Dernière mise à jour : 20 mars 2026
La présente Politique de Confidentialité décrit la manière dont DontPayFull SRL, responsable du traitement, collecte, utilise et protège vos données à caractère personnel lorsque vous accédez au site shopilo.fr. Elle est rédigée conformément au Règlement (UE) 2016/679 (RGPD) et à la Loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la Loi n°2018-493 du 20 juin 2018 (ci-après « Loi Informatique et Libertés »).
1. Responsable du traitement
Le responsable du traitement de vos données à caractère personnel est :
| Dénomination sociale | DontPayFull SRL |
| Siège social | Str. Zece Mese nr. 9, Ap. 1, 024061 București, Roumanie |
| Numéro au Registre du Commerce | J40/14765/2015 |
| Numéro d'identification fiscale | CUI : RO35294618 |
| Adresse e-mail (protection des données) | privacy@shopilo.fr |
| Autorité de contrôle compétente (chef de file) | ANSPDCP - Autorité nationale pour la surveillance du traitement des données à caractère personnel, Roumanie |
DontPayFull SRL est une société de droit roumain qui exploite le site shopilo.fr, un comparateur de prix et de codes promo à destination des utilisateurs en France et en Europe. La Roumanie étant un État membre de l'Union européenne, le RGPD s'applique pleinement à l'ensemble de nos traitements.
Mineurs : Shopilo.fr n'est pas destiné aux personnes âgées de moins de 15 ans. Conformément à l'article 8 du RGPD et à la Loi n°2018-493 du 20 juin 2018 (transposition française), l'âge minimum pour consentir au traitement de données à des fins de services de la société de l'information est fixé à 15 ans en France. Si vous avez moins de 15 ans, veuillez ne pas utiliser ce site sans le consentement de votre représentant légal.
2. Données collectées et bases légales
Le tableau ci-dessous détaille l'ensemble des catégories de données à caractère personnel que nous traitons, leur finalité, la base légale applicable au sens de l'article 6 du RGPD, la durée de conservation et, le cas échéant, les destinataires ou sous-traitants concernés.
A. Données de compte (si inscription)
| Données traitées | Prénom, nom, adresse e-mail, pays, date de naissance |
| Finalité | Création et gestion du compte utilisateur, personnalisation du service, envoi d'alertes prix si activées |
| Base légale | Art. 6(1)(b) RGPD - Exécution d'un contrat auquel la personne concernée est partie (conditions d'utilisation du service) |
| Durée de conservation | Durée d'existence du compte + 30 jours après suppression du compte (délai de grâce pour réactivation), puis suppression définitive |
| Destinataires | DontPayFull SRL (personnel habilité) ; hébergeur Hetzner Online GmbH (intra-UE) |
B. Données de navigation - Google Analytics 4
Note CNIL : L'utilisation de Google Analytics 4 sur shopilo.fr est soumise à la Recommandation de la CNIL de 2022 relative aux cookies et autres traceurs. Le consentement est recueilli via notre gestionnaire de cookies (CookieScript) avant tout dépôt de traceurs analytiques. La validité du consentement est de 13 mois conformément à la Recommandation de la CNIL.
