Mentions Légales

Cette Politique de Confidentialité Intégrale explique comment Orbis traite vos données personnelles via ce site web et les services de marketing digital associés. L'entité responsable du traitement est déterminée par votre pays de résidence ou de localisation au moment de la collecte de vos données, comme détaillé ci-dessous.

1. Qui est le Responsable de vos données ?

L'entité responsable du traitement de vos données personnelles est déterminée par votre pays de résidence ou de localisation :

Si vous êtes situé au Mexique

• Responsable : Orbis Agencia de Marketing Digital, S.A.S. de C.V.
• Domicile : Calzada Villa Plata 430, interior 5, Jesús María, Aguascalientes, México, C.P. 20908.
• RFC : OAM2201187A3.
• Courriel ARCO/confidentialité : hola@orbis.agency
• Personne responsable des Données Personnelles : Sergio Guillermo Caballero Real.
• Cadre applicable : Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) 2025.

Si vous êtes situé hors du Mexique

• Responsable : Orbis Agency LLC.
• Juridiction de constitution : État du Delaware, États-Unis.
• Domicile : 651 N Broad St, Suite 201, Middletown, DE 19709, Comté de New Castle, États-Unis.
• Courriel de confidentialité : hola@orbis.agency
• Contact responsable (UE / Royaume-Uni / Brésil) : Guillermo Alberto Caballero Biard — hola@orbis.agency.
• Cadre applicable : la loi locale de l'utilisateur (RGPD, UK GDPR, CCPA/CPRA, LGPD, entre autres).

Le site détermine l'entité responsable selon votre pays (géolocalisation et/ou votre déclaration) et affiche les coordonnées de l'entité correspondante. Les communications de données entre les deux entités du groupe Orbis constituent un transfert international, décrit plus bas.

2. Autorité au Mexique (SABG)

Avec la réforme constitutionnelle de décembre 2024 qui a supprimé l'INAI, les compétences en matière de protection des données personnelles détenues par des particuliers ont été transférées au Secretaría Anticorrupción y Buen Gobierno (SABG), conformément à la nouvelle Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) publiée au Diario Oficial de la Federación le 20 mars 2025. Le SABG concentre les compétences d'enquête, d'audit et de sanction ; dans le nouveau cadre, l'organisme décentralisé « Transparencia para el Pueblo » a en outre été créé.

Vous pouvez vous adresser au SABG si vous estimez que vos droits en matière de protection des données personnelles ont été violés.

3. Quelles données personnelles collectons-nous ?

Via les formulaires et outils du site (formulaire de contact, calculateur de ROI, abonnement à la newsletter), nous pouvons collecter :

• Données d'identification et de contact : nom, adresse e-mail, téléphone.
• Données professionnelles / d'entreprise : nom de l'entreprise, site web, fonction, secteur d'activité et, lorsque vous souscrivez ou facturez, domicile et RFC.
• Données du message / projet : informations que vous incluez volontairement dans votre demande ou dans le calculateur (par exemple, budget, indicateurs, objectifs).
• Données de navigation et techniques : adresse IP, identifiants de cookies, type d'appareil/navigateur, pages visitées et indicateurs d'analytique (voir notre Politique de Cookies).

Nous ne collectons pas intentionnellement de données sensibles. Si, dans certains cas, elles s'avéraient nécessaires, nous vous en informerions et, conformément aux articles 8 et 9 de la LFPDPPP, nous recueillerions votre consentement exprès et écrit. Les données financières ou patrimoniales, le cas échéant, requièrent un consentement exprès.

4. À quelles fins utilisons-nous vos données ?

Finalités nécessaires (origine du traitement ; ne requièrent pas votre consentement additionnel)

• Répondre à vos demandes, demandes de contact et de devis.
• Fournir et administrer les services souscrits et gérer la relation contractuelle.
• Générer les résultats du calculateur de ROI que vous demandez.
• Respecter les obligations légales, fiscales et contractuelles.

