Politique de confidentialité

Comment nous protégeons vos données personnelles — restaurateurs, clients, livreurs

Dernière mise à jour : 22 mai 2026

Chez RestauAI, la protection de vos données personnelles est une priorité. Cette politique explique quelles données nous collectons, pourquoi nous le faisons, et quels sont vos droits, conformément au Règlement Général sur la Protection des Données (RGPD) et à la loi française "Informatique et Libertés".

1. Responsable du traitement

Le responsable du traitement des données est Kylian BIABIANY ULYSSE (auto-entrepreneur, SIRET 100 250 711 00015), dont les coordonnées figurent dans les mentions légales.

Pour toute question concernant vos données, vous pouvez contacter le responsable à : ulyssebiabiany@gmail.com.

En l'absence de Délégué à la Protection des Données (DPO) — non obligatoire pour notre taille —, c'est directement le responsable du traitement qui gère vos demandes RGPD.

2. Données collectées

2.1 Données fournies directement par les restaurateurs

  • Inscription : nom, prénom, adresse email, mot de passe (hashé bcrypt).
  • Informations du restaurant : nom commercial, SIRET (vérifié via API INSEE), adresse, téléphone, slogan, type de cuisine, photos.
  • Menu : plats, descriptions, prix, photos, allergènes, labels diététiques.
  • Paiement : traité par Stripe — nous ne stockons aucune donnée bancaire.
  • 2FA (optionnel) : secret TOTP chiffré stocké en base.

2.2 Données fournies par les livreurs partenaires

Lors de l'inscription en tant que livreur, nous collectons des données supplémentaires nécessaires à l'exercice de l'activité, conformément à la réglementation :

  • Identité : nom, prénom, date de naissance, pièce d'identité (scan, supprimé après vérification)
  • Statut pro : SIRET / numéro auto-entrepreneur
  • Banque : RIB ou IBAN, traité via Stripe Connect (jamais stocké en clair côté RestauAI)
  • Assurance et permis : attestation d'assurance professionnelle, permis de conduire si livraison motorisée
  • Géolocalisation temps réel : coordonnées GPS uniquement quand le livreur active son mode "disponible". La géolocalisation est désactivée dès qu'il revient en mode "absent".

Important : les coordonnées GPS du livreur ne sont conservées que durant la session active et ne sont pas archivées en base. Seuls les trajets (point A → point B, horodatés) sont conservés pendant 90 jours pour traitement des litiges éventuels.

2.3 Données collectées automatiquement

  • Données techniques : adresse IP, type de navigateur, pages visitées, durée de visite.
  • Cookies : de session et d'authentification uniquement (pas de tracking publicitaire).
  • Mesure d'audience : Vercel Analytics et Speed Insights (anonymisés, sans cookies tiers).

2.4 Données des clients finaux

Lorsqu'un client passe commande sur un site RestauAI, nous traitons les données suivantes pour le compte du restaurateur (sous-traitance RGPD) :

  • Prénom et nom (pour identifier la commande)
  • Téléphone (pour contact en cas de problème)
  • Email (facultatif, pour le programme de fidélité et les notifications)
  • Adresse de livraison (uniquement si livraison)
  • Détail de la commande, méthode de paiement, instructions spéciales

Ces données appartiennent au restaurateur. RestauAI agit en tant que sous-traitant au sens de l'article 28 du RGPD. Un accord de sous-traitance (DPA) est conclu de manière implicite à l'acceptation des CGV.

2.5 Données de paiement

Aucune donnée bancaire n'est stockée par RestauAI. Les paiements en ligne sont traités intégralement par Stripe (PCI-DSS Level 1). Nous conservons uniquement les identifiants de transaction (Stripe payment intent ID) pour assurer le suivi, les éventuels remboursements et la facturation. Si vous utilisez PayPal, vous êtes redirigé sur PayPal — nous n'avons accès à aucune information de votre compte PayPal.

2.6 Données de géolocalisation

Pour la fonction "Restaurants près de moi" sur le site grand public, nous demandons l'accès à votre géolocalisation via votre navigateur. Vos coordonnées GPS ne sont jamais stockées sur nos serveurs — elles sont uniquement utilisées en local pour calculer la distance avec les restaurants. Vous pouvez refuser ou désactiver cet accès à tout moment dans les paramètres de votre navigateur.

Pour les livreurs en mode "disponible", la géolocalisation est en revanche transmise au serveur en temps réel (toutes les 10 secondes environ) afin que les restaurateurs alentour puissent les voir sur la carte. Elle est supprimée immédiatement après la désactivation du mode "disponible".

2.7 Données de sécurité (connexions et sessions)

Pour vous alerter en cas de connexion suspecte, nous enregistrons un hash anonyme de chaque connexion (combinant IP et User-Agent). Cette empreinte ne permet pas de remonter à votre identité ou à votre IP exacte. Conservation : 90 jours, puis suppression automatique.

Pour renforcer la sécurité, RestauAI met fin à votre session à la fermeture du navigateur. Vous devrez donc vous reconnecter en saisissant votre email et mot de passe à chaque nouvelle ouverture du site — c'est une précaution active contre les usurpations sur appareils partagés.

2.8 Avis clients

Les avis publiés sur les fiches restaurant contiennent un prénom (choisi par le client) et une note avec commentaire facultatif. Pour éviter le spam, nous stockons également un hash anonyme de l'IP de l'auteur. Ce hash ne permet pas de remonter à l'identité.

