Politica de confidențialitate

EVE AND CO
Politique de Confidentialité et de Protection des Données Personnelles
Dernière mise à jour : avril 2026
1. Identité du responsable de traitement
Le responsable du traitement de vos données personnelles est la société SAS LEVEL UP, exploitant la
marque EVE AND CO.
• Raison sociale : SAS LEVEL UP
• Marque commerciale : EVE AND CO
• Siège social : 66 Avenue des Champs-Élysées, 75008 Paris, France
• SIRET : 831 746 821 00022
• Site internet : https://eve-and-co.com
• Email de contact : hello@eve-and-co.com
Référente Protection des Données
Conformément aux articles 37 à 39 du RGPD, nous avons désigné une référente en charge de la protection
des données personnelles :
• Nom : Marie-Justine HOSIN
• Email : marie-justine@lvl-up.fr
Vous pouvez la contacter pour toute question relative au traitement de vos données personnelles ou pour
exercer vos droits.
2. Données personnelles collectées
Dans le cadre de notre activité de vente en ligne de sous-vêtements menstruels, nous collectons et traitons
les catégories de données personnelles suivantes :
2.1. Données que vous nous fournissez directement
• Données d’identification : nom, prénom, adresse email, numéro de téléphone
• Données de livraison : adresse postale de livraison et de facturation
• Données de paiement : numéro de carte bancaire, date d’expiration (traitées directement par notre
prestataire de paiement, non stockées par EVE AND CO)
• Données de communication : contenu de vos messages au service client, avis produit, réponses
aux enquêtes de satisfaction
• Données de compte : identifiant, mot de passe (chiffré), préférences et paramètres
2.2. Données collectées automatiquement
• Données de navigation : adresse IP, type de navigateur, système d’exploitation, résolution d’écran,
pages visitées, durée de visite, URL de provenance
• Données de transaction : produits consultés, ajoutés au panier, achetés, retournés
• Cookies et traceurs : identifiants de session, cookies de préférences, cookies analytiques et
publicitaires (voir section 9)
• Données d’engagement email : ouverture, clic, désinscription
2.3. Caractère obligatoire ou facultatif des données
Lors de la passation d’une commande, certaines données sont obligatoires et signalées par un astérisque (*)
dans nos formulaires. Il s’agit notamment de vos nom, prénom, adresse email, adresse de livraison et
informations de paiement, sans lesquelles nous ne pouvons pas traiter votre commande.
Les autres données (numéro de téléphone, création de compte, avis produit, inscription à la newsletter) sont
facultatives. Leur non-fourniture n’empêche pas la passation de commande mais peut limiter certaines
fonctionnalités (suivi de commande par SMS, espace client, etc.).
2.4. Données reçues de tiers
• Données de nos partenaires logistiques : statut de livraison, confirmation de réception
• Données de plateformes publicitaires : données de conversion et d’attribution publicitaire
3. Finalités et bases légales du traitement
Conformément à l’article 6 du RGPD, chaque traitement de vos données repose sur une base légale
spécifique :
3.1. Exécution du contrat (article 6.1.b)
• Traitement et suivi de vos commandes
• Gestion des paiements et de la facturation
• Organisation de la livraison et du suivi de colis
• Gestion des retours, échanges et remboursements
• Création et gestion de votre compte client
• Communication relative à vos commandes (confirmation, expédition, SAV)
3.2. Intérêt légitime (article 6.1.f)
• Amélioration de nos services et de l’expérience utilisateur
• Analyse statistique de la fréquentation du site
• Prévention de la fraude et sécurité des transactions
• Envoi d’emails marketing à nos clients existants pour des produits similaires (soft opt-in
conformément à l’article L.34-5 du CPCE), avec possibilité de désinscription dans chaque
communication
• Gestion des avis clients
3.3. Consentement (article 6.1.a)
• Inscription à notre newsletter pour les non-clients
• Dépôt de cookies publicitaires et analytiques non essentiels
• Notifications push via navigateur
• Prospection commerciale par email pour les personnes n’ayant pas encore passé commande
• Partage de données avec des partenaires publicitaires (Meta, Google, TikTok, Snapchat) à des
fins de ciblage
3.4. Obligation légale (article 6.1.c)
• Conservation des factures et données comptables
• Réponse aux réquisitions judiciaires ou administratives
• Gestion des demandes d’exercice de droits RGPD
3.5. Profilage et décisions automatisées (article 22)
Dans le cadre de nos activités, nous pouvons avoir recours à des techniques de profilage, c’est-à-dire au
traitement automatisé de vos données personnelles pour évaluer certains aspects vous concernant,
notamment :
• Segmentation marketing : analyse de votre historique d’achats, de votre comportement de
navigation et de votre engagement email pour vous adresser des communications adaptées (via
Klaviyo).
