Politique de confidentialité
1. INTRODUCTION
GALENIC respecte votre vie privée et attache une grande importance à la protection de vos données personnelles. La présente Politique de Confidentialité et de Cookies, accessible depuis chaque page du site GALENIC (à l'adresse : https://galenic.com/policies/privacy-policy), vous informe sur la manière dont nous collectons, utilisons et protégeons vos données personnelles.
Cette politique s'applique à toute personne physique qui visite le site GALENIC, s'abonne à la newsletter, commande des produits GALENIC ou crée un compte sur le site GALENIC.
Notre site et les achats de produits qu’il propose sont réservés aux personnes ayant atteint l’âge de la majorité dans leur pays de résidence. Les achats doivent être effectués par un adulte ou, le cas échéant, par un mineur agissant avec l’accord et sous la responsabilité de son parent ou tuteur légal.
Nous ne collectons pas volontairement de données personnelles concernant des mineurs n’ayant pas atteint l’âge légal applicable. Si nous découvrons qu’un compte a été créé sans les autorisations nécessaires, nous le supprimerons ainsi que les données associées.
Lors de l’inscription, nous nous fions aux informations d’âge déclarées. En cas de doute, nous pourrons demander une preuve de l’autorité parentale. Par ailleurs, nous ne réalisons pas de campagnes marketing ciblées spécifiquement vers les mineurs.
2. RESPONSABLE DU TRAITEMENT
Les données personnelles en lien avec votre utilisation du site internet GALENIC (le « Site ») sont collectées par :
GALENIC Cosmetics Laboratory
Société par Actions Simplifiée
Capital social : 7 958 323 €
Siège social : 3, rue du Colonel Moll, 75017 Paris
RCS Paris : 889 310 108
GALENIC est une société du groupe YATSEN.
En tant que responsable de traitement, GALENIC détermine les finalités et moyens du traitement des données à caractère personnel.
Contact : Vous pouvez adresser vos questions relatives aux données personnelles via le formulaire de contact disponible ici ou en écrivant à : contact@galenic.com
Délégué à la Protection des Données : dpo@galenic.com
Le DPO veille à la conformité de GALENIC au RGPD et constitue votre interlocuteur privilégié en cas de doute ou de réclamation.
3. FINALITÉS DU TRAITEMENT DE VOS DONNÉES PERSONNELLES
3.1 Finalités liées à votre utilisation du Site
GALENIC traite vos données personnelles pour vous permettre de :
- Passer des commandes en ligne pour les produits GALENIC disponibles sur le Site
- Créer votre compte pour réutiliser vos données, bénéficier de programmes de fidélité et recevoir du matériel promotionnel
- Laisser des commentaires sur nos produits
- Recevoir la newsletter GALENIC
- Naviguer sur le Site GALENIC ou sur nos pages de réseaux sociaux
- Recevoir de la publicité personnalisée sur notre Site, sur des sites tiers ou sur les réseaux sociaux, via votre acceptation préalable au dépôt de cookies non essentiels ou selon les profils établis sur notre Site
- Recevoir du matériel marketing et des informations par e-mail, personnalisés ou non, selon les profils utilisateurs créés sur notre Site (âge, sexe, type de peau, demandes de conseils cosmétiques)
- Contacter notre service client
- Interagir avec nos pages de réseaux sociaux (Facebook, YouTube et Instagram)
Les traitements reposent sur l'exécution d'un contrat ou, selon les cas, sur votre consentement explicite ou notre intérêt légitime.
3.2 Finalités liées à nos activités commerciales
GALENIC traite également vos données personnelles afin de :
- Générer des statistiques d'utilisation de notre Site et de nos produits, ainsi que pour mener des audits liés à la sécurité, la conformité et l'existence de GALENIC
- Vous fournir de la publicité personnalisée sur d'autres sites tiers selon vos préférences et votre comportement de navigation antérieur notamment lorsque que vous avez précédemment interagi avec GALENIC, selon ces interactions et votre profil
- Évaluer les performances de nos publicités et communications marketing et nos interactions avec vous
- Lutter contre et prévenir la fraude, assurer la sécurité du Site et de vos données
- Respecter nos obligations légales, notamment en matière de pharmacovigilance
- Améliorer notre Site, nos produits et services, notre communication avec vous
- Gérer et transférer les actifs de GALENIC
- Gérer les affaires précontentieuses et contentieuses
Chaque traitement est documenté dans notre registre interne et assorti d'une base légale clairement identifiée (contrat, obligation légale, consentement ou intérêt légitime).
