Les présentes Conditions Générales d'Utilisation (ci-après « CGU ») régissent l'accès et l'utilisation du service MyKortex, plateforme SaaS d'analyse et de pilotage de l'activité commerciale pour les opticiens (ci-après le « Service »), édité par Studio Creative, auto-entreprise détenue par Christophe Pigot, domiciliée à Dunkerque, France (ci-après « l'Éditeur »).
La souscription au Service vaut acceptation pleine et entière des présentes CGU. En cas de désaccord, l'Utilisateur est invité à ne pas s'inscrire.
Définitions
Service : la plateforme MyKortex accessible à l'adresse mykortex.com et ses sous-domaines, comprenant le tableau de bord analytique, l'outil d'import, les statistiques de ventes et les fonctionnalités d'emailing de fidélisation.
Utilisateur / Opticien : toute personne physique ou morale exploitant un ou plusieurs magasins d'optique, ayant souscrit au Service et accepté les présentes CGU.
Magasin (Tenant) : unité organisationnelle représentant un point de vente, rattachée à un compte Utilisateur.
Données de ventes : données statistiques agrégées issues des logiciels de gestion de l'opticien (ex : Optimum, Cosium), importées dans le Service et immédiatement anonymisées.
Données de contact clients : nom, prénom, adresse email et profil commercial (A, B, C...) d'un client, saisis par l'Utilisateur dans le module d'emailing.
DPA : Data Processing Agreement — contrat de sous-traitance des données à caractère personnel au sens de l'article 28 du RGPD, figurant à la section 11 des présentes CGU.
02
Description du service
MyKortex est un tableau de bord SaaS conçu pour les opticiens souhaitant piloter leur activité commerciale. Le Service comprend les fonctionnalités suivantes selon le plan souscrit :
Import et traitement automatique des fichiers d'export issus des logiciels de gestion optique (Optimum, Cosium, Winoptics et autres).
Calcul et visualisation des indicateurs clés de performance (CA, marge, panier moyen, taux de marque, taux de transformation).
Statistiques détaillées par vendeur, par famille de produits, par marque et par période.
Suivi et gestion des stocks.
Module d'emailing de fidélisation client (campagnes automatiques, relances, collecte d'avis).
Assistant IA formé à l'optique (selon plan).
Accès multi-magasins depuis un compte unique.
Architecture de confidentialité par conception : lors de chaque import, les noms et identifiants clients présents dans les fichiers sources sont immédiatement et irrémédiablement supprimés. Seules les statistiques agrégées (montants, marges, références produits) sont conservées. MyKortex ne stocke aucune donnée de santé ni donnée optique médicale.
L'Éditeur se réserve le droit de faire évoluer le Service, d'ajouter ou de modifier des fonctionnalités, sous réserve d'en informer les Utilisateurs avec un préavis raisonnable.
03
Conditions d'accès et inscription
L'accès au Service est réservé aux professionnels (personnes morales ou physiques exerçant une activité commerciale dans le secteur de l'optique). Le Service n'est pas destiné aux particuliers.
Création de compte
Pour accéder au Service, l'Utilisateur doit créer un compte en fournissant des informations exactes et à jour (nom, prénom, adresse email). L'Utilisateur s'engage à maintenir la confidentialité de ses identifiants et à notifier immédiatement l'Éditeur de toute utilisation non autorisée.
Engagements obligatoires à l'inscription
En créant son compte, l'Utilisateur déclare expressément et irrévocablement :
Agir en qualité de responsable de traitement au sens du RGPD vis-à-vis de ses clients.
Avoir obtenu ou s'engager à obtenir le consentement de ses clients pour l'utilisation de leurs données dans MyKortex, conformément aux articles 6 et 7 du RGPD.
Avoir informé et formé son personnel aux obligations RGPD applicables dans son établissement.
Accepter les présentes CGU et le DPA figurant à la section 11.
Ces engagements sont enregistrés informatiquement avec horodatage et constituent des preuves opposables en cas de litige.
Gestion des magasins
Un compte Utilisateur peut gérer un ou plusieurs magasins (tenants). Les données de chaque magasin sont strictement isolées. Lors de la création de chaque magasin, l'Utilisateur renouvelle son engagement de conformité RGPD et accepte les CGU pour ce magasin spécifique.
