← CaveauFlow

Politique de confidentialité & RGPD

Dernière mise à jour : Mai 2026

CaveauFlow s'engage à protéger vos données personnelles conformément au Règlement (UE) 2016/679 (RGPD) et à la loi française Informatique et Libertés n° 78-17 du 6 janvier 1978 modifiée.

1. Responsable du traitement

[NOM SOCIÉTÉ], [FORME JURIDIQUE], SIREN [NUMÉRO SIREN]

Adresse : [ADRESSE COMPLÈTE]

Contact données personnelles : privacy@caveauflow.com

Si vous souhaitez exercer vos droits ou adresser une réclamation, utilisez cette adresse. Délai de réponse : 30 jours calendaires.

2. Données collectées

Note : CaveauFlow traite deux types de données distincts. Les données personnelles (catégories a, c, d) concernent des personnes physiques identifiées. Les données métier (catégorie b) sont principalement des données commerciales (références produits, stocks, tarifs) qui ne constituent pas nécessairement des données personnelles, sauf si elles contiennent des informations sur des personnes physiques identifiables (ex. nom d'un contact fournisseur).

a) Données personnelles — compte et profil

  • Nom, prénom, adresse e-mail professionnelle
  • Nom du restaurant / établissement, type d'établissement
  • Adresse postale, ville, pays, téléphone (optionnels)
  • Logo de l'établissement (optionnel)

b) Données métier confiées par le Client (peuvent contenir des données personnelles)

  • Produits et références saisis dans la base de données
  • Fichiers importés (listings fournisseurs PDF/Excel)
  • Données d'inventaire (stocks, quantités)
  • Cartes des vins créées et leurs contenus
  • Commandes fournisseurs générées
  • Préférences de notification et de compte

Pour les données métier contenant des données personnelles (ex. contacts fournisseurs), CaveauFlow agit en qualité de sous-traitant au sens de l'art. 28 RGPD. Voir le DPA.

c) Données techniques et de connexion

  • Adresse IP, horodatage des connexions
  • Type de navigateur, système d'exploitation
  • Logs d'accès à l'application

d) Données de facturation

  • Historique des abonnements et des paiements
  • Informations de facturation (gérées par Stripe — CaveauFlow ne stocke pas les données de carte bancaire)

3. Finalités et bases légales (art. 6 RGPD)

Finalité du traitementBase légale RGPD
Création et gestion du compte utilisateurExécution du contrat (art. 6.1.b)
Fourniture du service (inventaire, carte des vins, import, commandes)Exécution du contrat (art. 6.1.b)
Facturation, gestion des abonnements et des paiementsExécution du contrat (art. 6.1.b)
Envoi d'e-mails transactionnels (confirmation, alertes, rapports)Exécution du contrat (art. 6.1.b)
Analyse IA des documents importés via API AnthropicExécution du contrat (art. 6.1.b)
Rapports mensuels d'inventaire par e-mail (fonctionnalité du service)Exécution du contrat (art. 6.1.b)
Prévention de la fraude, sécurité du serviceIntérêt légitime (art. 6.1.f)
Amélioration du service (métriques anonymisées)Intérêt légitime (art. 6.1.f)
Conservation des données de facturationObligation légale (art. 6.1.c — 10 ans comptables)
Gestion des demandes d'exercice des droits RGPDObligation légale (art. 6.1.c)

4. Sous-traitants et transferts de données hors UE

CaveauFlow recourt aux sous-traitants suivants. Chacun d'eux est soumis à un accord de traitement des données conforme à l'article 28 du RGPD.

Sous-traitantRôleLocalisationMécanisme de transfert
Supabase / AWSBase de données, authentification, stockageUE — Paris (eu-west-3)Hébergement intra-UE — pas de transfert hors UE
Vercel Inc.Hébergement, diffusion applicative et traitements techniques associés (edge, logs)USACCT CE décision 2021/914
Anthropic PBCAnalyse IA des documents importésUSACCT CE + DPA API Anthropic
Stripe Inc.Traitement des paiements et données de facturationUSA / UECCT CE + certif. PCI-DSS
Resend Inc.Envoi des e-mails transactionnelsUSACCT CE décision 2021/914
Transferts vers les USA : les transferts vers Vercel, Anthropic, Stripe et Resend sont encadrés par les Clauses Contractuelles Types (CCT) adoptées par la Commission européenne (décision d'exécution 2021/914), constituant des garanties appropriées au sens de l'article 46 du RGPD.
Note spécifique Anthropic : les données des documents analysés (listings fournisseurs, étiquettes, factures) sont transmises à l'API Claude d'Anthropic. CaveauFlow a conclu un Accord de Traitement des Données (DPA) avec Anthropic. Celui-ci prévoit contractuellement que les données transmises via l'API ne sont pas utilisées par Anthropic pour entraîner ses modèles d'intelligence artificielle, conformément à sa politique d'utilisation de l'API (API Usage Policy).

