Omiser Logo

Ce document est disponible en allemand et en anglais. La version allemande fait foi.

Retour à l'accueil

Politique de confidentialité

Dernière mise à jour: Avril 2026

Politique de Confidentialite

Cette page est une traduction. Pour les questions juridiques, la version allemande originale fait foi.

1. Responsable du traitement

Le responsable du traitement au sens du Reglement general sur la protection des donnees (RGPD — Reglement UE 2016/679), de la loi n° 78-17 du 6 janvier 1978 relative a l'informatique, aux fichiers et aux libertes (ci-apres « Loi Informatique et Libertes ») et de toute autre disposition applicable en matiere de protection des donnees est :

Zentachain GmbH (operant sous la marque « Omiser ») Dortmund, Allemagne

Registre du commerce : Amtsgericht Charlottenburg (Berlin) Numero d'immatriculation : HRB 242677 B N° TVA intracommunautaire : DE363535928

E-mail : office@omiser.com

(ci-apres « Omiser », « nous » ou « notre »)


2. Delegue a la protection des donnees

Un delegue a la protection des donnees sera designe des que les conditions legales prevues a l'article 37 du RGPD et a l'article 57-1 de la Loi Informatique et Libertes seront remplies.

Si un delegue a la protection des donnees est designe, il peut etre contacte a l'adresse suivante :

E-mail : office@omiser.com


3. Apercu des traitements

3.1 Categories de donnees traitees

Nous traitons les categories suivantes de donnees a caractere personnel :

  • Donnees d'identification (par exemple noms, adresses, raisons sociales)
  • Donnees de contact (par exemple adresses e-mail, numeros de telephone)
  • Donnees contractuelles (par exemple objet du contrat, duree, categorie de client)
  • Donnees de paiement (par exemple coordonnees bancaires, historique de paiement — via des prestataires de services de paiement)
  • Donnees d'utilisation (par exemple pages visitees, heures d'acces, comportement de navigation)
  • Metadonnees / donnees de communication (par exemple adresses IP, informations sur l'appareil, type de navigateur)
  • Donnees de contenu (par exemple saisies dans le formulaire de contact, contenu des messages)
  • Donnees d'authentification (par exemple mots de passe sous forme hachee, jetons OAuth)

3.2 Categories de personnes concernees

  • Visiteurs et utilisateurs de notre site web (www.omiser.com)
  • Clients professionnels (proprietaires de restaurants et leurs employes)
  • Clients finaux des restaurants (dans le cadre du traitement pour le compte du responsable)
  • Partenaires de communication (formulaire de contact, e-mail)

3.3 Finalites du traitement

  • Mise a disposition et exploitation du site web et de la plateforme
  • Fourniture des prestations contractuelles (services SaaS B2B pour les restaurants)
  • Traitement des donnees de commandes des clients finaux pour le compte des restaurants
  • Communication avec les clients et assistance
  • Garantie de la securite informatique et du bon fonctionnement
  • Analyse et optimisation du site web (uniquement avec consentement)
  • Marketing et publicite (uniquement avec consentement)
  • Respect des obligations legales (par exemple obligations de conservation)

3.4 Roles et responsabilites de la plateforme

Omiser exploite une plateforme SaaS B2B qui met a la disposition des restaurants leur propre boutique en ligne de commande, une application mobile et un tableau de bord de gestion. Dans ce cadre, deux relations distinctes existent en matiere de protection des donnees :

  • Omiser en tant que responsable du traitement (art. 4, point 7 du RGPD) : pour le traitement des donnees a caractere personnel des visiteurs du site web et des clients professionnels (proprietaires de restaurants), Omiser est lui-meme responsable du traitement.
  • Omiser en tant que sous-traitant (art. 4, point 8 et art. 28 du RGPD) : pour le traitement des donnees a caractere personnel des clients finaux qui passent commande via la boutique en ligne d'un restaurant, le restaurant concerne agit en qualite de responsable du traitement. Omiser traite ces donnees exclusivement pour le compte et selon les instructions documentees du restaurant, sur la base d'un contrat de sous-traitance conformement a l'article 28 du RGPD.

