Politique de confidentialité
Dernière mise à jour : 30 mai 2026
Cette traduction est fournie à titre de commodité. En cas de divergence avec la version anglaise, le texte anglais prévaut.
1. Qui nous sommes
OneScan ("nous", "notre") est exploité par OneScan, société immatriculée à Varna, Bulgarie (numéro de société / EIK et numéro de TVA disponibles sur demande). Nous sommes le responsable du traitement des données personnelles des titulaires de compte traitées via la plateforme OneScan à onescan.menu (le "Service").
Pour toute question concernant la présente Politique de confidentialité ou vos données personnelles, contactez-nous à onescan.menu@outlook.com. Nous n'avons pas désigné de Délégué à la protection des données, car cela n'est pas légalement requis en vertu de l'article 37 du RGPD (nous ne sommes pas une autorité publique, nos activités principales ne consistent pas en un suivi systématique à grande échelle, et nous ne traitons pas de données sensibles à grande échelle).
2. Notre rôle et le vôtre
Pour les titulaires de compte (vous) : nous agissons en tant que responsable du traitement des données personnelles décrites à l'article 3, car nous décidons des finalités et des moyens du traitement (gestion de votre compte, facturation, sécurité, assistance clientèle).
Pour le contenu que vous publiez : les menus, descriptions d'articles, images et informations professionnelles que vous téléversez sont votre contenu. Si vous choisissez d'y inclure des données personnelles de tiers (par exemple, citer un employé dans un menu ou téléverser une photo d'une personne identifiable), vous êtes le responsable du traitement de ces données personnelles et nous agissons uniquement en qualité de sous-traitant pour votre compte, en les stockant et en les affichant selon vos instructions. Il vous appartient de disposer d'une base légale pour leur publication. Les clients professionnels qui souhaitent un Contrat de sous-traitance des données (DPA) écrit au titre de l'article 28 du RGPD peuvent en faire la demande à onescan.menu@outlook.com.
Pour les convives qui scannent un menu QR : nous ne collectons délibérément aucune donnée personnelle des convives. Les consultations de page sont enregistrées uniquement comme un compteur, sans adresse IP, empreinte d'appareil, cookies ni aucun autre identifiant.
3. Quelles données nous collectons
Nous collectons les catégories suivantes de données personnelles :
Données de compte
- Nom, adresse e-mail et mot de passe haché (ou données de profil Google OAuth)
- Statut de vérification de l'e-mail
- Préférences du compte (langue, thème, formule)
Contenu professionnel
- Noms d'entreprise, descriptions et emplacements que vous saisissez
- Noms de menus, articles, prix, catégories et descriptions
- Images que vous téléversez pour les articles de menu (les métadonnées EXIF sont supprimées lors du téléversement)
- Traductions que vous fournissez pour le contenu des menus
Données techniques
- Adresse IP et chaîne user-agent (collectées automatiquement à la connexion à des fins de sécurité de session et de prévention des abus)
- Jetons de session (stockés dans un cookie httpOnly et sécurisé)
- Journaux serveur contenant les données ci-dessus pendant une courte durée de conservation
Données de paiement
- Identifiants client et d'abonnement Stripe (stockés sur notre serveur)
- Les coordonnées de carte de paiement sont collectées et traitées intégralement par Stripe - nous ne voyons ni ne stockons jamais votre numéro de carte
Données d'usage
- Compteurs anonymes de consultations de pages pour les menus publics (nous enregistrons qu'une consultation a eu lieu, sans savoir qui - aucune IP, cookie ni donnée d'appareil n'est stocké pour les consultations)
4. Comment nous utilisons vos données
| Finalité | Base légale (art. 6 RGPD) |
|---|---|
| Fournir et exploiter le Service (gestion de compte, hébergement de menus, codes QR) | Exécution du contrat |
| Traiter les paiements et gérer les abonnements | Exécution du contrat |
| Envoyer des e-mails transactionnels (bienvenue, réinitialisation de mot de passe, vérification d'e-mail, avis de facturation) | Exécution du contrat |
| Maintenir la sécurité des sessions et prévenir les abus (adresse IP, user-agent, limitation de débit) | Intérêt légitime (sécurité) |
| Afficher des compteurs anonymes de consultations sur le tableau de bord | Intérêt légitime (analyse) |
| Améliorer le Service et développer de nouvelles fonctionnalités à partir de données agrégées et anonymisées qui ne peuvent vous être rattachées | Intérêt légitime (développement produit) |
| Mentionner le nom de votre entreprise ou votre page de menu publique comme exemple client, sauf opposition par e-mail | Intérêt légitime (marketing) |
| Respecter les obligations légales (registres fiscaux, prévention de la fraude, demandes légitimes) | Obligation légale |
Nous ne procédons pas à des décisions automatisées ni à du profilage produisant des effets juridiques ou similaires significatifs vous concernant au sens de l'article 22 du RGPD.