4. CATÉGORIES DE DONNÉES COLLECTÉES
Les données personnelles collectées sur notre Site sont les suivantes :
4.1 Données de commande et de livraison
Nom, prénom, adresse e-mail, adresse physique, adresse de livraison si différente, numéro de téléphone mobile
4.2 Données de compte
Adresse e-mail et mot de passe (mot de passe conforme aux exigences de sécurité : combinaison de lettres majuscules, minuscules, chiffres et caractères spéciaux)
Nom, prénom, date de naissance
4.3 Données de communication
E-mails clients fournis aux fins de réception de la newsletter
Avis sur les Produits commandés ou sur leur expérience du Site utilisateur
4.4 Données de paiement
Données de paiement (carte bancaire : Master Card, Visa ou American Express)
Adresse IP utilisée lors du paiement
Les données de paiement sont traitées via des prestataires certifiés PCI DSS. Le cryptogramme visuel (CVV) n’est jamais conservé.
4.5 Données de navigation
Données de navigation du Site GALENIC, (clics, pages consultées, temps de visite, historique)
Données techniques relatives au navigateur et au terminal utilisé, adresse IP, heure et date de connexion, parcours de navigation incluant les pages d’entrée, de sortie et de consultation du Site
Ces données sont collectées via des cookies soumis à consentement (sauf cookies strictement nécessaires).
4.6 Cookies
Cookies strictement nécessaires au fonctionnement du Site (ex. panier, session, sécurité)
Cookies de mesure d’audience (par exemple : Google Analytics, Shopify)
Cookies publicitaires et de réseaux sociaux, soumis à votre consentement explicite et gérés via notre bandeau de gestion des cookies.
5. BASE LÉGALE ET DURÉE DE CONSERVATION
Chaque traitement de vos données personnelles repose sur une base légale prévue par le RGPD (exécution du contrat, obligation légale, consentement, intérêt légitime) et une durée de conservation limitée dans le temps.
Nous appliquons une politique stricte de limitation des durées de conservation, conforme aux recommandations de la CNIL.
| Finalité du traitement | Données concernées | Base légale | Durée de conservation |
|---|---|---|---|
| Commande de produits et exécution (y compris relations avec le service client, gestion des paiements, enquêtes de satisfaction par e-mail) | Nom, prénom, adresse e-mail, adresses de facturation et de livraison, données de paiement | Exécution du contrat | Durée de la relation contractuelle, puis archivage intermédiaire pour obligations légales (ex. comptabilité : 10 ans) |
| Création de compte (y compris programmes de fidélité, suggestions de concours) | Nom, prénom, adresse e-mail, date de naissance | Exécution du contrat, et consentement (pour les suggestions de concours) | Jusqu'à suppression du compte par l'utilisateur, ou 3 ans après la dernière utilisation (commande, clic sur nos e-mails). Pour comptes inactifs : 2 ans d'inactivité puis suppression automatique |
| Commentaires et avis | Nom, prénom, e-mail, adresse IP | Obligation légale | Conservation des noms, prénoms et e-mail tant que le commentaire est accessible ; adresse IP : 1 an à partir de la mise en ligne |
| Newsletter | Consentement | Jusqu'à désabonnement de la newsletter | |
| Prospection commerciale clients | Données clients utilisées à des fins de prospection | Intérêt légitime (pour les clients et pour un produit similaire) ou consentement | Durée de la relation commerciale + 3 ans à compter de la fin de la relation (dernier achat, fin de garantie, résiliation du contrat, dernier contact du client) |
| Prospection commerciale prospects | Données prospects non-clients | Consentement | 3 ans à compter de la collecte ou du dernier contact émanant du prospect (demande documentation, clic sur un lien d’email ‑ ouverture seule exclue) |
| Navigation sur le Site | Adresse IP, données de navigation, cookies | Consentement pour cookies non-essentiels ou intérêt légitime | Cookies : 13 mois maximum, refus cookies : 6 mois. Pas de reconduction automatique lors de nouvelles visites |
