Note : ce document a été rédigé sur la base du RGPD (Règlement UE 2016/679) et de la Loi Informatique et Libertés modifiée. Une relecture par un avocat ou un DPO reste recommandée avant le lancement public.

Politique de confidentialité

Dernière mise à jour : 15 mai 2026

DropLab (marque exploitée par HEXAIT SASU) attache une importance particulière à la protection des données personnelles de ses utilisateurs. La présente politique précise quelles données sont collectées, à quelles fins, sur quelle base légale, comment elles sont conservées, et quels sont les droits dont tu disposes.

1. Responsable de traitement

Le responsable du traitement des données personnelles est :

  • Raison sociale : HEXAIT SASU
  • Siège social : 20 Rue du Commandant Maurice Lissac, 91250 Tigery, France
  • SIRET : 992 031 351 000 16
  • RCS : Evry 992 031 351
  • Email de contact général : contact@droplab.shop
  • Point de contact RGPD : contact@hexait.fr

HEXAIT SASU n'est pas tenue de désigner un DPO au sens de l'article 37 du RGPD (effectif inférieur aux seuils et activité non concernée). Le point de contact ci-dessus reçoit toute demande RGPD.

2. Données collectées

Nous collectons les catégories de données suivantes :

  • Données d'identité et de contact : nom, prénom, email, numéro de téléphone (optionnel), adresse postale.
  • Données de commande : historique d'achat, montants, modes de livraison et de paiement choisis.
  • Données de paiement : traitées exclusivement par notre prestataire Shopify Payments (et le cas échéant PayPal). HEXAIT SASU ne stocke aucune donnée bancaire.
  • Données de navigation : adresse IP, type de navigateur, pages consultées, durée de visite, source de visite, via cookies (voir Politique de cookies).
  • Données marketing : consentement aux communications, ouvertures et clics sur les emails (si tu es abonné(e) à la newsletter).

3. Finalités et bases légales

Finalité Base légale RGPD
Traitement et livraison des commandes Exécution du contrat (art. 6.1.b)
Gestion du compte client et du service après-vente Exécution du contrat (art. 6.1.b)
Facturation et obligations comptables Obligation légale (art. 6.1.c)
Envoi de la newsletter et communications marketing Consentement (art. 6.1.a) — opt-in
Mesure d'audience et statistiques anonymisées Intérêt légitime (art. 6.1.f) ou consentement (cookies non essentiels)
Prévention de la fraude Intérêt légitime (art. 6.1.f)

4. Destinataires

Tes données peuvent être transmises aux sous-traitants suivants, dans la stricte mesure nécessaire à leur mission :

  • Shopify Inc. — hébergement et infrastructure du site (Canada / Irlande)
  • Shopify Payments / Stripe — traitement des paiements
  • PayPal — paiement (si choisi)
  • Klaviyo — envoi des emails transactionnels et marketing
  • Transporteurs (La Poste / Colissimo, Mondial Relay, Chronopost, etc.) — uniquement pour la livraison
  • Outils d'analytics (le cas échéant : Shopify Analytics, Google Analytics) — données pseudonymisées

Aucune donnée n'est vendue à des tiers à des fins commerciales.

5. Transferts hors UE

Certains prestataires (Shopify, Klaviyo) sont basés hors Union européenne. Ces transferts sont encadrés par les Clauses Contractuelles Types de la Commission européenne ou les mécanismes de transfert reconnus par le RGPD (Data Privacy Framework pour les États-Unis le cas échéant).

6. Durée de conservation

  • Données de commande : 10 ans (obligation comptable, art. L123-22 Code de commerce)
  • Données de compte client actif : tant que le compte est actif + 3 ans après la dernière interaction
  • Données marketing (newsletter) : jusqu'au retrait du consentement, puis 3 ans en archive intermédiaire
  • Cookies : 13 mois maximum
  • Données de prospection (prospect non-client) : 3 ans après le dernier contact

7. Tes droits

Conformément aux articles 15 à 22 du RGPD, tu disposes des droits suivants :

  • Droit d'accès — savoir quelles données nous détenons sur toi
  • Droit de rectification — corriger une donnée inexacte
  • Droit d'effacement (« droit à l'oubli ») — sous réserve des obligations légales de conservation
  • Droit à la limitation du traitement
  • Droit à la portabilité — recevoir tes données dans un format structuré
  • Droit d'opposition au traitement, notamment au marketing direct
  • Droit de retirer ton consentement à tout moment (pour les traitements basés sur le consentement)
  • Droit de définir des directives sur le sort de tes données après ton décès

Pour exercer ces droits, écris-nous à contact@hexait.fr en joignant un justificatif d'identité. Nous répondons sous 1 mois.

Si tu estimes que tes droits ne sont pas respectés, tu peux introduire une réclamation auprès de la CNIL : www.cnil.fr.

8. Sécurité

HEXAIT SASU met en œuvre les mesures techniques et organisationnelles appropriées pour protéger tes données : chiffrement TLS, accès restreint, sous-traitants conformes au RGPD, sauvegardes régulières. Aucun système n'étant infaillible, nous ne pouvons garantir une sécurité absolue.

9. Cookies

L'utilisation de cookies est détaillée dans la Politique de cookies.

10. Modifications

La présente politique peut être mise à jour. La date de dernière modification figure en haut de la page. En cas de changement substantiel, nous t'informerons par email ou par un message sur le Site.