Free Delivery for orders over Rs 2,000& 10% OFF on your first order. Discount Code :Free Delivery for orders over Rs 2,000& 10% OFF on your first order. Discount Code :

Mentions légales

Politique de confidentialité

En vigueur le 1 May 2026. Exploité par TheShop.mu Ltd.

TheShop.mu — exploité par TheShop.mu Ltd

  • La présente Politique de confidentialité — comment nous traitons vos données personnelles.
  • [Conditions de service](https://theshop.mu/terms) — l'accord général entre vous et nous.
  • [Conditions de commande et de paiement](https://theshop.mu/checkout/terms) — les règles de l'étape de paiement, y compris la manière dont Peach Payments traite les données de carte.
  • [Politique de retours, remboursements et annulation](https://theshop.mu/refunds) — annulations, retours et remboursements.

1. Qui nous sommes (le responsable du traitement)

Roma Lane, Riche Terre 11701, Mauritius

E-mail : [email protected]

Téléphone : +230 5250 6006

1.1 Notre délégué à la protection des données

E-mail : [email protected] (objet : "DPA Request")

Courrier : DPO, TheShop.mu Ltd, Roma Lane, Riche Terre 11701, Mauritius

1.2 Notre immatriculation

2. Quelles données personnelles nous collectons

2.1 Ce que vous nous fournissez directement

  • Données d'identité et de contact : nom, prénom, adresse e-mail, numéro de téléphone mobile, adresses de livraison et de facturation et (pour les articles soumis à une limite d'âge) date de naissance.
  • Données de compte : nom d'utilisateur, mot de passe (stocké uniquement sous forme de hachage salé — nous ne voyons jamais le texte en clair), préférences de profil, préférence de langue, préférence de substitution.
  • Données de commande et de transaction : articles commandés, quantités, dates, créneau, instructions de livraison, factures, preuve de livraison, dossiers de retours et de remboursements.
  • Données de confirmation de paiement : le résultat de votre paiement (réussite, échec, remboursement), les quatre derniers chiffres de votre carte, la marque de la carte (Visa, Mastercard, etc.), la référence de transaction Peach Payments, l'enregistrement d'authentification 3-D Secure et le descripteur du commerçant. Nous ne stockons pas les numéros de carte complets, les CVV ni les codes PIN — ceux-ci sont saisis directement sur la page de paiement certifiée PCI-DSS niveau 1 de Peach Payments.
  • Documents d'identification lorsqu'ils sont requis pour des achats soumis à une limite d'âge ou des demandes de crédit entreprise : une copie numérisée d'une carte d'identité ou d'un passeport (collectée uniquement à des fins de vérification, voir la conservation à la Section 7).
  • Données de demande de crédit entreprise : raison sociale, BRN, TVA, bénéficiaires effectifs (à des fins de LBC en vertu de la FIAMLA), compte bancaire, références commerciales, états financiers.
  • Communications : le contenu des messages que vous nous envoyez (e-mail, WhatsApp, chat dans l'application, appels téléphoniques — les appels vers notre ligne de service client peuvent être enregistrés à des fins de qualité et de formation, avec un avis au début de l'appel).
  • Contenu généré par les utilisateurs : avis sur les produits, notes, soumissions de recettes, photos que vous choisissez de partager, activité de parrainage et de fidélité.

2.2 Ce que nous collectons automatiquement

  • Données relatives à l'appareil et à la connexion : adresse IP, type et version du navigateur, système d'exploitation, identifiants de l'appareil, taille d'écran, URL de provenance, langue, fuseau horaire.
  • Données d'utilisation et comportementales : pages visitées, temps passé sur la page, produits consultés, articles ajoutés et retirés de votre panier, paniers abandonnés, requêtes de recherche, parcours de clics au sein du Site, profondeur de défilement.
  • Données de cookies et de technologies similaires : voir la Section 4.
  • Données de localisation : localisation approximative dérivée de votre adresse IP ; localisation précise uniquement lorsque vous accordez explicitement l'autorisation au navigateur ou à l'application (utilisée pour suggérer des zones de livraison et des points de retrait).
  • Recherche vocale : si vous appuyez sur le microphone dans la barre de recherche et accordez l'autorisation à votre navigateur, la reconnaissance vocale intégrée à votre appareil convertit ce que vous dites en une requête de recherche textuelle. L'audio est traité par votre navigateur (qui, sur certains navigateurs tels que Chrome, peut le transmettre au service vocal de l'éditeur du navigateur) ; nous ne recevons que le texte résultant, comme si vous l'aviez saisi, et nous ne stockons aucun audio.