| Données traitées | Pages visitées, clics, durée de session, source de trafic, ville et pays dérivés de l'adresse IP (IP anonymisée après traitement, non conservée en clair), données d'appareil et de navigateur (anonymisées) |
| Finalité | Mesure d'audience, amélioration du service, analyse du comportement des visiteurs |
| Base légale | Art. 6(1)(a) RGPD - Consentement librement donné, spécifique, éclairé et univoque via la bannière CookieScript |
| Durée de conservation | 26 mois (paramètre par défaut GA4) - la validité du consentement est de 13 mois selon la Recommandation CNIL, après quoi un nouveau consentement est sollicité |
| Sous-traitant / Transfert | Google LLC (États-Unis) - transfert encadré par l'EU-US Data Privacy Framework (décision d'adéquation de la Commission européenne du 10 juillet 2023) - g.co/dataprotection |
C. Données comportementales - Meta Pixel
| Données traitées | Comportement sur le site, pages visitées, clics, conversions (événements) |
| Finalité | Mesure de l'efficacité publicitaire, création d'audiences personnalisées, optimisation des campagnes marketing |
| Base légale | Art. 6(1)(a) RGPD - Consentement librement donné via la bannière CookieScript |
| Durée de conservation | 90 jours (paramètre Meta Pixel par défaut) |
| Sous-traitant / Transfert | Meta Platforms Ireland Ltd. (Irlande), avec transfert vers Meta Platforms Inc. (États-Unis) encadré par l'EU-US Data Privacy Framework |
D. Données de cookies de consentement - CookieScript
| Données traitées | Préférence de consentement aux cookies (identifiant de session de consentement, horodatage, choix effectués) |
| Finalité | Enregistrement et preuve du consentement aux cookies, conformité légale |
| Base légale | Art. 6(1)(c) RGPD - Obligation légale (Art. 7 RGPD : obligation de démonstration du consentement) |
| Durée de conservation | 13 mois conformément à la Recommandation de la CNIL sur les cookies et traceurs |
| Sous-traitant | CookieScript UAB (Lituanie - intra-UE) - aucun transfert hors de l'EEE |
E. Données d'hébergement - journaux techniques (logs)
| Données traitées | Adresse IP (anonymisée après traitement), user-agent, pages consultées, horodatage des requêtes |
| Finalité | Sécurité du serveur, détection des attaques, diagnostic technique, continuité du service |
| Base légale | Art. 6(1)(f) RGPD - Intérêt légitime (sécurité des systèmes d'information et intégrité du service) |
| Durée de conservation | 30 jours glissants, puis suppression automatique |
| Sous-traitant | Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Allemagne - hébergement intra-UE, aucun transfert hors de l'EEE |
F. Données CDN et sécurité - Cloudflare
| Données traitées | Adresse IP (transitoire, non conservée en clair), requêtes HTTP, en-têtes de requête |
| Finalité | Distribution du contenu (CDN), protection contre les attaques DDoS, optimisation des performances, sécurité du réseau |
| Base légale | Art. 6(1)(f) RGPD - Intérêt légitime (sécurité du site et qualité de service pour les utilisateurs) |
| Durée de conservation | 30 jours maximum (journaux de sécurité Cloudflare) |
| Sous-traitant / Transfert | Cloudflare Inc. (États-Unis) - transfert encadré par l'EU-US Data Privacy Framework et les Clauses contractuelles types (Art. 46 RGPD) |
G. Alertes prix (si activées)
| Données traitées | Adresse e-mail, produits ou catégories suivis, seuil de prix défini |
| Finalité | Envoi de notifications par e-mail lorsque le prix d'un produit suivi atteint le seuil défini |
| Base légale | Art. 6(1)(a) RGPD - Consentement explicite de l'utilisateur lors de l'activation de l'alerte |
| Durée de conservation | Jusqu'à désinscription de l'alerte ou suppression du compte - vous pouvez retirer votre consentement à tout moment |
| Destinataires | DontPayFull SRL (personnel habilité) ; hébergeur Hetzner Online GmbH (intra-UE) |
H. Cookies affiliés
Shopilo.fr ne dépose pas de cookies affiliés
Shopilo.fr ne dépose PAS de cookies affiliés sur votre terminal. Les cookies affiliés sont déposés par les marchands tiers ou les réseaux d'affiliation (tels que AWIN, Rakuten, Commission Junction, etc.) sur leurs propres domaines, lorsque vous cliquez sur une offre et êtes redirigé(e) vers leur site. Ces traitements relèvent de la responsabilité propre de ces marchands et réseaux, et sont régis par leurs politiques de confidentialité respectives. Nous vous invitons à les consulter avant d'effectuer tout achat.
3. Ce que nous ne collectons pas
Shopilo.fr est un comparateur de prix. Nous ne collectons pas les catégories de données suivantes :
- Données bancaires ou de paiement : nous ne traitons aucune donnée de carte bancaire ni aucun identifiant de compte de paiement - les transactions ont lieu directement sur les sites des marchands.
