Politique de confidentialité
Dernière mise à jour : 1ᵉʳ mai 2026
La présente politique de confidentialité décrit les conditions dans lesquelles TheGoodSeat SASU collecte, utilise et protège les données personnelles des utilisateurs de la plateforme thegoodseat.app (site web et applications mobiles iOS/Android), conformément au Règlement (UE) 2016/679 (RGPD) et à la loi n° 78-17 du 6 janvier 1978 modifiée (« Informatique et Libertés »).
1. Responsable du traitement
TheGoodSeat — SASU, RCS Paris 104 204 532 47 rue Vivienne, 75002 Paris, France Email de contact RGPD : hello@thegoodseat.app
Compte tenu de la taille de la structure, aucun délégué à la protection des données (DPO) n'a été désigné. Les demandes RGPD sont traitées directement par la direction via l'adresse ci-dessus.
2. Données collectées
Les données collectées dépendent du type d'utilisateur et du contexte d'utilisation.
2.1 Compte utilisateur (consommateur)
- Adresse email
- Nom, prénom
- Photo de profil (optionnelle)
- Identifiant du fournisseur d'authentification utilisé (Apple, Google) lorsque l'utilisateur s'inscrit via OAuth
2.2 Compte restaurateur (TheGoodSeat Pro)
- Coordonnées du restaurant : nom, adresse, ville, photos, horaires
- SIRET, dénomination sociale, forme juridique, capital social
- Coordonnées de facturation et de paiement (gérées et stockées par Stripe — TheGoodSeat ne stocke pas les numéros de carte)
- Identifiant Google Place (Google Places API) pour rattacher l'établissement à sa fiche publique
2.3 Données d'usage et de réservation
- Historique des réservations, deals consultés, codes à 4 chiffres générés
- Préférences (favoris, filtres)
- Statut des réservations (confirmée, annulée, no-show)
2.4 Données techniques
- Adresse IP du visiteur (transmise par Cloudflare via l'en-tête CF-Connecting-IP), utilisée pour la sécurité et le rate-limiting applicatif
- Logs serveur (date, route, code HTTP), user-agent du navigateur ou de l'application
- Identifiants de session et cookies (voir politique de cookies)
2.5 Données mobiles spécifiques
- Localisation : utilisée uniquement à la demande de l'utilisateur pour rechercher des restaurants à proximité. La position n'est jamais stockée sur nos serveurs.
- Photos : utilisées uniquement lorsque l'utilisateur sélectionne une image de profil. L'image est transmise à nos serveurs uniquement après confirmation explicite.
- Caméra : la permission peut apparaître dans le manifeste Android par dépendance de la bibliothèque de sélection d'images, mais l'application n'active jamais la caméra et ne capture aucune image.
- Notifications push : un jeton de notification (Expo push token) est conservé tant qu'il est valide afin d'envoyer les notifications de réservation et de service.
3. Finalités et bases légales
| Finalité | Base légale (RGPD) |
|---|---|
| Gestion du compte et authentification | Exécution du contrat (art. 6.1.b) |
| Traitement des réservations et deals | Exécution du contrat (art. 6.1.b) |
| Souscription et facturation TheGoodSeat Pro | Exécution du contrat + obligation légale (art. 6.1.b et 6.1.c) |
| Conservation des factures | Obligation légale comptable (art. L.123-22 C. com.) |
| Sécurité, prévention de la fraude, rate-limiting | Intérêt légitime (art. 6.1.f) |
| Mesure d'audience et amélioration du service | Consentement ou intérêt légitime selon le traceur (voir cookies) |
| Notifications transactionnelles (réservations, services) | Exécution du contrat (art. 6.1.b) |
| Communications marketing par email | Consentement (art. 6.1.a) |
4. Durées de conservation
| Catégorie | Durée |
|---|---|
| Compte utilisateur actif | Pendant toute la durée d'utilisation du service |
| Compte utilisateur inactif | 3 ans à compter de la dernière activité, puis suppression |
| Données de réservation | 3 ans à compter de la réservation |
| Factures et données de facturation Pro | 10 ans (obligation légale comptable) |
| Logs techniques et de connexion | 12 mois maximum |
| Jetons de notification push | Jusqu'à révocation (désinstallation, désactivation des notifications) |
