Nous livrons dans toute l'Europe
Contactez-nous pour un devis
Cette Politique de Confidentialité est régie par le droit suédois, et les références aux actes juridiques renvoient à la législation suédoise, sauf indication contraire.
1.1 Cette Politique de Confidentialité décrit comment Herbox AB, numéro d'enregistrement d'entreprise 559320-7037, Sven Hultings Plats 5, 412 58 Göteborg ("Herbox", "nous"), garantit la protection des données personnelles dans toutes nos opérations.
1.2 L'objectif est de s'assurer que tout traitement est effectué de manière licite, loyale et transparente, conformément au RGPD et à la législation suédoise, et de renforcer la confiance des clients, utilisateurs et partenaires par la transparence et la clarté sur la manière dont nous collectons, utilisons, stockons et protégeons les données personnelles.
1.3 Herbox travaille systématiquement à la protection des données par le biais d'évaluations des risques, de procédures internes, de mesures de sécurité techniques et de formations. Nous nous efforçons toujours de minimiser les données et ne conservons les données personnelles que le temps nécessaire à chaque finalité spécifique.
| Termes | Définition |
|---|---|
| Cookie |
Petits fichiers texte stockés dans le navigateur pour permettre des fonctionnalités, des statistiques et du marketing. Gérés conformément à la Politique de Cookies distincte de Herbox. |
| Données Personnelles |
Toute information pouvant identifier directement ou indirectement une personne physique, telle que le nom, l'adresse e-mail, l'adresse IP ou le numéro de client. |
| Traitement |
Toute opération effectuée sur des données personnelles, telle que la collecte, le stockage, l'analyse, le partage ou la suppression, qu'elle soit manuelle ou automatisée. |
| Responsable du Traitement |
La partie qui détermine les finalités et les moyens du traitement. |
| Sous-traitant |
Une partie externe qui traite des données pour le compte de Herbox dans le cadre |
| Base Légale |
Une condition légale en vertu de l'article 6 du RGPD (consentement, contrat, obligation légale ou intérêt légitime). |
| Intérêt Légitime |
Lorsque Herbox a un intérêt commercial légitime, tel que la communication client ou la sécurité informatique, qui prévaut sur l'intérêt de la vie privée. Pour les traitements basés sur l'intérêt légitime, Herbox effectue une Évaluation de l'Intérêt |
| Données Personnelles Sensibles |
Catégories spéciales de données (santé, origine ethnique, opinions politiques, etc.) traitées uniquement dans des cas exceptionnels. Les services de Herbox ne sont pas non plus destinés aux enfants, et nous ne collectons pas sciemment de données personnelles auprès de mineurs sans le consentement d'un tuteur légal. |
| Personne Concernée |
L'individu dont les données sont traitées (client, utilisateur, employé, fournisseur, |
| SCC / DPF |
Les Clauses Contractuelles Types (Standard Contractual Clauses) de l'UE et le Cadre de Protection des Données UE-États-Unis (EU-US Data Privacy Framework), deux mécanismes visant à garantir la protection dans le contexte des |
Délégué à la Protection des Données (DPD)
Herbox AB
À l'attention de : Délégué à la Protection des Données
E-mail: info@herbox.se
Adresse: Sven Hultings Plats 5, 412 58 Göteborg
Vous pouvez également nous contacter comme suit :
| Sujet | Contact | Commentaire |
|---|---|---|
| Demandes Générales |
info@herbox.se |
Nous accusons réception dans les 2 jours ouvrables et répondons normalement dans les 30 jours. |
| Demande RGPD |
info@herbox.se |
Nous pouvons exiger une identification (BankID ou copie d'une pièce d'identité). |
| Signalement d'Incident |
info@herbox.se |
Retour d'information dans les 24 heures. |
| Autorité de Contrôle |
Autorité suédoise de protection de la vie privée (IMY), Box 8114, 104 20 Stockholm |
Plus d'informations sont disponibles sur www.imy.se |
4.1 Lors de la visite de notre site web
| Quand et Pourquoi | Données Personnelles | Base Légale Durée de | Durée de conservation |
|---|---|---|---|
| Fournir le Site Web |
Adresse IP, journaux techniques |
Intérêt légitime (fonctionnement nécessaire) |
2 mois |
| Statistiques et Analyse (Microsoft Clarity) |
IP (tronquée), événements, ID de cookie |
Consentement (ePrivacy) |
90 jours |
| Publicité et Pixels de Plateforme |
E-mail haché, ID appareil/cookie |
Consentement / Intérêt légitime (clients) |
Jusqu'à 24 mois |
4.2 Lors de la prise de contact avec des clients existants et potentiels
| Quand et Pourquoi | Données Personnelles | Base Légale | Durée de conservation |
|---|---|---|---|
| Relation Client et Support |
Nom, e-mail, accord, communication |
Contrat / Intérêt légitime |
Jusqu'à 10 ans (comptabilité 7 ans) |
| Marketing auprès des Clients |
Coordonnées, données d'interaction |
Intérêt légitime (opt-out) |
Jusqu'à l'opt-out ou 36 mois d'inactivité |
| Marketing auprès des Prospects |
Coordonnées, titre du poste, interactions |
Consentement (e-mail) / Intérêt légitime |
36 mois |
4.3 Automatisation et Support IA
| Quand et Pourquoi | Données Personnelles | Base Légale | Durée de conservation |
|---|---|---|---|
| Automatisation des Workflows |
Champs minimisés en fonction de Zapier |
Intérêt légitime |
Stockage à court terme dans Zapier |
| Brouillons IA pour E-mails (OpenAI) |
Extraits d'e-mails limités |