2.3 Ce que nous recevons de tiers

  • Peach Payments et notre banque acquéreur : résultat du paiement, signaux de fraude, notifications de rétrofacturation et de litige, enregistrement d'authentification 3-D Secure.
  • Partenaires de livraison, lorsqu'une partie de la livraison est assurée par un tiers : confirmation de retrait, statut de l'itinéraire, preuve de livraison.
  • Plateformes marketing (avec votre consentement) : inscriptions par parrainage depuis les réseaux sociaux, données d'attribution publicitaire lorsque vous êtes arrivé via une annonce payante.
  • Registres publics, pour les vérifications de crédit entreprise : données BRN de la Companies Division, criblage de sanctions au regard des listes de sanctions de l'ONU, de l'UE et de Maurice.
  • Autres tiers lorsque vous les avez autorisés à partager avec nous (par exemple, en liant un compte de fidélité d'un partenaire).

2.4 Catégories particulières de données personnelles

  • Préférences relatives aux allergènes et au régime alimentaire (par exemple « halal », « végan », « sans gluten », « diabétique ») que vous définissez dans votre profil sont traitées par nous comme des préférences, et non comme des données de santé ou de religion. Si vous ne souhaitez pas que nous traitions de telles préférences, laissez-les vides.
  • Les commandes liées à la pharmacie (médicaments en vente libre, compléments) sont nécessairement liées à la santé. Pour les médicaments sur ordonnance, le cas échéant, l'ordonnance reste auprès du pharmacien dispensateur ; nous ne traitons que les métadonnées de commande nécessaires à l'expédition, et non le contenu clinique de l'ordonnance. Nous nous fondons sur l'exception limitée prévue à la Section 29 du DPA 2017 aux fins de la fourniture de services de santé, et nous nous limitons au minimum de données nécessaire à cette fin.

3. Pourquoi nous traitons vos données et nos bases légales

#FinalitéCatégories de donnéesBase légale
1Création et sécurisation de votre compteIdentité, contact, compte, appareilExécution du contrat
2Acceptation et exécution de vos commandes (préparation, emballage, livraison, retrait)Identité, contact, adresse, commande, confirmation de paiement, dossiers de livraisonExécution du contrat
3Traitement des paiements et remboursements, y compris avec Peach Payments et la banque acquéreurCommande, confirmation de paiement, appareil, IP, historique des transactionsExécution du contrat ; obligation légale en vertu du Banking Act et des règles des réseaux de paiement
4Prévention de la fraude, criblage LBC, défense en cas de rétrofacturationIdentité, contact, appareil, IP, historique des transactions, résultat du criblage de sanctionsIntérêt légitime à se protéger contre la fraude ; obligation légale en vertu de la FIAMLA
5Fourniture du service client et traitement des réclamationsIdentité, contact, commande, communicationsExécution du contrat ; obligation légale en vertu du Consumer Protection Act 1991
6Respect des obligations fiscales, comptables et de TVAIdentité, commande, facture, confirmation de paiementObligation légale en vertu de l'Income Tax Act, du VAT Act et du Companies Act
7Envoi d'avis liés au service (confirmations de commande, mises à jour de livraison, reçus de paiement, références de remboursement)Identité, contact, commandeExécution du contrat
8Envoi d'e-mails marketing, de SMS et de notifications pushIdentité, contact, comportementalConsentement (vous pouvez vous désinscrire à tout moment)
9Gestion des programmes de fidélité (FreshPoints), de parrainage et promotionnelsIdentité, contact, parrainage, commandeExécution du contrat ; intérêt légitime à la fidélisation
10Amélioration et personnalisation du Site (recommandations, classement des recherches, tests A/B, analyses non essentielles)Comportemental, appareil, compte, commandeIntérêt légitime à l'amélioration du produit ; consentement pour les cookies d'analyse non essentiels
11Exploitation de fonctionnalités d'IA et d'apprentissage automatique (recommandations, classification halal, résumés de produits, acheminement du service client)Comportemental, commande, communications, dérivés générés par l'IAIntérêt légitime ; consentement lorsque la fonctionnalité utilise directement le contenu de votre compte
12Respect des décisions de justice, des demandes réglementaires, et exercice ou défense de réclamations juridiquesSelon les exigences de l'affaireObligation légale ; intérêt légitime
13Opérations sur l'entreprise (vente de l'activité TheShop, restructuration, financement)Toutes les catégories, sur la base du besoin d'en connaître sous accord de confidentialitéIntérêt légitime ; exécution du contrat pour la continuation post-opération

