POLITIQUE INTERNE DE PROTECTION DES DONNÉES

Document de gouvernance interne de LakeHouse S.à r.l-S. Confidentiel. Ne pas publier.

CLASSIFICATION DU DOCUMENT

• Nature: Politique interne — document de gouvernance.
• Destinataires: collaborateurs, consultants, stagiaires et prestataires ayant accès aux données personnelles.
• Diffusion externe: interdite sans autorisation expresse du Conseil de gérance.
• Rôle: sert de preuve de conformité au titre de l'article 5, 2) du RGPD (principe de responsabilisation) en cas de contrôle de la CNPD.

1. Objet et portée

La présente politique définit les règles, responsabilités et procédures appliquées par LakeHouse S.à r.l-S (ci-après « la Société »), exploitant la marque Fantino®, en matière de protection des données à caractère personnel, conformément au Règlement (UE) 2016/679 (ci-après « RGPD ») et à la loi luxembourgeoise du 1er août 2018 portant organisation de la Commission nationale pour la protection des données et du régime général sur la protection des données.

Elle s'impose à tous les collaborateurs, consultants, stagiaires et prestataires ayant accès, directement ou indirectement, aux données personnelles traitées par la Société. Son respect est une condition du maintien des accès.

2. Principes directeurs

Tout traitement de données personnelles mené par la Société respecte les principes énoncés à l'article 5 du RGPD :

• Licéité, loyauté et transparence.
• Limitation des finalités : les données ne sont collectées que pour des finalités explicites, déterminées et légitimes.
• Minimisation : seules les données strictement nécessaires sont collectées.
• Exactitude : les données sont tenues à jour ; les données inexactes sont effacées ou rectifiées sans délai.
• Limitation de la conservation : les données ne sont pas conservées au-delà de la durée nécessaire à la finalité poursuivie.
• Intégrité et confidentialité : toute mesure appropriée est prise pour garantir la sécurité des données.
• Responsabilité : la Société est en mesure de démontrer le respect de ces principes.

3. Gouvernance et responsabilités

3.1 Responsable du traitement

Le responsable du traitement est LakeHouse S.à r.l-S, représentée par son Conseil de gérance. Le Conseil de gérance est l'organe ultime de décision en matière de protection des données.

3.2 Référent protection des données

Compte tenu de la taille de la Société et de la nature de ses traitements, la désignation d'un Délégué à la Protection des Données (DPO) formel n'est pas obligatoire au titre de l'article 37 du RGPD. Un Référent protection des données (ci-après « Référent ») est néanmoins désigné en interne par décision du Conseil de gérance.

Nom du Référent: [à compléter].
Courriel: contact@fantinolux.com

Le Référent :

• Est le point de contact unique pour toute question, demande d'exercice de droits et signalement d'incident.
• Tient à jour le registre des activités de traitement.
• Coordonne la réponse aux demandes d'exercice de droits et aux violations de données.
• Conduit la revue annuelle de conformité.
• Rend compte au moins une fois par an au Conseil de gérance.

3.3 Responsabilités individuelles

• Chaque collaborateur est personnellement responsable du respect de la présente politique dans le périmètre de ses fonctions.
• Tout manquement grave peut donner lieu à une sanction disciplinaire pouvant aller jusqu'au licenciement pour faute.
• Les prestataires sont liés par des obligations équivalentes via leur contrat de sous-traitance.

4. Registre des activités de traitement

La Société tient et maintient un registre des activités de traitement conformément à l'article 30 du RGPD. Pour chaque traitement, il mentionne :

• La finalité.
• Les catégories de personnes concernées et les catégories de données.
• Les destinataires effectifs et potentiels.
• La base légale (article 6 et, le cas échéant, article 9 du RGPD).
• La durée de conservation et les critères la déterminant.
• Les mesures de sécurité techniques et organisationnelles.
• Les éventuels transferts hors Union Européenne et leur encadrement juridique.

Le registre est revu au minimum une fois par an, ou à chaque évolution notable (nouvel outil, nouveau prestataire, nouveau canal de collecte).

5. Inventaire des traitements

Les principaux traitements identifiés sont les suivants :

• Gestion de la clientèle et des commandes (base légale : exécution du contrat).
• Tenue des patrons et archives d'atelier, incluant les mensurations corporelles (base légale : exécution du contrat ; durée prolongée justifiée par la nature bespoke — voir politique publique de confidentialité, section 3).
• Facturation et comptabilité (base légale : obligation légale — 10 ans).
• Lettre d'information et communications commerciales (base légale : consentement, révocable à tout moment).
• Gestion du site, cookies non-essentiels, mesure d'audience (base légale : consentement ; intérêt légitime pour les cookies strictement nécessaires).
• Gestion des ressources humaines et des prestataires (base légale : exécution du contrat / obligation légale).
• Photographies éditoriales et témoignages clients (base légale : consentement explicite).

