1. Responsable du traitement
Le responsable du traitement des données personnelles collectées via le service Arouma est :
Arouma SRL
Siège social : Bruxelles, Belgique
Email du Délégué à la protection des données : privacy@armenu.app
2. Données que nous collectons
2.1. Données d'inscription (restaurateurs)
- Adresse email
- Nom et prénom
- Mot de passe (hashé, jamais stocké en clair via Supabase Auth)
2.2. Données de l'établissement (onboarding)
- Nom du restaurant
- Adresse postale
- Numéro de téléphone
- Horaires d'ouverture
- Logo, photos de plats, descriptions du menu
2.3. Données de facturation
- Informations de paiement (stockées exclusivement chez Stripe, jamais par Arouma)
- Identifiants client et abonnement Stripe (stripeCustomerId, stripeSubscriptionId)
- Historique de facturation
2.4. Données analytiques (clients finaux)
Lorsqu'un client scanne un QR code et consulte un menu, nous enregistrons des événements strictement anonymisés :
- VIEW — ouverture du menu
- DETAIL_OPEN — ouverture d'un plat
- AR_LAUNCH — lancement de la vue en réalité augmentée
Ces événements ne contiennent ni adresse IP, ni identifiant personnel, ni cookie de suivi. Ils ne permettent en aucun cas l'identification d'une personne physique.
3. Finalités et bases légales du traitement
| Finalité | Base légale |
|---|---|
| Fourniture du service (création de compte, gestion du menu, génération des QR codes, modèles 3D) | Exécution du contrat (art. 6.1.b RGPD) |
| Facturation et gestion des abonnements via Stripe | Exécution du contrat et obligation légale comptable (art. 6.1.b et 6.1.c RGPD) |
| Envoi d'emails transactionnels (confirmation, mot de passe oublié, facture) | Exécution du contrat (art. 6.1.b RGPD) |
| Statistiques anonymes d'utilisation (VIEW / DETAIL_OPEN / AR_LAUNCH) | Intérêt légitime (amélioration du service) (art. 6.1.f RGPD) |
| Cookies analytiques et marketing (si consentement) | Consentement (art. 6.1.a RGPD) |
4. Durée de conservation
Les données liées à votre compte sont conservées tant que le compte existe. Vous pouvez supprimer votre compte à tout moment depuis le dashboard (Paramètres > Compte).
Après suppression du compte, les données liées aux obligations légales comptables (factures, paiements) sont conservées pendant 7 ans conformément à la législation belge (Code de droit économique, art. III.86).
Les statistiques anonymisées peuvent être conservées de manière agrégée, sans lien avec un compte, pour une durée indéterminée.
5. Vos droits
Conformément au RGPD, vous disposez des droits suivants sur vos données personnelles :
- Droit d'accès — obtenir confirmation du traitement et copie des données (art. 15)
- Droit de rectification — corriger des données inexactes (art. 16)
- Droit à l'effacement — « droit à l'oubli » (art. 17), activable directement depuis le dashboard (Paramètres > Compte > Supprimer mon compte)
- Droit à la portabilité — recevoir vos données dans un format structuré (art. 20)
- Droit d'opposition — vous opposer au traitement fondé sur l'intérêt légitime (art. 21)
- Droit de limitation (art. 18)
- Droit de retirer votre consentement à tout moment pour les traitements fondés sur celui-ci (cookies)
Pour exercer ces droits, contactez-nous à privacy@armenu.app. Nous répondrons dans un délai maximum d'un mois.
Vous disposez également du droit d'introduire une réclamation auprès de l'Autorité de protection des données belge : autoriteprotectiondonnees.be.
6. Cookies
Notre site utilise les catégories de cookies suivantes :
| Catégorie | Finalité | Durée |
|---|---|---|
| Nécessaires (exemptés de consentement) | Authentification (Supabase), session, préférences de consentement (ar_menu_consent) | Session à 1 an |
| Analytiques (consentement) | Mesure d'audience anonymisée, amélioration du service | 13 mois maximum |
| Marketing (consentement) | Remarketing, personnalisation des campagnes publicitaires | 13 mois maximum |
Vous pouvez à tout moment modifier vos préférences via le bandeau de consentement affiché lors de votre première visite, ou en effaçant vos cookies.
7. Sous-traitants et destinataires
Les données sont traitées par Arouma SRL et par les sous-traitants suivants, chacun lié par un accord de traitement (DPA) conforme au RGPD :
| Sous-traitant | Finalité | Localisation |
|---|---|---|
| Supabase | Base de données, auth | UE (Frankfurt) |
| Cloudflare R2 | Stockage images, QR codes, modèles 3D | UE (juridiction EU activée) |
| Vercel Inc. | Hébergement frontend (vitrine, dashboard, menu) | USA — Clauses Contractuelles Types (SCC) |
| Railway Corp. | Hébergement API backend | USA — SCC |
| Stripe Inc. | Paiements et abonnements | USA — SCC |
| Resend | Emails transactionnels | USA — SCC |
| Anthropic PBC | Estimation nutritionnelle IA (Claude Vision) | USA — SCC |
| Meshy AI | Génération de modèles 3D à partir de photos (plans Premium & Business) | USA — SCC |
| Upstash | Cache Redis | UE |
8. Transferts hors Union européenne
Certains sous-traitants sont situés hors de l'Union européenne, principalement aux États-Unis. Ces transferts sont encadrés par des Clauses Contractuelles Types (SCC) approuvées par la Commission européenne (décision 2021/914), garantissant un niveau de protection équivalent au RGPD.
Nous privilégions systématiquement des sous-traitants offrant une juridiction européenne lorsque disponible (Cloudflare R2 EU, Supabase Frankfurt, Upstash EU).
9. Sécurité
Arouma SRL met en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données :
- Chiffrement TLS 1.3 de toutes les communications
- Mots de passe hashés (bcrypt via Supabase Auth), jamais stockés en clair
- Isolation multi-tenant stricte (Row Level Security PostgreSQL)
- Sauvegardes automatiques quotidiennes
- Monitoring continu (Sentry) pour détecter les anomalies
- Accès interne restreint sur le principe du moindre privilège
10. Contact DPO
Pour toute question relative au traitement de vos données personnelles : privacy@armenu.app
11. Modifications
La présente politique peut être mise à jour à tout moment. Toute modification substantielle vous sera notifiée par email ou via un bandeau dans votre dashboard au moins 30 jours avant son entrée en vigueur.