte de l'évolution des risques et de l'état de l'art.

16. Violations de données

En cas de violation de données à caractère personnel susceptible d'engendrer un risque pour vos droits et libertés, LUXROUTAGE la notifie à l'autorité de contrôle compétente dans les meilleurs délais et, si possible, dans les 72 heures après en avoir pris connaissance, conformément à l'article 33 du RGPD.

Lorsque la violation est susceptible d'engendrer un risque élevé pour vos droits et libertés, vous en êtes informé dans les meilleurs délais, conformément à l'article 34 du RGPD.

17. Cookies et traceurs

Un cookie est un petit fichier déposé et lu lors de la consultation d'un site internet, d'une application ou d'une publicité. Le Site utilise différentes catégories de traceurs :

  • Traceurs strictement nécessaires : indispensables au fonctionnement du Site et à la fourniture des services que vous demandez. Ils ne requièrent pas votre consentement.
  • Traceurs de mesure d'audience : destinés à établir des statistiques de fréquentation. Lorsqu'ils ne bénéficient pas d'une exemption, ils sont soumis à votre consentement.
  • Traceurs de fonctionnalités : destinés à mémoriser vos préférences afin d'améliorer votre confort de navigation.
  • Contenus tiers et traceurs de tiers : liés à l'intégration de contenus externes (vidéos, modules sociaux, etc.), susceptibles de déposer leurs propres traceurs, soumis à consentement.

Les traceurs non essentiels ne sont déposés qu'après recueil de votre consentement, exprimé au moyen du module de gestion du consentement.

Vous pouvez à tout moment modifier vos choix ou retirer votre consentement via ce module, ainsi qu'en configurant votre navigateur pour accepter ou refuser les cookies. Le refus de certains traceurs peut affecter l'accès à certaines fonctionnalités du Site.

La durée de vie des traceurs soumis à consentement n'excède pas 13 mois et les informations collectées par leur intermédiaire sont conservées au maximum 25 mois, conformément aux recommandations des autorités de contrôle.

18. Contenus de tiers, liens et réseaux sociaux

Le Site peut intégrer des contenus provenant d'autres sites (par exemple des vidéos) ou renvoyer, au moyen de liens, vers des sites tiers, notamment des réseaux sociaux.

Ces contenus et sites se comportent comme si vous vous rendiez directement sur le site concerné et peuvent collecter des données vous concernant et déposer leurs propres traceurs. LUXROUTAGE n'exerce aucun contrôle sur ces traitements, qui relèvent de la responsabilité des éditeurs concernés.

Nous vous invitons à consulter leurs propres politiques de confidentialité.

19. Données concernant les mineurs

Nos services s'adressent à des professionnels et ne visent pas les mineurs. Nous ne collectons pas sciemment de données relatives à des mineurs.

Si vous estimez qu'un mineur nous aurait communiqué des données sans l'autorisation requise, nous vous invitons à contacter notre délégué à la protection des données afin que nous procédions, le cas échéant, à leur suppression.

20. Dispositif de signalement (lanceurs d'alerte)

LUXROUTAGE met à disposition un dispositif de signalement permettant de signaler certains manquements.

Les données traitées dans ce cadre font l'objet d'un accès restreint aux seules personnes habilitées et sont traitées de manière strictement confidentielle, dans le respect de la protection de l'auteur du signalement et des personnes visées.

Ce traitement repose sur le respect d'une obligation légale et sur notre intérêt légitime, conformément à la réglementation applicable en matière de protection des lanceurs d'alerte (loi luxembourgeoise du 16 mai 2023 transposant la directive (UE) 2019/1937 et, pour l'établissement français, loi n° 2016-1691 modifiée). Les données sont conservées pour la durée nécessaire au traitement du signalement, puis archivées ou supprimées conformément à la réglementation.

