CallEat (ci-apres « CallEat », « nous ») edite une plateforme SaaS de communication restaurant. La protection de vos donnees personnelles est essentielle. La presente politique decrit, en application du Reglement (UE) 2016/679 (RGPD) et de la loi « Informatique et Libertes » du 6 janvier 1978 modifiee, quelles donnees sont collectees, pourquoi, comment elles sont protegees et quels sont vos droits.
Elle s'applique a l'ensemble des utilisateurs du service : administrateurs restaurants et leurs equipes (managers, serveurs), clients finaux des restaurants qui scannent un QR code, et prospects qui remplissent un formulaire sur calleat.fr.
2. Responsable du traitement
Le responsable du traitement est :
Mehdi Bougattaya — Entrepreneur individuel (EI) (CallEat)
Adresse : 323 boulevard de la Coopérative, Villa 10 résidence Terre Nature, 13610 Le Puy-Sainte-Réparade, France
Email RGPD : dpo@calleat.fr
Email support : support@calleat.fr
Delegue a la protection des donnees (DPO) : en application de l'article 37 du RGPD, la designation d'un DPO n'est pas obligatoire pour la structure actuelle (moins de 250 salaries, traitement non a grande echelle de donnees sensibles). Une boite email dediee dpo@calleat.fr est toutefois en place pour centraliser toutes vos demandes liees a la protection des donnees.
Lorsque CallEat traite des donnees pour le compte de ses clients professionnels (donnees des serveurs, des clients finaux d'un restaurant), elle agit en qualite de sous-traitant au sens de l'article 28 du RGPD : voir notre accord de sous-traitance (DPA).
3. Donnees collectees
3.1 Administrateurs restaurants (clients CallEat)
Identite : nom, prenom, fonction
Coordonnees : email professionnel, telephone
Donnees restaurant : raison sociale, adresse, horaires, type d'etablissement, photos et menus publies via la vitrine
Donnees de connexion : identifiants, sessions actives, IP, journaux d'audit
Donnees de paiement : informations de facturation (collectees et stockees exclusivement par Stripe — nous ne stockons aucun numero de carte sur nos serveurs)
3.2 Equipes du restaurant (serveurs, managers)
Identite : nom, prenom
Email professionnel et identifiants de connexion (mot de passe hashe via bcrypt)
Sessions de travail (clock-in / clock-out), planning
Statistiques operationnelles (temps de reponse, appels traites)
Ces donnees sont saisies par l'employeur (le restaurant) qui en est responsable de traitement. CallEat agit en sous-traitant pour leur hebergement et leur traitement technique.
3.3 Clients finaux du restaurant (scan QR code)
Les clients finaux ne creent pas de compte et ne nous fournissent aucune donnee nominative. Nous collectons uniquement des donnees techniques anonymes :
Numero de table scannee et horodatage
Type d'appareil, navigateur, langue (donnees techniques)
Cookies techniques de session (anonymes)
Aucun profilage publicitaire n'est realise. Aucune adresse IP brute n'est conservee au-dela de la duree de la session.
3.4 Prospects (formulaire de contact / demande de demo)
Nom, prenom, fonction, raison sociale, ville
Email, telephone (formats normalises)
Source UTM, date et IP de soumission (preuve du consentement)
Donnees publiques d'enrichissement (Google Places, registre SIRENE) dans la limite de l'interet legitime de prospection B2B
4. Finalites et bases legales
Chaque traitement repose sur une base legale prevue par le RGPD (article 6) :
Execution du contrat (art. 6.1.b) : creation et gestion du compte, fourniture du service, facturation, support.
Interet legitime (art. 6.1.f) : amelioration continue du service, securisation, prevention des fraudes, prospection B2B mesuree.
Consentement (art. 6.1.a) : cookies analytiques et marketing, envoi de newsletter, sollicitation par chatbot IA.
Obligation legale (art. 6.1.c) : facturation, comptabilite, lutte contre la fraude, reponses aux requisitions judiciaires.
5. Durees de conservation
Donnees de compte actives : pendant toute la duree de l'abonnement.
Donnees de compte apres resiliation : 24 mois en archivage actif, puis anonymisees ou supprimees.
Factures et obligations comptables : 10 ans (article L123-22 du Code de commerce).
Journaux de connexion anonymes : 13 mois maximum (recommandation CNIL).
Donnees de prospects sans contact : 24 mois, puis anonymisation automatique (12 mois pour les prospects etablis en Allemagne, conformement aux exigences locales).
Comptes utilisateurs desactives : anonymises 30 jours apres desactivation si le compte n'a pas ete reactive.
6. Destinataires et sous-traitants
Vos donnees ne sont jamais vendues. Elles sont uniquement partagees avec les sous-traitants suivants, selectionnes pour leurs garanties techniques et juridiques (chacun signataire d'un DPA conforme a l'article 28 du RGPD) :
Sous-traitant
Role
Localisation
OVHcloud
Hebergement applicatif et base de donnees
France (UE)
Stripe Payments Europe Ltd
Traitement des paiements
Irlande (UE)
Brevo (ex-Sendinblue)
Envoi d'emails transactionnels et de SMS
France (UE)
OpenAI Ireland Ltd
Assistant chatbot menu (fonctionnalite optionnelle, activee sur consentement du restaurateur)
Irlande (UE) avec sous-traitance technique aux Etats-Unis
Sentry
Monitoring des erreurs (logs techniques anonymises)
Allemagne (UE)
Google Ireland Ltd
Avis externes : lecture des avis publics Google (Places) et publication des reponses via Google Business Profile (fonctionnalite optionnelle « Avis externes & reponse Google », activee sur consentement du restaurateur)
Irlande (UE) avec sous-traitance technique aux Etats-Unis
7. Transferts hors UE
Seules deux fonctionnalites optionnelles peuvent impliquer un transfert ponctuel de donnees vers les Etats-Unis :
Chatbot IA (OpenAI) : les questions posees a l'assistant menu sont traitees par OpenAI ;
Avis externes & reponse Google (Google) : la lecture des avis publics et la publication des reponses transitent par les services Google.
