Politique de confidentialité — protection des données (RGPD)
Dernière mise à jour : 20 avril 2026
La présente politique vous informe, conformément aux articles 12 à 14 du Règlement (UE) 2016/679 (« RGPD ») et aux articles 82 et suivants de la loi n°78-17 modifiée relative à l’informatique, aux fichiers et aux libertés, sur les traitements de données à caractère personnel mis en œuvre par SMOKE & VAPE (ci-après « nous ») dans le cadre du site e-commerce dédié aux produits de vapotage, e-liquides, accessoires et produits CBD (navigation, compte client, commandes, livraison, fidélité, assistance, outils d’aide à l’achat le cas échéant).
1. Responsable du traitement et contact
Le responsable du traitement est la société exploitant la marque et le site SMOKE & VAPE.
- Contact données personnelles : contact@smoke-vape.fr
- Téléphone : +33960420632
Lorsque la réglementation l’exige, un délégué à la protection des données (DPO) peut être désigné et ses coordonnées publiées ici. À défaut de DPO, vous pouvez exercer l’ensemble de vos droits à l’adresse ci-dessus.
2. Catégories de données collectées
Selon votre utilisation du Site, nous pouvons traiter notamment :
- Identité et coordonnées : civilité, nom, prénom, adresse postale, e-mail, téléphone ;
- Compte et sécurité : identifiant, mot de passe (stocké sous forme dérivée / hachée), jetons de session, préférences de compte, historique de connexion ;
- Commandes et paiement : détail des paniers et commandes, adresse de livraison et de facturation, preuves de transaction ; les données de carte bancaire complètes sont traitées par notre prestataire de paiement certifié (ex. PSP conforme PCI-DSS) — nous n’en conservons pas la copie intégrale sur nos propres systèmes ;
- Données relatives à la majorité et à la conformité réglementaire : date de naissance ou déclaration de majorité, éléments permettant de vérifier que la vente n’est pas destinée à un mineur lorsque la loi ou notre politique l’exige ;
- Données de fidélité et marketing : points, avantages, preuves d’opt-in / opt-out, logs d’envoi des campagnes ;
- Données techniques et de navigation : adresse IP, logs serveur, type d’appareil, navigateur, pages consultées, provenance, identifiants de cookies et traceurs (voir Politique cookies) ;
- Échanges avec le support : messages, pièces jointes que vous nous adressez ;
- Connexion via compte tiers (ex. Google) : si cette fonction est activée, nous recevons les informations que le tiers est autorisé à transmettre (souvent identifiant, e-mail, nom) conformément aux paramètres du compte tiers.
Nous ne traitons pas de données de santé au sens de l’article 9 du RGPD dans le cadre habituel de la vente en ligne. Toute information sanitaire que vous communiqueriez spontanément au support sera traitée uniquement pour répondre à votre demande et effacée lorsque plus nécessaire.
3. Finalités, bases légales, durées — tableau récapitulatif
Le tableau ci-dessous résume les principaux traitements. Les durées sont indicatives et peuvent être prolongées lorsque la loi l’impose ou en cas de litige.
| Finalité du traitement | Base légale (RGPD) | Durée de conservation indicative | Destinataires principaux |
|---|---|---|---|
| Création et gestion de compte client ; authentification (y compris connexion via prestataire tiers si proposée) | Exécution du contrat / mesures précontractuelles (art. 6.1.b RGPD) | Durée de la relation + 3 ans à titre de preuve en cas de litige (prescription courante) | Équipe interne habilitée ; hébergeur ; prestataires techniques (CMS / API) |
| Prise et suivi de commandes ; paiement ; facturation ; livraison ; SAV ; gestion des retours et garanties | Exécution du contrat (art. 6.1.b) ; obligations légales comptables/fiscales (art. 6.1.c) | Données actives : vie de la relation ; pièces comptables : 10 ans ; preuves transactionnelles selon besoin légal | Interne ; transporteurs ; prestataire de paiement ; hébergeur |
| Vérification de la majorité et lutte contre les commandes au profit de mineurs ; prévention de la fraude | Obligation légale / mission d’intérêt public (art. 6.1.c) ; intérêt légitime sécurité (art. 6.1.f) | Données de preuve : jusqu’à prescription / durée nécessaire à la défense en justice | Interne ; prestataires anti-fraude ou de paiement le cas échéant |
| Prospection commerciale par e-mail aux clients (offres similaires) ou après consentement (newsletter, SMS) | Intérêt légitime dans le cadre strict de l’article L.34-5 du Code des postes et des communications électroniques le cas échéant ; consentement pour les autres messages (art. 6.1.a) | Jusqu’à opposition ou retrait du consentement ; données prospects : 3 ans à compter du dernier contact | Interne ; outil d’e-mailing ; hébergeur |
| Mesure d’audience, statistiques de fréquentation, performance du Site, personnalisation légère du catalogue | Consentement pour les traceurs non strictement nécessaires (art. 6.1.a) ; intérêt légitime pour la sécurité et la stabilité du service (art. 6.1.f) lorsque applicable | Selon durée des cookies / traceurs (voir politique cookies) ; logs techniques : durée limitée et proportionnée | Interne ; prestataires d’analytics (sous conditions contractuelles RGPD) |
| Réponse aux réquisitions des autorités ; coopération avec les organismes habilités | Obligation légale (art. 6.1.c) | Durée imposée par la loi ou la procédure | Autorités judiciaires ou administratives compétentes |
4. Obligation de fournir certaines données
Pour passer commande et être livré, le fourniture de données d’identité, de contact et de paiement est nécessaire. À défaut, nous ne pourrons pas exécuter le contrat. La preuve de majorité ou les vérifications associées peuvent être exigées pour les produits soumis à restriction d’âge.
