ERPRESTO
ConnexionEssai gratuit

Politique de Confidentialité

Dernière mise à jour : 12 février 2026

Version 3.0Rôles responsable/sous-traitant, pseudonymisation vs anonymisation, registre Loi 25, benchmarking opt-in.

📑 Table des Matières

1. À propos de cette politique2. Responsable du traitement3. Données personnelles collectées4. Finalités et bases légales5. Durée de conservation6. Destinataires des données7. Transferts internationaux8. Sécurité des données9. Vos droits RGPD/PIPEDA10. Cookies et technologies11. Protection des mineurs12. Modifications13. Contact et réclamations

1. À propos de cette Politique

ERPResto (ci-après "nous", "notre" ou "la Plateforme") s'engage à protéger et respecter votre vie privée conformément aux plus hauts standards internationaux de protection des données personnelles.

Cette politique explique de manière transparente comment nous collectons, utilisons, stockons et protégeons vos données personnelles lorsque vous utilisez notre solution ERP cloud destinée aux professionnels de la restauration et de l'hôtellerie.

Cadre légal applicable: Cette politique est conforme au Règlement Général sur la Protection des Données (RGPD UE 2016/679), à la Loi sur la protection des renseignements personnels et les documents électroniques (PIPEDA) du Canada, à la Loi 25 du Québec, et aux lois françaises sur la protection des données.

2. Responsable du Traitement des Données

Entité légale

ERPResto Inc.

Siège social

Montréal, Québec, Canada

Email de contact

contact@erpresto.com

Délégué à la Protection des Données (DPO)

dpo@erpresto.com

Les rôles en matière de données dépendent du type de données traitées :

(A) ERPResto — Responsable du traitement (Controller)

ERPResto détermine les finalités et moyens du traitement pour :

  • Données de compte et d'authentification (email, mot de passe hashé, 2FA)
  • Données de facturation et d'abonnement (via Stripe)
  • Logs de sécurité et d'audit (IP tronquées, user-agent, horodatage)
  • Données de consentement et préférences cookies
  • Données agrégées et dé-identifiées pour le benchmarking (sur consentement opt-in)
  • Communications de support technique

(B) ERPResto — Sous-traitant (Processor)

Pour les données suivantes, vous êtes le responsable du traitement et ERPResto agit en qualité de sous-traitant selon vos instructions documentées :

  • Données de vos employés (RH, paie, horaires, présences)
  • Données de vos clients et fournisseurs
  • Données de vos produits, stocks, ventes et transactions
  • Toute autre donnée métier saisie dans le Service

Le cadre de ce traitement est défini dans notre Accord de Traitement des Données (DPA). Vous restez responsable de la conformité de votre utilisation vis-à-vis de vos propres employés et partenaires.

3. Données Personnelles Collectées

3.1 Données d'identification et de contact

  • Nom et prénom
  • Adresse email professionnelle
  • Numéro de téléphone (optionnel)
  • Fonction et rôle dans l'entreprise
  • Identifiant unique utilisateur (UUID)

3.2 Données d'entreprise

  • Raison sociale et forme juridique
  • Adresse du siège social et établissements
  • Numéro SIRET/SIREN ou équivalent canadien
  • Secteur d'activité et type d'établissement
  • Informations de facturation et coordonnées bancaires (cryptées)

3.3 Données d'authentification et sécurité

  • Mot de passe (hashé avec bcrypt, jamais stocké en clair)
  • Tokens de session (JWT avec expiration)
  • Logs de connexion (date, heure, adresse IP, user agent)
  • Tentatives d'authentification (prévention fraude)
  • Paramètres de sécurité (2FA si activé)

3.4 Données opérationnelles et d'utilisation

  • Données de gestion RH (employés, horaires, salaires si module activé)
  • Données de stock et inventaire (produits, fournisseurs, mouvements)
  • Données de ventes (transactions POS, factures, clients)
  • Données comptables et financières (dépenses, recettes, analytiques)
  • Données de conformité (hygiène, HACCP, contrôles qualité)
  • Métadonnées d'utilisation (fonctionnalités utilisées, fréquence, durée)

3.5 Données techniques

  • Adresse IP et géolocalisation approximative
  • Type de navigateur et système d'exploitation
  • Résolution d'écran et préférences linguistiques
  • Cookies et identifiants de session
  • Logs serveur et métriques de performance
  • Rapports d'erreurs et diagnostics (anonymisés)

⚠️ Principe de minimisation: Nous collectons uniquement les données strictement nécessaires à la fourniture et à l'amélioration de nos services ERP. Vous pouvez à tout moment demander la liste exhaustive des données vous concernant.