4. Bases juridiques du traitement

Le traitement des donnees a caractere personnel repose toujours sur une base juridique valide. Les bases juridiques suivantes sont susceptibles de s'appliquer :

  • Consentement (art. 6, paragraphe 1, point a) du RGPD ; art. 82 de la Loi Informatique et Libertes) : lorsque nous recueillons le consentement de la personne concernee pour le traitement de donnees a caractere personnel ou pour l'acces aux informations stockees dans le terminal de l'utilisateur (par exemple cookies, pixels de suivi), l'article 6, paragraphe 1, point a) du RGPD et l'article 82 de la Loi Informatique et Libertes servent de base juridique. Le consentement est revocable a tout moment pour l'avenir.

  • Execution d'un contrat et mesures precontractuelles (art. 6, paragraphe 1, point b) du RGPD) : lorsque le traitement de donnees a caractere personnel est necessaire a l'execution d'un contrat auquel la personne concernee est partie ou a l'execution de mesures precontractuelles prises a la demande de celle-ci, le traitement repose sur l'article 6, paragraphe 1, point b) du RGPD.

  • Obligation legale (art. 6, paragraphe 1, point c) du RGPD) : lorsque le traitement de donnees a caractere personnel est necessaire au respect d'une obligation legale a laquelle nous sommes soumis (par exemple obligations de conservation fiscale), le traitement repose sur l'article 6, paragraphe 1, point c) du RGPD.

  • Interets legitimes (art. 6, paragraphe 1, point f) du RGPD) : lorsque le traitement est necessaire aux fins des interets legitimes poursuivis par nous-memes ou par un tiers, a moins que ne prevalent les interets ou les libertes et droits fondamentaux de la personne concernee, l'article 6, paragraphe 1, point f) du RGPD sert de base juridique. Nos interets legitimes resident notamment dans la mise a disposition et l'amelioration de notre plateforme, la garantie de la securite informatique ainsi que la defense de droits en justice.


5. Collecte et traitement des donnees a caractere personnel

5.1 Visite du site web (fichiers journaux du serveur)

Lors de chaque acces a notre site web, notre hebergeur collecte et enregistre automatiquement des informations dans des fichiers journaux du serveur, que votre navigateur transmet automatiquement. Il s'agit notamment de :

  • Adresse IP de l'appareil demandeur (le cas echeant tronquee)
  • Date et heure de l'acces
  • Nom et URL du fichier consulte
  • Volume de donnees transfere
  • Confirmation de la reussite de la consultation (code de statut HTTP)
  • URL de reference (page visitee precedemment)
  • Navigateur web et systeme d'exploitation utilises
  • Langue et version du navigateur
  • Nom du fournisseur d'acces

Base juridique : art. 6, paragraphe 1, point f) du RGPD. Notre interet legitime reside dans la garantie du bon fonctionnement du site web, la prevention des attaques et des abus, ainsi que l'analyse des erreurs.

Duree de conservation : les fichiers journaux du serveur sont automatiquement supprimes apres un maximum de 30 jours, sauf si une conservation prolongee est necessaire a des fins probatoires (par exemple en cas d'incidents de securite).

Pas de rapprochement : aucun rapprochement de ces donnees avec d'autres sources de donnees n'est effectue. Aucune identification d'une personne determinee n'est realisee.

