Politique de confidentialité
Comment Bistrevo traite vos données personnelles, conformément au RGPD.
Dernière mise à jour : 2 mai 2026
La présente politique décrit la manière dont Bistrevo (ci-après « Bistrevo » ou « nous ») collecte, utilise et protège les données personnelles de ses clients (les restaurateurs), de leurs employés (utilisateurs du portail self-service) et des visiteurs du site www.bistrevo.com.
Elle est conforme au Règlement (UE) 2016/679 du 27 avril 2016 (RGPD) et à la loi n° 78-17 du 6 janvier 1978 modifiée (« Informatique et Libertés »).
1. Responsable de traitement
Le responsable de traitement est l'éditeur du service tel qu'identifié dans les mentions légales. Pour toute question relative à vos données personnelles : rgpd@bistrevo.com.
Lorsque vous utilisez Bistrevo en tant qu'établissement de restauration pour gérer les données de vos employés, vous êtes le responsable de traitement de ces données ; Bistrevo agit alors en qualité de sous-traitantau sens de l'article 28 du RGPD. Un accord de traitement des données (DPA) est mis à votre disposition sur demande à rgpd@bistrevo.com.
2. Données collectées et finalités
2.1 Compte utilisateur (gestionnaire ou employé)
- Données d'identification : nom, prénom, email, rôle (gestionnaire / employé), date d'invitation.
- Authentification : déléguée à notre sous-traitant Clerk Inc. Bistrevo ne stocke pas les mots de passe.
- Préférences d'interface : configuration du tableau de bord, règles d'alertes choisies.
2.2 Données opérationnelles du restaurant
- Ventes : tickets et lignes de tickets synchronisés depuis votre caisse (Lightspeed, Tiller, Innovorder…). Aucune donnée de paiement (numéro de carte) n'est collectée.
- Stock et achats : ingrédients, recettes, bons de commande, factures fournisseurs scannées, inventaires.
- Coûts fixes : loyer, énergie, abonnements renseignés par le gestionnaire.
2.3 Données RH (si vous utilisez le module Équipe)
- Profil employé : identité, coordonnées, type de contrat, taux horaire, nationalité, numéro de sécurité sociale (si renseigné par le gestionnaire).
- Documents administratifs : pièce d'identité, carte de séjour, RIB, fiches de paie, contrats, visites médicales — stockés chiffrés en base.
- Planning, pointage, congés : shifts planifiés, horaires pointés, demandes de congés, validation mensuelle des heures.
- Photos de pointage : selfies pris au moment du clock-in / clock-out, à des fins anti-fraude. Conservés 90 jours glissants puis supprimés automatiquement.
2.4 Données techniques
- Logs applicatifs (URL, code retour, temps de réponse) — anonymisés au-delà de 30 jours.
- Adresse IP et user-agent, conservés 12 mois pour la sécurité (lutte contre la fraude et les intrusions).
3. Bases légales des traitements
| Finalité | Base légale |
|---|---|
| Fourniture du service Bistrevo (compte, dashboards, alertes) | Exécution du contrat (art. 6.1.b RGPD) |
| Gestion RH des employés du restaurant | Obligation légale du restaurateur (Code du travail) — Bistrevo agit en sous-traitant |
| Photos de pointage (anti-fraude) | Intérêt légitime du restaurateur, encadré par DPA |
| Sécurité et logs techniques | Intérêt légitime de Bistrevo (art. 6.1.f RGPD) |
| Facturation et comptabilité | Obligation légale (art. 6.1.c RGPD) |
| Communications produit (newsletter) | Consentement, retirable à tout moment |
4. Durées de conservation
- Compte client actif : pendant toute la durée du contrat.
- Données après résiliation : suppression complète sur demande sous 30 jours, ou conservation en archive intermédiaire pendant 5 ans à des fins probatoires (art. 2224 du Code civil), sauf opposition justifiée.
- Documents comptables et fiscaux : 10 ans (art. L.123-22 du Code de commerce).
- Documents RH : durées légales applicables au restaurateur (5 ans pour les contrats, bulletins de paie ; 50 ans pour certaines pièces).
- Photos de pointage : 90 jours glissants.
- Logs techniques : 12 mois.
5. Sous-traitants (sub-processors)
Pour fournir le service, Bistrevo s'appuie sur les sous-traitants suivants, tous engagés par contrat à respecter le RGPD :
| Sous-traitant | Rôle | Localisation |
|---|---|---|
| Vercel Inc. | Hébergement frontend | USA — clauses contractuelles types UE |
| Railway Corp. | Hébergement API et base PostgreSQL | USA — région UE possible sur demande |
| Clerk Inc. | Authentification utilisateurs | USA — DPA + clauses contractuelles types UE |
| Anthropic PBC | Conseil IA (analyse anonymisée des KPI, scan factures fournisseurs) | USA — données non utilisées pour entraînement |
| Stripe Inc. | Facturation et paiements (à venir) | Irlande (Stripe Payments Europe Ltd.) |
| Resend Inc. | Envoi d'emails transactionnels | USA — clauses contractuelles types UE |
| Sentry (Functional Software Inc.) | Monitoring d'erreurs (sans PII) | USA — données techniques uniquement |
Bistrevo s'engage à informer ses clients de tout changement de sous-traitant susceptible d'impacter le traitement de leurs données.
6. Transferts hors UE
Certains de nos sous-traitants étant établis hors de l'Union européenne, des transferts de données peuvent avoir lieu. Ces transferts sont encadrés par :
- des clauses contractuelles types de la Commission européenne (décision 2021/914), ou
- un mécanisme de certification reconnu (ex. : EU-US Data Privacy Framework lorsque le sous-traitant y est inscrit).
7. Sécurité
Bistrevo met en œuvre les mesures techniques et organisationnelles suivantes :
- chiffrement TLS 1.3 sur l'ensemble des échanges client/serveur ;
- isolation multi-tenant stricte au niveau base de données (Postgres Row-Level Security) ;
- chiffrement au repos des disques par notre hébergeur ;
- documents RH stockés en colonnes chiffrées (
BYTEA+ chiffrement transparent) ; - authentification gérée par Clerk avec MFA disponible ;
- backups quotidiens de la base de données avec rétention 7 jours minimum, restauration testée régulièrement ;
- surveillance continue des erreurs (Sentry) et de la disponibilité.
8. Vos droits RGPD
Vous disposez à tout moment des droits suivants :
- Droit d'accès : obtenir la copie des données vous concernant.
- Droit de rectification : corriger des données inexactes ou incomplètes.
- Droit à l'effacement (art. 17) : demander la suppression de vos données.
- Droit à la portabilité (art. 20) : récupérer vos données dans un format structuré et lisible.
- Droit d'opposition et de limitation du traitement.
- Retrait du consentement à tout moment, lorsque le traitement est fondé sur ce dernier.
- Définir des directives sur le sort de vos données après votre décès.
Pour exercer ces droits, deux options :
- Self-service : depuis votre espace client, rubrique Paramètres → Compte, vous pouvez exporter l'intégralité de vos données ou supprimer définitivement votre compte.
- Par email : rgpd@bistrevo.com. Réponse sous 30 jours maximum.
Vous disposez également du droit d'introduire une réclamation auprès de la CNIL (www.cnil.fr).
9. Cookies
Voir notre politique cookies.
10. Modifications
La présente politique peut être modifiée à tout moment pour refléter des évolutions légales ou techniques. La date de dernière mise à jour est indiquée en tête de page. En cas de modification substantielle, nous vous en informerons par email ou via une notification dans l'application.