Politique de confidentialité

Dernière mise à jour : 15 mai 2026 · Conforme nLPD (Suisse) et RGPD (UE).

Sommaire

Responsable du traitement
Données collectées
Finalités du traitement
Base légale
Durée de conservation
Destinataires et sous-traitants
Transferts hors UE/Suisse
Vos droits
Sécurité
Cookies & traceurs
Contact & exercice des droits

1. Responsable du traitement

Le responsable du traitement des données personnelles collectées via la plateforme CHR 360° est :

CHR 360°
Arnaud Guédou, fondateur
[Adresse — à compléter]
Suisse
Email : contact@chr360.ch

Sociétés affiliées : si applicable, mentionner ici la raison sociale exacte, le numéro IDE/UID suisse ou SIREN français, ainsi que le délégué à la protection des données (DPO) si désigné. À compléter avant publication en production.

2. Données collectées

Nous collectons et traitons les catégories de données suivantes :

2.1 Données d'identification du restaurateur

Nom, prénom du responsable
Nom commercial du restaurant
Adresse email professionnelle
Numéro de téléphone (optionnel)
Pays et région d'exploitation

2.2 Données financières et comptables (contenues dans vos documents)

Factures fournisseurs (PDF / images)
Tickets Z de caisse
Données extraites par OCR + IA : numéro de facture, fournisseur, date, montants HT/TVA/TTC, ventilation par catégorie
Chiffre d'affaires journalier par service (extraits des tickets Z)

2.3 Données opérationnelles (modules optionnels)

Module Personnel : nom, prénom, poste, type de contrat, salaire brut, taux de charges patronales, date d'entrée/sortie, PIN de pointage (hashé), historique des pointages
Module Réceptionniste IA : enregistrement et transcription des appels téléphoniques entrants (résa, commandes), nom et téléphone des appelants
Module Food Cost : recettes, ingrédients, fournisseurs, prix d'achat

2.4 Données de paiement

Les données de carte bancaire ne sont jamais stockées sur nos serveurs. Elles sont transmises directement à Stripe (PCI-DSS Level 1) qui agit en tant que sous-traitant indépendant.

2.5 Données techniques

Adresse IP de connexion
User-agent navigateur
Logs d'activité (timestamps, actions effectuées)
Pour le pointage : empreinte d'appareil (device fingerprint) et géolocalisation approximative (anti-fraude)

3. Finalités du traitement

Vos données sont traitées uniquement pour les finalités suivantes :

Finalité	Base légale
Fournir le service CHR 360° souscrit	Exécution du contrat
Facturation et recouvrement	Exécution du contrat
Export comptable vers votre fiduciaire	Exécution du contrat
Support client	Exécution du contrat
Notifications transactionnelles (alertes, digests)	Exécution du contrat / intérêt légitime
Newsletter produit (optionnel)	Consentement explicite
Amélioration du service (analytics anonymisés)	Intérêt légitime
Conformité légale et fiscale	Obligation légale

4. Base légale

Selon le RGPD (art. 6) et la nLPD (art. 31), le traitement de vos données est fondé sur :

L'exécution du contrat qui vous lie à CHR 360° (fourniture du service souscrit)
L'obligation légale (notamment conservation comptable de 10 ans en Suisse, 10 ans en France)
Votre consentement pour les communications non essentielles (newsletter, cookies non strictement nécessaires)
Notre intérêt légitime à améliorer la sécurité et la qualité du service

5. Durée de conservation

Catégorie de données	Durée
Compte actif (abonnement en cours)	Durée de l'abonnement
Compte résilié (données utilisateur)	30 jours après résiliation (puis suppression)
Documents comptables (factures, tickets Z)	10 ans (obligation légale CH/FR)
Données employés (Module Personnel)	Durée du contrat + 5 ans (obligation légale)
Logs techniques	12 mois
Enregistrements vocaux (Réceptionniste IA)	90 jours puis suppression automatique
Cookies non essentiels	13 mois max

6. Destinataires et sous-traitants

Nous faisons appel à des sous-traitants techniques pour fournir le service. Tous sont soumis à un accord de traitement des données (DPA) conforme RGPD/nLPD :

