Politique de confidentialité - Recepta
Version 1.0 — Date d'effet : 17 septembre 2025 — Périmètre : France
1) Qui traite vos données ?
Recepta SAS – RCS Lille Métropole n° 941 649 345 Siège : 12 rue du Général Leclerc, 59350 Saint-André-lez-Lille Représentant légal : M. Gabriel Roussel Contact RGPD : [email protected] Cette politique explique quelles données nous traitons, pourquoi, combien de temps, avec qui, et vos droits. Les cookies sont couverts par une Politique Cookies distincte.
2) Quelles données traitons-nous ?
  • Compte & profil (obligatoires) : nom, prénom, email pro, nom & type d'établissement, SIRET, adresse pro.
  • Facultatif : téléphone.
  • Équipe (multi-utilisateurs) : email des collaborateurs (obligatoire pour inviter), nom/prénom (facultatifs) visibles sur leur profil interne.
  • Facturation : identité & coordonnées liées au SIRET / siège.
  • Support : messages, pièces jointes, métadonnées de ticket (DevRev) et échanges email.
  • Technique : journaux (horodatage, IP, appareil/OS, identifiants techniques), événements d'usage essentiels (incluant téléchargements d'app).
  • Authentification (SSO) : identifiant chiffré, nom, email (Google, Apple).
  • Paiement (Stripe) : références de transaction, statut, jetons techniques (nous ne stockons pas de numéros de carte).
  • Prospection (newsletter) : consentement, préférences, preuve d'opt-in, lien de désabonnement.
  • Données importées : leads/clients importés depuis Airtable ou formulaires site web.
Données obtenues indirectement (art. 14 RGPD)
Lorsque des contacts sont importés (ex. Airtable ou formulaires tiers), nous informons les personnes concernées au plus tard dans le mois suivant l'obtention des données, ou dès la première communication.
3) Pourquoi les traitons-nous ? (bases légales)
  • Fourniture de la Solution : création/gestion de compte, accès équipe, sécurité — Contrat.
  • Facturation & comptabilité : obligations légales, lutte contre la fraude — Obligation légale.
  • Support client & amélioration essentielle (statistiques non publicitaires) — Intérêt légitime (équilibre des intérêts).
  • Bêta-tests / retours volontaires — Consentement.
  • Newsletter B2B (si vous vous inscrivez) — Consentement (opt-in), révocable à tout moment.
4) Avec qui partageons-nous vos données ? (sous-traitants)
Uniquement avec des prestataires qui agissent pour notre compte et selon des contrats conformes RGPD : AWS (hébergement – région eu-west-3, Paris), Stripe (paiement), Google / Apple (SSO), DevRev (support), OVH (messagerie/infra réseau), Airtable (imports structurés). Nous ne vendons jamais vos données.
5) Vos données sortent-elles de l'UE ?
Certains prestataires (Stripe, Google, Apple, DevRev, Airtable) peuvent impliquer des traitements aux États-Unis. Les transferts reposent sur : EU-US Data Privacy Framework (si certifiés) ou Clauses contractuelles types 2021/914 avec mesures supplémentaires (chiffrement, minimisation, TIA). Infos sur demande : [email protected].
6) Durées de conservation (minimum légal)
  • Facturation & comptabilité (factures, identité, SIRET, adresses de facturation) : 10 ans.
  • Contrat & preuve de relation (dossier compte, CGUS, traces essentielles) : durée du contrat + 5 ans.
  • Support client (DevRev, e-mails) : 3 ans après le dernier échange.
  • Prospection (newsletter) : jusqu'au retrait du consentement ou 3 ans après le dernier contact ;
  • preuve de consentement : pendant la prospection ; liste d'opposition : 3 ans.
  • Journaux techniques (logs) : 12 mois max.
  • Paiement (Stripe) : aucune donnée carte ; références de transaction utiles à la comptabilité jusqu'à 10 ans.
  • Sauvegardes : cycle de rétention d'environ 30 jours, puis effacement/anonymisation.
    • À l'issue, les données sont supprimées ou anonymisées de façon irréversible.
7) Vos droits
Accès, rectification, effacement, limitation, opposition, portabilité, retrait du consentement (sans effet rétroactif), et directives post-mortem (droit français). Délai de réponse : 1 mois (prolongeable jusqu'à +2 mois en cas de complexité). Une preuve d'identité peut être demandée. Réclamation : CNIL – www.cnil.fr – 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07. Exercice des droits : [email protected].
8) Sécurité
Chiffrement TLS en transit et au repos, MFA pour les accès d'administration, moindre privilège, journalisation, sauvegardes chiffrées et tests périodiques, gestion des vulnérabilités. En cas d'incident affectant vos données, nous notifions la CNIL sous 72 h et, si nécessaire, les personnes concernées.
9) Données obligatoires & éligibilité
Les champs obligatoires sont nécessaires pour créer votre compte et utiliser la Solution ; à défaut, l'accès peut être impossible. Le téléphone est facultatif. Le service est réservé aux majeurs (18+) agissant à titre professionnel dans les métiers de bouche.
10) Décisions automatisées & IA
Aucune décision entièrement automatisée produisant des effets juridiques significatifs. Les fonctions d'analyse reposent sur des modèles auto-hébergés ; aucune donnée personnelle client n'est transmise à des services externes pour entraîner des modèles.
11) Modifications
Nous pouvons mettre à jour cette politique. Vous serez prévenus 30 jours avant l'entrée en vigueur d'une version modifiée.
En bref : vous gardez la maîtrise de vos données. Nous collectons le minimum utile, ne revendons pas vos informations et travaillons avec des prestataires sécurisés et contractualisés. Pour toute question ou pour exercer vos droits:[email protected].