3. Finalités du traitement

Nous utilisons vos données pour :

  • Fournir et améliorer le service (création de sites, génération IA, statistiques, mise en relation restaurateurs ↔ livreurs)
  • Gérer les abonnements et la facturation
  • Envoyer des notifications opérationnelles (nouvelles commandes, confirmations de paiement, alertes de sécurité)
  • Répondre aux demandes de support
  • Lutter contre la fraude (analyses de comportement anormales, vérification SIRET, etc.)
  • Respecter nos obligations légales (comptabilité, déclarations sociales pour les livreurs)

4. Base légale

Les traitements sont fondés sur :

  • L'exécution du contrat qui vous lie à RestauAI (fourniture du service abonnement / partenariat livreur)
  • Votre consentement (pour la newsletter, communications marketing, géolocalisation livreur, photos uploadées)
  • L'intérêt légitime (sécurité du compte, anti-spam des avis, mesure d'audience anonymisée)
  • Nos obligations légales (conservation des factures pendant 10 ans, vérification SIRET, lutte anti-blanchiment via Stripe)

5. Durée de conservation

  • Compte actif : tant que votre compte existe.
  • Après suppression du compte : 30 jours puis suppression définitive (anonymisation des commandes archivées).
  • Données comptables (factures) : 10 ans (obligation légale).
  • Logs techniques : 12 mois maximum.
  • Trajets livreurs : 90 jours (résolution de litiges).
  • Hash IP (connexions et avis) : 90 jours puis purge automatique.
  • Pièces d'identité livreurs : supprimées dès vérification (sauf obligation légale).

6. Partage des données — sous-traitants

Vos données sont partagées uniquement avec des sous-traitants strictement nécessaires au service :

  • Supabase Inc. — hébergement base de données (région UE-Irlande, conformité RGPD)
  • Vercel Inc. — hébergement web (clauses contractuelles types pour transfert UE-USA)
  • Stripe — paiements sécurisés et versements livreurs (PCI-DSS Level 1, données EEE)
  • Anthropic (Claude AI) — génération IA, données anonymisées avant envoi quand possible
  • Resend — envoi d'emails transactionnels (UE)
  • Sentry — détection d'erreurs (UE, données techniques uniquement)
  • OpenStreetMap / Nominatim — géocodage des adresses (UE)

Nous ne vendons jamais vos données à des tiers et nous ne procédons à aucun partage commercial.

7. Vos droits RGPD

Vous disposez à tout moment des droits suivants :

  • Droit d'accès à vos données (export JSON disponible directement depuis votre compte)
  • Droit de rectification en cas de données inexactes
  • Droit à l'effacement (« droit à l'oubli ») — bouton "Supprimer mon compte" dans Mon Compte
  • Droit à la portabilité (récupérer vos données en format structuré)
  • Droit d'opposition au traitement (notamment marketing)
  • Droit de limiter le traitement (gel temporaire)
  • Droit de retirer votre consentement à tout moment (newsletter, marketing, géolocalisation)

Pour exercer ces droits, utilisez les outils intégrés à votre compte ou contactez-nous à ulyssebiabiany@gmail.com. Nous répondrons sous 30 jours maximum(sauf cas exceptionnels où ce délai peut être prolongé d'au maximum 2 mois supplémentaires, avec information préalable).

En cas de réponse insatisfaisante, vous avez le droit d'introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés) : cnil.fr.

8. Sécurité

Nous mettons en œuvre des mesures techniques et organisationnelles strictes pour protéger vos données :

  • Chiffrement HTTPS forcé partout (HSTS, certificats Let's Encrypt)
  • Hachage des mots de passe via bcrypt (jamais stockés en clair)
  • Headers de sécurité stricts (CSP, X-Frame-Options, Permissions-Policy)
  • Row-Level Security sur toutes les tables Supabase
  • 2FA disponible (TOTP) pour tous les utilisateurs
  • Alerte email en cas de nouvelle connexion depuis un appareil inconnu
  • Session navigateur expirant à la fermeture (impossible de rester connecté passivement)
  • Sauvegardes chiffrées et géo-redondantes (Supabase, région UE)
  • Monitoring d'erreurs et d'attaques en continu (Sentry, rate limiting sur les API sensibles)

9. Cookies

Nous utilisons trois catégories de cookies, gérées via une bannière de consentement à 3 niveaux :

  • Cookies techniques (essentiels) : session d'authentification, panier, choix de langue. Activés par défaut, non désactivables.
  • Cookies de mesure d'audience (anonymisés) : Vercel Analytics, Speed Insights. Optionnels.
  • Cookies de personnalisation : thème dark/light, préférences d'affichage. Optionnels.

Aucun cookie de tracking publicitaire ni de réseau social (Facebook Pixel, Google Ads…) n'est utilisé. Vous pouvez modifier vos préférences à tout moment via le pied de page de RestauAI.

10. Transferts hors UE

La majorité de nos sous-traitants sont en zone UE. Certains (Vercel, Anthropic) sont basés aux États-Unis ; des clauses contractuelles types (CCT) de la Commission européenne s'appliquent pour garantir un niveau de protection équivalent. Aucune donnée n'est transférée vers des pays sans garanties suffisantes.

11. Mineurs

RestauAI s'adresse exclusivement à des professionnels majeurs (restaurateurs, livreurs). Nous ne collectons sciemment aucune donnée d'utilisateur mineur. Si vous pensez qu'un mineur s'est inscrit, contactez-nous pour suppression immédiate.

12. Modifications

Cette politique peut être mise à jour pour refléter des évolutions du service ou de la réglementation. La date de dernière mise à jour est indiquée en haut de page. En cas de modification substantielle, nous vous informerons par email au moins 15 jours avant l'entrée en vigueur.

Mentions légalesConfidentialitéCGVContact