• Recommandations de produits : suggestions personnalisées fondées sur vos achats et
consultations précédents (via Shopify et Search & Discovery).
• Publicité ciblée : création d’audiences similaires et retargeting basés sur votre activité sur notre site
(via Meta, Google, TikTok, Snapchat), exclusivement avec votre consentement.
Ces traitements ne produisent pas de décisions ayant des effets juridiques ou significatifs vous concernant.
Ils sont utilisés uniquement à des fins de personnalisation de l’expérience et de communication marketing.
Vous pouvez vous y opposer à tout moment en contactant notre Référente Protection des Données ou en
vous désinscrivant de nos communications.
4. Destinataires de vos données
Vos données personnelles peuvent être transmises aux catégories de destinataires suivantes, exclusivement
dans le cadre des finalités décrites ci-dessus :
4.1. Hébergement et plateforme e-commerce
• Shopify Inc. (Canada/États-Unis) — Hébergement du site, gestion des commandes, traitement
des paiements. Shopify est également responsable de traitement pour certaines fonctionnalités
(voir privacy.shopify.com).
• Shop (application Shopify) — Application mobile permettant aux clients de suivre leurs
commandes, de recevoir des recommandations personnalisées et de bénéficier d’un parcours
d’achat simplifié. Vos données (nom, email, historique d’achats) sont traitées par Shopify en tant
que responsable de traitement dans ce cadre.
4.2. Marketing et communication
• Klaviyo Inc. (États-Unis) — Plateforme d’email marketing et SMS. Stocke les profils clients,
l’historique d’engagement (ouvertures, clics), les segments et les préférences marketing.
• Brevo (ex-Sendinblue) / PushOwl — Envoi de notifications push navigateur.
4.3. Logistique et expédition
• Bigblue (France) — Préparation, expédition et gestion des retours. Reçoit les noms, adresses et
détails de commandes.
• Maple — Pickup Points Selector — Sélection de points relais. Accès à l’adresse de livraison.
4.4. Paiement
• Stripe Inc. (États-Unis) — Prestataire de paiement par carte bancaire, certifié PCI-DSS. Stripe
traite vos données de paiement (numéro de carte, date d’expiration, CVC) en tant que responsable
de traitement pour ses propres obligations de sécurité et de conformité. EVE AND CO ne stocke à
aucun moment vos données de carte bancaire. Politique de confidentialité : privacy.stripe.com
• PayPal (Europe) — Moyen de paiement alternatif. PayPal traite vos données de transaction (nom,
email, montant) en tant que responsable de traitement indépendant. Politique de confidentialité :
paypal.com/privacy
• Scalapay (Italie/Europe) — Service de paiement fractionné (3 ou 4 échéances). En cas de recours
à Scalapay, vos données (nom, email, adresse, montant de la commande) sont transmises à
Scalapay qui agit en tant que responsable de traitement indépendant pour l’évaluation et la gestion
du paiement fractionné. Politique de confidentialité : scalapay.com/privacy
4.5. Publicité et analyse
• Meta Platforms (Facebook/Instagram) — Via Flexify for Facebook. Transfert de données de
catalogue et de conversion pour le ciblage publicitaire.
• TikTok (ByteDance) — TikTok Ads. Transfert de données de conversion et d’audience pour le
ciblage publicitaire et le retargeting sur la plateforme TikTok.
• Snap Inc. (Snapchat) — Snapchat Ads. Transfert de données de conversion pour le ciblage
publicitaire et la mesure de performance sur Snapchat.
• Google — Via Simprosys Google Shopping Feed. Transfert de données produit et de conversion.
• Shopify Analytics / SimGym — Analyse du comportement de navigation et des performances du
site.
4.6. Avis clients et UGC
• Loox — Collecte et affichage des avis clients avec nom, email et éventuellement photos.
4.7. Affiliation
• GOAFFPRO — Programme d’affiliation. Partage des données de transaction (montant, produits)
avec les affiliés pour le calcul des commissions.
4.8. Facturation
• Sufio — Génération automatique de factures. Accès aux données d’identification et de commande.
4.9. Gestion du consentement
• Axeptio (France) — Plateforme de gestion du consentement cookies (CMP). Collecte et stocke
vos choix en matière de cookies (acceptation, refus, modifications), votre adresse IP tronquée et la
date de votre consentement.
4.10. Autres prestataires techniques
• Hextom (traduction), Translate & Adapt, Search & Discovery, Checkout Blocks, Dcart, Bundles,
Syncio Multi Store Sync, Sellify, Metafields Guru, Flow, Super Subscriptions, Shopify Counter,
Shopify GraphQL App : ces applications accèdent à certaines données dans le cadre de
l’optimisation du site et de l’expérience d’achat.