5. Services tiers (sous-traitants ultérieurs)
Nous partageons des données personnelles avec les services tiers suivants, uniquement pour fournir le Service :
| Service | Finalité | Localisation des données |
|---|---|---|
| Hetzner Online GmbH | Hébergement serveur, base de données, stockage d'images | Allemagne (UE) |
| Stripe Payments Europe Ltd. | Traitement des paiements, facturation des abonnements | UE / États-Unis (avec CCT de l'UE) |
| Resend, Inc. | Envoi d'e-mails transactionnels | États-Unis (avec CCT de l'UE) |
| Google LLC (OAuth, facultatif) | Connexion avec Google, si vous choisissez cette méthode | États-Unis (avec CCT de l'UE) |
Nous ne vendons, ne louons ni n'échangeons vos données personnelles. Nous n'utilisons aucun service publicitaire ou d'analyse tiers. Nous pouvons recourir à d'autres sous-traitants ultérieurs à mesure que le Service évolue ; une liste à jour est disponible sur demande, et nous ne ferons appel à aucun sous-traitant ultérieur qui n'offre pas de garanties équivalentes en matière de protection des données. Nous ne partageons pas vos données avec d'autres parties, sauf si la loi ou une décision judiciaire l'exige.
6. Transferts internationaux de données
Vos données sont principalement stockées sur des serveurs en Allemagne (UE). En cas de transfert vers des sous-traitants hors UE/EEE (Stripe, Resend, Google), nous nous appuyons sur les Clauses contractuelles types (CCT, décision 2021/914) de la Commission européenne comme mécanisme de transfert, ainsi que sur les mesures techniques et organisationnelles imposées à ces sous-traitants. Une copie des CCT en vigueur avec chaque sous-traitant est disponible sur demande.
7. Cookies
OneScan utilise uniquement des cookies strictement nécessaires :
- Un cookie de session d'authentification (httpOnly, sécurisé) qui vous maintient connecté pendant 7 jours au maximum.
- Un cookie de préférence de thème qui mémorise votre choix de mode clair/sombre pendant 1 an au maximum.
Nous n'utilisons aucun cookie de suivi, publicitaire ou d'analyse. Comme tous nos cookies sont strictement nécessaires au fonctionnement du Service, aucune bannière de consentement aux cookies n'est requise au titre de la directive ePrivacy (2002/58/CE, art. 5.3).
8. Conservation des données
- Données de compte et contenus : conservés tant que votre compte est actif. Nous pouvons supprimer les comptes gratuits inactifs et leur contenu après 12 mois d'inactivité, après notification par e-mail. Supprimés sous 30 jours sur demande valide de suppression, sauf obligation légale de conservation.
- Données de session (IP, user-agent) : conservées pendant la durée de la session (jusqu'à 7 jours). Les journaux d'accès serveur contenant des adresses IP sont conservés jusqu'à 90 jours à des fins de sécurité et de prévention des abus.