6. Traitement renforcé des mensurations corporelles

La Société reconnaît que les mensurations corporelles, bien que nécessaires à l'exécution de son activité, peuvent être perçues comme intimes et, selon les circonstances et leur précision, approcher des données de santé au sens de l'article 9 du RGPD.

À ce titre, elle applique, par principe de précaution, des mesures renforcées détaillées dans la politique publique de confidentialité (section 3) et rappelées ci-dessous :

• Accès strictement limité aux tailleurs, coupeurs et collaborateurs atelier directement impliqués dans la commande.
• Stockage sur système chiffré, distinct des outils de marketing ou de comptabilité.
• Pseudonymisation lors des échanges avec les ateliers partenaires.
• Interdiction formelle d'usage détourné (photographie personnelle, exportation, partage externe).
• Archivage physique éventuel dans des conditions sécurisées (armoires fermées, locaux à accès contrôlé).

7. Mesures de sécurité

• Chiffrement en transit (HTTPS/TLS) sur le site et dans tous les échanges externes.
• Chiffrement au repos pour les bases contenant des mensurations et des données sensibles.
• Accès aux bases par identifiants individuels, avec mots de passe forts, renouvelés périodiquement.
• Double authentification (2FA) sur les outils critiques (messagerie, plateforme d'hébergement, CRM, outil comptable).
• Sauvegardes chiffrées, à fréquence régulière, conservées distinctement.
• Verrouillage automatique des postes après inactivité ; interdiction de conserver des données sur des supports amovibles non chiffrés.
• Formation annuelle du personnel à la protection des données et à la cybersécurité.

8. Sous-traitance

Toute relation de sous-traitance impliquant un accès à des données personnelles est encadrée par un accord de traitement conforme à l'article 28 du RGPD, signé préalablement au début des opérations.

Chaque sous-traitant fait l'objet d'une évaluation de ses garanties : certifications éventuelles, localisation, mesures de sécurité, antécédents de violations. La liste des sous-traitants est tenue à jour par le Référent et annexée au registre des traitements.

9. Procédure de gestion des demandes d'exercice de droits

1. Réception de la demande par courriel, courrier ou en showroom.
2. Accusé de réception transmis sous 72 heures.
3. Vérification raisonnable de l'identité du demandeur.
4. Instruction et réponse dans un délai maximal d'un mois (prolongeable de deux mois pour les demandes complexes, avec information motivée).
5. Traçabilité : chaque demande est consignée dans un registre dédié (date, nature, suites données).

10. Procédure en cas de violation de données

1. Tout incident ou suspicion d'incident est immédiatement signalé au Référent.
2. Évaluation du risque pour les personnes concernées dans les 24 heures.
3. Notification à la CNPD dans les 72 heures si le risque est avéré (article 33 du RGPD).
4. Information des personnes concernées si le risque pour leurs droits et libertés est élevé (article 34).
5. Consignation complète dans le registre des violations : nature, conséquences, mesures prises.
6. Retour d'expérience formalisé pour prévenir la récurrence.

11. Analyse d'impact (AIPD)

Une analyse d'impact relative à la protection des données (AIPD) est conduite préalablement à tout nouveau traitement susceptible d'engendrer un risque élevé pour les droits et libertés des personnes, conformément à l'article 35 du RGPD. Le Référent est chargé de son pilotage.

12. Formation et sensibilisation

Tout nouveau collaborateur reçoit une sensibilisation à la protection des données dans les deux premières semaines suivant son arrivée. Une session annuelle de rappel est organisée pour l'ensemble du personnel. Un support écrit synthétique est mis à disposition en permanence.

13. Revue et mise à jour

La présente politique est revue au minimum tous les douze mois par le Référent, et à chaque évolution réglementaire ou organisationnelle notable. Les modifications sont soumises au Conseil de gérance pour adoption. La version en vigueur est signée et datée.

14. Sanctions

• Pour les collaborateurs : sanction disciplinaire proportionnée, pouvant aller jusqu'au licenciement pour faute grave en cas de manquement délibéré ou répété.
• Pour les prestataires : résiliation du contrat aux torts exclusifs du sous-traitant, sans préjudice des actions en indemnisation.
• Le cas échéant, signalement aux autorités compétentes si les faits constituent une infraction.

Annexe — Registre des contacts clés

• Responsable du traitement: LakeHouse S.à r.l-S
• Siège: 25B Boulevard Royal, L-2449 Luxembourg
• RCSL: B300387
• Référent protection des données: [Nom — à compléter]
• Autorité de contrôle: CNPD — 15 Boulevard du Jazz, L-4370 Belvaux
• Hébergeur: Hostinger International Ltd. (Chypre, UE)