Politique de confidentialité

01Préambule

La société POSAH (ci-après « Posah ») accorde une importance particulière à la protection de la vie privée et des données personnelles de ses utilisateurs. La présente politique de confidentialité a pour objet de vous informer, de manière claire et transparente, sur la manière dont nous collectons, utilisons et protégeons vos données personnelles, conformément au Règlement (UE) 2016/679 du 27 avril 2016 (« RGPD ») et à la loi Informatique et Libertés modifiée.

Cette politique s'applique à toute personne utilisant :

Le site internet posah.fr
L'application qr.posah.fr (interface d'administration des restaurateurs)
Les menus digitaux accessibles via QR code Posah (côté clients finaux)
L'application web progressive (PWA) Posah, lorsqu'elle est installée

02Responsable de traitement

Le responsable de traitement des données personnelles est :

Société	SAS POSAH
Siège social	Piazza Communa, 20160 Guagno, France
SIRET	934 739 376 00010
Représentant légal	Marcandria Gonzalez, Président
Délégué à la protection des données	Marcandria Gonzalez
Email RGPD	contact@posah.fr

À noter Lorsqu'un restaurateur utilise Posah pour collecter des données auprès de ses propres clients finaux (via la PWA notamment), il agit alors en qualité de responsable de traitement de ces données, et Posah agit en qualité de sous-traitant au sens de l'article 28 du RGPD.

03Données que nous collectons

3.1 Données des restaurateurs (clients Posah)

Lorsque vous souscrivez à un abonnement Posah ou utilisez l'interface qr.posah.fr, nous collectons :

Données d'identification professionnelle : nom commercial, raison sociale, SIRET, adresse de l'établissement, logo
Données de contact : nom, prénom, email, téléphone du dirigeant ou de la personne référente
Données de connexion : email et mot de passe (chiffré), date de dernière connexion
Données de paiement : traitées exclusivement par notre prestataire Stripe ; Posah ne stocke jamais les numéros de carte bancaire complets
Données de facturation : historique des factures, abonnement souscrit, dates et montants des paiements
Contenu du menu : photos, descriptions, prix, allergènes, catégories

3.2 Données des clients finaux (utilisateurs scannant le QR)

Lorsqu'un client final consulte un menu Posah via QR code, nous collectons des données limitées au strict nécessaire :

Question optionnelle : « Comment avez-vous connu ce restaurant ? » — réponse fournie volontairement, à des fins statistiques agrégées pour le restaurateur
Statistiques anonymes : plats les plus consultés, langues sélectionnées, agrégées de façon générique sans identification individuelle

3.3 Données des utilisateurs installant la PWA

Si le client final choisit d'installer la PWA Posah sur son appareil et de créer un compte, nous collectons en plus, sur la base de son consentement :

Identité : nom et prénom
Localisation : pour suggérer les restaurants Posah à proximité
Préférences : plats favoris, restaurants visités
Token de notification push : si l'utilisateur accepte les notifications

3.4 Données de navigation (site posah.fr)

Lors de votre navigation sur posah.fr, nous pouvons collecter, sous réserve de votre consentement (cf. article 8 sur les cookies) :

Adresse IP, type de navigateur, système d'exploitation
Pages visitées, durée des visites, source de trafic
Données analytiques agrégées (Google Analytics 4)
Données publicitaires (Pixel Meta, Google Ads)

04Finalités et bases légales

Conformément à l'article 6 du RGPD, chaque traitement repose sur une base légale :

Finalité	Base légale
Création et gestion du compte client restaurateur	Exécution du contrat (art. 6.1.b RGPD)
Fourniture du service de menu digital	Exécution du contrat
Facturation et gestion comptable	Obligation légale (art. 6.1.c RGPD)
Traitement des paiements via Stripe	Exécution du contrat
Envoi de newsletters d'information aux restaurateurs	Intérêt légitime, possibilité de désinscription à tout moment
Statistiques anonymisées sur les plats consultés	Intérêt légitime du restaurateur
Compte client final PWA, géolocalisation, préférences	Consentement (art. 6.1.a RGPD)
Notifications push PWA	Consentement explicite
Cookies analytiques (Google Analytics)	Consentement
Cookies marketing (Pixel Meta, Google Ads)	Consentement
Réponse aux demandes de contact	Intérêt légitime
Lutte contre la fraude et sécurité	Intérêt légitime

05Durées de conservation

Vos données ne sont conservées que pendant la durée strictement nécessaire à la réalisation des finalités décrites ci-dessus :

Catégorie	Durée
Compte client restaurateur actif	Toute la durée de l'abonnement
Compte client après résiliation	3 ans à compter de la fin de la relation contractuelle
Contenus du menu après résiliation	30 jours, puis suppression définitive
Factures et documents comptables	10 ans (obligation légale, art. L. 123-22 Code de commerce)
Données de paiement (Stripe)	13 mois après la dernière transaction
Compte utilisateur PWA inactif	3 ans à compter de la dernière connexion
Données issues des cookies	13 mois maximum
Demandes de contact	3 ans à compter du dernier échange

06Destinataires et sous-traitants

Vos données sont traitées par les équipes habilitées de Posah. Pour assurer le service, nous faisons également appel à des sous-traitants soigneusement sélectionnés, qui présentent des garanties suffisantes au regard du RGPD :

Sous-traitant	Rôle & localisation
The Good Lead LLC	Hébergement des serveurs (USA / serveurs physiques en Allemagne, Union Européenne)
Stripe Payments Europe Ltd.	Traitement des paiements (Irlande / USA)
Anthropic PBC	Intelligence artificielle (traductions, accords mets-vins) — USA
OpenAI LLC	Intelligence artificielle complémentaire — USA
Resend Inc.	Envoi d'emails transactionnels — USA
Google Ireland Ltd.	Google Analytics 4, Google Search Console, Google Ads (Irlande)
Meta Platforms Ireland Ltd.	Pixel Meta, Facebook Ads (Irlande)

Aucune donnée personnelle n'est vendue ni cédée à des tiers à des fins commerciales.