Nous ne vendons jamais vos données personnelles à des tiers.
Chaque sous-traitant est lié par un contrat de traitement des données (Data Processing Agreement)
conforme à l’article 28 du RGPD.
5. Transferts internationaux de données
Certains de nos prestataires sont situés en dehors de l’Espace économique européen (EEE), notamment aux
États-Unis, au Canada et en Chine. Ces transferts sont encadrés par les garanties suivantes :
• États-Unis (Klaviyo, Meta, Google, Snapchat, Shopify, Stripe) : Data Privacy Framework (DPF)
UE-États-Unis pour les prestataires certifiés, et/ou clauses contractuelles types (CCT) de la
Commission européenne.
• Canada (Shopify) : décision d’adéquation de la Commission européenne.
• Chine (TikTok / ByteDance) : en l’absence de décision d’adéquation, les transferts sont encadrés
par les clauses contractuelles types (CCT) de la Commission européenne et les mesures
supplémentaires mises en place par TikTok dans le cadre de son « Project Clover » (stockage des
données européennes dans des centres de données situés en Europe). Ces transferts
n’interviennent que sur la base de votre consentement (dépôt du pixel TikTok via Axeptio).
Vous pouvez obtenir une copie des garanties applicables en contactant notre Référente Protection des
Données.
6. Durées de conservation
Nous conservons vos données personnelles uniquement pendant la durée nécessaire aux finalités pour
lesquelles elles ont été collectées :
• Données clients actifs : pendant toute la durée de la relation commerciale.
• Données clients inactifs : 3 ans à compter de la dernière interaction (dernier achat, dernier clic
email, dernière connexion au compte).
• Prospects non-clients : 3 ans à compter de la collecte ou du dernier contact actif.
• Données de facturation et comptables : 10 ans conformément aux obligations fiscales (article
L.123-22 du Code de commerce).
• Données de transaction (hors obligation légale) : 5 ans à des fins de preuve (prescription
civile).
• Cookies et traceurs : 13 mois maximum conformément aux recommandations de la CNIL.
• Données de connexion (logs) : 1 an conformément à la législation applicable.
• Avis clients : publiés pendant 5 ans, puis archivés ou anonymisés.
Au terme de ces durées, vos données sont supprimées ou irréversiblement anonymisées.
7. Vos droits
Conformément au RGPD et à la loi Informatique et Libertés, vous disposez des droits suivants sur vos
données personnelles :
• Droit d’accès (article 15) : obtenir la confirmation que des données vous concernant sont traitées
et en recevoir une copie.
• Droit de rectification (article 16) : demander la correction de données inexactes ou incomplètes.
• Droit à l’effacement (article 17) : demander la suppression de vos données, sous réserve des
obligations légales de conservation.
• Droit à la limitation (article 18) : demander le gel temporaire du traitement de vos données.
• Droit à la portabilité (article 20) : recevoir vos données dans un format structuré et lisible par
machine.
• Droit d’opposition (article 21) : vous opposer au traitement de vos données fondé sur l’intérêt
légitime, y compris la prospection commerciale.
• Droit de retrait du consentement : retirer votre consentement à tout moment pour les traitements
fondés sur celui-ci, sans affecter la licéité du traitement effectué avant le retrait.
• Droit de définir des directives post-mortem : définir des directives relatives au sort de vos
données après votre décès.
Comment exercer vos droits
Vous pouvez exercer vos droits par les moyens suivants :
• Par email : marie-justine@lvl-up.fr
• Par courrier : SAS LEVEL UP — Service Protection des Données, 66 Avenue des ChampsÉlysées, 75008 Paris
Nous nous engageons à répondre à votre demande dans un délai d’un mois à compter de sa réception
(article 12.3 du RGPD). Ce délai peut être prolongé de deux mois supplémentaires en cas de complexité,
auquel cas nous vous en informerons dans le délai initial d’un mois.
Afin de protéger vos données, nous pouvons être amenés à vérifier votre identité avant de donner suite à
votre demande, conformément à l’article 12.6 du RGPD.
Réclamation auprès de la CNIL
Si vous estimez que le traitement de vos données ne respecte pas la réglementation applicable, vous avez le
droit d’introduire une réclamation auprès de la Commission Nationale de l’Informatique et des Libertés (CNIL)
:
• En ligne : www.cnil.fr
• Par courrier : CNIL, 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
8. Prospection commerciale
8.1. Clients existants
Si vous êtes un client existant d’EVE AND CO, nous pouvons vous envoyer des communications marketing
par email concernant des produits similaires à ceux que vous avez déjà achetés, sans consentement
préalable, conformément à l’article L.34-5 du Code des postes et des communications électroniques
(exception dite du « soft opt-in »).