- Mots de passe ou données d'authentification de sites tiers : nous n'avons jamais accès aux identifiants que vous utilisez chez nos marchands partenaires.
- Données sensibles : nous ne collectons aucune donnée relative à la santé, l'origine ethnique, les convictions politiques ou religieuses, les opinions syndicales, la vie sexuelle ou l'orientation sexuelle, ni aucune donnée biométrique ou génétique.
- Contenu complet des pages web visitées : nous ne capturons pas le contenu intégral des pages que vous consultez hors de notre site.
4. Sous-traitants et destinataires
Conformément à l'article 28 du RGPD, nous avons conclu des contrats de sous-traitance avec l'ensemble de nos prestataires traitant des données à caractère personnel pour notre compte. La liste de nos sous-traitants est la suivante :
| Sous-traitant | Pays | Rôle | Garanties de transfert |
|---|---|---|---|
| Google LLC | États-Unis | Google Analytics 4 (mesure d'audience) | EU-US Data Privacy Framework - g.co/dataprotection |
| Meta Platforms Ireland Ltd. | Irlande (UE) + États-Unis | Meta Pixel (mesure publicitaire) | EU-US Data Privacy Framework (pour transferts vers Meta Platforms Inc.) |
| Hetzner Online GmbH | Allemagne (UE) | Hébergement du site et des données | Intra-UE - aucun transfert hors EEE |
| Cloudflare Inc. | États-Unis | CDN, protection DDoS, sécurité réseau | EU-US Data Privacy Framework + Clauses contractuelles types (Art. 46 RGPD) |
| CookieScript UAB | Lituanie (UE) | Plateforme de gestion du consentement aux cookies | Intra-UE - aucun transfert hors EEE |
Nous ne vendons pas vos données à caractère personnel à des tiers. Nous ne partageons vos données qu'avec les sous-traitants listés ci-dessus, dans le cadre strict des finalités décrites dans la présente Politique, ou lorsque nous y sommes légalement contraints (ex : obligation légale, décision de justice).
5. Transferts de données hors de l'Espace Économique Européen (EEE)
Certains de nos sous-traitants sont établis en dehors de l'Espace Économique Européen (EEE), notamment aux États-Unis. Ces transferts sont encadrés par les mécanismes suivants, conformément au Chapitre V du RGPD :
EU-US Data Privacy Framework (EU-US DPF)
Le EU-US Data Privacy Framework est une décision d'adéquation adoptée par la Commission européenne le 10 juillet 2023 (décision d'exécution 2023/1795), constatant que les États-Unis assurent un niveau de protection adéquat des données à caractère personnel pour les organisations certifiées. Google LLC, Meta Platforms Inc. et Cloudflare Inc. sont certifiés au titre de ce cadre. Cela signifie que ces transferts bénéficient du même niveau de protection qu'un traitement effectué au sein de l'UE.
Clauses contractuelles types (CCT)
Pour Cloudflare Inc., en sus du EU-US DPF, des Clauses contractuelles types adoptées par la Commission européenne en vertu de l'article 46 du RGPD ont été mises en place, offrant une garantie contractuelle supplémentaire pour le transfert de données vers des pays tiers.
Sous-traitants intra-UE
Hetzner Online GmbH (Allemagne) et CookieScript UAB (Lituanie) sont établis au sein de l'Union européenne. Aucun transfert de données vers des pays tiers n'est effectué dans le cadre de ces prestations.