| Publicité personnalisée | Données de compte, cookies publicitaires | Consentement | Jusqu'à retrait du consentement pour les cookies ou suppression du compte |
| Communication service client | Nom, prénom, e-mail, contenu de la demande | Consentement | 3 ans à partir de la dernière interaction avec le service client |
| Exercice des droits RGPD | Données de la demande, pièces justificatives d'identité (si doute raisonnable) | Obligation légale | Jusqu'à traitement de la demande, puis 1 an pour la réponse à fins de preuve. Pièces d'identité : suppression immédiate après vérification (sauf en cas de risque contentieux exceptionnel) |
| Lutte contre la fraude | Données de paiement, données de navigation | Intérêt légitime | 13 mois à partir du débit de la carte bancaire, 15 mois pour carte à débit différé |
| Obligations légales comptables | Factures, données comptables | Obligation légale | 10 ans pour documents comptables (conformément au Code de commerce) |
| Cryptogramme carte bancaire | Cryptogramme visuel (CVV) | Exécution du contrat | Suppression immédiate après finalisation du paiement |
| Pharmacovigilance | Notifications d'effets indésirables | Obligation légale | 70 ans à compter de la notification |
| Archives d'opposition (liste de blocage) | Données d'opposition à la prospection | Intérêt légitime | Minimum 3 ans pour éviter re-prospection |
| Statistiques anonymisées | Données anonymisées | Intérêt légitime | Conservation illimitée (car les données ne sont plus à caractère personnel après anonymisation) |
| Affaires contentieuses | Données nécessaires au contentieux | Intérêt légitime | 5 ans après fin de l'affaire pré-contentieuse ou contentieuse |
Toutes les durées sont déclenchées à partir de la dernière interaction avec GALENIC (achat, clic, contact…).
6. VOS DROITS CONCERNANT VOS DONNÉES PERSONNELLES
Conformément à la loi Informatique et Libertés du 6 janvier 1978 modifiée et au Règlement européen n°2016/679 du 27 avril 2016 (RGPD), vous disposez des droits suivants pour toutes les données vous concernant :
6.1 Droits reconnus
- Droit d'accès à vos données
- Droit de mise à jour de vos données
- Droit d'effacement de vos données
- Droit d'opposition au traitement de vos données, notamment au profilage
- Droit de demander la portabilité des données
- Droit de limitation du traitement de vos données personnelles
- Droit de retirer votre consentement pour l'utilisation de vos coordonnées pour l'envoi d'offres et promotions par e-mail
- Droit de retirer votre consentement pour le stockage et la lecture de cookies sur votre terminal
- Droit de s’opposer à l’usage de cookies non essentiels
- Droit de définir le devenir de vos données personnelles après votre décès
6.2 Exercice de vos droits
Vous pouvez exercer vos droits via le formulaire de contact disponible ici.
GALENIC se réserve le droit de vérifier votre identité avant de traiter votre demande. Vous pouvez également contacter le Délégué à la Protection des Données de GALENIC à l'adresse e-mail : dpo@galenic.com
Nous répondons à vos demandes d’exercice de droits (accès, rectification, suppression, etc.) dans un délai d’un mois à compter de leur réception complète.
Ce délai peut être prolongé de deux mois si la demande est complexe ou si nous en recevons un grand nombre. Dans ce cas, vous serez informé(e) de la prolongation et de ses raisons dans le mois suivant votre demande.
Si nous ne pouvons pas répondre favorablement à votre demande, nous vous en expliquerons les raisons dans le même délai, en vous indiquant les recours possibles (notamment auprès de la CNIL ou devant un tribunal).
Enfin, si nous avons un doute raisonnable sur votre identité, nous pourrons vous demander des informations supplémentaires pour nous en assurer.