Chaque email contient un lien de désinscription fonctionnel vous permettant de vous opposer à tout moment
à la réception de ces communications. Votre désinscription sera prise en compte dans un délai maximum de
48 heures.
8.2. Non-clients (prospects)
Si vous n’êtes pas encore client, nous ne vous enverrons des communications marketing que si vous y avez
expressément consenti (opt-in), par exemple en vous inscrivant à notre newsletter.
8.3. Notifications push
Les notifications push via navigateur ne sont envoyées qu’après votre consentement explicite via la fenêtre
de votre navigateur. Vous pouvez retirer ce consentement à tout moment via les paramètres de votre
navigateur.
9. Cookies et traceurs
9.1. Qu’est-ce qu’un cookie ?
Un cookie est un petit fichier texte déposé sur votre terminal (ordinateur, smartphone, tablette) lors de la
consultation de notre site. Il permet de stocker des informations relatives à votre navigation.
9.2. Types de cookies utilisés
• Cookies strictement nécessaires (exemptés de consentement) : fonctionnement du panier,
maintien de la session, sécurité, mémorisation de vos choix en matière de cookies.
• Cookies analytiques (soumis à consentement) : mesure d’audience, analyse du parcours de
navigation, optimisation du site.
• Cookies publicitaires (soumis à consentement) : personnalisation des publicités, suivi de
conversion, retargeting via Meta (Facebook Pixel), Google Ads, TikTok Pixel, Snapchat Pixel et
autres partenaires publicitaires.
• Cookies de personnalisation (soumis à consentement) : recommandations de produits,
personnalisation de l’expérience.
9.3. Gestion de vos préférences cookies
Lors de votre première visite, notre plateforme de gestion du consentement Axeptio vous permet d’accepter
ou de refuser les différentes catégories de cookies. Vous pouvez modifier vos préférences à tout moment en
cliquant sur le widget Axeptio accessible en bas de chaque page du site. Le refus des cookies non essentiels
n’empêche pas la navigation sur notre site ni la passation de commandes.
Conformément aux recommandations de la CNIL, la durée maximale de validité du consentement aux
cookies est de 13 mois. Au-delà, votre consentement sera de nouveau sollicité.
9.4. Consentement multi-terminaux
Si vous êtes connecté(e) à votre compte client, conformément aux recommandations de la CNIL de janvier
2026 sur le consentement multi-terminaux, vos choix en matière de cookies peuvent s’appliquer à l’ensemble
des appareils associés à votre compte (ordinateur, smartphone, tablette). Vous en serez informé(e) au
moment du recueil de votre consentement et pourrez gérer vos préférences individuellement par appareil si
vous le souhaitez.
10. Sécurité des données
Nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos
données personnelles contre tout accès non autorisé, toute modification, divulgation ou destruction,
notamment :
• Chiffrement des données en transit (protocole HTTPS/TLS)
• Chiffrement des mots de passe
• Accès restreint aux données personnelles aux seuls collaborateurs habilités
• Hébergement sur des infrastructures sécurisées (Shopify, certifié PCI-DSS)
• Mises à jour régulières de nos systèmes et applications
Aucun système n’étant infaillible, nous ne pouvons garantir une sécurité absolue. En cas de violation de
données susceptible d’engendrer un risque élevé pour vos droits et libertés, nous vous en informerons dans
les meilleurs délais conformément aux articles 33 et 34 du RGPD.
11. Protection des mineurs
Notre site et nos services ne sont pas destinés aux personnes de moins de 16 ans. Nous ne collectons pas
sciemment de données personnelles de mineurs de moins de 16 ans. Si vous êtes parent ou tuteur et que
vous constatez qu’un mineur nous a fourni des données personnelles, veuillez nous contacter pour que nous
procédions à leur suppression.
12. Modifications de la présente politique
Nous nous réservons le droit de modifier la présente politique de confidentialité à tout moment afin de refléter
les évolutions de nos pratiques ou de la réglementation applicable. En cas de modification substantielle, nous
vous en informerons par email ou par un avis visible sur notre site avant l’entrée en vigueur des modifications.
La date de dernière mise à jour est indiquée en haut de ce document.
13. Nous contacter
Pour toute question relative à la présente politique de confidentialité ou au traitement de vos données
personnelles :
• Référente Protection des Données : Marie-Justine HOSIN
• Email : marie-justine@lvl-up.fr
• Adresse : SAS LEVEL UP, 66 Avenue des Champs-Élysées, 75008 Paris, France
• Email général : hello@eve-and-co.com
© 2026 EVE AND CO — SAS LEVEL UP — Tous droits réservés