4. Cookies et technologies de suivi similaires

4.1 Catégories

  • Strictement nécessaires — session, authentification, panier, paiement, prévention de la fraude, répartition de charge, en-têtes de sécurité. Ils sont exemptés de consentement car le Site ne peut pas fonctionner sans eux.
  • Fonctionnels — mémorisent votre langue, votre devise, votre thème, votre préférence de substitution, vos recherches récentes. Activés avec votre consentement lorsque cela est requis.
  • Analytiques — mesurent la manière dont le Site est utilisé, la performance de chargement des pages, les taux d'erreur, les tunnels de conversion. Activés uniquement avec votre consentement.
  • Marketing / personnalisation — mesurent la performance des annonces, attribuent les parrainages, personnalisent les offres, reciblent sur des plateformes tierces. Activés uniquement avec votre consentement.

4.2 Consentement

4.3 Nouvelle demande

4.4 La liste actuelle des cookies

4.5 Do Not Track

5. Avec qui nous partageons vos données

5.1 Traitement des paiements

  • Peach Payments (Pty) Ltd — prestataire de paiement basé en Afrique du Sud, agréé au titre des réseaux de cartes concernés ; traite nos transactions par carte et par portefeuille en ligne. Leur propre avis de confidentialité est disponible à l'adresse https://www.peachpayments.com/privacy.
  • La banque acquéreur — une banque commerciale mauricienne agréée qui règle les transactions par carte sur notre compte marchand.
  • Les réseaux de cartes — Visa, Mastercard, American Express et Diners — pour l'autorisation, le règlement, le traitement des litiges et des rétrofacturations.
  • Les opérateurs de portefeuilles — MCB Juice, blink by Emtel, MauCAS — pour les transactions par portefeuille direct, lorsque vous choisissez de payer avec un portefeuille.

5.2 Exécution

  • Nos propres chauffeurs et personnel d’entrepôt — pour préparer, emballer et livrer votre commande.
  • Partenaires de livraison tiers, lorsqu'une partie de la livraison est assurée en externe — actuellement, nous utilisons principalement notre propre flotte ; tout tiers que nous engageons figurera sur la page des cookies et dans l'expérience de suivi destinée au client.

5.3 Informatique et infrastructure

  • Notre prestataire d'hébergement cloud et d'ERP — pour l'hébergement du Site et de notre système de gestion des commandes. Les transferts internationaux sont couverts à la Section 6.
  • Notre prestataire de surveillance applicative — pour la surveillance des erreurs, à l'aide d'identifiants utilisateur pseudonymisés et de traces de pile.
  • Fournisseurs d'e-mails et de messagerie transactionnelle — pour les confirmations de commande, les mises à jour de livraison, les réinitialisations de mot de passe.
  • Outils de service client — pour la gestion des tickets, l'historique des chats et (lorsque vous en êtes informé au début d'un appel) l'enregistrement des appels.

5.4 Outils d'IA

5.5 Conseillers professionnels

  • Auditeurs, avocats, comptables, conseillers fiscaux, courtiers en assurance — soumis à des obligations de confidentialité, lorsque leur travail nécessite l'accès à des données personnelles spécifiques.