7. Vos droits
Conformément au RGPD (articles 15 à 22) et à la Loi Informatique et Libertés, vous disposez des droits suivants concernant vos données à caractère personnel :
| Droit | Description |
|---|---|
| Droit d'accès Art. 15 RGPD | Vous avez le droit d'obtenir la confirmation que des données vous concernant sont traitées et, le cas échéant, d'en obtenir une copie ainsi que des informations sur les finalités, catégories, destinataires et durées de conservation. |
| Droit de rectification Art. 16 RGPD | Vous avez le droit d'obtenir la rectification de données inexactes vous concernant et, compte tenu des finalités du traitement, le droit d'obtenir que des données incomplètes soient complétées. |
| Droit à l'effacement Art. 17 RGPD | Vous avez le droit d'obtenir l'effacement de données vous concernant (« droit à l'oubli »), dans les conditions prévues par l'article 17 du RGPD (notamment lorsque les données ne sont plus nécessaires ou lorsque le consentement est retiré). |
| Droit à la limitation du traitement Art. 18 RGPD | Vous avez le droit d'obtenir la limitation du traitement de vos données dans les cas prévus par l'article 18 (notamment en cas de contestation de l'exactitude, d'opposition au traitement, ou de besoin de conservation pour l'exercice de droits en justice). |
| Droit à la notification des destinataires Art. 19 RGPD | Nous avons l'obligation de notifier à chaque destinataire auquel des données ont été communiquées toute rectification, tout effacement ou toute limitation du traitement effectué conformément aux articles 16, 17 et 18, sauf si cette communication se révèle impossible ou exige des efforts disproportionnés. Sur demande, nous vous informons de l'identité de ces destinataires. |
| Droit à la portabilité Art. 20 RGPD | Vous avez le droit de recevoir vos données dans un format structuré, couramment utilisé et lisible par machine, et de les transmettre à un autre responsable du traitement, lorsque le traitement est fondé sur le consentement ou sur l'exécution d'un contrat et est effectué à l'aide de procédés automatisés. |
| Droit d'opposition Art. 21 RGPD | Vous avez le droit de vous opposer à tout moment, pour des raisons tenant à votre situation particulière, au traitement de données fondé sur l'intérêt légitime (Art. 6(1)(f) RGPD). Vous pouvez également vous opposer à tout moment au traitement à des fins de prospection commerciale. |
| Droit de retirer le consentement Art. 7(3) RGPD | Lorsque le traitement est fondé sur votre consentement, vous avez le droit de le retirer à tout moment, sans que cela n'affecte la licéité du traitement effectué avant ce retrait. Pour les cookies, vous pouvez modifier vos préférences à tout moment via notre gestionnaire de consentement. |
| Droit d'introduire une réclamation Art. 77 RGPD | Sans préjudice de tout autre recours administratif ou juridictionnel, vous avez le droit d'introduire une réclamation auprès de l'autorité de contrôle compétente (voir Section 9). |
Comment exercer vos droits : Pour exercer l'un de ces droits, veuillez adresser votre demande par e-mail à privacy@shopilo.fr en indiquant clairement le droit que vous souhaitez exercer et, si nécessaire, en joignant une copie d'un justificatif d'identité. Nous nous engageons à répondre dans un délai d'un mois à compter de la réception de votre demande (délai pouvant être prolongé de deux mois supplémentaires en cas de demande complexe, avec information préalable).
8. Droits des personnes décédées - directives post-mortem
Fondement légal : Article 85 de la Loi n°78-17 du 6 janvier 1978 modifiée (Loi Informatique et Libertés), telle que modifiée par la Loi n°2018-493 du 20 juin 2018
Conformément à l'article 85 de la Loi Informatique et Libertés, toute personne peut définir des directives relatives au sort de ses données à caractère personnel après son décès. Ces directives peuvent être générales ou particulières.
Directives générales
Les directives générales portent sur l'ensemble des données à caractère personnel vous concernant et peuvent être déposées auprès d'un tiers de confiance certifié par la CNIL ou via le coffre-fort numérique national (si applicable). Ces directives permettent d'indiquer, de façon globale, ce que vous souhaitez qu'il advienne de vos données après votre décès : conservation, effacement, transmission à un tiers désigné, etc.
Directives particulières concernant Shopilo.fr
Les directives particulières relatives aux données traitées par Shopilo.fr peuvent nous être communiquées directement par e-mail à privacy@shopilo.fr avec pour objet « Directives post-mortem ». Nous conserverons ces directives de façon sécurisée et les appliquerons conformément à vos souhaits au moment de votre décès, lorsque nous en serons informés.
Vous pouvez modifier ou révoquer vos directives particulières à tout moment, tant que vous êtes en vie, en nous en informant par e-mail.