| Cookies et traceurs | Voir politique de cookies |
5. Destinataires et sous-traitants
Les données sont accessibles aux personnes habilitées au sein de TheGoodSeat SASU. Elles peuvent être transmises aux sous-traitants suivants, agissant uniquement pour le compte de TheGoodSeat et liés par contrat (art. 28 RGPD) :
5.1 Sous-traitants situés dans l'Union européenne
| Sous-traitant | Rôle | Localisation |
|---|---|---|
| Hostinger International Ltd. | Hébergement applicatif et base de données | Datacenter UE |
| Cloudflare Ireland Ltd. | Réseau de diffusion, pare-feu applicatif (entité européenne) | Irlande / réseau mondial |
| Resend, Inc. | Envoi d'emails transactionnels | UE / États-Unis |
| Namecheap Private Email | Réception des emails @thegoodseat.app | États-Unis (transferts encadrés DPF) |
| PostHog Inc. | Mesure d'audience produit (instance EU eu.i.posthog.com) | UE (Francfort) |
5.2 Sous-traitants situés hors Union européenne
Les transferts vers les destinataires ci-dessous sont encadrés par les clauses contractuelles types de la Commission européenne (décision 2021/914) et, le cas échéant, le Data Privacy Framework UE-États-Unis lorsque le destinataire y est certifié.
| Sous-traitant | Rôle | Pays / encadrement |
|---|---|---|
| Stripe, Inc. (et Stripe Payments Europe Ltd.) | Paiement et gestion des abonnements Pro | États-Unis / DPF |
| Google LLC | API Google Places (recherche restaurants), authentification Google Sign-In | États-Unis / DPF |
| Apple Inc. | Authentification Sign in with Apple | États-Unis / DPF |
| Mapbox, Inc. | Cartes interactives et statiques | États-Unis / CCT |
| Expo (650 Industries, Inc.) | Service de notifications push pour les applications mobiles | États-Unis / CCT |
| Ahrefs Pte. Ltd. | Mesure d'audience web | Singapour / CCT |
| GitHub, Inc. (Microsoft Corp.) | Stockage des images applicatives (GHCR), outils de développement | États-Unis / DPF |
Aucune donnée personnelle n'est cédée, vendue ou louée à des tiers à des fins commerciales.
6. Droits des personnes concernées
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :
- Droit d'accès à vos données et droit d'en obtenir une copie
- Droit de rectification des données inexactes ou incomplètes
- Droit à l'effacement (« droit à l'oubli ») dans les cas prévus par le RGPD
- Droit à la limitation du traitement
- Droit à la portabilité des données fournies
- Droit d'opposition au traitement fondé sur l'intérêt légitime, et au démarchage commercial
- Droit de retirer votre consentement à tout moment, sans effet sur la licéité des traitements antérieurs
- Droit de définir des directives relatives au sort de vos données après votre décès (art. 85 loi Informatique et Libertés)
Pour exercer ces droits, écrivez à hello@thegoodseat.app en précisant votre demande. Une réponse vous sera apportée dans un délai d'un mois (prorogeable de deux mois si la demande est complexe). Une preuve d'identité pourra vous être demandée en cas de doute raisonnable.
La suppression complète d'un compte peut également être demandée via la procédure dédiée : /delete-account.
7. Réclamation auprès de l'autorité de contrôle
Si vous estimez que le traitement de vos données ne respecte pas la réglementation, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :
- Adresse : 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
- Téléphone : +33 1 53 73 22 22
- Site web : www.cnil.fr
8. Sécurité
TheGoodSeat met en œuvre les mesures techniques et organisationnelles appropriées pour préserver la confidentialité, l'intégrité et la disponibilité des données : chiffrement TLS de bout en bout, isolation réseau, contrôle d'accès, journalisation, sauvegardes chiffrées, mise à jour régulière des dépendances et des images logicielles.
9. Modifications
La présente politique peut être mise à jour pour refléter les évolutions du service ou de la réglementation. La date de dernière mise à jour figure en tête du présent document. En cas de modification substantielle, les utilisateurs en seront informés par email ou via une notification dans l'application.