Intérêt légitime |
Traitement uniquement, pas de stockage local persistant |
4.4 Dans le cadre du recrutement, de l'emploi et de l'administration RH
| Quand et pourquoi? | Données personnelles | Base Légale | Durée de conservation |
|---|---|---|---|
| Réception et Évaluation des Candidatures |
CV, coordonnées, notes |
Intérêt légitime (recrutement) + consentement pour une conservation prolongée |
24 mois (plus longtemps avec consentement) |
| Vérification des Références et des Antécédents |
Coordonnées des références, notes des conversations de référence, vérification de |
Consentement (du candidat avant contact) + intérêt légitime à garantir un recrutement |
24 mois après la fin du processus de recrutement (ou plus longtemps avec le |
| Pendant l'Emploi et l'Administration RH |
Coordonnées, salaire, absence, données de compétence et informations sur les proches |
Le traitement est effectué pour exécuter le contrat de travail, les obligations légales (par |
Pendant l'emploi et par la suite pendant 2 à 10 ans selon le type de données (par ex., |
4.5 Lors de l'exécution d'obligations légales et de la protection d'intérêts légitimes
| Obligation Légale | Exemples de Données Impliquées | Loi / Réglementation Applicable | Durée de conservation |
|---|---|---|---|
| Comptabilité et Tenue de Livres |
Factures clients et fournisseurs, données de paiement, pièces justificatives |
Loi comptable (1999:1078) |
7 ans après la fin de l'exercice financier |
| Prescription des Réclamations / Litiges |
Documents contractuels, correspondance, historique des paiements |
Loi sur la prescription (1981:130) |
Jusqu'à 10 ans |
| Déclaration des Taxes et Frais |
Paie, factures, paiements |
Loi sur la procédure fiscale (2011:1244) |
7 ans |
| Réclamations Légales et Affaires Réglementaires |
Correspondance, documents d'enquête |
RGPD Article 17.3(e) (défense des droits en justice) |
Jusqu'à la conclusion de l'affaire |
| Documentation relative à l'Emploi |
Contrats de travail, registres de paie et de pension |
Droit du travail suédois |
2 à 10 ans selon le type de document |
Herbox tient également un registre de toutes les activités de traitement conformément à l'article 30 du RGPD, qui est mis à jour par le DPD.
| Sous-traitant / Destinataire | Catégorie | Données Personnelles Traitées | Rôle | Mesures de sécurité spécifiques |
|---|---|---|---|---|
| Upsales, Mailchimp |
CRM et marketing |
Nom, e-mail, historique de communication, préférences |
Sous-traitant |
Chiffrement, restriction d'accès, DPA |
| Google Workspace |
E-mail et Productivité |
Nom, e-mail, documents, fichiers, métadonnées |
Sous-traitant |
Certification DPF, MFA, minimisation des données |
| Zapier |
Automatisation |
Champs de données limités pour l'intégration système |
Sous-traitant |
Chiffrement pendant le transfert, SCC |
| OpenAI |
Analyse IA et Support Automatisé |
Courts extraits de texte (minimisés) |
Sous-traitant |
Certification DPF, restriction contre l'entraînement de modèles |
| Google Ads, Microsoft Ads, LinkedIn, Microsoft Clarity etc. |
Publicité et analyse |
E-mail haché, ID de cookie, adresse IP, données de l'appareil |
Responsables de traitement indépendants |
Gestion du consentement via GTM, DPF/SCC |
| TeamTailor |
Recrutement |
Nom, coordonnées, CV, notes d'entretien |
Sous-traitant |
DPA, minimisation des données, suppression automatique |
| Cabinet comptable, auditeur, partenaires d'expédition et de service |
Finance et livraison |
Nom, adresse, détails de paiement, registres de factures |
Sous-traitants / Responsables de traitement indépendants |
Accords de non-divulgation, communication chiffrée, durées de conservation |
| Domaine | Type de Données / Traitement | Garanties Techniques et Organisationnelles | Durée de Conservation / Calendrier de Suppression |
|---|---|---|---|
| Sécurité Technique |
Données système, journaux d'accès, sauvegardes |
Chiffrement en transit et au repos, contrôle d'accès basé sur les rôles, authentification multifacteur (MFA), journalisation et examens d'accès réguliers |
Journaux 12 mois, sauvegardes selon la politique informatique (max 12 mois) |
| Sécurité Organisationnelle |
Toutes les données personnelles |
Accords de non-divulgation, formation continue, processus de réponse aux incidents, examen annuel des procédures |
En continu pendant l'emploi / la mission |
| Gestion des Incidents |
Données incluses dans les rapports d'incident |
Processus supervisé par le DPD, journalisation interne, notification à l'IMY dans les 72 heures si les droits des individus sont menacés, et information aux personnes concernées conformément aux articles 33-34 RGPD |
Documentation conservée pendant 5 ans après la clôture du dossier |
| CRM et Données Client |
Correspondance, documents d'enquête |
RGPD Article 17.3(e) (défense des droits en justice) |
Jusqu'à la conclusion de l'affaire |
| Documentation relative à l'Emploi |
Contrats de travail, registres de paie et de pension |
Droit du travail |
2 à 10 ans selon le type de document |
Herbox traite principalement les données personnelles au sein de l'UE/EEE. Cependant, certains fournisseurs utilisent une infrastructure ou fournissent des services de support aux États-Unis. Tous les transferts sont effectués conformément au chapitre V du RGPD et à la suite d'une Évaluation d'Impact du Transfert (TIA).