5. Destinataires et sous-traitants (article 28 RGPD)
Vos données peuvent être communiquées à :
- Les personnels autorisés de SMOKE & VAPE, soumis à une obligation de confidentialité ;
- Notre hébergeur (OVH SAS) et prestataires d’infrastructure situés dans l’Union européenne lorsque possible ;
- Notre plateforme e-commerce (site Next.js / API) et, le cas échéant, système de gestion de catalogue ou de commandes (ex. WooCommerce / WordPress) hébergés sous contrat encadrant la sous-traitance ;
- Les prestataires de paiement, transporteurs et prestataires logistiques ;
- Les outils d’e-mailing, de support client ou d’analytics (uniquement dans le respect de vos choix de consentement lorsque requis) ;
- Les autorités administratives ou judiciaires, sur réquisition fondée.
Nous concluons avec nos sous-traitants des contrats conformes à l’article 28 RGPD (clauses de confidentialité, sécurité, sous-traitance ultérieure encadrée, assistance pour l’exercice des droits).
6. Transferts hors de l’Espace économique européen
Lorsqu’un prestataire est situé hors EEE (par exemple outil américain), nous nous assurons de la présence de garanties appropriées : décision d’adéquation, clauses contractuelles types de la Commission européenne, mesures supplémentaires si nécessaire, ou mécanisme équivalent (Binding Corporate Rules, etc.).
7. Profilage et décisions automatisées (articles 22 et suivants RGPD)
Nous n’effectuons pas de décision produisant des effets juridiques ou vous affectant de manière significative uniquement sur le fondement d’un traitement automatisé, sans intervention humaine. Des outils peuvent proposer des suggestions de produits ou des offres : ils n’ont pas pour effet de refuser une commande sans contrôle humain en dehors des cas de fraude ou de non-conformité réglementaire.
Des traitements automatisés de lutte contre la fraude peuvent être mis en œuvre par nos prestataires de paiement ; dans ce cas, leur politique de confidentialité et les informations du prestataire s’appliquent en complément.
8. Sécurité des données (article 32 RGPD)
Nous mettons en œuvre des mesures techniques et organisationnelles appropriées : chiffrement des flux (HTTPS), gestion des accès, sauvegardes, journalisation, mises à jour de sécurité, sensibilisation des équipes. En cas de violation de données personnelles présentant un risque pour vos droits, nous documentons l’incident, le notifions à la CNIL lorsque requis et vous informons lorsque la loi l’exige.
9. Vos droits — comment les exercer
Vous disposez, dans les limites prévues par le RGPD et la loi française, des droits suivants :
- Droit d’accès (art. 15) et rectification (art. 16) ;
- Droit à l’effacement (art. 17), limitation (art. 18) et opposition (art. 21), notamment à la prospection ;
- Droit à la portabilité (art. 20) pour les données fournies et traitées par voie automatisée sur la base du contrat ou du consentement ;
- Retrait du consentement à tout moment lorsque le traitement est fondé sur le consentement, sans affecter la licéité du traitement antérieur ;
- Directives post-mortem (article 85 de la loi Informatique et Libertés) ou désignation d’un mandataire ;
- Réclamation auprès de la CNIL : www.cnil.fr.
Pour exercer vos droits : écrivez à contact@smoke-vape.fr. Nous pouvons vous demander un justificatif d’identité pour prévenir l’usurpation. Nous répondons dans un délai d’un mois (prolongeable de deux mois compte tenu de la complexité ; vous serez informé en cas de prolongation).
10. Mineurs et produits soumis à restriction d’âge
La vente de produits de vapotage avec nicotine et, selon les cas, d’autres produits du catalogue est interdite aux mineurs. Le Site et nos traitements ne visent pas à collecter des données à des fins commerciales directes auprès de mineurs. Si nous apprenons qu’un mineur a contourné nos vérifications, nous prendrons les mesures appropriées (annulation, suppression des données non nécessaires).
11. Données relatives aux produits CBD
Les achats de produits CBD sont traités comme toute autre commande (livraison, facturation, obligations légales). Nous ne demandons pas de données de santé pour vendre du CBD ; le Client reste responsable d’un usage conforme à la législation.
12. Conservation des preuves et obligations sectorielles
En tant que professionnel du commerce de détail de produits soumis à réglementation (vapotage, etc.), nous pouvons être tenus de conserver certaines traces ou informations à des fins de conformité, de coopération avec les autorités ou de défense en justice. Ces conservation sont limitées au strict nécessaire et fondées sur une obligation légale ou un intérêt légitime documenté.
13. Évolution de la politique
Nous pouvons modifier la présente politique pour refléter l’évolution légale, jurisprudentielle ou technique. La version en vigueur est celle publiée sur cette page, avec sa date de mise à jour. Pour les changements substantiels, une information pourra être affichée sur le Site ou envoyée par e-mail lorsque la loi l’exige.
14. Cookies et traceurs
Le détail des cookies, leur finalité et la gestion de votre consentement figurent dans notre Politique cookies, qui doit être lue conjointement avec la présente politique.