04
Obligations de l'opticien (responsable de traitement)
En sa qualité de responsable de traitement au sens de l'article 4(7) du RGPD, l'Utilisateur est seul responsable des obligations suivantes :
Obtenir une base légale valide (consentement, intérêt légitime, contrat) pour tout traitement de données de ses clients avant leur intégration dans MyKortex.
Informer ses clients de l'existence du traitement, de ses finalités, de l'identité du responsable de traitement, de leurs droits (accès, rectification, effacement, portabilité, opposition) et des coordonnées du DPO si applicable.
Répondre dans les délais légaux aux demandes d'exercice de droits formulées par ses clients (délai maximum : 1 mois, art. 12 RGPD).
Tenir un registre des activités de traitement (art. 30 RGPD) et y mentionner le recours à MyKortex comme sous-traitant.
N'importer dans MyKortex que des données pour lesquelles il dispose d'une base légale.
Ne pas utiliser le module d'emailing pour envoyer des communications sans le consentement préalable et valide des destinataires (art. L.34-5 CPCE pour la prospection commerciale).
Utiliser le Service exclusivement à des fins licites et conformes à la réglementation applicable.
Maintenir la confidentialité de ses identifiants d'accès et signaler toute violation ou suspicion de violation à l'Éditeur dans les meilleurs délais.
L'Éditeur ne saurait être tenu responsable des manquements de l'Utilisateur à ses obligations en tant que responsable de traitement. En cas de mise en cause de l'Éditeur par une autorité de contrôle (CNIL) ou par un tiers du fait des agissements de l'Utilisateur, ce dernier s'engage à le garantir et à l'indemniser de toutes les conséquences.
05
Obligations de MyKortex (sous-traitant)
En sa qualité de sous-traitant au sens de l'article 4(8) et de l'article 28 du RGPD, l'Éditeur s'engage à :
Ne traiter les données que sur instruction documentée de l'Utilisateur, conformément aux présentes CGU et au DPA.
Mettre en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque (art. 32 RGPD) : chiffrement TLS 1.3 en transit, chiffrement au repos, contrôle d'accès, journalisation.
Garantir que les personnes autorisées à traiter les données sont soumises à une obligation de confidentialité.
Notifier l'Utilisateur dans un délai de 48 heures suivant la prise de connaissance d'une violation de données à caractère personnel.
Assister l'Utilisateur, dans la mesure du possible, pour lui permettre de satisfaire à son obligation de répondre aux demandes d'exercice de droits des personnes concernées.
Mettre à la disposition de l'Utilisateur toutes les informations nécessaires pour démontrer le respect des obligations du présent article.
Supprimer ou restituer toutes les données à caractère personnel à l'issue du contrat, selon le choix de l'Utilisateur.
Ne pas sous-traiter tout ou partie du traitement à un tiers sans autorisation préalable écrite de l'Utilisateur, ou à défaut sans l'en informer préalablement (liste des sous-traitants ultérieurs autorisés figurant au DPA).
Maintenir les données hébergées sur des serveurs situés au sein de l'Union Européenne.
L'Éditeur s'engage à maintenir une disponibilité du Service de 99% sur une base mensuelle, hors maintenances planifiées notifiées 48h à l'avance.
06
Propriété intellectuelle
L'ensemble des éléments constitutifs du Service (code source, interface, design, marques, logos, algorithmes, bases de données, documentation) sont la propriété exclusive de l'Éditeur ou de ses concédants de licence et sont protégés par le droit de la propriété intellectuelle.
L'Utilisateur bénéficie d'un droit d'utilisation personnel, non exclusif, non cessible et non transférable du Service, limité à la durée de son abonnement, pour ses besoins professionnels propres.
Toute reproduction, représentation, modification, adaptation, traduction, extraction ou décompilation, même partielle, du Service, est strictement interdite sans l'accord préalable et écrit de l'Éditeur.
Les données importées par l'Utilisateur restent sa propriété exclusive. L'Éditeur ne revendique aucun droit de propriété sur ces données et s'engage à ne pas les utiliser à des fins autres que la fourniture du Service.