4. Finalités et Bases Légales du Traitement

FinalitéBase légale (RGPD)Données concernées
Fourniture du service ERPExécution du contrat (Art. 6.1.b)Identification, entreprise, opérationnelles
Gestion de compte et facturationExécution du contrat (Art. 6.1.b)Contact, paiement, entreprise
Sécurité et prévention fraudeIntérêt légitime (Art. 6.1.f)Authentification, logs, techniques
Amélioration du serviceIntérêt légitime (Art. 6.1.f)Utilisation (anonymisée), techniques
Support techniqueExécution du contrat (Art. 6.1.b)Contact, logs, rapports d'erreur
Conformité fiscale/comptableObligation légale (Art. 6.1.c)Facturation, comptables, entreprise
Analyse statistique anonymiséeIntérêt légitime (Art. 6.1.f)Opérationnelles (agrégées ≥10 entités)
Marketing et cookies optionnelsConsentement (Art. 6.1.a)Contact, préférences (si consentement donné)

📊 Analyses Statistiques et Benchmarking

Dans le cadre de l'amélioration continue de notre service, nous agrégeons et anonymisons certaines données opérationnelles pour créer des analyses sectorielles, benchmarks et études statistiques. Ces traitements respectent les principes suivants:

  • K-anonymité stricte: Minimum 10 entreprises par point de données agrégé
  • Suppression identifiants: Aucun nom, email, adresse, numéro identifiant
  • Agrégation par catégories: Type d'établissement, région large, gamme de prix
  • Finalité légitime: Développement de fonctionnalités, optimisation algorithmes, insights sectoriels
  • Conformité RGPD: Données anonymisées ne permettant pas de réidentification (Considérant 26 RGPD)

Ces analyses peuvent être utilisées en interne ou partagées avec des partenaires académiques et professionnels dans un cadre de recherche sectorielle, sans que vous puissiez être identifié.

5. Durée de Conservation des Données

Pendant la durée du contrat

Toutes les données nécessaires au fonctionnement du service sont conservées pendant toute la durée de votre abonnement actif.

Après résiliation ou fermeture de compte

  • Données personnelles: Suppression sous 30 jours
  • Données comptables/fiscales: Conservation 10 ans (obligation légale France/Canada)
  • Données RH/paie: Conservation 5 ans (obligation légale)
  • Logs de sécurité: Conservation 12 mois maximum
  • Sauvegardes: Suppression après 90 jours maximum

Données anonymisées

Les statistiques agrégées et dé-identifiées (k-anonymité ≥ 10, pseudonymisation par hachage) peuvent être conservées indéfiniment. Bien que ces mesures réduisent considérablement le risque de ré-identification, elles constituent une dé-identification robuste plutôt qu'une anonymisation irréversible au sens strict du Considérant 26 du RGPD.

💾 Export de vos données: Avant la suppression définitive de votre compte, vous pouvez demander un export complet de toutes vos données au format structuré (JSON/CSV) conformément à votre droit à la portabilité.

6. Destinataires et Partage des Données

Nous ne vendons jamais vos données personnelles identifiables à des tiers.

6.1 Au sein de votre organisation

Vos données sont accessibles uniquement aux membres de votre entreprise disposant des permissions appropriées selon leur rôle (administrateur, gestionnaire, employé).

