Responsable du traitement
Yuzu Tech SAS
[Adresse complète, Code postal, Ville]
Email : privacy@yuzu.tech
Yuzu Tech SAS n'a pas l'obligation légale de désigner un Délégué à la Protection des Données (DPO). Toute question relative aux données peut être adressée au point de contact RGPD ci-dessus.
Personnes concernées
Restaurateurs
Professionnels s'inscrivant sur yuzu.tech. Yuzu agit en qualité de responsable du traitement.
Clients finaux
Consommateurs commandant via QR code. Le restaurant est responsable du traitement ; Yuzu agit comme sous-traitant (art. 28 RGPD).
Données collectées — Restaurateurs (B2B)
| Catégorie | Finalité | Base légale | Conservation |
|---|---|---|---|
| Email, mot de passe (bcrypt) | Authentification | Contrat (6.1.b) | Compte + 3 ans |
| Nom, adresse, téléphone de l'établissement | Vitrine, facturation | Contrat (6.1.b) | Compte + 3 ans |
| SIRET, N° TVA | Fiscalité, NF 525 | Obligation légale (6.1.c) — L.123-22 C. com. | 10 ans |
| Identifiant Stripe Connect | Reversement des fonds | Contrat (6.1.b) | Durée du compte |
| Adresse IP (scan IA) | Prévention des abus | Intérêt légitime (6.1.f) | 90 jours |
| Logs de connexion | Sécurité, débogage | Intérêt légitime (6.1.f) | 30 jours |
Données collectées — Clients finaux des restaurants
Yuzu agit en qualité de sous-traitant pour le compte du restaurant. Le restaurant est seul responsable de l'information précontractuelle fournie à ses clients.
| Catégorie | Finalité | Base légale type | Conservation |
|---|---|---|---|
| UUID de session (anonyme) | Gestion du panier | Intérêt légitime | Session + 24 h |
| Articles, montants, TVA, remises | Commande, ticket, comptabilité NF 525 | Contrat + obligation légale | 10 ans |
| N° de téléphone (fidélité) | Points fidélité, SMS | Consentement (6.1.a) | Jusqu'au retrait ou 3 ans d'inactivité |
| Informations de paiement | Paiement sécurisé | Contrat | Non conservées par Yuzu — Stripe |
| Email (si compte Yuzu créé) | Confirmation de commande transactionnelle | Contrat (6.1.b) | Durée du compte |
Sous-traitants et destinataires des données
Yuzu fait appel aux sous-traitants suivants, sélectionnés pour leurs garanties RGPD :
| Sous-traitant | Pays / région | Rôle | Garanties |
|---|---|---|---|
| Supabase Inc. | UE — eu-west-1 (Irlande / AWS) | BDD, auth, stockage | Hébergement UE, DPA |
| Vercel Inc. | États-Unis / CDN mondial | Hébergement web | CCT CE |
| Stripe Payments Europe Ltd. | Irlande / États-Unis | Paiements, Connect | Établissement UE, CCT |
| OpenAI, L.L.C. | États-Unis | IA scan menus (images seules) | CCT, DPA |
| Upstash Inc. | États-Unis | Cache Redis — limitation de débit anti-abus (adresses IP) | CCT, DPA |
| Resend Inc. | États-Unis | Envoi des emails de confirmation de commande | CCT, DPA |
Aucune donnée n'est vendue, louée ou cédée à des tiers à des fins commerciales.
Transferts de données hors Union européenne
Vercel, OpenAI et le siège de Stripe sont établis aux États-Unis. Ces transferts sont encadrés par les clauses contractuelles types (CCT) adoptées par la Commission européenne (Décision 2021/914 du 4 juin 2021), conformément à l'art. 46 RGPD.
Copie des garanties contractuelles disponible sur demande à privacy@yuzu.tech.
Cookies et traceurs
Conformément à la délibération CNIL n° 2020-091 du 17 septembre 2020, Yuzu n'utilise que des cookies strictement nécessaires, exemptés de consentement :
sb-[ref]-auth-token
Session Supabase Auth — durée : 7 jours glissants — maintien de l'authentification.
sb-[ref]-auth-token.0 / .1
Fragments du token JWT — même durée — scindés pour respecter la limite de taille.
Yuzu n'utilise aucun cookie publicitaire, de profilage ou d'analytics tiers.
Vos droits (art. 15–22 RGPD)
Accès (art. 15)
Obtenir une copie de vos données
Rectification (art. 16)
Corriger des données inexactes
Effacement (art. 17)
Droit à l'oubli
Limitation (art. 18)
Restreindre temporairement un traitement
Portabilité (art. 20)
Recevoir vos données dans un format structuré
Opposition (art. 21)
Vous opposer à un traitement fondé sur l'intérêt légitime
Demande à adresser à privacy@yuzu.tech avec pièce d'identité. Réponse sous 1 mois (extensible à 3 mois, art. 12 RGPD).
En cas de non-respect, vous pouvez saisir la CNIL — 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07.
Sécurité des données
TLS 1.3
Chiffrement de toutes les communications
bcrypt
Mots de passe jamais stockés en clair
MFA
Authentification multi-facteurs disponible
RLS
Row-Level Security sur toutes les tables
Secrets
Clés API via variables d'environnement chiffrées
Audits
Journalisation des accès et audits réguliers
En cas de violation de données à caractère personnel à risque élevé, Yuzu vous notifie dans les 72 heures (art. 33–34 RGPD).
Décisions automatisées et profilage
Yuzu n'effectue aucune décision automatisée au sens de l'article 22 RGPD ayant des effets juridiques. L'analyse IA des photos de menus traite des images de plats sans incidence individuelle.
Données relatives aux mineurs
Le service est destiné aux professionnels et aux majeurs (16 ans minimum). Yuzu ne collecte pas sciemment de données personnelles auprès de mineurs. Si vous pensez qu'un mineur nous a transmis des données, contactez privacy@yuzu.tech.
Modifications de la présente politique
Toute modification substantielle sera notifiée par email au moins 30 jours avant son entrée en vigueur. La date de mise à jour figure ci-dessous.
Autorité de contrôle : CNIL — Commission nationale de l'informatique et des libertés