07
Tarifs et paiement
Les tarifs du Service sont ceux en vigueur au moment de la souscription, tels qu'affichés sur la page tarifaire du site mykortex.com. Les prix sont exprimés en euros, hors taxes.
Facturation
Les abonnements sont facturés mensuellement ou annuellement, selon le choix de l'Utilisateur, par prélèvement automatique via notre prestataire de paiement sécurisé. La souscription est effective dès validation du paiement.
Évolution tarifaire
L'Éditeur se réserve le droit de modifier ses tarifs sous réserve d'en informer l'Utilisateur par email avec un préavis de 30 jours. L'Utilisateur qui n'accepterait pas les nouveaux tarifs pourra résilier son abonnement sans frais avant la date d'entrée en vigueur.
Retard de paiement
En cas de retard ou de défaut de paiement, l'Éditeur se réserve le droit de suspendre l'accès au Service après un délai de 15 jours suivant la mise en demeure restée sans effet. Les données de l'Utilisateur sont conservées pendant 30 jours suivant la suspension, puis supprimées définitivement.
08
Durée et résiliation
Le contrat est conclu pour une durée indéterminée, à compter de la date de création du compte. L'abonnement est renouvelé automatiquement à chaque échéance.
Résiliation à l'initiative de l'Utilisateur
L'Utilisateur peut résilier son abonnement à tout moment depuis son interface de gestion de compte, sans frais et sans justification. La résiliation prend effet à la fin de la période d'abonnement en cours. L'Utilisateur conserve l'accès au Service jusqu'à cette date.
Résiliation à l'initiative de l'Éditeur
L'Éditeur peut résilier le contrat de plein droit, sans préavis ni indemnité, en cas de manquement grave de l'Utilisateur à ses obligations (notamment : utilisation frauduleuse, violation du RGPD, non-paiement réitéré, actes illicites).
Sort des données à la résiliation
À la résiliation, l'Utilisateur dispose d'un délai de 30 jours pour exporter ses données depuis l'interface. À l'issue de ce délai, l'ensemble des données est supprimé de façon définitive et sécurisée, conformément au DPA figurant à la section 11.
09
Limitation de responsabilité
L'Éditeur met tout en œuvre pour assurer la disponibilité, la sécurité et la fiabilité du Service. Toutefois, sa responsabilité est limitée dans les conditions suivantes :
L'Éditeur ne saurait être tenu responsable des dommages indirects, immatériels, consécutifs ou punitifs (perte de chiffre d'affaires, perte de données, préjudice d'image) résultant de l'utilisation ou de l'impossibilité d'utilisation du Service.
La responsabilité totale de l'Éditeur, toutes causes confondues, est limitée aux sommes effectivement versées par l'Utilisateur au cours des 3 mois précédant le fait générateur.
L'Éditeur n'est pas responsable des erreurs ou inexactitudes dans les données importées par l'Utilisateur.
L'Éditeur n'est pas responsable des interruptions de Service dues à des cas de force majeure, à une défaillance des réseaux de communication, ou à des maintenances planifiées.
L'Éditeur décline toute responsabilité pour les conséquences de décisions prises par l'Utilisateur sur la base des statistiques et analyses fournies par le Service, celles-ci n'ayant qu'une valeur indicative.
10
Droit applicable et juridiction compétente
Les présentes CGU sont soumises au droit français. En cas de litige relatif à leur interprétation ou à leur exécution, les parties s'engagent à rechercher une solution amiable avant toute action judiciaire.
À défaut d'accord amiable dans un délai de 30 jours, tout litige sera soumis à la compétence exclusive des tribunaux compétents du ressort de Dunkerque (France), nonobstant pluralité de défendeurs ou appel en garantie.
Pour toute question relative aux présentes CGU ou au traitement de vos données personnelles, vous pouvez nous contacter à : privacy@mykortex.com
L'Éditeur se réserve le droit de modifier les présentes CGU à tout moment. Les Utilisateurs seront informés par email de toute modification substantielle avec un préavis de 30 jours. La poursuite de l'utilisation du Service après ce délai vaut acceptation des nouvelles conditions.