5.2 Inscription en tant que client restaurateur

L'utilisation de notre plateforme SaaS necessite une inscription. Dans ce cadre, nous collectons les donnees suivantes :

  • Prenom et nom du proprietaire/gerant
  • Adresse e-mail
  • Numero de telephone
  • Adresse professionnelle (rue, numero, code postal, ville, pays)
  • Raison sociale (nom du restaurant ou de l'entreprise)
  • Informations fiscales (le cas echeant, numero de TVA intracommunautaire)
  • Informations de paiement (pour les abonnements payants — le traitement est effectue par des prestataires de services de paiement, voir section 10)
  • Mot de passe (en cas d'inscription par e-mail — stocke exclusivement sous forme de hachage bcrypt)

L'inscription peut s'effectuer de la maniere suivante :

  • Inscription par e-mail : creation d'un compte avec une adresse e-mail et un mot de passe choisi par l'utilisateur.
  • Google OAuth : connexion via votre compte Google/Gmail. Nous recevons de Google votre nom, votre adresse e-mail et votre photo de profil. Aucune autre donnee n'est transmise (voir section 9.1).
  • Sign in with Apple : connexion via votre identifiant Apple. Nous recevons d'Apple votre nom et votre adresse e-mail. Apple offre la possibilite d'utiliser une adresse de transfert privee (voir section 9.2).

Base juridique : art. 6, paragraphe 1, point b) du RGPD (execution du contrat d'utilisation ou mesures precontractuelles).

Duree de conservation : les donnees sont conservees pendant la duree de la relation contractuelle et supprimees apres la fin du contrat dans le respect des delais de conservation legaux (voir section 15).

5.3 Traitement des donnees des clients finaux (sous-traitance conformement a l'art. 28 du RGPD)

Les restaurants utilisant notre plateforme traitent, via leur boutique en ligne et l'application mobile, des donnees a caractere personnel de leurs clients finaux. Ces donnees comprennent notamment :

  • Nom et adresse du client final
  • Adresse e-mail et numero de telephone
  • Adresse de livraison/de retrait
  • Historique et details des commandes
  • Informations de paiement (traitees via des prestataires de services de paiement)
  • Donnees de communication (par exemple messages dans le cadre d'une commande)

Repartition des responsabilites en matiere de protection des donnees :

  • Le restaurant est responsable du traitement (art. 4, point 7 du RGPD) pour le traitement des donnees des clients finaux et determine les finalites et les moyens du traitement.
  • Omiser est sous-traitant (art. 4, point 8 du RGPD) et traite les donnees des clients finaux exclusivement pour le compte et selon les instructions documentees du restaurant.

Le traitement s'effectue sur la base d'un contrat de sous-traitance conformement a l'article 28 du RGPD entre Omiser et le restaurant concerne. Ce contrat regit notamment :

  • L'objet et la duree du traitement
  • La nature et la finalite du traitement
  • Le type de donnees a caractere personnel et les categories de personnes concernees
  • Les obligations et droits du responsable du traitement
  • Les mesures techniques et organisationnelles (art. 32 du RGPD)
  • Le recours a des sous-traitants ulterieurs
  • L'assistance dans l'exercice des droits des personnes concernees
  • La suppression ou la restitution des donnees a la fin du contrat

Separation technique : chaque restaurant dispose de sa propre base de donnees logiquement isolee. Cela garantit une separation stricte des donnees des clients finaux des differents restaurants.

Information pour les clients finaux : si vous etes un client final et souhaitez obtenir des informations sur vos donnees a caractere personnel ou exercer vos droits, veuillez vous adresser au restaurant aupres duquel vous avez passe commande. Ce dernier est le responsable du traitement au sens de la reglementation sur la protection des donnees.

5.4 Formulaire de contact

Un formulaire de contact est mis a votre disposition sur notre site web, vous permettant de nous adresser des demandes. Les donnees suivantes sont collectees :

  • Nom
  • Adresse e-mail
  • Numero de telephone (facultatif)
  • Nom du restaurant (facultatif)
  • Objet selectionne
  • Contenu de votre message
  • Horodatage de la transmission
  • Adresse IP (pour des raisons techniques et de prevention des abus)

Pour l'envoi des demandes de contact, nous utilisons le service Resend (Resend Inc., Etats-Unis). Un contrat de sous-traitance a ete conclu avec Resend. Le transfert de donnees vers les Etats-Unis s'effectue sur la base de clauses contractuelles types (art. 46, paragraphe 2, point c) du RGPD).