Finalités secondaires / facultatives (vous pouvez refuser sans affecter le service)

• Envoi de newsletter, bulletins, contenus et communications de marketing.
• Prospection commerciale et suivi des leads.
• Élaboration de profils (profilage) et segmentation à des fins de marketing.
• Analytique et amélioration de nos services et de l'expérience.

Vous ne voulez pas des finalités secondaires ? Vous pouvez refuser dès maintenant en cochant la case correspondante dans le formulaire, ou à tout moment en écrivant à notre courriel de confidentialité. Votre refus ne sera pas un motif pour vous refuser les services que vous demandez.

5. Base légale / fondement du traitement

• Mexique (LFPDPPP) : consentement tacite pour les données personnelles ordinaires (dès la mise à disposition de cet avis et en l'absence d'opposition) ; exprès pour les données financières/patrimoniales ; exprès et écrit pour les données sensibles. Le consentement est libre, spécifique et éclairé.
• UE/EEE et Royaume-Uni (RGPD / UK GDPR, art. 6) : exécution d'un contrat ; consentement (newsletter/marketing) ; intérêt légitime (prospection B2B et amélioration du service, après pondération ou balancing test, avec votre droit d'opposition) ; et obligation légale.
• États-Unis (CCPA/CPRA) : modèle opt-out ; nous traitons les données sur la base de la relation contractuelle et commerciale, dans le respect de vos droits d'exclusion.
• Brésil (LGPD), Canada, Australie, etc. : consentement, exécution du contrat ou intérêt légitime selon le cas.

6. Vos droits

Mexique — Droits ARCO et révocation

Vous avez le droit d'Accéder, de Rectifier (y compris la mise à jour), d'annuler (Cancelar) et de vous Opposer au traitement de vos données, ainsi que de vous opposer aux décisions automatisées ou de profilage qui vous affectent sans intervention humaine. Vous pouvez également révoquer votre consentement et limiter l'utilisation ou la divulgation de vos données. (La LFPDPPP protège les données personnelles des personnes physiques ; les données des personnes morales ne relèvent pas de cette loi, sans préjudice des informations de leur personnel de contact, qui constituent bien des données personnelles.)

• Comment les exercer : envoyez votre demande au courriel de confidentialité indiqué, en vous identifiant et en décrivant clairement les données et le droit que vous souhaitez exercer.
• Délai de réponse : jusqu'à 20 jours ouvrables à compter de la réception ; le cas échéant, il sera effectif dans les 15 jours suivant la réponse.
• Révocation du consentement : par le même moyen ; elle produira ses effets pour les traitements futurs, sauf obligations légales de conservation.
• Vous pouvez vous adresser au SABG si vous estimez vos droits violés.

Utilisateurs hors du Mexique — droits par cadre

• RGPD / UK GDPR : accès, rectification, effacement (« droit à l'oubli »), limitation, portabilité, opposition, et droit de ne pas faire l'objet de décisions automatisées. Réponse sous 1 mois (prorogeable de 2 mois). Droit de réclamer auprès de votre autorité (AEPD en Espagne, CNIL en France, etc., ou l'ICO / Information Commission au Royaume-Uni).
• États-Unis (CCPA/CPRA) : savoir, accéder, supprimer, corriger, exclure la « vente » / le « partage » et limiter l'utilisation des informations sensibles, sans discrimination liée à l'exercice de vos droits ; réponse sous environ 45 jours. Nous honorons le signal Global Privacy Control (GPC).
• Brésil (LGPD) : confirmation, accès, correction, anonymisation/suppression, portabilité, information sur le partage et révocation ; réponse sous 15 jours. Autorité : ANPD.
• Canada, Australie, Suisse, Afrique du Sud, etc. : droits d'accès, de correction, de suppression/objection et de retrait du consentement conformément à leur réglementation.