6.3 Recours
En l'absence de réponse satisfaisante, vous pouvez également faire une demande sur le site de la CNIL : www.cnil.fr ou porter plainte auprès de cette autorité de contrôle à l'adresse suivante : CNIL – 3 Place de Fontenoy, 75007 Paris.
7. DESTINATAIRES DE VOS DONNÉES
7.1 Destinataires internes
L'accès à vos données personnelles est strictement limité aux employés de GALENIC, autorisés en vertu de leurs fonctions et soumis au respect de la réglementation applicable en matière de protection des données personnelles, à savoir :
- Le service client
- Le service facturation
- Le support technique
Des accès sont également accordés au DPO, aux services juridiques et à la Direction en cas de contentieux ou d’obligations légales.
En cas de transfert international (ex. vers Yatsen Global – Singapour), nous appliquons les Clauses Contractuelles Types de la Commission européenne.
Vos données peuvent être transmises à la direction de GALENIC pour le traitement d'affaires précontentieuses et contentieuses et aux fins d'obligations de pharmacovigilance.
Elles peuvent notamment être transmises au Président de GALENIC Cosmetics Laboratory SAS et à Yatsen Global PTE LTD (Singapour). Les clauses contractuelles types de la Commission européenne du 4 juin 2021 encadrent la protection des données personnelles conformément aux règles RGPD.
7.2 Prestataires de services
Les données collectées seront transmises à nos prestataires de services contractuellement engagés à assurer le bon fonctionnement du Site et la sécurité des traitements, notamment :
- Prestataire de service client
- Prestataire de gestion client
- Prestataire d'enquêtes de satisfaction
- Prestataire de gestion des réseaux sociaux
- Prestataire d'hébergement
- Prestataire de services cloud
- Prestataire de services e-mail
- Prestataires techniques
- Prestataire de services de paiement (conforme à la norme PCI DSS)
- Prestataire d'analyse du comportement utilisateur
- Réseaux sociaux sur lesquels GALENIC a créé une page dédiée
- Transporteurs logistiques
- Comptables, auditeurs et conseillers juridiques
- Ministère de la Santé (signalement pharmacovigilance)
- Acquéreurs d'actifs en cas de cession
Chaque prestataire est contractuellement tenu de respecter la confidentialité et la sécurité de vos données. Il ne peut en aucun cas en faire un usage pour son propre compte.
8. SÉCURITÉ DES DONNÉES
GALENIC met en œuvre tous les moyens techniques et organisationnels appropriés pour assurer la sécurité et la confidentialité de vos données personnelles, afin de prévenir toute atteinte à leur intégrité, empêcher leur perte, leur divulgation ou de compromettre leur disponibilité.
8.1 Mesures techniques
- Chiffrement des données sensibles
- Sécurisation des serveurs et bases de données
- Contrôles d'accès stricts
- Surveillance continue des systèmes
- Authentification à deux facteurs pour les comptes administrateurs
- Tests de sécurité réguliers et audits des infrastructures
8.2 Mesures organisationnelles
- Formation du personnel à la protection des données
- Procédures de sécurité documentées
- Audits réguliers de sécurité
- Plans de réponse aux incidents
- Notification à la CNIL et aux personnes concernées en cas de violation de données, dans un délai légal de 72 heures
9. TRANSFERTS DE DONNÉES HORS UE
Vos données personnelles sont traitées par GALENIC en France, mais aussi dans des pays où la protection des données personnelles est jugée suffisante par l'Union Européenne, comme le Canada.
Certaines de vos données personnelles peuvent être transférées à des prestataires en dehors de l'Union Européenne (États-Unis, Singapour, Chine).
Pour les transferts vers les États-Unis, si le prestataire est certifié selon le cadre EU-US Data Privacy Framework (DPF) (par exemple Google LLC), le transfert repose sur une décision d’adéquation de la Commission européenne.
Pour les autres pays (comme Singapour ou la Chine), nous utilisons les Clauses Contractuelles Types de la Commission européenne ou des règles internes contraignantes approuvées par une autorité de protection des données (comme la CNIL).