5.6 Autorités et forces de l’ordre

  • La Mauritius Revenue Authority (MRA) — pour la conformité fiscale, les déclarations de TVA, les réponses aux contrôles.
  • La Mauritius Police Force — en réponse à une demande licite, ou lorsque nous signalons une infraction.
  • La Financial Intelligence Unit (FIU) — pour le signalement des transactions suspectes en vertu de la FIAMLA.
  • Le Mauritius Data Protection Office — dans le cadre d'une réclamation, d'un audit ou d'une notification de violation.
  • L'Independent Commission Against Corruption (ICAC) — en réponse à une demande licite.
  • Les tribunaux de Maurice — en réponse à une décision de justice.
  • Les autorités étrangères — uniquement lorsqu'un tribunal mauricien a donné effet à la demande de l'autorité étrangère, ou lorsque la Section 36 du DPA 2017 le permet par ailleurs.

5.7 Opérations sur l'entreprise

6. Transferts internationaux

6.1 Nos obligations au titre du DPA 2017

  • le pays destinataire offre un niveau de protection adéquat (par exemple l'UE au titre du RGPD, le Royaume-Uni au titre du UK GDPR) ;
  • nous mettons en place des clauses contractuelles types équivalentes aux protections du DPA 2017 ;
  • le transfert est nécessaire à l'exécution du contrat avec vous, ou pour une réclamation juridique ; ou
  • vous avez donné votre consentement explicite au transfert après avoir été informé des risques.

6.2 Ce que nous avons mis en place

  • Peach Payments (Afrique du Sud) : l'Afrique du Sud dispose du Protection of Personal Information Act (POPIA), globalement équivalent au DPA 2017 ; nous avons en outre un accord de traitement des données avec Peach.
  • Autres sous-traitants internationaux : clauses contractuelles types ou garanties contractuelles équivalentes exigées par le DPA 2017, complétées par les propres certifications du fournisseur (par exemple au titre du EU-US Data Privacy Framework) le cas échéant.

7. Combien de temps nous conservons vos données

CatégorieDurée de conservationSource de l'obligation
Données de compte (comptes actifs)Pendant la durée de vie du compte, plus 12 mois après la clôture pour permettre la récupération et la résolution des litigesIntérêt légitime
Dossiers de commande et de transaction, factures, reçus7 ans à compter de la fin de l'exercice fiscal de la transactionIncome Tax Act, VAT Act, Companies Act
Dossiers de paiement et dossiers LBC7 ans à compter de la fin de la relation d'affairesFIAMLA 2002 — Section 17F
Documents d'identification collectés pour la LBC ou la vérification de l'âge7 ans à compter de la fin de la relation d'affairesFIAMLA 2002 ; intérêt légitime
Correspondance du service clientJusqu'à 3 ans à compter de la dernière interactionIntérêt légitime, défense de réclamations juridiques
Enregistrements d'appels du service client6 mois, puis supprimésIntérêt légitime, formation du service client
Consentements et préférences marketingJusqu'à ce que vous retiriez votre consentement ou vous désinscriviez, plus un enregistrement du retrait à des fins de responsabilitéDPA 2017 Section 24
Enregistrements de consentement aux cookiesJusqu'à ce que vous les modifiiez, actualisés tous les 12 moisDPA 2017 Section 24
Données d'analyse (pseudonymisées)14 mois, puis agrégées ou suppriméesIntérêt légitime
Journaux d'erreurs de l'application90 joursIntérêt légitime
Vidéosurveillance à l'entrepôt et lors des remises de livraison30 jours, puis écrasées, plus longtemps uniquement lorsqu'elles sont conservées pour un incident ouvertIntérêt légitime, défense de réclamations juridiques
Traces GPS de l'application chauffeur, photos de livraison, feuilles de livraison signées90 jours pour les livraisons courantes ; 7 ans lorsqu'elles sont rattachées à une commande faisant partie d'un litige ou d'un dossier fiscalIntérêt légitime ; FIAMLA le cas échéant