7. Transferts et communications de données

Pour exploiter le site et fournir nos services, nous pouvons partager des données avec :

• Entre les entités du groupe Orbis (d'Orbis Agencia de Marketing Digital, S.A.S. de C.V. vers Orbis Agency LLC et vice versa) pour le support, les outils centralisés et l'administration. Cela constitue un transfert international.
• Sous-traitants / fournisseurs qui traitent des données pour notre compte : hosting propre sur DigitalOcean ; CRM interne propre et Kommo ; email marketing Mailchimp ; téléphonie Zadarma ; analytique et mesure Google Analytics (GA4), Google Tag Manager, Ahrefs, Semrush ; publicité et plateformes Google, Meta, TikTok, LinkedIn, Pinterest et Microsoft (Bing). Ces fournisseurs traitent les données conformément à nos instructions et aux accords de traitement (DPA/SCC) correspondants.

Garanties des transferts :

• Mexique : les transferts sont communiqués dans cet avis ; sauf exceptions légales, ils requièrent votre consentement. Vous pouvez manifester votre refus aux transferts qui ne sont pas nécessaires à la relation. On distingue le transfert (vers un autre responsable) de la remise (vers un sous-traitant).
• UE/EEE : Clauses Contractuelles Types (CCT, Décision (UE) 2021/914) + évaluation d'impact du transfert (TIA) ; ou EU-US Data Privacy Framework si l'importateur est certifié.
• Royaume-Uni : IDTA ou Addendum aux CCT de l'UE.
• Brésil : mécanismes de transfert international de la LGPD (art. 33-36), y compris les Clauses Contractuelles Types (CCP) de l'ANPD approuvées par la Resolução CD/ANPD nº 19/2024 (publiée le 23 août 2024). La période d'adéquation a pris fin le 23 août 2025, de sorte que leur incorporation aux contrats de transfert international est désormais obligatoire.
• Turquie (KVKK), Suisse, Japon (APPI), etc. : mécanismes prévus par chaque réglementation (décision d'adéquation, clauses ou consentement, selon le cas).

8. Conservation des données

• Données de contact/leads : tant qu'un intérêt ou une relation existe et, par la suite, pendant les délais de prescription légale applicables, avec une période maximale de référence de 72 mois (6 ans).
• Données des clients : pendant la relation contractuelle et les délais fiscaux/légaux de conservation ; à titre de référence générale, jusqu'à 72 mois (6 ans) après le dernier traitement, sauf obligation légale différente.
• Abonnement à la newsletter : jusqu'à votre désinscription.
• Données de cookies/analytique : selon la durée indiquée dans la Politique de Cookies.

Une fois les finalités et délais atteints (référence générale : 72 mois), les données sont supprimées ou anonymisées de manière sécurisée.

9. Mesures de sécurité et violations

Nous mettons en œuvre des mesures de sécurité administratives, techniques et physiques raisonnables pour protéger vos données contre la perte, l'usage abusif ou l'accès non autorisé. En cas de violation de sécurité affectant de manière significative vos droits patrimoniaux ou moraux, nous vous le notifierons et en informerons l'autorité lorsque la loi l'exige (LFPDPPP au Mexique ; RGPD/UK GDPR, LGPD et autres cadres pour les utilisateurs internationaux).

10. Cookies et technologies de suivi

Le site utilise des cookies et des technologies de suivi (analytique et marketing). Les cookies non essentiels ne s'activent qu'avec votre consentement préalable là où le modèle est opt-in. Consultez les détails, les catégories et la façon de les gérer dans la Politique de Cookies.

11. Mineurs

Le site s'adresse aux professionnels et aux entreprises ; il n'est pas destiné aux mineurs et nous ne collectons pas sciemment leurs données. Si nous détectons les données d'un mineur sans le consentement parental exigé par la loi applicable, nous les supprimerons.

12. Réseaux sociaux

Les réseaux sociaux (Facebook, Instagram, X/Twitter, LinkedIn, TikTok, Pinterest, entre autres) sont des plateformes de tiers étrangères à Orbis et ne relèvent pas de sa responsabilité. Les informations que vous publiez ou fournissez au sein de ces plateformes sont régies par les politiques et la responsabilité de chaque fournisseur et de celui qui les publie, et ne font pas partie des données soumises à cette Politique de Confidentialité.