Dans tous les cas, des garanties appropriées et des mesures de sécurité supplémentaires sont mises en place pour protéger vos données.
Garanties appliquées :
– Clauses contractuelles types (CCT) de la Commission européenne (version du 4 juin 2021),
– Évaluation d’impact sur les transferts (Transfer Impact Assessment),
– Mesures de sécurité supplémentaires si le pays tiers présente des risques d’accès non encadrés (cryptage, pseudonymisation, séparation des données…).
GALENIC s’assure que vos données bénéficient d’un niveau de protection équivalent à celui imposé par le RGPD, même en dehors de l’Espace Économique Européen (EEE).
10. COOKIES ET TECHNOLOGIES SIMILAIRES
10.1 Définition
Les cookies sont des fichiers susceptibles d'être stockés sur votre terminal (ordinateur, mobile) puis lus par GALENIC ou des tiers, lors de la visite du Site grâce à votre logiciel de navigation.
Les cookies ne permettent pas de vous identifier directement mais peuvent être liés à un identifiant pseudonyme.
10.2 Types de cookies utilisés
Cookies fonctionnels obligatoires (Shopify)
Ces cookies, nécessaires au fonctionnement du Site et aux commandes de produits, ne sont pas soumis à consentement. Leur suppression peut perturber votre expérience du Site.
| Nom | Finalité | Durée |
|---|---|---|
| cart | Gestion du panier | 2 semaines |
| cart_sig | Intégrité du panier (checkout) | 2 semaines |
| cart_currency | Devise du panier | 2 semaines |
| _tracking_consent | Préférences de suivi | 1 an |
| __cf_bm | Protection anti-bots | 30 minutes |
| cookieconsent_status | Statut global de consentement | 12 mois |
| cookieconsent_preferences_disabled | Statut de préférence cookies | 1 jour |
| keep_alive | Maintien de session client checkout | Session |
| localization | Sélection de langue | 2 semaines |
| _merchant_essential | Cookie essentiel Shopify session marchand | 20 jours |
| _shopify_essential | Cookie essentiel Shopify (sécurité / intégrité) | 12 mois |
| checkout_session_lookup | Recherche d’une session de paiement | 3 semaines |
| checkout_session_token_<dyn> | Jeton de session checkout | 3 semaines |
| master_device_id | Identifiant appareil Shop Pay | 12 mois |
| skip_shop_pay | Indique si l’utilisateur ignore Shop Pay | 12 mois |
| __cf_bm (hcaptcha.com) | Protection anti-bots hCaptcha | 30 minutes |
| __Secure-ENID | Sécurité / authentification Google | 13 mois |
| AEC | Sécurité des requêtes Google | 6 mois |
| SOCS | Choix de consentement Google | 13 mois |
Cookies statistiques (Shopify et Google)
Ces cookies nous permettent d'analyser l'utilisation du Site (fréquentation, performances…). Votre consentement est requis.
Durée maximale : 13 mois, sans prolongation automatique lors de nouvelles visites (recommandation CNIL).
| Nom | Finalité | Durée |
|---|---|---|
| _ga | Analyses statistiques Google | 13 mois |
| _gid | Analyses statistiques Google | 24 heures |
| _gat | Limitation du taux de requêtes Google | 1 minute |
| _landing_page | Suivi pages d'atterrissage (Shopify) | 2 semaines |
| _orig_referrer | Suivi pages de référence (Shopify) | 2 semaines |
| __kla_id | Analyses clics e-mails Klaviyo | 13 mois |
| _shopify_s | Analytics Shopify (session) | 30 minutes |
| _shopify_y | Analytics Shopify (utilisateur) | 12 mois |
Cookies publicitaires
Ces cookies permettent de personnaliser les publicités selon vos centres d'intérêt. Votre consentement est également requis.
| Nom | Finalité | Durée |
|---|---|---|
| IDE | Cookies DoubleClick marketing ciblé | 13 mois |
| DV | Personnalisation publicitaire Google | 24 heures |
| test_cookie | Vérification permission DoubleClick | 15 minutes |
| _gcl_au | Mesure taux conversion publicités Google | 3 mois |
| _fbp | Publicité / reciblage Facebook-Meta | 3 mois |
| _pin_unauth | Statistiques / reciblage Pinterest | 12 mois |
10.3 Gestion de vos préférences
Votre consentement est requis pour le stockage et la lecture des cookies non essentiels au fonctionnement du Site. Vous pouvez paramétrer notre outil de consentement pour modifier ou retirer votre accord ou refuser le stockage de ces cookies.