8. Comment nous protégeons vos données

  • chiffrement HTTPS / TLS 1.2+ pour tout le trafic entre votre appareil et nos serveurs et entre nous et nos fournisseurs ;
  • hachage des mots de passe avec des algorithmes conformes aux normes du secteur ; nous ne stockons jamais les mots de passe en clair ;
  • tokenisation PCI-DSS niveau 1 des paiements par carte via Peach Payments — votre numéro de carte complet ne touche jamais nos systèmes ;
  • authentification 3-D Secure 2 sur chaque transaction par carte, obligatoire en vertu de notre politique marchand ;
  • contrôles d'accès basés sur les rôles avec le principe du moindre privilège ; revues d'accès trimestrielles ;
  • journaux d'audit pour les actions sensibles dans l'administration, conservés pendant un an minimum ;
  • authentification à deux facteurs pour les comptes du personnel qui touchent aux données clients, au paiement ou à la modification des commandes ;
  • sauvegardes chiffrées avec tests de restauration réguliers ;
  • application des correctifs et surveillance des vulnérabilités sur tous les systèmes de production ;
  • formation du personnel à la protection des données, au phishing, à l'ingénierie sociale — modules annuels de remise à niveau et d'intégration ;
  • vérification préalable des fournisseurs avant d'engager un sous-traitant ayant accès à des données personnelles ; accords de traitement des données signés avec chaque sous-traitant ;
  • vidéosurveillance à l'entrepôt et aux portes contrôlées, avec une signalisation à chaque emplacement de caméra.

8.1 Notification des violations

  • notifier le Data Protection Office dans les 72 heures suivant la prise de connaissance de la violation (Section 25 DPA 2017) ;
  • vous notifier directement sans retard injustifié lorsque la violation est susceptible d'entraîner un risque élevé pour vos droits — généralement par e-mail, SMS ou notification dans le produit, avec une description de ce qui s'est passé, des données concernées, des mesures à prendre et du point de contact auprès de notre DPO ;
  • conserver un registre écrit de chaque violation (notifiable ou non) à des fins d'audit et de responsabilité ;
  • coopérer pleinement à toute enquête du Data Protection Office ou des forces de l'ordre.

9. Vos droits en vertu du DPA 2017

DroitCe que cela signifieRéférence
Droit d'accèsObtenir la confirmation que nous traitons vos données personnelles, et recevoir une copie de ces données, gratuitement, dans un délai d'un mois à compter d'une demande écrite.DPA 2017 Section 37
Droit de rectificationObtenir la rectification des données personnelles inexactes ou incomplètes vous concernant, sans retard injustifié.DPA 2017 Section 39
Droit à l'effacement (« droit à l'oubli »)Demander que les données personnelles vous concernant soient effacées sans retard injustifié lorsque la poursuite du traitement n'est pas justifiée. Nous nous y conformons sauf lorsque nous avons une obligation légale de conservation (par exemple les dossiers fiscaux — voir la Section 7) ou un besoin pour la défense de réclamations juridiques.DPA 2017 Section 39
Droit à la limitation du traitementDemander que le traitement de vos données personnelles soit limité lorsque l'exactitude des données est contestée, ou lorsque vous en avez besoin pour une réclamation juridique, entre autres motifs.DPA 2017 Section 39
Droit d'oppositionVous opposer, par écrit, à tout moment et gratuitement, au traitement de vos données personnelles, y compris le traitement à des fins de marketing direct. Nous cesserons sauf si nous pouvons démontrer des motifs légitimes impérieux pour le traitement qui prévalent sur vos intérêts, droits et libertés.DPA 2017 Section 40
Droit de retirer son consentementÀ tout moment, lorsque nous traitons sur la base du consentement. Le retrait n'affecte pas le traitement licite effectué avant le retrait.DPA 2017 Section 24
Droit de ne pas faire l'objet d'une mesure fondée uniquement sur un traitement automatiséLorsqu'une mesure vous affectant est fondée sur un profilage par traitement automatisé (par exemple un refus de fraude automatisé au paiement), vous avez le droit de ne pas y être soumis sur cette seule base et de demander une révision humaine.DPA 2017 Section 38
Droit d'être informé d'une violation de données personnelles vous affectantLorsqu'une violation est susceptible d'entraîner un risque élevé pour vos droits et libertés, vous devez en être informé sans retard injustifié.DPA 2017 Section 26
Droit de déposer une plainteAuprès du Data Protection Office (Section 13 ci-dessous) ou devant les tribunaux mauriciens.DPA 2017 Section 6 (instruction des plaintes)

