Document légal

Politique de confidentialité

Yuzu Tech SAS s'engage à protéger vos données personnelles conformément au RGPD (UE 2016/679) et à la loi Informatique et Libertés n° 78-17 du 6 janvier 1978 modifiée. La présente politique s'applique à toute personne utilisant yuzu.tech ou les services Yuzu.

Version 2.0 — 23 mai 2026

01

Responsable du traitement

Yuzu Tech SAS
[Adresse complète, Code postal, Ville]
Email : privacy@yuzu.tech

Yuzu Tech SAS n'a pas l'obligation légale de désigner un Délégué à la Protection des Données (DPO). Toute question relative aux données peut être adressée au point de contact RGPD ci-dessus.

02

Personnes concernées

Restaurateurs

Professionnels s'inscrivant sur yuzu.tech. Yuzu agit en qualité de responsable du traitement.

Clients finaux

Consommateurs commandant via QR code. Le restaurant est responsable du traitement ; Yuzu agit comme sous-traitant (art. 28 RGPD).

03

Données collectées — Restaurateurs (B2B)

CatégorieFinalitéBase légaleConservation
Email, mot de passe (bcrypt)AuthentificationContrat (6.1.b)Compte + 3 ans
Nom, adresse, téléphone de l'établissementVitrine, facturationContrat (6.1.b)Compte + 3 ans
SIRET, N° TVAFiscalité, NF 525Obligation légale (6.1.c) — L.123-22 C. com.10 ans
Identifiant Stripe ConnectReversement des fondsContrat (6.1.b)Durée du compte
Adresse IP (scan IA)Prévention des abusIntérêt légitime (6.1.f)90 jours
Logs de connexionSécurité, débogageIntérêt légitime (6.1.f)30 jours
04

Données collectées — Clients finaux des restaurants

Yuzu agit en qualité de sous-traitant pour le compte du restaurant. Le restaurant est seul responsable de l'information précontractuelle fournie à ses clients.

CatégorieFinalitéBase légale typeConservation
UUID de session (anonyme)Gestion du panierIntérêt légitimeSession + 24 h
Articles, montants, TVA, remisesCommande, ticket, comptabilité NF 525Contrat + obligation légale10 ans
N° de téléphone (fidélité)Points fidélité, SMSConsentement (6.1.a)Jusqu'au retrait ou 3 ans d'inactivité
Informations de paiementPaiement sécuriséContratNon conservées par Yuzu — Stripe
Email (si compte Yuzu créé)Confirmation de commande transactionnelleContrat (6.1.b)Durée du compte
05

Sous-traitants et destinataires des données

Yuzu fait appel aux sous-traitants suivants, sélectionnés pour leurs garanties RGPD :

Sous-traitantPays / régionRôleGaranties
Supabase Inc.UE — eu-west-1 (Irlande / AWS)BDD, auth, stockageHébergement UE, DPA
Vercel Inc.États-Unis / CDN mondialHébergement webCCT CE
Stripe Payments Europe Ltd.Irlande / États-UnisPaiements, ConnectÉtablissement UE, CCT
OpenAI, L.L.C.États-UnisIA scan menus (images seules)CCT, DPA
Upstash Inc.États-UnisCache Redis — limitation de débit anti-abus (adresses IP)CCT, DPA
Resend Inc.États-UnisEnvoi des emails de confirmation de commandeCCT, DPA

Aucune donnée n'est vendue, louée ou cédée à des tiers à des fins commerciales.

06

Transferts de données hors Union européenne

Vercel, OpenAI et le siège de Stripe sont établis aux États-Unis. Ces transferts sont encadrés par les clauses contractuelles types (CCT) adoptées par la Commission européenne (Décision 2021/914 du 4 juin 2021), conformément à l'art. 46 RGPD.

Copie des garanties contractuelles disponible sur demande à privacy@yuzu.tech.

07

Cookies et traceurs

Conformément à la délibération CNIL n° 2020-091 du 17 septembre 2020, Yuzu n'utilise que des cookies strictement nécessaires, exemptés de consentement :

sb-[ref]-auth-token

Session Supabase Auth — durée : 7 jours glissants — maintien de l'authentification.

sb-[ref]-auth-token.0 / .1

Fragments du token JWT — même durée — scindés pour respecter la limite de taille.

Yuzu n'utilise aucun cookie publicitaire, de profilage ou d'analytics tiers.

08

Vos droits (art. 15–22 RGPD)

Accès (art. 15)

Obtenir une copie de vos données

Rectification (art. 16)

Corriger des données inexactes

Effacement (art. 17)

Droit à l'oubli

Limitation (art. 18)

Restreindre temporairement un traitement

Portabilité (art. 20)

Recevoir vos données dans un format structuré

Opposition (art. 21)

Vous opposer à un traitement fondé sur l'intérêt légitime

Demande à adresser à privacy@yuzu.tech avec pièce d'identité. Réponse sous 1 mois (extensible à 3 mois, art. 12 RGPD).

En cas de non-respect, vous pouvez saisir la CNIL — 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07.

09

Sécurité des données

TLS 1.3

Chiffrement de toutes les communications

bcrypt

Mots de passe jamais stockés en clair

MFA

Authentification multi-facteurs disponible

RLS

Row-Level Security sur toutes les tables

Secrets

Clés API via variables d'environnement chiffrées

Audits

Journalisation des accès et audits réguliers

En cas de violation de données à caractère personnel à risque élevé, Yuzu vous notifie dans les 72 heures (art. 33–34 RGPD).

10

Décisions automatisées et profilage

Yuzu n'effectue aucune décision automatisée au sens de l'article 22 RGPD ayant des effets juridiques. L'analyse IA des photos de menus traite des images de plats sans incidence individuelle.

11

Données relatives aux mineurs

Le service est destiné aux professionnels et aux majeurs (16 ans minimum). Yuzu ne collecte pas sciemment de données personnelles auprès de mineurs. Si vous pensez qu'un mineur nous a transmis des données, contactez privacy@yuzu.tech.

12

Modifications de la présente politique

Toute modification substantielle sera notifiée par email au moins 30 jours avant son entrée en vigueur. La date de mise à jour figure ci-dessous.

Autorité de contrôle : CNIL — Commission nationale de l'informatique et des libertés