Base juridique :

  • Si votre demande vise la conclusion d'un contrat : art. 6, paragraphe 1, point b) du RGPD (mesures precontractuelles).
  • Dans les autres cas : art. 6, paragraphe 1, point f) du RGPD (interet legitime a repondre aux demandes des utilisateurs).

Duree de conservation : votre demande et les donnees associees sont supprimees apres le traitement definitif, sauf si des obligations legales de conservation s'y opposent. Si une relation contractuelle s'etablit, les delais de conservation generaux s'appliquent (voir section 15).

5.5 Lettre d'information (newsletter)

Vous pouvez vous inscrire a notre lettre d'information sur notre site web. Seule votre adresse e-mail est collectee.

Base juridique : art. 6, paragraphe 1, point a) du RGPD (consentement). L'inscription est volontaire.

Envoi et gestion : pour l'envoi et la gestion des abonnes a la lettre d'information, nous utilisons le service Resend (Resend Inc., Etats-Unis). Resend stocke votre adresse e-mail et la date d'inscription. Un contrat de sous-traitance a ete conclu avec Resend.

Desinscription : vous pouvez vous desabonner de la lettre d'information a tout moment. Un lien de desinscription figure dans chaque e-mail de la lettre d'information. Apres la desinscription, votre adresse e-mail est supprimee de la liste de diffusion, sauf obligation legale de conservation.


6. Hebergement et distribution de contenu

6.1 Hebergement

Notre site web et notre plateforme sont exploites par un hebergeur professionnel. Les serveurs sont situes exclusivement dans l'Union europeenne (UE).

Lors de la visite de notre site web, les donnees suivantes sont traitees par l'hebergeur :

  • Donnees de contenu
  • Donnees d'utilisation
  • Metadonnees / donnees de communication (cf. section 5.1)

Le recours a l'hebergeur repose sur l'article 6, paragraphe 1, point f) du RGPD (interet legitime a une mise a disposition securisee et efficace de notre offre en ligne) et — dans la mesure ou un contrat a ete conclu — sur l'article 6, paragraphe 1, point b) du RGPD.

Un contrat de sous-traitance conformement a l'article 28 du RGPD a ete conclu avec l'hebergeur, garantissant un traitement conforme a la protection des donnees.

Hebergeur : Vercel Inc. 440 N Baxter St, Los Angeles, CA 90012, Etats-Unis


7. Polices de caracteres (Google Fonts — hebergees localement)

Nous utilisons sur notre site web des polices de caracteres de Google (Google Fonts). Ces polices sont installees localement sur notre serveur (auto-hebergement). Lors de l'acces a notre site web, les polices sont chargees directement depuis notre serveur.

Aucune connexion aux serveurs de Google n'est etablie. Aucune donnee n'est transmise a Google. En particulier, votre adresse IP n'est pas communiquee a Google.

L'utilisation des polices auto-hebergees sert a une presentation uniforme et attrayante de notre site web. Aucune base juridique specifique au sens du droit de la protection des donnees n'est requise pour l'auto-hebergement, car aucune donnee a caractere personnel n'est transmise a des tiers.


8. Services de suivi et d'analyse

Nous utilisons sur notre site web les services de suivi et d'analyse suivants. L'utilisation de ces services n'a lieu qu'apres votre consentement prealable explicite, que nous recueillons via une banniere de consentement aux cookies (plateforme de gestion du consentement).

Base juridique : art. 6, paragraphe 1, point a) du RGPD (consentement) en combinaison avec l'article 82 de la Loi Informatique et Libertes (consentement au stockage d'informations dans le terminal de l'utilisateur ou a l'acces a celles-ci).