Ces transferts sont encadres par les clauses contractuelles types adoptees par la Commission europeenne (decision d'execution (UE) 2021/914), completees le cas echeant par la certification des prestataires au titre du Data Privacy Framework UE–Etats-Unis. Ces deux fonctionnalites sont desactivees par defaut et peuvent etre activees ou desactivees a tout moment par le restaurateur depuis /admin/feature-settings. Pour tout autre traitement, les donnees restent dans l'Union europeenne.
8. Decisions automatisees
CallEat met en oeuvre certains traitements automatises decisionnels ou semi-decisionnels au sens de l'article 22 du RGPD :
Scoring de prospects (CRM) : attribue un score 0–100 aux prospects entrants pour prioriser le suivi commercial. Ce score n'a pas d'effet juridique ni significatif pour la personne concernee.
Prevision d'affluence et suggestions operationnelles (Smart Features) : recommande des affectations serveurs, des promotions et des renforts d'equipe. Ces suggestions sont consultatives ; toute decision finale appartient a l'humain (manager).
Detection d'anomalies de securite : bloque temporairement un compte apres 5 echecs de connexion. Une intervention humaine reste possible via support@calleat.fr.
Vous disposez du droit de demander une intervention humaine, d'exprimer votre point de vue et de contester ces decisions.
9. Cookies
9.1 Categories
Cookies essentiels (toujours actifs) : session d'authentification, jetons CSRF, panier d'achat, preferences d'affichage. Sans eux, le service ne peut fonctionner.
Cookies de mesure d'audience (consentement requis) : statistiques d'utilisation agregees, anonymisation IP.
Cookies marketing (consentement requis) : suivi de campagnes publicitaires, retargeting.
9.2 Gestion
Le bandeau cookies present sur le site vous permet d'accepter, refuser ou personnaliser les categories non essentielles. Vous pouvez modifier votre choix a tout moment en cliquant sur le lien « Cookies » en pied de page. Vous pouvez egalement configurer votre navigateur pour bloquer les cookies, etant entendu que certaines fonctionnalites pourraient en etre affectees.
10. Securite
Nous mettons en oeuvre les mesures techniques et organisationnelles appropriees au regard du risque, et listees plus en detail dans le DPA :
Chiffrement des donnees en transit (TLS 1.2+)
Chiffrement des donnees au repos (chiffrement Postgres et stockage objet)
Hashage des mots de passe avec bcrypt
Double authentification (TOTP) disponible et recommandee pour les administrateurs
Cloisonnement multi-tenant strict (un restaurant ne peut acceder qu'a ses donnees)
Sauvegardes quotidiennes chiffrees + restauration testee chaque semaine
Surveillance des anomalies de connexion et journalisation d'audit
Mises a jour de securite continues, audit SAST en CI
En cas de violation de donnees a caractere personnel, nous nous engageons a notifier la CNIL dans les 72 heures et a informer les personnes concernees lorsque la violation est susceptible d'engendrer un risque eleve pour leurs droits et libertes (articles 33 et 34 du RGPD).
11. Vos droits
Conformement au RGPD, vous disposez des droits suivants :
Droit d'acces : obtenir une copie de vos donnees.
Droit de rectification : corriger des donnees inexactes.
Droit a l'effacement : demander la suppression de vos donnees.
Droit a la portabilite : recevoir vos donnees dans un format structure (JSON).
Droit d'opposition : vous opposer a un traitement fonde sur l'interet legitime.
Droit a la limitation : faire restreindre le traitement.
Droit de retirer votre consentement : a tout moment, sans effet retroactif.
Droit de definir des directives post-mortem : conformement a la loi Informatique et Libertes.
Comment exercer vos droits :
Par email a dpo@calleat.fr en precisant votre demande et en joignant si necessaire un justificatif d'identite (en cas de doute raisonnable).
Via votre espace client, rubrique /admin/account qui permet la consultation, la rectification, l'export (JSON portable) et la cloture du compte.
Nous repondons dans un delai d'un mois maximum a compter de la reception de votre demande. Si la demande est complexe, ce delai peut etre prolonge de deux mois, avec information prealable.
Droit de reclamation : vous pouvez egalement introduire une reclamation aupres de la Commission Nationale de l'Informatique et des Libertes (CNIL), 3 place de Fontenoy, 75007 Paris, ou en ligne sur cnil.fr.
12. Modifications de la politique
Cette politique peut etre mise a jour pour refleter les evolutions du service ou de la reglementation. Toute modification substantielle est portee a votre connaissance par email ou par une notification dans l'application avec un preavis raisonnable. La version applicable est celle en vigueur a la date de votre visite, indiquee en debut de page.
13. Contact
Pour toute question relative a la presente politique :
Email : dpo@calleat.fr
Courrier : Mehdi Bougattaya / CallEat, 323 boulevard de la Coopérative, Villa 10 résidence Terre Nature, 13610 Le Puy-Sainte-Réparade, France
Nous utilisons des cookies essentiels au fonctionnement du site et, avec votre accord, des cookies pour mesurer son audience et vous proposer du contenu pertinent. Vous pouvez accepter, refuser ou personnaliser votre choix à tout moment. Voir notre politique de confidentialité.