Politique de confidentialité
Dernière mise à jour : 24 mars 2026
1. Responsable du traitement
Ordresto (ci-après « nous ») est le responsable du traitement de vos données personnelles. Pour toute question relative à la présente politique, vous pouvez nous contacter à l'adresse suivante : privacy@ordresto.com
2. Données collectées
Nous collectons les données suivantes selon votre utilisation de la plateforme :
2.1 Restaurateurs (comptes dashboard)
- Nom, prénom, adresse e-mail, numéro de téléphone
- Nom et adresse du restaurant, numéro SIRET / TVA
- Données bancaires (IBAN pour les paiements de commissions — stockées chiffrées)
- Informations de facturation et d'abonnement
- Journaux de connexion et d'activité sur le dashboard
2.2 Clients finaux (commandes en ligne)
- Nom, prénom, adresse e-mail (optionnel)
- Adresse de livraison
- Données de commande (articles, montants, horodatage)
- Données de paiement (traitées par Stripe — nous ne stockons pas les données de carte)
2.3 Livreurs
- Nom, prénom, adresse e-mail
- Localisation GPS en temps réel (uniquement pendant les livraisons actives)
- IBAN pour les paiements hebdomadaires (stocké chiffré)
- Historique des livraisons et statistiques de performance
2.4 Intégration Meta (Instagram, Messenger, WhatsApp)
Si vous connectez votre compte Facebook/Instagram via notre intégration Meta, nous collectons et stockons :
- Les tokens d'accès à votre Page Facebook et compte Instagram (stockés chiffrés)
- L'identifiant de votre Page Facebook et compte Instagram Business
- Les messages reçus via Messenger, Instagram Direct et WhatsApp Business (dans le cadre de la gestion des conversations et commandes)
- Les identifiants d'expéditeurs des messages entrants
Ces données sont utilisées exclusivement pour envoyer des réponses automatiques, des notifications de commande et des messages promotionnels autorisés par vous. Nous ne revendons ni ne partageons ces données avec des tiers à des fins publicitaires.
2.5 Influenceurs et agences
Si vous vous inscrivez en tant qu'influenceur ou agence sur la marketplace Ordresto, nous collectons :
- Nom, prenom, adresse e-mail, telephone
- Handles de reseaux sociaux (Instagram, TikTok, etc.)
- Donnees de performance (followers, taux d'engagement, specialites)
- Donnees bancaires via Stripe Connect (KYC complet incluant piece d'identite)
- Contrats signes, delivrables, historique de bookings
- Portfolio media (photos et videos)
Base legale : execution du contrat. Le KYC est gere par Stripe en tant que sous-traitant. Duree de conservation : duree du contrat + 3 ans apres le dernier booking.
2.6 Appels telephoniques (Vapi)
Certains restaurants utilisent un assistant vocal IA (Vapi) pour gerer les appels entrants. Lors d'un appel, nous collectons :
- Numero de telephone de l'appelant
- Resume de la conversation genere par l'IA
- Duree de l'appel et langue detectee
- Commandes ou reservations creees pendant l'appel
Base legale : interet legitime du restaurant pour la gestion des commandes telephoniques. Duree de conservation : 12 mois.
