À personnaliser avant publication. Cette politique est conforme aux exigences du RGPD (UE 2016/679). Les zones [À COMPLÉTER] sont à compléter. Si vous traitez des données de mineurs ou des catégories sensibles, faites valider par un avocat ou un DPO.
1. Responsable du traitement
Le responsable du traitement des données personnelles collectées dans le cadre du Service QRCODEMENU est :
[RAISON SOCIALE]
[ADRESSE COMPLÈTE]
SIRET : [NUMÉRO SIRET]
Email : [DPO@EXEMPLE.COM]
Pour toute question relative au traitement de vos données, vous pouvez contacter notre délégué à la protection des données (DPO) à l'adresse ci-dessus.
2. Données collectées
Nous collectons et traitons les catégories de données suivantes :
Données d'inscription et de compte
- Nom et prénom
- Adresse email
- Mot de passe (chiffré par algorithme bcrypt)
- Avatar (optionnel)
- Langue préférée
Données relatives à l'établissement
- Nom du restaurant, adresse, téléphone, site web
- Photos, descriptions de plats, menus
- Membres de l'équipe et leur rôle
Données de paiement
- Coordonnées bancaires (traitées exclusivement par notre prestataire de paiement, jamais stockées sur nos serveurs)
- Historique des factures et transactions
Données techniques et d'usage
- Adresse IP, type de navigateur, système d'exploitation
- Logs de connexion et d'utilisation du Service
- Statistiques agrégées sur les menus consultés (sans identification personnelle des clients finaux)
Cookies
Voir la section « Cookies et traceurs » ci-dessous.
3. Finalités et bases légales
Vos données sont traitées pour les finalités suivantes, sur les bases légales indiquées :
- Fourniture du Service (création de compte, gestion du menu, génération de QR codes) — base : exécution du contrat
- Facturation et gestion des paiements — base : exécution du contrat et obligation légale (conservation comptable)
- Support client — base : exécution du contrat / intérêt légitime
- Statistiques agrégées et amélioration du Service — base : intérêt légitime
- Envoi d'emails transactionnels (confirmations, alertes, rappels) — base : exécution du contrat
- Envoi d'emails marketing (newsletter, nouveautés) — base : consentement (opt-in révocable à tout moment)
- Respect des obligations légales (lutte contre la fraude, comptabilité) — base : obligation légale
4. Durées de conservation
- Données de compte actif : pendant toute la durée de la relation contractuelle
- Données après résiliation : 30 jours en accès (export possible), puis suppression définitive sauf obligation légale
- Données comptables et facturation : 10 ans (article L. 123-22 du Code de commerce)
- Logs techniques : 12 mois maximum
- Cookies analytiques : 13 mois maximum
- Données de prospects et inscrits newsletter : jusqu'à désinscription, et 3 ans après dernier contact
5. Destinataires et sous-traitants
Vos données peuvent être communiquées à des sous-traitants pour les besoins du Service. Tous nos sous-traitants sont engagés contractuellement à respecter le RGPD :
- Hébergement : [HÉBERGEUR ex. Hostinger, OVH] — serveurs situés dans l'Union européenne
- Paiement : Stripe (Irlande / États-Unis avec garanties appropriées)
- Emails transactionnels : [ex. Mailgun, SendGrid]
- Traduction de menus : Google Translate API (Google Ireland Ltd)
- Polices web : Google Fonts
Les données ne sont jamais vendues à des tiers à des fins commerciales.
6. Cookies et traceurs
Cookies strictement nécessaires
Ces cookies sont indispensables au fonctionnement du Service (authentification de session, panier, préférences linguistiques). Ils ne nécessitent pas de consentement préalable.
Cookies de mesure d'audience
Le cas échéant, des cookies de mesure d'audience anonymisée peuvent être déposés. Ils ne sont activés qu'après votre consentement explicite.
Cookies tiers
Notre prestataire de paiement Stripe dépose ses propres cookies pour la prévention de la fraude. Aucun cookie publicitaire ni de tracking marketing n'est utilisé.
7. Vos droits RGPD
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :
- Droit d'accès : obtenir une copie de vos données
- Droit de rectification : corriger vos données inexactes ou incomplètes
- Droit à l'effacement (« droit à l'oubli ») : faire supprimer vos données
- Droit à la limitation : restreindre temporairement le traitement
- Droit à la portabilité : récupérer vos données dans un format structuré et réutilisable
- Droit d'opposition : vous opposer au traitement de vos données fondé sur l'intérêt légitime
- Droit de retirer votre consentement à tout moment (pour les traitements fondés sur le consentement)
- Droit de définir des directives relatives au sort de vos données après votre décès
8. Comment exercer vos droits
Vous pouvez exercer vos droits :
- Directement depuis votre tableau de bord (rubrique « Paramètres » → « Données personnelles ») pour la rectification et l'export
- Par email à [DPO@EXEMPLE.COM] en précisant l'objet de votre demande
- Par courrier à l'adresse indiquée à l'article 1
Nous nous engageons à répondre dans un délai d'un mois à compter de la réception de votre demande, prolongeable de deux mois pour les demandes complexes. Une pièce d'identité peut vous être demandée en cas de doute raisonnable sur votre identité.
9. Sécurité des données
Nous mettons en œuvre toutes les mesures techniques et organisationnelles appropriées pour protéger vos données :
- Connexions chiffrées (HTTPS / TLS 1.2 minimum)
- Mots de passe stockés sous forme de hachage bcrypt
- Sauvegardes régulières sur infrastructure sécurisée
- Accès limité aux données par le personnel autorisé uniquement
- Audits de sécurité réguliers
En cas de violation de données susceptible d'engendrer un risque pour vos droits et libertés, nous nous engageons à vous en informer dans les 72 heures, conformément à l'article 34 du RGPD.
10. Réclamation auprès de la CNIL
Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, vous avez le droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :
CNIL — 3 Place de Fontenoy
TSA 80715
75334 PARIS CEDEX 07
www.cnil.fr/fr/plaintes