Vous pouvez également désactiver/supprimer les cookies non obligatoires via les paramètres de chaque navigateur de vos terminaux (ordinateur, smartphone, tablette, etc.).
Outil de gestion du consentement : Accessible depuis chaque page du Site, cet outil vous permet de gérer ou retirer votre consentement à tout moment.
Le consentement aux cookies est valable 6 mois, au terme desquels il vous sera redemandé.
11. DISPOSITIONS SPÉCIALES
11.1 Création de compte
Lors de la création d'un compte sur notre Site, vous devez créer un mot de passe fort incluant des lettres majuscules, minuscules, des chiffres et des caractères spéciaux. Une vérification automatique vous aide à évaluer sa robustesse.
Voici quelques exemples de mots de passe acceptables :
– 12 caractères avec majuscules, minuscules, chiffres et caractères spéciaux ;
– 14 caractères avec majuscules, minuscules et chiffres ;
– Une phrase de passe de 7 mots en français.
L’authentification à deux facteurs est également recommandée pour renforcer la sécurité.
Ce mot de passe doit rester confidentiel et ne doit jamais être partagé.
En cas de suspicion d’usage frauduleux de votre compte, vous devez en informer GALENIC immédiatement par mail : contact@galenic.com.
11.2 Inactivité des comptes
Pour les comptes clients qui ne sont plus utilisés, GALENIC applique une politique de suppression automatique. Un compte est considéré comme inactif après 2 ans sans connexion, commande ou interaction avec nos communications (conformément aux recommandations CNIL).
Les utilisateurs sont avertis 30 jours avant la suppression automatique pour leur laisser la possibilité de réactiver leur compte. Cette politique s'applique aux personnes physiques majeures et juridiquement capables. GALENIC ne collecte pas sciemment de données personnelles concernant des mineurs de moins de 16 ans.
12. DONNEES COMMERCIALES ET MISE À JOUR DE LA POLITIQUE
Conformément au référentiel CNIL sur la gestion des activités commerciales :
https://www.cnil.fr/sites/cnil/files/atoms/files/referentiel_traitements-donnees-caractere-personnel_gestion-activites-commerciales.pdf
- Pour les clients : Vos données peuvent être utilisées à des fins de prospection pendant la durée de la relation commerciale, puis 3 ans après la fin de la relation (dernier achat, expiration de garantie, fin de contrat ou dernier contact de votre part).
- Pour les prospects : Vos données peuvent être conservées 3 ans à compter de leur collecte ou du dernier contact émanant de vous (demande de documentation, clic sur lien dans un e-mail). La simple ouverture d'un e-mail ne constitue pas un « contact émanant du prospect ».
- Liste d'opposition : Si vous vous opposez à la prospection commerciale, nous conservons cette information pendant minimum 3 ans pour éviter de vous re-contacter.
Cette politique de confidentialité peut être mise à jour à tout moment. Référez-vous au numéro et à la date de version. Chaque mise à jour sera notifiée sur le Site.
13. CONTACT ET INFORMATIONS
Pour toute question concernant cette politique de confidentialité ou l'exercice de vos droits, vous pouvez nous contacter :
Par formulaire : https://galenic.com/fr/pages/contact
Par e-mail : contact@galenic.com
Délégué à la Protection des Données : dpo@galenic.com
Adresse postale :
GALENIC Cosmetics Laboratory
3, rue du Colonel Moll
75017 Paris, France
Version 2.0 du 23 Septembre 2025
GALENIC – 3 rue du colonel Moll, 75017 Paris