Sans votre consentement explicite, aucun cookie de suivi n'est installe et aucun pixel de suivi n'est charge. Les cookies techniquement necessaires (art. 82 de la Loi Informatique et Libertes, exemption) ne necessitent pas de consentement.

8.1 Google Analytics 4 (Google Ireland Limited)

Nous utilisons Google Analytics 4, un service d'analyse web de Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irlande (ci-apres « Google »).

Google Analytics utilise des cookies et des technologies similaires permettant d'analyser votre utilisation du site web. Les informations generees par le cookie concernant votre utilisation de ce site web sont en general transmises a un serveur de Google et y sont stockees.

Anonymisation de l'adresse IP : Google Analytics 4 anonymise votre adresse IP par defaut, de sorte qu'aucune adresse IP complete n'est transmise a Google.

Donnees traitees :

  • Identifiants en ligne (par exemple identifiants de cookies, identifiants d'appareils)
  • Adresse IP (anonymisee)
  • Informations sur l'appareil (type d'appareil, systeme d'exploitation, navigateur)
  • Donnees d'utilisation (pages visitees, duree de la visite, interactions)
  • Donnees de localisation (sur la base de l'adresse IP anonymisee, non precise)
  • URL de reference

Finalite : analyse du comportement des utilisateurs pour l'amelioration de notre site web et de notre offre, elaboration de statistiques d'utilisation.

Destinataires / transfert de donnees : Google Ireland Limited ; le cas echeant, transmission a Google LLC, Etats-Unis. Le transfert vers les Etats-Unis s'effectue sur la base du cadre de protection des donnees UE-Etats-Unis (decision d'adequation de la Commission europeenne conformement a l'art. 45 du RGPD) ou des clauses contractuelles types (art. 46, paragraphe 2, point c) du RGPD).

Informations complementaires : https://policies.google.com/privacy

Opt-out : vous pouvez empecher la collecte par Google Analytics en ne donnant pas votre consentement ou en le revoquant. De plus, Google propose un module complementaire de navigateur pour la desactivation : https://tools.google.com/dlpage/gaoptout

8.2 Suivi des conversions Google Ads (Google Ireland Limited)

Nous utilisons le suivi des conversions Google Ads, un service de Google Ireland Limited.

Lorsque vous cliquez sur une annonce diffusee par Google, un cookie de suivi des conversions est installe sur votre appareil. Ce cookie expire apres 30 jours et ne sert pas a l'identification personnelle. Si vous visitez certaines pages de notre site web et que le cookie n'a pas encore expire, nous et Google pouvons reconnaitre que vous avez clique sur l'annonce et avez ete redirige vers notre site.

Donnees traitees :

  • Identifiants en ligne (identifiants de cookies)
  • Donnees de conversion (par exemple si une action determinee a ete effectuee)
  • Adresse IP (tronquee)
  • Informations sur l'interaction avec l'annonce

Finalite : mesure de l'efficacite de nos annonces Google Ads, optimisation de nos campagnes publicitaires.

Destinataires / transfert de donnees : Google Ireland Limited ; le cas echeant, Google LLC, Etats-Unis (cadre de protection des donnees UE-Etats-Unis / clauses contractuelles types).

Informations complementaires : https://policies.google.com/privacy

8.3 Meta Pixel (Meta Platforms Ireland Limited)

Nous utilisons le Meta Pixel (anciennement Facebook Pixel), un service de Meta Platforms Ireland Limited, Merrion Road, Dublin 4, D04 X2K5, Irlande (ci-apres « Meta »).

Le Meta Pixel est un extrait de code JavaScript integre a notre site web. Il nous permet de mesurer l'efficacite de nos annonces sur Facebook et Instagram, de creer des audiences pour les annonces (Custom Audiences) et de realiser des actions de reciblage.