21. Vos droits sur vos données

Conformément au RGPD, vous disposez des droits suivants, que vous pouvez exercer selon les modalités décrites à la section 22 :

  • Droit d'accès (art. 15). Vous pouvez obtenir la confirmation que des données vous concernant sont traitées et, le cas échéant, en obtenir une copie ainsi que des informations sur ce traitement.
  • Droit de rectification (art. 16). Vous pouvez obtenir la correction des données inexactes et la complétion des données incomplètes.
  • Droit à l'effacement (art. 17). Vous pouvez demander l'effacement de vos données dans les cas prévus par la loi, par exemple lorsqu'elles ne sont plus nécessaires ou que vous retirez votre consentement, sous réserve de nos obligations légales de conservation.
  • Droit à la limitation du traitement (art. 18). Vous pouvez demander le gel de l'utilisation de certaines données dans des hypothèses définies, par exemple le temps de vérifier leur exactitude.
  • Droit d'opposition (art. 21). Vous pouvez vous opposer, pour des raisons tenant à votre situation particulière, à un traitement fondé sur l'intérêt légitime. Vous pouvez également vous opposer à tout moment à un traitement à des fins de prospection.
  • Droit à la portabilité (art. 20). Pour les traitements fondés sur le consentement ou le contrat et réalisés de manière automatisée, vous pouvez recevoir les données que vous nous avez fournies dans un format structuré et lisible par machine, ou en demander la transmission à un autre responsable lorsque cela est techniquement possible.
  • Droit de retirer votre consentement. Lorsque le traitement repose sur votre consentement, vous pouvez le retirer à tout moment, sans remettre en cause la licéité du traitement effectué avant ce retrait.
  • Décision automatisée et profilage (art. 22). Nous ne prenons pas de décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques à votre égard ou vous affectant de manière significative.
  • Directives post-mortem. Si vous résidez en France, vous pouvez définir des directives relatives à la conservation, à l'effacement et à la communication de vos données après votre décès.

22. Comment exercer vos droits

Vous pouvez exercer vos droits en vous adressant à notre délégué à la protection des données, par e-mail à dpo@luxroutage.lu, ou par courrier à l'adresse indiquée à la section 4.

Afin de traiter votre demande, nous pourrons être amenés à vérifier votre identité et, en cas de doute raisonnable, à vous demander un justificatif.

Nous nous engageons à répondre dans un délai d'un mois à compter de la réception de votre demande, délai pouvant être prolongé de deux mois en cas de demande complexe ou nombreuse, auquel cas vous en serez informé. L'exercice de vos droits est en principe gratuit ; toutefois, en cas de demandes manifestement infondées ou excessives, nous pourrons exiger des frais raisonnables ou refuser d'y donner suite, conformément à l'article 12 du RGPD.

23. Réclamation auprès d'une autorité de contrôle

Si, après nous avoir contactés, vous estimez que le traitement de vos données n'est pas conforme à la réglementation, vous pouvez introduire une réclamation auprès de l'autorité de contrôle compétente, en particulier celle de votre lieu de résidence ou de votre lieu de travail :

Luxembourg France
Commission nationale pour la protection des données (CNPD)
15, Boulevard du Jazz
L-4370 Belvaux
Tél. : +352 26 10 60-1
cnpd.public.lu 		Commission nationale de l'informatique et des libertés (CNIL)
3 Place de Fontenoy, TSA 80715
75334 Paris Cedex 07
Tél. : +33 1 53 73 22 22
cnil.fr

24. Modifications de la présente politique

La présente politique de confidentialité peut être mise à jour afin de tenir compte de l'évolution de nos activités, de nos outils ou de la réglementation.

La version applicable est celle publiée sur le Site, dont la date de dernière mise à jour figure en tête du document. En cas de modification substantielle, nous nous efforçons de vous en informer par un moyen approprié.

Nous vous invitons à consulter régulièrement cette page.

Annexe : textes de référence

  • Règlement (UE) 2016/679 du 27 avril 2016 (RGPD) ;
  • Loi luxembourgeoise du 1er août 2018 portant organisation de la Commission nationale pour la protection des données et du régime général sur la protection des données ;
  • Loi française n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés ;
  • Directive 2002/58/CE (vie privée et communications électroniques) et ses textes nationaux de transposition ;
  • Loi luxembourgeoise du 16 mai 2023 et loi française n° 2016-1691 modifiée, relatives à la protection des lanceurs d'alerte.