6.2 Sous-traitants techniques (Article 28 RGPD)

Nous faisons appel à des prestataires de services soigneusement sélectionnés et liés par des accords de sous-traitance conformes au RGPD:

  • Hébergement cloud: Vercel / AWS - Localisation: Canada / UE
  • Base de données: Services managés avec chiffrement au repos
  • Paiements: Stripe (PCI-DSS Level 1 certified)
  • Emails transactionnels: Resend/SendGrid
  • Monitoring et logs: Sentry, Vercel Analytics
  • Support client: Plateforme de ticketing conforme RGPD

6.3 Obligations légales

Nous pouvons divulguer vos données si requis par:

  • Ordonnance judiciaire ou réquisition légale
  • Autorités fiscales et sociales (pour conformité)
  • Autorités de protection des données (CNIL, CPVP)
  • Forces de l'ordre (dans le cadre d'enquêtes légales)

6.4 Données anonymisées - Recherche et benchmarking

Des données agrégées et dé-identifiées (sur consentement benchmarking opt-in) peuvent être partagées avec :

  • Instituts de recherche académique (études sectorielles)
  • Associations professionnelles (amélioration standards industrie)
  • Partenaires technologiques (développement fonctionnalités)

Rappel: Ces données ne permettent pas votre identification (k-anonymité ≥ 10 entreprises) et ne constituent donc plus des données personnelles selon le RGPD (Considérant 26).

7. Transferts Internationaux de Données

Vos données sont principalement hébergées au Canada et dans l'Union Européenne, juridictions offrant un niveau de protection adéquat des données personnelles.

Garanties pour les transferts vers pays tiers

Si certains sous-traitants sont situés hors UE/Canada (ex: services cloud aux États-Unis), nous mettons en place les garanties suivantes :

  • Clauses Contractuelles Types (CCT/SCC) : Approuvées par la Commission Européenne (Décision 2021/914), signées avec chaque sous-traitant concerné
  • Évaluation d'impact du transfert (TIA) : Réalisée pour chaque transfert hors espace adéquat, documentant les risques et les mesures complémentaires
  • EU-US Data Privacy Framework (DPF) : Pour les sous-traitants américains certifiés DPF (ex : Stripe, Vercel), le cadre DPF constitue une garantie supplémentaire au sens de l'article 45 RGPD. Seuls les fournisseurs figurant sur la liste DPF du Département du Commerce américain bénéficient de cette base.
  • Certifications techniques : ISO 27001, SOC 2 Type II lorsque disponibles
  • Minimisation : Seules les données strictement nécessaires sont transférées
  • Chiffrement : Toutes les données en transit sont chiffrées (TLS 1.3)

🌍 Transparence : La liste de nos sous-traitants et leur localisation est disponible sur notre page Sous-traitants. Vous pouvez également contacter dpo@erpresto.com pour toute question.

8. Mesures de Sécurité

La sécurité de vos données est notre priorité absolue. Nous mettons en œuvre des mesures techniques et organisationnelles conformes à l'état de l'art:

🔐 Sécurité Technique

  • ✓ Chiffrement AES-256-GCM au repos
  • ✓ TLS 1.3 pour toutes les communications
  • ✓ Hashage bcrypt pour mots de passe (cost 12)
  • ✓ JWT avec expiration courte (15min)
  • ✓ Rate limiting et protection DDoS
  • ✓ WAF (Web Application Firewall)
  • ✓ Isolation multi-tenant stricte
  • ✓ Sauvegardes chiffrées quotidiennes

🛡️ Sécurité Organisationnelle

  • ✓ Accès aux données sur principe du moindre privilège
  • ✓ Authentification à deux facteurs (2FA) pour équipe
  • ✓ Logs d'audit complets et immutables
  • ✓ Monitoring 24/7 des incidents de sécurité
  • ✓ Plan de réponse aux incidents documenté
  • ✓ Tests d'intrusion annuels
  • ✓ Formation sécurité pour tous les employés
  • ✓ Revue de code et audits réguliers

🚨 Notification de violations de données (Incident de confidentialité)

En cas de violation de données susceptible d'engendrer un risque pour vos droits et libertés, nous nous engageons à respecter les obligations suivantes :

🇪🇺 RGPD (Article 33-34)

Notification à l'autorité de contrôle compétente dans les 72 heures suivant la prise de connaissance de l'incident, lorsque cela est faisable (« where feasible »). Si la violation est susceptible d'engendrer un risque élevé, notification aux personnes concernées dans les meilleurs délais.

🇨🇦 PIPEDA — Déclaration RROSH

Conformément à la Loi sur la protection des renseignements personnels et les documents électroniques, déclaration au Commissaire à la protection de la vie privée du Canada et notification aux individus touchés si l'atteinte présente un risque réel de préjudice grave (RROSH — Real Risk of Significant Harm). Tenue d'un registre interne de toutes les atteintes.