13. Adresses IP et journal d'activité du serveur

Les serveurs du site peuvent détecter automatiquement l'adresse IP et le domaine utilisés par l'utilisateur. L'adresse IP est attribuée automatiquement lors de la connexion à Internet et est enregistrée dans le journal d'activité du serveur, ce qui permet le traitement ultérieur des données à des fins exclusivement statistiques (nombre d'impressions de page, visites des services, ordre de visite, point d'accès, etc.).

14. Modifications de la Politique de Confidentialité

Nous pouvons mettre à jour cette Politique. Nous publierons la version en vigueur sur le site avec sa date ; les changements substantiels seront communiqués par les moyens disponibles (site et, le cas échéant, e-mail).

15. Dispositions par région

Lorsque votre responsable est Orbis Agency LLC, outre les règles générales de cet avis, s'appliquent les dispositions spécifiques à votre juridiction :

Mexique

LFPDPPP 2025 (autorité : SABG), LFPC/PROFECO et Código de Comercio. Consentement tacite pour les données ordinaires ; ARCO + révocation avec réponse sous 20 jours ouvrables ; avis intégral, simplifié et court ; mesures de sécurité et notification des violations. Régime d'infractions et de sanctions en UMA : en règle générale, de 100 à 160 000 UMA, et jusqu'à 320 000 UMA dans les cas aggravés ; les montants sont doublés s'agissant de données sensibles. Avec l'UMA journalière en vigueur en 2026 (117,31 MXN, INEGI, depuis le 1er février 2026), la fourchette équivaut approximativement à 11 731 – 37,5 M MXN. L'UMA est actualisée chaque année, de sorte que l'équivalent en pesos varie annuellement.

Union Européenne / EEE (Espagne, Portugal, France, Allemagne, Italie, Irlande)

RGPD (UE) 2016/679 + lois nationales (LOPDGPD Espagne, BDSG Allemagne, Codice Privacy Italie, Lei 58/2019 Portugal, DPA 2018 Irlande, loi française). Bases de l'art. 6 ; droits art. 15-22 ; réponse sous 1 mois. Transferts vers les États-Unis avec CCT 2021/914 + TIA ou EU-US DPF. Contact responsable désigné : Guillermo Alberto Caballero Biard (hola@orbis.agency).

Royaume-Uni

UK GDPR + DPA 2018, modifiés par la Data (Use and Access) Act 2025 (DUAA ; Royal Assent le 19 juin 2025, entrée en vigueur échelonnée 2025-2026). L'autorité est l'ICO (Information Commissioner's Office), que la DUAA transforme progressivement en Information Commission au fur et à mesure de la mise en œuvre de la réforme. Transferts au moyen de l'IDTA ou d'un Addendum aux CCT. Contact responsable désigné : Guillermo Alberto Caballero Biard (hola@orbis.agency).

États-Unis

Pas de loi fédérale globale. CCPA/CPRA (Californie) avec les règlements CPPA effectifs en 2026 (décisions automatisées, évaluations de risque, audits). Modèle opt-out, liens « Do Not Sell or Share » et « Limit Sensitive PI », reconnaissance du GPC. Autres États : Virginie (VCDPA), Colorado (CPA), Connecticut (CTDPA), Texas (TDPSA), Oregon, Montana, etc. E-mail : CAN-SPAM ; SMS/appels : TCPA ; témoignages/avis : FTC Endorsement Guides.

Canada

PIPEDA (Bill C-27/CPPA non adopté) et Loi 25 du Québec (responsable de la protection de la vie privée désigné, PIA, registre des incidents, règles de transfert). Anti-spam : CASL.

Brésil

LGPD (Lei 13.709/2018), autorité ANPD. Droits avec réponse sous 15 jours. Clauses Contractuelles Types de l'ANPD (Resolução 19/2024) obligatoires pour les transferts internationaux depuis le 23 août 2025. Avis de confidentialité et de cookies en portugais ; sous-traitant de contact désigné : Guillermo Alberto Caballero Biard (hola@orbis.agency). Consommation : CDC, Marco Civil da Internet et Decreto 7.962/2013 (droit de rétractation 7 jours).