Contrat de sous-traitance des données personnelles
DPA — Article 28 du Règlement (UE) 2016/679 (RGPD) · Annexe aux CGU v1.0
D1
Parties et objet du contrat de sous-traitance
Responsable de traitement : l'Utilisateur (opticien), tel qu'identifié lors de la création de son compte MyKortex.
Sous-traitant : Studio Creative — Christophe Pigot, éditeur de MyKortex, Dunkerque, France.
Le présent DPA définit les conditions dans lesquelles le Sous-traitant traite des données à caractère personnel pour le compte du Responsable de traitement, dans le cadre de la fourniture du Service MyKortex.
Durée : le présent DPA prend effet à compter de l'acceptation des CGU et reste en vigueur pendant toute la durée du contrat principal, et jusqu'à suppression complète des données conformément à la section D9.
D2
Nature, finalité et base légale du traitement
Module
Nature du traitement
Finalité
Base légale (art. 6 RGPD)
Import de ventes
Anonymisation immédiate des données brutes, calcul et stockage de statistiques agrégées
Analyse de performance commerciale du magasin
Intérêt légitime du responsable de traitement (6.1.f) — données anonymisées au sens du Considérant 26
Emailing fidélisation
Stockage et traitement de données de contact (nom, prénom, email, profil)
Envoi de communications de fidélisation, relances, collecte d'avis clients
Consentement (6.1.a) ou intérêt légitime (6.1.f) — à la charge du responsable de traitement
Gestion de compte
Stockage des données professionnelles de l'opticien (nom, email, magasin)
Exécution du contrat de service
Exécution du contrat (6.1.b)
Précision importante — module d'import : les données brutes importées (pouvant contenir des noms de clients) sont anonymisées de façon irréversible immédiatement après traitement. Aucune donnée nominative issue des imports n'est stockée. Les données résultantes relèvent du Considérant 26 du RGPD (données anonymisées) et sortent du champ d'application du règlement.
D3
Types de données traitées et catégories de personnes concernées
Catégorie de données
Données traitées
Personnes concernées
Données de santé ?
Statistiques de ventes
Montants, marges, familles de produits, références articles, codes vendeurs, dates de vente, numéro d'équipement anonyme
Aucune (données anonymisées)
Non
Données de contact (emailing)
Nom, prénom, adresse email, profil commercial (A/B/C), date de dernier contact
Clients de l'opticien
Non — aucune donnée médicale, optique ou de santé
Données professionnelles
Nom, prénom, email, rôle, horodatages de consentement
Utilisateurs (opticiens et collaborateurs)
Non
Conformément à l'article L.1111-8 du Code de la santé publique, MyKortex n'est pas soumis à la certification d'Hébergeur de Données de Santé (HDS) car aucune donnée de santé à caractère personnel n'est collectée, traitée ou stockée.
D4
Obligations du sous-traitant (MyKortex)
Dans le cadre du présent DPA, le Sous-traitant s'engage à respecter les obligations suivantes :
Confidentialité et accès aux données
Ne traiter les données qu'aux fins définies dans le présent DPA et sur instruction documentée du Responsable de traitement.
S'assurer que les personnes autorisées à traiter les données sont soumises à une obligation de confidentialité adéquate.
Mettre en place des contrôles d'accès stricts (authentification, séparation des environnements par tenant).
Mesures de sécurité (art. 32 RGPD)
Chiffrement de toutes les communications en transit via TLS 1.3.
Chiffrement des données au repos sur les serveurs de stockage.
Isolation des données entre tenants (opticiens) par architecture multi-tenant sécurisée.
Journalisation des accès et actions sensibles.
Sauvegardes régulières avec procédures de restauration testées.
Tests de sécurité périodiques et veille sur les vulnérabilités.
Notification de violation de données
Notifier le Responsable de traitement dans un délai maximal de 48 heures suivant la prise de connaissance d'une violation de données à caractère personnel, conformément à l'article 33 du RGPD.
La notification inclura : la nature de la violation, les catégories et nombre approximatif de personnes concernées, les conséquences probables et les mesures prises ou envisagées.