Sous-traitant	Rôle	Localisation
Google (Workspace, Drive, Sheets, Apps Script)	Hébergement, base de données, OAuth	UE (datacenters européens)
OpenAI	Extraction IA factures (GPT-4o)	USA (DPA + clauses contractuelles types)
Anthropic	Fallback IA (Claude)	USA (DPA + clauses contractuelles types)
OCR.space	OCR factures scannées	UE
Stripe	Paiements (PCI-DSS Level 1)	USA (DPA + clauses contractuelles types)
n8n.cloud	Orchestration workflows	UE
IONOS	Hébergement VPS (workflows n8n self-hosted)	Allemagne (UE)
Cloudflare Pages	Hébergement frontend staging	Mondial (Anycast)
Vapi.ai (Module Réceptionniste)	Pipeline voix IA (si activé)	USA (DPA + clauses contractuelles types)
Twilio (Module Réceptionniste)	Téléphonie (si activé)	USA (DPA + clauses contractuelles types)

7. Transferts hors UE/Suisse

Certains de nos sous-traitants (OpenAI, Anthropic, Stripe, Vapi, Twilio) sont établis aux États-Unis. Ces transferts s'appuient sur :

Les clauses contractuelles types (CCT) approuvées par la Commission européenne
Le Data Privacy Framework (DPF) UE-USA pour les sous-traitants certifiés
Pour la Suisse : la décision d'adéquation du Préposé fédéral à la protection des données et à la transparence (PFPDT)

Vous pouvez obtenir une copie de ces clauses sur simple demande à contact@chr360.ch.

8. Vos droits

Conformément à la nLPD (art. 25-29) et au RGPD (art. 15-22), vous disposez des droits suivants :

Droit d'accès : obtenir copie de vos données personnelles
Droit de rectification : corriger des données inexactes
Droit à l'effacement (« droit à l'oubli ») : sous réserve des obligations légales de conservation
Droit à la limitation du traitement
Droit à la portabilité : recevoir vos données dans un format structuré, courant et lisible par machine
Droit d'opposition : notamment au profilage et à la prospection commerciale
Droit de retirer votre consentement à tout moment (sans rétroactivité)
Droit d'introduire une réclamation auprès de l'autorité de contrôle compétente :
- 🇨🇭 Suisse : Préposé fédéral à la protection des données (PFPDT)
- 🇫🇷 France : CNIL
- 🇧🇪 Belgique : APD

Pour exercer ces droits, contactez-nous à contact@chr360.ch. Nous répondons sous 30 jours maximum.

9. Sécurité

Nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données :

Chiffrement TLS 1.3 pour tous les échanges
Stockage de chaque restaurant dans un espace Google Drive isolé (un par tenant)
Authentification par token opaque non-devinable
PIN de pointage employé hashé (jamais stocké en clair)
Rate-limiting anti-brute-force sur les endpoints sensibles
Sauvegarde quotidienne automatique (cron P0.3)
Logs d'accès et d'activité conservés 12 mois
Mises à jour de sécurité automatiques sur l'infrastructure
Revues de sécurité périodiques

En cas de violation de données susceptible d'engendrer un risque élevé pour vos droits, nous vous notifierons dans les 72 heures conformément à l'art. 24 nLPD et l'art. 34 RGPD.

10. Cookies & traceurs

CHR 360° utilise un minimum de cookies, classés ainsi :

Type	Finalité	Durée	Base
Strictement nécessaires	Session, authentification	Session	Exempté de consentement
Préférences	Devise affichée (CHF/EUR)	12 mois	Exempté
Analytics (si activé)	Statistiques de fréquentation anonymisées	13 mois	Consentement

Nous n'utilisons aucun cookie publicitaire ou de profilage cross-site.

11. Contact & exercice des droits

Pour toute question relative à cette politique ou pour exercer vos droits :

📧 contact@chr360.ch
🌐 chr360.ch

Nous nous engageons à répondre dans un délai maximal de 30 jours.

Modifications de cette politique : nous pouvons être amenés à modifier cette politique de confidentialité. La date de dernière mise à jour figure en haut du document. Pour les modifications substantielles, vous serez notifié par email au moins 30 jours avant leur entrée en vigueur.