Australie et Nouvelle-Zélande

Australie : Privacy Act 1988 (réforme 2024, échelonnée 2025-2026) : consentement éclairé et univoque, restriction des cases précochées et des dark patterns, transparence sur les décisions automatisées. Nouvelle-Zélande : Privacy Act 2020 (13 IPP, notification des violations, IPP 12 pour les envois à l'étranger). Spam Act 2003.

Afrique du Sud

POPIA (régulateur : Information Regulator). 8 conditions de traitement ; consentement par bandeau avant le dépôt de cookies ; transferts de l'art. 72.

Suisse

nFADP (en vigueur le 1er septembre 2023), alignée sur le RGPD. Consentement pour le tracking/l'analytique/la publicité/le profilage ; cookies nécessaires exemptés. La Suisse conserve l'adéquation UE.

Turquie

KVKK (Loi 6698, réformée par la Loi 7499 de mars 2024, en vigueur le 1er juin 2024). Le régime des transferts internationaux a été restructuré (Règlement sur les transferts en vigueur depuis le 1er septembre 2024) : outre le consentement explicite de la personne concernée, ont été intégrés comme mécanismes la décision d'adéquation, les clauses types, les règles d'entreprise contraignantes (BCR) et l'engagement écrit avec autorisation de l'autorité (KVKK). Le consentement explicite demeure une base valable de traitement ; la réforme a élargi les voies de transfert au-delà du consentement. En cas de violation de données, la notification à l'autorité (KVKK) doit être réalisée dans les plus brefs délais possibles (critère interprété comme 72 heures) à compter de la prise de connaissance.

Japon

APPI (autorité PPC). Le transfert à un tiers situé dans un pays étranger requiert un consentement préalable + une information sur le régime du pays destinataire. Adéquation mutuelle avec l'UE.

EAU / Dubaï

PDPL Fédérale (Décret-Loi 45/2021) et, si l'activité est dans le DIFC, DIFC Data Protection Law No. 5 of 2020 (amendements effectifs le 15 juillet 2025), alignée sur le RGPD. L'ADGM dispose de son propre régime. La zone applicable (régime Fédéral, DIFC ou ADGM) dépend de l'endroit où l'entité est établie ou réputée opérer ; par défaut, le régime Fédéral (PDPL) est présumé.

Andorre et Monaco

Andorre : Llei 29/2021 (Andorre bénéficie bien d'une décision d'adéquation de l'UE). Monaco : Loi n.º 1.565 (en vigueur depuis décembre 2024, remplace la Loi 1.165/1993), alignée sur le RGPD, la Directive 2016/680 et la Convention 108+ ; autorité APDP. Monaco ne bénéficie PAS encore d'une décision d'adéquation de l'UE (l'examen de la Commission européenne est toujours en cours à la mi-2026), de sorte que les transferts depuis l'UE/EEE vers Monaco requièrent des garanties telles que les CCT.

Équateur

Ley Orgánica de Protección de Datos Personales (LOPDP, publiée en 2021), alignée sur le RGPD : bases légales, droits de la personne concernée et régime des transferts internationaux. Son régime de sanctions est en vigueur depuis le 26 mai 2023 et le Règlement Général (Decreto 904) a été publié en novembre 2023 ; avec des résolutions ultérieures de l'autorité (2025) qui opérationnalisent des aspects techniques. Les sanctions peuvent atteindre jusqu'à 1 % du chiffre d'affaires annuel. Autorité : Superintendencia de Protección de Datos Personales (SPDP).

16. Avis de Confidentialité Simplifié

Pour les formulaires, les landing pages et le calculateur de ROI, nous mettons à votre disposition l'avis simplifié suivant :

« Vos données personnelles seront traitées par Orbis Agencia de Marketing Digital, S.A.S. de C.V. (si vous êtes au Mexique) ou Orbis Agency LLC (si vous êtes hors du Mexique) afin de répondre à votre demande et, si vous l'autorisez, de vous envoyer des communications de marketing. Vous pouvez exercer vos droits et connaître les transferts et finalités dans la Politique de Confidentialité Intégrale. J'accepte de recevoir des communications de marketing (facultatif). »