- Enregistrements de paiement : identifiants client et d'abonnement Stripe, factures et registres de facturation associés sont conservés aussi longtemps que requis par les obligations fiscales et comptables (généralement 10 ans en droit bulgare).
- Compteurs anonymes et analytiques agrégés : conservés indéfiniment (aucune donnée personnelle n'est associée aux consultations).
- Sauvegardes : les données peuvent subsister dans des sauvegardes chiffrées jusqu'à 30 jours après leur suppression du système de production, puis sont effacées par rotation.
9. Vos droits (RGPD)
En tant que personne concernée au titre du Règlement général sur la protection des données (RGPD), vous disposez des droits suivants :
- Droit d'accès : demander une copie des données personnelles que nous détenons sur vous.
- Droit de rectification : corriger des données inexactes (vous pouvez mettre à jour votre nom et votre e-mail directement dans l'application).
- Droit à l'effacement : demander la suppression de votre compte et de toutes les données associées, sous réserve des obligations légales de conservation.
- Droit à la portabilité : demander un export de vos données dans un format structuré et lisible par machine.
- Droit à la limitation du traitement : demander que nous limitions l'utilisation de vos données pendant qu'une réclamation ou rectification est en cours.
- Droit d'opposition : au traitement fondé sur l'intérêt légitime, y compris l'utilisation marketing du nom de votre entreprise (voir article 4).
- Droit de retrait du consentement : lorsque le traitement est fondé sur le consentement, vous pouvez le retirer à tout moment sans porter atteinte à la licéité du traitement antérieur.
- Droit d'introduire une réclamation : vous pouvez introduire une réclamation auprès de la Commission bulgare de protection des données personnelles (CPDP / Комисия за защита на личните данни, www.cpdp.bg) ou de votre autorité de contrôle locale dans l'UE.
Pour exercer l'un de ces droits, contactez-nous à onescan.menu@outlook.com. Nous répondrons dans un délai d'un mois (prolongeable de deux mois supplémentaires pour les demandes complexes au titre de l'art. 12.3 du RGPD). Nous pouvons vous demander de vérifier votre identité avant d'agir sur une demande, et nous pouvons refuser ou facturer des frais raisonnables pour des demandes manifestement infondées ou excessives.
10. Sécurité des données et notification des violations
Nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données personnelles, notamment : connexions chiffrées (TLS/HTTPS) pour toutes les données en transit ; mots de passe hachés (jamais stockés en clair) ; cookies de session httpOnly et sécurisés ; base de données hébergée dans des centres de données UE avec contrôles d'accès ; limitation de débit et surveillance des abus ; et mises à jour de sécurité régulières de notre infrastructure. Aucun système n'est sûr à 100 %, mais nous prenons des précautions raisonnables pour protéger vos données.
En cas de violation de données personnelles susceptible de présenter un risque pour vos droits et libertés, nous notifierons la CPDP bulgare dans les 72 heures suivant la prise de connaissance lorsque cela est possible, et nous informerons les utilisateurs concernés sans retard injustifié lorsque la violation est susceptible d'entraîner un risque élevé, conformément aux articles 33 et 34 du RGPD.
11. Enfants
Le Service ne s'adresse pas aux personnes de moins de 18 ans et est destiné à un usage professionnel. Nous ne collectons pas sciemment de données personnelles d'enfants. Si vous pensez qu'un enfant nous a fourni des données personnelles, contactez-nous et nous les supprimerons rapidement.
12. Modifications de la présente politique
Nous pouvons mettre à jour la présente Politique de confidentialité de temps à autre. Nous vous informerons des modifications substantielles par e-mail ou par un avis visible dans le Service. La date de "Dernière mise à jour" en haut reflète la dernière révision. Les modifications non substantielles (clarifications, mise en forme, mises à jour de la liste des sous-traitants ultérieurs) peuvent être apportées sans préavis.