Donnees traitees :

  • Identifiants en ligne (identifiants de cookies, identifiant du pixel)
  • Donnees d'utilisation (pages visitees, actions/evenements realises)
  • Informations sur l'appareil (navigateur, systeme d'exploitation, resolution d'ecran)
  • Adresse IP
  • URL de reference

Lors de l'acces a notre site web, le Meta Pixel etablit une connexion directe au serveur de Meta. Meta recoit l'information selon laquelle vous avez visite notre site web. Si vous etes connecte a Facebook/Instagram, Meta peut associer la visite a votre compte.

Finalite : mesure de l'efficacite publicitaire, creation d'audiences, reciblage.

Destinataires / transfert de donnees : Meta Platforms Ireland Limited ; le cas echeant, Meta Platforms, Inc., Etats-Unis (cadre de protection des donnees UE-Etats-Unis / clauses contractuelles types).

Responsabilite conjointe : pour la collecte et la transmission des donnees a Meta, il existe une responsabilite conjointe entre nous et Meta conformement a l'article 26 du RGPD. L'accord correspondant est disponible a l'adresse : https://www.facebook.com/legal/controller_addendum

Informations complementaires : https://www.facebook.com/privacy/policy/

8.4 TikTok Pixel (TikTok Technology Limited)

Nous utilisons le TikTok Pixel, un service de TikTok Technology Limited, 10 Earlsfort Terrace, Dublin, D02 T380, Irlande (ci-apres « TikTok »).

Le TikTok Pixel nous permet de mesurer l'efficacite de nos annonces TikTok et d'enregistrer des evenements de conversion.

Donnees traitees :

  • Identifiants en ligne (identifiants de cookies, identifiant du pixel)
  • Donnees d'utilisation (pages visitees, actions/evenements realises)
  • Informations sur l'appareil
  • Adresse IP

Finalite : mesure de l'efficacite publicitaire sur TikTok, suivi des conversions, reciblage.

Destinataires / transfert de donnees : TikTok Technology Limited, Irlande ; le cas echeant, autres entites du groupe TikTok. Le transfert vers des pays tiers s'effectue sur la base de clauses contractuelles types (art. 46, paragraphe 2, point c) du RGPD).

Informations complementaires : https://www.tiktok.com/legal/privacy-policy

8.5 Twitter/X Pixel (X Corp.)

Nous utilisons le suivi des conversions Twitter/X (Universal Website Tag), un service de X Corp., 1355 Market Street, Suite 900, San Francisco, CA 94103, Etats-Unis (ci-apres « X »).

Le Twitter/X Pixel nous permet de mesurer le succes de nos annonces sur Twitter/X.

Donnees traitees :

  • Identifiants en ligne (identifiants de cookies)
  • Donnees d'utilisation (pages visitees, evenements de conversion)
  • Informations sur l'appareil
  • Adresse IP

Finalite : mesure de l'efficacite publicitaire sur Twitter/X, suivi des conversions.

Destinataires / transfert de donnees : X Corp., Etats-Unis. Le transfert vers les Etats-Unis s'effectue sur la base de clauses contractuelles types (art. 46, paragraphe 2, point c) du RGPD) et — dans la mesure applicable — du cadre de protection des donnees UE-Etats-Unis.

Informations complementaires : https://twitter.com/en/privacy

Revocation du consentement aux services de suivi et d'analyse

Vous pouvez revoquer a tout moment le consentement que vous avez accorde pour l'utilisation des services de suivi et d'analyse susmentionnes, avec effet pour l'avenir. Pour ce faire, vous disposez des moyens suivants :

  • Parametres des cookies : ajustez votre consentement via le lien « Parametres des cookies » situe dans le pied de page de notre site web. Vous pouvez y desactiver certains ou tous les services.
  • Parametres du navigateur : vous pouvez configurer votre navigateur de maniere a refuser les cookies en general, a n'autoriser que certains cookies ou a vous avertir lorsqu'un cookie est sur le point d'etre installe.
  • Liens d'opt-out des prestataires : les prestataires individuels proposent en partie leurs propres mecanismes d'opt-out (voir les sections correspondantes ci-dessus).