| Catégorie / Fournisseur | Type de Données Personnelles | Traitées Lieu (Principal) | Mécanisme de Transfert |
|---|---|---|---|
| Google Workspace |
Nom, e-mail, documents, métadonnées |
États-Unis (certifié DPF) |
Cadre de Protection des Données UE-États-Unis (DPF) |
| Microsoft Clarity / Microsoft Ads |
Adresse IP (tronquée), ID de cookie, données d'analyse |
États-Unis (certifié DPF) |
Cadre de Protection des Données UE-États-Unis (DPF) |
| OpenAI (API/Team) |
Courts extraits de texte (minimisés) |
États-Unis (certifié DPF) |
Cadre de Protection des Données UE-États-Unis (DPF) |
| Zapier Inc. |
Champs de données limités pour l'intégration système |
États-Unis (non certifié DPF) |
Clauses Contractuelles Types (SCC) + mesures supplémentaires |
| Mailchimp (Intuit Inc.) |
Nom, adresse e-mail, données d'interaction |
États-Unis (certifié DPF) |
Cadre de Protection des Données UE-États-Unis (DPF) |
| Droit | Article Signification | Signification | Comment Exercer Votre Droit |
|---|---|---|---|
| Accès |
Art. 15 |
Obtenir une copie de vos données personnelles et des informations sur le |
Demande via info@herbox.se. |
| Rectification |
Art. 16 |
Corriger des données inexactes ou incomplètes. |
Contactez-nous par e-mail ou téléphone. |
| Effacement ("Droit à l'Oubli") |
Art. 17 |
Suppression des données lorsqu'elles ne sont plus nécessaires ou lorsque le |
Email à info@herbox.se. |
| Limitation |
Art. 18 |
Arrêter temporairement le traitement en cas de litige sur l'exactitude ou la licéité. |
Marquez l'e-mail "Limitation". |
| Portabilité des Données |
Art. 20 |
Recevoir vos données dans un format structuré ou les transférer à une autre partie. |
Demander l'exportation (CSV/JSON). |
| Objection |
Art. 21 |
S'opposer au traitement basé sur l'intérêt légitime ou le marketing direct. |
Utilisez les liens de désinscription ou contactez-nous. |
| Retrait du Consentement |
Art. 7.3 |
Retirer le consentement sans affecter le traitement effectué avant le retrait. |
Via la bannière de cookies ou par e-mail. |
| Décisions Automatisées |
Art. 22 |
Demander un examen manuel des décisions ayant des effets juridiques. |
E-mail à info@herbox.se. |
9.1 Herbox révise cette Politique de Confidentialité au moins une fois par an ou au besoin, par exemple si :
a) Une nouvelle législation ou une législation modifiée entre en vigueur,
b) L'entreprise change d'une manière qui affecte le traitement des données personnelles,
c) De nouveaux systèmes, fournisseurs ou activités de traitement sont introduits, ou
d) L'Autorité suédoise de protection de la vie privée (IMY) ou les autorités de l'UE publient de nouvelles lignes directrices ou décisions.
9.2 L'examen est effectué par le Délégué à la Protection des Données (DPD) de Herbox en consultation avec la direction et les propriétaires de systèmes concernés. Le DPD est responsable d'identifier le besoin de mises à jour, de documenter les modifications et de s'assurer que les nouvelles versions sont conformes au droit applicable et à la politique interne de sécurité de l'information de Herbox.
9.3 Lorsque des modifications importantes sont apportées, nous en informons :
a) En interne à tous les employés par e-mail et/ou intranet, et
b) En externe aux clients, partenaires et personnes concernées via notre site web (herbox.se) et, le cas échéant, par communication directe.
9.4 Chaque nouvelle version se voit attribuer une date de révision et une désignation de version, et la version précédente est archivée conformément aux procédures de gestion documentaire de Herbox.
9.5 La version actuelle est toujours publiée sur www.herbox.se
Dernière mise à jour : 28 octobre 2025