En l'absence de directives - droits des ayants droit
En l'absence de directives laissées par la personne décédée, les héritiers et ayants droit peuvent exercer certains droits sur les données du défunt, notamment :
- Le droit d'accès aux données, dans la mesure nécessaire au règlement de la succession ;
- Le droit d'opposition au traitement des données du défunt ;
- Le droit de demander l'effacement ou la clôture du compte du défunt.
Les ayants droit doivent justifier de leur qualité (acte de décès, justificatif de lien de parenté ou de représentation) en adressant leur demande à privacy@shopilo.fr.
9. Autorités de contrôle
En vertu du mécanisme du guichet unique (one-stop-shop) prévu par l'article 56 du RGPD, l'autorité de contrôle chef de file pour nos traitements est l'autorité roumaine, DontPayFull SRL étant établie en Roumanie. L'autorité française (CNIL) reste compétente pour recevoir vos réclamations en tant qu'utilisateur situé en France.
| Autorité | Rôle | Coordonnées |
|---|---|---|
| ANSPDCP Autorité nationale pour la surveillance du traitement des données à caractère personnel | Autorité chef de file (établissement principal du responsable du traitement) | B-dul Magheru 28-30, Sector 1, București, Roumanie www.dataprotection.ro anspdcp@dataprotection.ro |
| CNIL Commission Nationale de l'Informatique et des Libertés | Autorité de contrôle locale (France) - compétente pour les réclamations des personnes situées en France | 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07 www.cnil.fr Tél. : 01 53 73 22 22 |
Vous avez le droit d'introduire une réclamation auprès de l'une ou l'autre de ces autorités si vous estimez que le traitement de vos données à caractère personnel n'est pas conforme au RGPD ou à la Loi Informatique et Libertés. Ce droit est sans préjudice de tout autre recours administratif ou juridictionnel.
10. Contact - Délégué à la Protection des Données
Pour toute question relative à la présente Politique de Confidentialité, à l'exercice de vos droits ou à la protection de vos données à caractère personnel, vous pouvez nous contacter :
| Par e-mail | privacy@shopilo.fr |
| Par courrier | DontPayFull SRL - Protection des données Str. Zece Mese nr. 9, Ap. 1 024061 București, Roumanie |
| Délai de réponse | Nous nous engageons à répondre à toute demande relative à vos droits dans un délai d'un mois à compter de la réception de votre demande complète. |
DontPayFull SRL n'a pas l'obligation légale de désigner un Délégué à la Protection des Données (DPO) au sens de l'article 37 du RGPD (le traitement n'impliquant pas de données sensibles à grande échelle ni de surveillance systématique). Toute question relative à la protection des données est néanmoins traitée de manière prioritaire par notre équipe dédiée, joignable à l'adresse ci-dessus.
11. Modifications de la présente Politique de Confidentialité
La présente Politique de Confidentialité peut être mise à jour pour refléter des évolutions légales, réglementaires ou des changements dans nos pratiques de traitement des données. Toute modification substantielle vous sera notifiée au moins 30 jours avant son entrée en vigueur, par e-mail à l'adresse associée à votre compte (si vous êtes inscrit(e)) et/ou par un avis visible sur la page d'accueil de shopilo.fr.
La version en vigueur de la Politique de Confidentialité est celle publiée sur cette page, identifiée par la date de mise à jour figurant en haut du document. Il vous appartient de consulter régulièrement cette page pour prendre connaissance des éventuelles modifications.
En cas de désaccord avec une modification de la présente Politique, vous avez la faculté de supprimer votre compte et de cesser d'utiliser nos services. Aucune clause de la présente Politique ne peut être interprétée comme impliquant que la poursuite de l'utilisation du site vaut acceptation des nouvelles conditions.
Politique de Confidentialité - Shopilo.fr
Responsable du traitement : DontPayFull SRL, Str. Zece Mese nr. 9, Ap. 1, 024061 București, Roumanie - CUI : RO35294618
Dernière mise à jour : 20 mars 2026
Droit applicable : RGPD (Règlement UE 2016/679) et Loi n°78-17 du 6 janvier 1978 modifiée (Loi Informatique et Libertés, modifiée par Loi n°2018-493)