5. Durées de conservation

Catégorie de donnéesDurée de conservationJustification
Données de compte actifDurée de l'abonnementExécution du contrat
Données de compte inactif (post-résiliation)30 joursPossibilité de réactivation / export
Données métier (produits, inventaires, cartes)Durée abonnement + 30 joursExécution du contrat
Données de facturation et factures10 ansObligation légale comptable (art. L. 123-22 C. com.)
Logs de connexion et sécurité12 mois glissants (prolongé si incident de sécurité ou obligation légale)Intérêt légitime — sécurité
Demandes exercice des droits RGPD3 ansPreuve de traitement — intérêt légitime

À l'expiration des durées ci-dessus, les données sont supprimées ou anonymisées de manière irréversible. Les sauvegardes sont purgées dans un délai maximum de 90 jours supplémentaires.

6. Vos droits RGPD

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :

DroitDescriptionModalité
Accès (art. 15)Obtenir une copie de vos données personnelles traitéesContact données personnelles
Rectification (art. 16)Corriger vos données inexactes ou incomplètesEspace client ou contact données personnelles
Effacement (art. 17)Demander la suppression de vos données, sous réserve des obligations légales de conservationContact données personnelles
Portabilité (art. 20)Recevoir les données personnelles que vous avez fournies (bases : contrat ou consentement) dans un format lisible (CSV/JSON)Contact données personnelles
Opposition (art. 21)S'opposer à un traitement basé sur l'intérêt légitime, en justifiant d'un motif légitimeContact données personnelles
Limitation (art. 18)Restreindre temporairement un traitement contestéContact données personnelles
Retrait du consentement (art. 7)Révoquer un consentement à tout moment, sans affecter les traitements antérieursParamètres du compte ou contact données personnelles

Adressez votre demande au contact données personnelles : privacy@caveauflow.com en précisant votre identité et le droit exercé. Délai de réponse : 30 jours calendaires (pouvant être prolongé à 3 mois en cas de demande complexe, avec information préalable).

En cas de réponse insatisfaisante ou d'absence de réponse, vous pouvez saisir la CNIL (Commission Nationale de l'Informatique et des Libertés, 3 Place de Fontenoy, 75007 Paris).

7. Sécurité des données

CaveauFlow met en œuvre les mesures techniques et organisationnelles suivantes :

  • Chiffrement des données en transit (TLS 1.3 / HTTPS)
  • Chiffrement des données au repos (AES-256 via Supabase/AWS)
  • Authentification sécurisée avec sessions JWT à durée limitée
  • Isolation des données par client via Row Level Security (Supabase)
  • Limitation de débit sur toutes les API (rate limiting)
  • Sauvegardes quotidiennes avec rétention 30 jours
  • Accès aux données de production limité au personnel autorisé et tracé
  • Revue de sécurité du code avant déploiement en production

En cas de violation de données à caractère personnel, CaveauFlow notifiera la CNIL dans les 72 heures conformément à l'article 33 du RGPD, et informera les personnes concernées lorsque le risque est élevé (art. 34 RGPD).

8. Rôles de CaveauFlow selon les données

CaveauFlow exerce deux rôles distincts au sens du RGPD selon la nature des données :

DonnéesRôle de CaveauFlowDocument applicable
Compte, e-mail, facturation, sécuritéResponsable du traitementPrésente politique
Données métier confiées par le Client (listings, inventaires, contacts fournisseurs)Sous-traitant (art. 28 RGPD)DPA CaveauFlow

En cas de violation de données personnelles dont CaveauFlow est responsable du traitement, CaveauFlow notifiera la CNIL dans les 72 heures (art. 33 RGPD) et informera les personnes concernées si le risque pour leurs droits et libertés est élevé (art. 34 RGPD).

En cas de violation portant sur des données dont le Client est responsable du traitement, CaveauFlow en informera le Client dans les 48 heures conformément au DPA, à charge pour le Client d'évaluer ses propres obligations de notification.

9. Cookies

Pour plus d'informations sur les cookies, consultez notre Politique de cookies.

10. Modification de la présente politique

Cette politique peut être mise à jour pour refléter des évolutions légales, réglementaires ou liées à nos pratiques. En cas de modification substantielle, vous serez notifié par e-mail avec un préavis de 30 jours. La version en vigueur est toujours consultable à cette adresse, avec la date de dernière mise à jour.

Politique de confidentialité — CaveauFlow