Politique de confidentialité
Dernière mise à jour : 7 mai 2026
[À COMPLÉTER] doivent être renseignées (SIRET, capital, dirigeant, DPO). Une fois finalisé, masquer ce bandeau avec NEXT_PUBLIC_LEGAL_FINALIZED=true.Waivoo accorde une importance particulière à la protection de vos données personnelles. Cette politique décrit, conformément au Règlement (UE) 2016/679 (RGPD) et à la loi Informatique et Libertés, les traitements que nous opérons, les bases légales associées, les durées de conservation, et les droits dont vous disposez.
1. Responsables de traitement
Site édité par Yassine Belhi, entrepreneur en cours d'immatriculation au Registre du Commerce et des Sociétés. Statut juridique cible : SAS (Société par Actions Simplifiée), en cours de constitution. Adresse postale communiquée sur demande à [email protected]. Téléphone : +33 7 67 50 58 48. Email général : [email protected].
Waivoo est responsable de traitement pour les données concernant ses prospects (HotLead), ses clients restaurateurs (comptes SaaS) et ses propres opérations (comptabilité, RH, support).
Waivoo est sous-traitant au sens de l'article 28 RGPD pour les données traitées pour le compte d'un restaurant client : commandes des consommateurs finaux, programme de fidélité, réservations, fonctionnalités d'IA. Le restaurant chez qui vous commandez est dans ce cas responsable de traitement.
2. Référent données personnelles
Compte tenu de la taille actuelle de la structure, aucun Délégué à la protection des données (DPO) au sens de l'article 37 RGPD n'est obligatoirement désigné. Un référent assure néanmoins le suivi des demandes : Yassine Belhi — [email protected].
3. Finalités, bases légales et données collectées
3.1 Création de compte restaurateur
Données : email, nom, prénom, téléphone, mot de passe (haché bcrypt 12).
Finalité : ouverture et gestion du compte SaaS, authentification.
Base légale : exécution du contrat (art. 6.1.b RGPD).
3.2 Prospection commerciale (formulaire « Demander une démo »)
Données : prénom, nom, nom du restaurant, email, téléphone, ville.
Finalité : contact commercial pour présentation du produit.
Base légale : consentement (art. 6.1.a RGPD + LIL art. L34-5 CPCE). Vous pouvez vous désinscrire à tout moment via le lien /unsubscribe ou en répondant à n'importe lequel de nos emails.
3.3 Commande au restaurant via QR code
Données : prénom (facultatif), table, numéro de session, contenu de la commande, allergènes déclarés (donnée de santé — art. 9 RGPD).
Finalité : exécution de la commande et préparation en cuisine sans risque pour votre santé.
Bases légales : exécution du contrat (art. 6.1.b) ; pour les allergènes, consentement explicite recueilli avant validation (art. 9.2.a). Sans consentement, les allergènes ne peuvent pas être enregistrés.
3.4 Programme de fidélité
Données : téléphone, prénom, historique des points, badges, défis.
Finalité : attribution de récompenses et personnalisation du parcours.
Base légale : consentement (art. 6.1.a). L'adhésion est facultative et révocable à tout moment.
3.5 Recommandations IA (sommelier, persona)
Données : prompt anonymisé, allergènes (si consentement), préférences.
Finalité : proposition d'accords mets-vins et de plats adaptés.
Base légale : intérêt légitime (art. 6.1.f) ou consentement (art. 6.1.a) si profilage.
4. Destinataires et sous-traitants
Vos données sont accessibles à :
- Le personnel autorisé du restaurant chez qui vous commandez ;
- Les équipes techniques et support de Waivoo, sous contrat de confidentialité ;
- Les sous-traitants techniques listés ci-dessous, encadrés par un accord de traitement (DPA art. 28) :
- Hetzner Online GmbH (Allemagne) — hébergement infrastructure.
- Stripe Payments Europe Ltd (Irlande) — paiements en ligne. Aucun numéro de carte n'est conservé sur nos serveurs (PCI-DSS Stripe).
- Sentry (États-Unis, clauses contractuelles types) — supervision technique des erreurs. Filtrage actif des données personnelles avant envoi.
- Groq Inc. / OpenAI (États-Unis, clauses contractuelles types) — fournisseur de modèles d'IA pour les fonctions sommelier et persona. Les prompts ne contiennent pas d'identifiant nominatif.
- Google Wallet / Apple Wallet (États-Unis, clauses contractuelles types) — émission de la carte de fidélité dématérialisée.
- Prestataire SMTP [À COMPLÉTER] — envoi des emails transactionnels.
- PostHog Inc. — analytics produit (funnels, heatmaps, feature flags), hébergé en Union européenne (Frankfurt). Utilisé uniquement avec votre consentement « mesure d'audience ». Aucune donnée nominative n'est envoyée (filtrage actif côté serveur et client).
5. Transferts hors Union européenne
Certains sous-traitants (Stripe, Sentry, Groq/OpenAI, Google Wallet, Apple Wallet) traitent des données aux États-Unis. Ces transferts sont encadrés par des clauses contractuelles types adoptées par la Commission européenne (décision 2021/914) et complétées par des mesures techniques (chiffrement en transit, minimisation des données envoyées).
6. Durées de conservation
| Catégorie | Durée |
|---|---|
| Compte client (actif) | Durée de la relation contractuelle |
| Compte client (inactif) | 3 ans après dernière connexion |
| Prospects (HotLead non convertis) | 3 ans après dernier contact |
| Factures et documents comptables | 10 ans (art. L123-22 Code commerce) |
| Réservations passées | 1 an puis anonymisation |
| Logs sécurité (audit admin) | 1 an |
| Cookies et consentements | 13 mois |
7. Vos droits
Vous disposez des droits suivants (art. 15 à 22 RGPD) :
- Accès : obtenir une copie des données vous concernant.
- Rectification : corriger des données inexactes ou incomplètes.
- Effacement (« droit à l'oubli ») : supprimer vos données, sauf obligations légales (factures conservées 10 ans pseudonymisées).
- Limitation : restreindre temporairement le traitement.
- Portabilité : recevoir vos données dans un format structuré (JSON/CSV).
- Opposition : refuser un traitement fondé sur l'intérêt légitime ou la prospection.
- Retrait du consentement à tout moment, sans effet rétroactif.
Pour exercer ces droits, écrivez à [email protected]. Nous vous répondrons sous 1 mois (art. 12.3 RGPD), prorogeable de 2 mois si la demande est complexe.
8. Réclamation auprès de la CNIL
Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la CNIL : www.cnil.fr/fr/plaintes.
9. Sécurité
Waivoo applique des mesures techniques et organisationnelles conformes à l'article 32 RGPD : chiffrement TLS en transit, hashage bcrypt des mots de passe, contrôle d'accès par rôles, journalisation des opérations sensibles, supervision des erreurs avec anonymisation préalable.
10. Décisions automatisées et profilage
Aucune décision produisant des effets juridiques significatifs ne repose sur un traitement exclusivement automatisé. Les recommandations IA (plats, vins) sont indicatives et n'altèrent pas vos droits.
11. Modifications
Cette politique peut évoluer. Toute modification substantielle vous sera notifiée par email ou via la PWA, et vous serez invité à reconfirmer votre consentement le cas échéant.