🇨🇦 Loi 25 du Québec (articles 3.5-3.8)

Tenue d'un registre des incidents de confidentialité conformément à la Loi 25. Avis à la Commission d'accès à l'information du Québec (CAI) et aux personnes concernées si l'incident présente un risque de préjudice sérieux. Le registre est conservé pendant au moins 5 ans et mis à disposition de la CAI sur demande.

Contact incident : security@erpresto.com — Nous maintenons un plan de réponse aux incidents documenté et testé régulièrement.

9. Vos Droits RGPD et PIPEDA

Conformément aux réglementations applicables, vous disposez des droits suivants concernant vos données personnelles:

🔍 Droit d'accès (Art. 15 RGPD)

Obtenir la confirmation que nous traitons vos données et recevoir une copie de celles-ci dans un format structuré et couramment utilisé.

✏️ Droit de rectification (Art. 16 RGPD)

Corriger vos données inexactes ou incomplètes directement depuis votre espace ou en nous contactant.

🗑️ Droit à l'effacement (Art. 17 RGPD)

Demander la suppression de vos données dans certaines circonstances. Note: certaines données doivent être conservées pour obligations légales (comptabilité, fiscalité).

⏸️ Droit de limitation (Art. 18 RGPD)

Demander la limitation du traitement de vos données dans certains cas (contestation, traitement illicite, etc.).

📦 Droit à la portabilité (Art. 20 RGPD)

Recevoir vos données dans un format structuré (JSON/CSV) pour les transférer à un autre responsable de traitement.

⛔ Droit d'opposition (Art. 21 RGPD)

Vous opposer au traitement de vos données pour des raisons tenant à votre situation particulière, notamment pour les traitements basés sur l'intérêt légitime.

🤖 Décision individuelle automatisée (Art. 22 RGPD)

Droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé produisant des effets juridiques. Notre service n'utilise pas de prise de décision automatisée.

🚫 Retrait du consentement

Retirer votre consentement à tout moment pour les traitements basés sur celui-ci (cookies non-essentiels, marketing), sans affecter la licéité des traitements antérieurs.

📧 Comment exercer vos droits ?

Pour exercer l'un de ces droits, contactez-nous:

  • Email prioritaire: dpo@erpresto.com (sujet: "Demande RGPD")
  • Email général: contact@erpresto.com
  • Délai de réponse: Maximum 1 mois (peut être prolongé de 2 mois si complexe)
  • Justificatif d'identité: Requis pour toute demande (protection contre usurpation)
  • Gratuité: L'exercice de vos droits est gratuit (sauf demandes manifestement excessives)

⚖️ Droit de réclamation: Si vous estimez que vos droits ne sont pas respectés, vous pouvez déposer une réclamation auprès de:

  • France: CNIL (Commission Nationale de l'Informatique et des Libertés) - www.cnil.fr
  • Canada: Commissariat à la protection de la vie privée du Canada - www.priv.gc.ca
  • Québec: Commission d'accès à l'information du Québec - www.cai.gouv.qc.ca

10. Cookies et Technologies Similaires

Nous utilisons des cookies et technologies similaires pour améliorer votre expérience et analyser l'utilisation de notre service. Notre bannière de consentement vous permet de gérer vos préférences.

🍪 Cookies strictement nécessaires (toujours actifs)

Ces cookies sont indispensables au fonctionnement du service et ne peuvent être désactivés:

  • Authentification: Maintien de votre session utilisateur (JWT)
  • Sécurité: Protection CSRF, prévention des attaques
  • Préférences essentielles: Langue, fuseau horaire
  • Load balancing: Routage optimal des requêtes

Base légale: Exécution du contrat (Art. 6.1.b RGPD) - Pas de consentement requis

📊 Cookies analytiques (opt-in requis)

Ces cookies nous aident à comprendre comment vous utilisez le service pour l'améliorer:

  • Vercel Analytics: Métriques de performance et utilisation
  • Sentry: Monitoring des erreurs et diagnostics
  • Statistiques agrégées: Pages visitées, durée, interactions

Base légale: Consentement (Art. 6.1.a RGPD) - Données anonymisées

⚙️ Cookies fonctionnels (opt-in requis)

Ces cookies améliorent votre expérience utilisateur:

  • Préférences d'affichage: Mode sombre, densité UI, taille police
  • Personnalisation: Widgets dashboard, filtres favoris
  • Assistance: Historique support, préférences chat

Base légale: Consentement (Art. 6.1.a RGPD)

🚫 Cookies que nous N'UTILISONS PAS

  • ✗ Cookies publicitaires ou tracking tiers non nécessaires
  • ✗ Cookies de réseaux sociaux (sauf si vous cliquez sur bouton partage)
  • ✗ Revente de données de navigation à des tiers

⚙️ Gérer vos préférences cookies

Vous pouvez à tout moment:

  • • Modifier vos préférences via le lien "Paramètres cookies" en bas de page
  • • Supprimer les cookies depuis les paramètres de votre navigateur
  • • Configurer votre navigateur pour bloquer les cookies (peut affecter le fonctionnement)

Durée de conservation des cookies: 6 mois maximum (re-consentement requis après)

11. Protection des Mineurs

Notre service est destiné exclusivement aux professionnels âgés de 18 ans ou plus. Nous ne collectons pas sciemment de données personnelles concernant des mineurs. Si vous êtes un parent ou tuteur légal et que vous pensez que votre enfant nous a fourni des données personnelles, contactez-nous immédiatement à dpo@erpresto.com pour que nous supprimions ces informations.

Note: Si vous utilisez le module RH pour gérer des employés mineurs (ex: étudiants de 16-17 ans avec contrat légal), vous êtes responsable en tant qu'employeur du respect des obligations légales relatives aux données de ces employés mineurs.

12. Modifications de cette Politique

Nous nous réservons le droit de modifier cette politique de confidentialité pour refléter les évolutions de nos pratiques, de notre service, ou des exigences légales.

Processus de modification :

  • 1. Publication: Nouvelle version publiée sur cette page avec nouvelle date
  • 2. Notification: Email envoyé à tous les utilisateurs actifs
  • 3. Préavis: Minimum 30 jours avant prise d'effet pour changements substantiels
  • 4. Historique: Versions antérieures archivées et disponibles sur demande
  • 5. Consentement: Si modification majeure, re-consentement peut être requis

💡 Conseil: Nous vous recommandons de consulter régulièrement cette page. La date de "Dernière mise à jour" en haut du document indique la version en vigueur.

13. Contact et Réclamations

📞 Contacts Protection des Données

Délégué à la Protection des Données (DPO)

dpo@erpresto.com

Demandes RGPD/PIPEDA prioritaires

Support Général

contact@erpresto.com

Questions générales

Adresse postale

Montréal, Québec, Canada

Pour correspondance officielle

Délai de réponse

Maximum 1 mois

Peut être prolongé à 3 mois si complexe

⚖️ Autorités de Contrôle

Si vous n'êtes pas satisfait de notre réponse ou si vous souhaitez déposer une réclamation concernant le traitement de vos données personnelles, vous pouvez saisir:

🇫🇷 France

Commission Nationale de l'Informatique et des Libertés (CNIL)

3 Place de Fontenoy - TSA 80715 - 75334 PARIS CEDEX 07

www.cnil.fr | Tél: +33 1 53 73 22 22

🇨🇦 Canada

Commissariat à la protection de la vie privée du Canada

30, rue Victoria, Gatineau (Québec) K1A 1H3

www.priv.gc.ca | Tél: 1-800-282-1376

🇨🇦 Québec

Commission d'accès à l'information du Québec (CAI)

525, boul. René-Lévesque Est, bureau 1.20, Québec (Québec) G1R 5S9

www.cai.gouv.qc.ca | Tél: 1-888-528-7741

🔒 Notre Engagement de Confidentialité

Chez ERPResto, la protection de vos données personnelles n'est pas une simple obligation légale, c'est un engagement fondamental. Nous investissons continuellement dans les meilleures pratiques de sécurité et de confidentialité pour mériter votre confiance.

Conformité RGPD

Conforme

Chiffrement AES-256

Données au repos

TLS 1.3

Communications sécurisées

Monitoring 24/7

Sécurité proactive

Historique des versions

  • v2.04 janvier 2025RGPD/PIPEDA mise à jour, k-anonymité documentée.
  • v1.01 juin 2024Version initiale.

Les versions antérieures sont disponibles sur demande à legal@erpresto.com.