10. Comment exercer vos droits

  • Envoyez un e-mail à [email protected] avec pour objet "DPA Request".
  • Indiquez-nous quel droit vous souhaitez exercer et (le cas échéant) à quelles données ou à quel traitement il s'applique.
  • Pour votre protection, nous pouvons vous demander de vérifier votre identité — généralement en confirmant des informations au regard du compte, occasionnellement par pièce d'identité lorsque la demande est sensible (effacement d'un compte actif, copie d'un jeu de données complet).
  • Nous répondrons dans un délai de 30 jours. Lorsque la demande est complexe, nous pouvons prolonger de 60 jours supplémentaires en vertu de la Section 35(2) du DPA 2017, en vous informant de la prolongation et de son motif.
  • La première réponse est gratuite. Pour les demandes répétées ou excessives, nous pouvons facturer des frais raisonnables en vertu de la Section 35(3).
  • Si vous n'êtes pas satisfait de notre réponse, vous pouvez vous plaindre auprès de notre DPO (Section 1.1) ou du Mauritius Data Protection Office (Section 13).

11. Enfants

12. Décisions automatisées et IA

  • Recommandations de produits et classement des recherches — celles-ci sont personnalisées, mais la différence entre un résultat personnalisé et un résultat générique n'est pas, à notre avis, une « décision vous affectant juridiquement ou de manière similaire significative » au sens de la Section 38 du DPA 2017. Vous pouvez vous désinscrire de la personnalisation dans les préférences de votre compte, auquel cas nous proposons un classement générique.
  • Étiquettes de classification halal — celles-ci sont assistées par IA mais examinées par des humains avant publication ; vous pouvez signaler une classification incorrecte via la page du produit.
  • Acheminement du service client et réponses auto-suggérées — celles-ci classent et acheminent les messages entrants, mais chaque réponse est envoyée par un agent humain. Vous pouvez demander un traitement humain dès le début de toute conversation.
  • Refus de fraude automatisé au paiement — lorsque notre système de risque ou celui de Peach Payments refuse une transaction, vous pouvez demander une révision humaine en vertu de la Section 38 du DPA 2017 en écrivant à [email protected]. La révision humaine sera effectuée dans un délai de 5 jours ouvrables.

13. Nous contacter et le Data Protection Office

13.1 Nous

SujetContact
Demandes DPA (accès, effacement, rectification, etc.)[email protected] — objet "DPA Request"
Questions générales de confidentialité[email protected]
Soupçon de violation de données vous affectant[email protected] — objet "Breach"
Questions de cookies / consentementhttps://theshop.mu/cookies ou le lien en pied de page
CourrierDPO, TheShop.mu Ltd, Roma Lane, Riche Terre 11701, Mauritius
Téléphone+230 5250 6006

13.2 Le Mauritius Data Protection Office

5th Floor, SICOM Tower

Wall Street, Ebène 72201

Mauritius

E-mail : [email protected]

Téléphone : +230 460 0251

Web : https://dataprotection.govmu.org

14. Modifications de la présente Politique

  • Les modifications cosmétiques et clarifiantes (fautes de frappe, mise en page, mises à jour de noms de fournisseurs, coordonnées) prennent effet à la publication.
  • Les modifications importantes qui affectent vos droits — par exemple, une nouvelle finalité de traitement, une nouvelle catégorie de données, un nouveau sous-traitant, un nouveau transfert international ou une modification du tableau de conservation — prennent effet 14 jours après la publication, et nous informerons les clients enregistrés par e-mail au moins 14 jours à l'avance. Lorsque la modification est importante, votre consentement vous sera redemandé lors de votre prochaine visite pour tout traitement qui dépend du consentement (marketing, cookies non essentiels, fonctionnalités d'IA).
  • Lorsqu'une modification importante est requise par la loi, par l'ordre d'un régulateur ou par un incident de sécurité prenant effet plus tôt, la modification prendra effet à la date requise, et nous informerons les clients dès que possible.

15. Droit applicable

Fin de la Politique — version 1.1, 27 mai 2026.

La présente Politique a été rédigée en anglais. Une traduction française sera publiée en parallèle pour la commodité des clients francophones, conformément à notre pratique de service client bilingue. En cas d'incohérence entre les deux versions linguistiques, la version anglaise prévaut à des fins juridiques.

TheShop.mu — Fraîcheur livrée à votre porte.