3. Finalités du traitement
| Finalité | Base légale |
|---|---|
| Fourniture du service de commande en ligne | Exécution du contrat |
| Traitement des paiements | Exécution du contrat |
| Envoi d'e-mails transactionnels (confirmation, facture) | Exécution du contrat |
| Notifications via Meta (Messenger, Instagram, WhatsApp) | Consentement / Exécution du contrat |
| Tracking GPS des livreurs | Exécution du contrat |
| Statistiques et analytics anonymisées | Intérêt légitime |
| Prévention de la fraude et sécurité | Intérêt légitime / Obligation légale |
4. Sous-traitants et transferts
Nous faisons appel aux sous-traitants suivants pour assurer nos services :
| Sous-traitant | Rôle | Localisation |
|---|---|---|
| Supabase | Base de données et authentification | UE (Frankfurt) |
| Vercel | Hébergement de l'application web et analytics comportementaux (événements anonymisés : type de commande, méthode de paiement, montant total — sans donnée permettant d'identifier directement un client) | UE / USA (DPA disponible) |
| Stripe | Traitement des paiements | UE / USA (certifié PCI-DSS) |
| Resend | Envoi d'e-mails transactionnels | USA (DPA disponible) |
| Google Maps Platform | Géolocalisation et cartographie | USA (DPA disponible) |
| Meta Platforms (Facebook/Instagram) | Messagerie sociale (Messenger, Instagram DM, WhatsApp) | USA (DPA disponible) |
| Expo (EAS) | Push notifications mobiles | USA (DPA disponible) |
| Vapi | Agent vocal IA pour les appels telephoniques entrants des restaurants. Donnees traitees : numero de telephone de l'appelant, resume de la conversation, duree de l'appel, langue detectee. | USA (DPA disponible) |
| Microsoft Clarity | Analyse comportementale (heatmaps, enregistrements de sessions anonymises). Active uniquement apres consentement cookies "Analytics". Les champs de formulaire sont masques. | USA (DPA disponible) |
5. Durée de conservation
- Données de compte restaurateur : durée du contrat + 3 ans après résiliation
- Données de commandes et factures : 10 ans (obligation légale comptable)
- Données clients finaux : 3 ans après le dernier achat
- Tokens Meta : jusqu'à déconnexion du compte ou révocation du token
- Localisation GPS livreur : non conservée après la livraison terminée
- Journaux de connexion : 12 mois
6. Vos droits (RGPD)
Conformément au Règlement Général sur la Protection des Données (RGPD), vous disposez des droits suivants :
- Droit d'accès — obtenir une copie de vos données personnelles
- Droit de rectification — corriger des données inexactes
- Droit à l'effacement — demander la suppression de vos données
- Droit à la portabilité — recevoir vos données dans un format structuré
- Droit d'opposition — vous opposer à certains traitements
- Droit à la limitation — limiter le traitement de vos données
Pour exercer ces droits, contactez-nous à privacy@ordresto.com. Vous disposez également du droit d'introduire une réclamation auprès de l'autorité de contrôle compétente (en France : la CNIL — www.cnil.fr).
7. Cookies et traceurs
Notre plateforme utilise des cookies strictement nécessaires au fonctionnement du service (session d'authentification) et des mesures d'audience anonymisées via Vercel Analytics. Aucun cookie publicitaire tiers n'est déposé. Vous pouvez configurer votre navigateur pour bloquer les cookies, ce qui peut affecter certaines fonctionnalités.
Vercel Analytics collecte des événements comportementaux sur les storefronts clients (ex. : commande passée, paiement effectué) sous forme agrégée et anonymisée : le type de commande, la méthode de paiement et le montant total sont transmis à Vercel à des fins de mesure de la qualité de service. Aucune donnée permettant d'identifier directement un client (nom, e-mail, adresse) n'est incluse dans ces événements. La base légale est l'intérêt légitime (Art. 6.1.f RGPD).
8. Sécurité
Nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données : chiffrement des données sensibles (tokens, IBAN), connexions HTTPS, Row Level Security (RLS) sur notre base de données PostgreSQL, accès restreints par rôles, journaux d'audit. En cas de violation de données, nous notifierons les autorités compétentes et les personnes concernées dans les délais légaux.
9. Modifications
Nous pouvons mettre à jour cette politique à tout moment. La date de dernière mise à jour est indiquée en haut de cette page. En cas de modification substantielle, nous vous en informerons par e-mail ou via une notification sur le dashboard.
10. Contact
Pour toute question relative à cette politique de confidentialité ou au traitement de vos données personnelles : privacy@ordresto.com