07Transferts de données hors Union Européenne

Certains de nos sous-traitants (Anthropic, OpenAI, Stripe pour certaines opérations, The Good Lead LLC) sont établis aux États-Unis. Dans ce cadre, les transferts de données hors UE sont encadrés par :

Le Data Privacy Framework (cadre de protection des données UE-USA), pour les sous-traitants certifiés
Des Clauses Contractuelles Types (CCT) approuvées par la Commission européenne, conformément à l'article 46 du RGPD
Des mesures de sécurité techniques complémentaires (chiffrement, pseudonymisation lorsque possible)

Vous pouvez demander à recevoir une copie de ces garanties en écrivant à contact@posah.fr.

08Cookies et traceurs

Le site posah.fr utilise des cookies et technologies similaires. Lors de votre première visite, un bandeau de consentement vous permet d'accepter ou de refuser les cookies non strictement nécessaires.

8.1 Cookies strictement nécessaires (sans consentement)

Ces cookies sont indispensables au fonctionnement du site (session de connexion, panier, sécurité). Ils ne peuvent pas être désactivés.

8.2 Cookies analytiques (avec consentement)

Nous utilisons Google Analytics 4 via Site Kit by Google, en mode Google Consent Mode v2. Tant que vous n'avez pas donné votre consentement, aucune donnée analytique n'est transmise à Google. Une fois le consentement donné, nous mesurons l'audience du site (pages vues, durée des visites, sources de trafic) sans vous identifier nominativement.

8.3 Cookies marketing (avec consentement)

Nous utilisons le Pixel Meta (Facebook) et Google Ads pour mesurer la performance de nos campagnes publicitaires et vous proposer une publicité personnalisée sur les plateformes Meta et Google. Ces cookies ne sont déposés qu'avec votre consentement.

8.4 Gestion de votre consentement

Vous pouvez à tout moment modifier vos choix en cliquant sur le lien « Gérer mes cookies » en pied de page du site. Le retrait du consentement est aussi simple à exercer que son recueil.

09PWA et notifications push

L'application web progressive (PWA) Posah peut envoyer des notifications push aux clients finaux qui en ont fait la demande explicite. Ces notifications informent par exemple d'une nouveauté au menu d'un restaurant favori, d'une promotion ponctuelle ou d'un événement.

L'envoi de notifications push repose exclusivement sur votre consentement préalable explicite, exprimé via la boîte de dialogue native de votre navigateur ou de votre système d'exploitation lors de l'installation de la PWA.

Vous pouvez à tout moment révoquer ce consentement :

Depuis les paramètres de votre navigateur (section « Notifications »)
Depuis les paramètres système de votre appareil mobile
Depuis votre compte PWA Posah, en désactivant l'option dans les préférences

10Sécurité des données

Posah met en œuvre des mesures techniques et organisationnelles appropriées pour garantir la sécurité de vos données :

Chiffrement des communications (HTTPS / TLS)
Chiffrement des mots de passe (hachage avec sel)
Hébergement sur infrastructures sécurisées en Union Européenne
Sauvegardes régulières et chiffrées
Accès aux données limité aux personnes habilitées
Authentification renforcée pour les accès administrateur
Journalisation des accès aux données sensibles

En cas de violation de données susceptible d'engendrer un risque pour vos droits et libertés, Posah s'engage à notifier la CNIL dans un délai de 72 heures, conformément à l'article 33 du RGPD, et à vous en informer si la violation présente un risque élevé.

11Vos droits

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants sur vos données personnelles :

Droit d'accès Obtenir la confirmation que des données vous concernant sont traitées et en recevoir une copie.

Droit de rectification Faire corriger des données inexactes ou compléter des données incomplètes.

Droit à l'effacement Demander la suppression de vos données dans les cas prévus par le RGPD.

Droit à la limitation Restreindre temporairement le traitement de vos données.

Droit d'opposition Vous opposer au traitement, notamment à des fins de prospection.

Droit à la portabilité Recevoir vos données dans un format structuré et lisible par machine.

Retrait du consentement Retirer à tout moment votre consentement, sans remettre en cause les traitements antérieurs.

Sort post-mortem Définir des directives sur le sort de vos données après votre décès.

Pour exercer vos droits, adressez votre demande à contact@posah.fr, en précisant votre identité et l'objet de votre demande. Une réponse vous sera apportée dans un délai maximum d'un mois (prolongeable de deux mois si la demande est complexe).

Réclamation auprès de la CNIL Si vous estimez, après avoir contacté Posah, que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL), 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07. Site web : www.cnil.fr.

12Modifications de la politique

La présente politique de confidentialité peut être modifiée pour tenir compte d'évolutions légales, jurisprudentielles, éditoriales ou techniques. La date de dernière mise à jour figure en haut de cette page.

En cas de modification substantielle, vous serez informé par email ou par une notification visible sur le site, avant l'entrée en vigueur des nouvelles dispositions.

13Contact

Pour toute question relative à cette politique ou à l'exercice de vos droits, vous pouvez contacter Posah :

Par email : contact@posah.fr
Par téléphone : 07 89 33 99 55
Par courrier : SAS POSAH, Piazza Communa, 20160 Guagno, France

Politique deconfidentialité