Assistance au Responsable de traitement
Assister le Responsable de traitement dans le respect de ses obligations relatives à la sécurité, à la notification des violations, aux analyses d'impact (AIPD) et à la consultation préalable.
Répondre aux demandes d'exercice de droits dans les meilleurs délais afin de permettre au Responsable de traitement de satisfaire à ses obligations légales (délai maximum de réponse au Responsable : 5 jours ouvrés).
D5
Obligations du responsable de traitement (l'opticien)
Documenter et être en mesure de démontrer la licéité de chaque traitement de données confié au Sous-traitant.
S'assurer que ses clients ont été informés du traitement de leurs données et des finalités poursuivies, et que les bases légales requises sont réunies avant toute utilisation du module d'emailing.
Tenir à jour son registre des activités de traitement (art. 30 RGPD) en y mentionnant MyKortex comme sous-traitant.
Informer le Sous-traitant de toute instruction relative au traitement des données ou de tout changement de finalité.
S'assurer que les données importées sont collectées de façon licite auprès des sources concernées (logiciels de gestion optique).
Désigner un délégué à la protection des données (DPO) si son organisation y est tenue par le RGPD.
D6
Sous-traitants ultérieurs autorisés
Le Responsable de traitement autorise le Sous-traitant à faire appel aux sous-traitants ultérieurs suivants :
Prestataire
Rôle
Localisation des données
Données concernées
Hébergeur cloud (UE)
Hébergement de l'infrastructure et des bases de données
Union Européenne
Toutes les données
Prestataire d'emailing
Routage des emails de fidélisation
Union Européenne
Données de contact (module emailing uniquement)
Prestataire de paiement
Traitement des paiements
Union Européenne
Données de facturation uniquement
Le Sous-traitant informe le Responsable de traitement de tout changement prévu concernant l'ajout ou le remplacement d'un sous-traitant ultérieur, lui laissant la possibilité d'émettre des objections dans un délai de 15 jours.
Le Sous-traitant s'assure que les sous-traitants ultérieurs sont soumis à des obligations de protection des données au moins équivalentes à celles du présent DPA.
D7
Transferts de données hors Union Européenne
Aucun transfert hors UE : l'ensemble des données traitées dans le cadre du Service MyKortex est hébergé et traité exclusivement sur des serveurs situés dans l'Union Européenne. Aucun transfert de données à caractère personnel vers un pays tiers ou une organisation internationale n'est effectué.
Dans l'hypothèse où un tel transfert deviendrait nécessaire à l'avenir, le Responsable de traitement serait informé préalablement et les garanties appropriées prévues au Chapitre V du RGPD (décision d'adéquation, clauses contractuelles types) seraient mises en place avant tout transfert.
D8
Audit et documentation
Le Sous-traitant tient à disposition du Responsable de traitement toutes les informations nécessaires pour démontrer le respect des obligations du présent DPA, et contribue aux audits, y compris les inspections, réalisés par le Responsable de traitement ou un auditeur mandaté.
Pour exercer ce droit d'audit, le Responsable de traitement adresse une demande motivée à privacy@mykortex.com avec un préavis de 15 jours ouvrés. Les coûts de l'audit sont à la charge du Responsable de traitement, sauf si l'audit révèle une non-conformité imputable au Sous-traitant.
D9
Sort des données à l'issue du contrat
À l'expiration ou à la résiliation du contrat, quelle qu'en soit la cause :
Le Responsable de traitement dispose d'un délai de 30 jours pour exporter l'intégralité de ses données via l'interface de l'application ou en en faisant la demande à privacy@mykortex.com.
À l'issue de ce délai, le Sous-traitant procède à la suppression définitive et sécurisée de l'ensemble des données à caractère personnel du Responsable de traitement, y compris les copies de sauvegarde, dans un délai maximum de 30 jours supplémentaires.
Le Sous-traitant adresse une attestation de suppression au Responsable de traitement sur demande.
Les données anonymisées (statistiques de ventes) peuvent être conservées sous forme agrégée et non identifiante, à des fins d'amélioration du Service, conformément au Considérant 26 du RGPD.