La revocation du consentement n'affecte pas la licaite du traitement effectue sur la base du consentement avant sa revocation (art. 7, paragraphe 3, deuxieme phrase du RGPD).


9. Services d'authentification tiers

9.1 Google OAuth (Google Ireland Limited)

Nous vous offrons la possibilite de vous inscrire et de vous connecter a notre plateforme via votre compte Google (OAuth 2.0).

Prestataire : Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irlande.

Donnees transmises : lors de la connexion via Google, les donnees suivantes nous sont transmises par Google :

  • Nom (prenom et nom de famille)
  • Adresse e-mail
  • Photo de profil
  • Identifiant unique d'utilisateur Google

La transmission s'effectue via l'interface securisee OAuth 2.0. Seules les donnees que vous avez autorisees sont transmises. Google recoit l'information selon laquelle vous vous etes connecte a notre service. Nous n'avons pas acces a votre mot de passe Google.

Base juridique : art. 6, paragraphe 1, point b) du RGPD (execution du contrat — l'inscription est une condition prealable a l'utilisation de notre plateforme).

Informations complementaires : https://policies.google.com/privacy

9.2 Sign in with Apple (Apple Distribution International Ltd.)

Nous vous offrons la possibilite de vous inscrire et de vous connecter a notre plateforme via votre identifiant Apple.

Prestataire : Apple Distribution International Ltd., Hollyhill Industrial Estate, Hollyhill, Cork, Irlande.

Donnees transmises : lors de la connexion via Apple, les donnees suivantes nous sont transmises par Apple :

  • Nom (prenom et nom de famille)
  • Adresse e-mail

Apple offre la possibilite, via la fonction « Masquer mon adresse e-mail », d'utiliser une adresse de transfert privee generee de maniere aleatoire a la place de votre veritable adresse e-mail. Les messages envoyes a cette adresse sont transferes par Apple a votre veritable adresse e-mail, sans que nous en ayons connaissance.

Base juridique : art. 6, paragraphe 1, point b) du RGPD (execution du contrat).

Informations complementaires : https://www.apple.com/legal/privacy/


10. Prestataires de services de paiement

Pour le traitement des paiements dans le cadre de notre plateforme SaaS, nous faisons appel a des prestataires de services de paiement externes. Le traitement des paiements s'effectue directement entre l'utilisateur et le prestataire de services de paiement concerne. Nous recevons du prestataire de services de paiement uniquement une confirmation de la reception du paiement ou un identifiant de paiement.

10.1 Stripe (Stripe Payments Europe, Ltd.)

Prestataire : Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin 2, Irlande.

Donnees traitees : dans le cadre du processus de paiement, Stripe traite les donnees necessaires a l'execution du paiement, notamment :

  • Nom du titulaire de la carte
  • Numero de carte de credit ou de debit (Omiser n'a pas acces au numero complet de la carte)
  • Date d'expiration
  • Code de verification (CVC/CVV)
  • Montant de la transaction
  • Adresse e-mail
  • Adresse IP

Base juridique : art. 6, paragraphe 1, point b) du RGPD (execution du contrat).

Stripe agit en qualite de prestataire de services de paiement et est responsable du traitement independant pour le traitement des donnees relevant de sa responsabilite. Nous avons conclu avec Stripe un contrat de sous-traitance dans la mesure ou Stripe agit pour notre compte.

Informations complementaires : https://stripe.com/fr/privacy

10.2 Mollie (Mollie B.V.)

Prestataire : Mollie B.V., Keizersgracht 126, 1015 CW Amsterdam, Pays-Bas.

Donnees traitees : dans le cadre du processus de paiement, Mollie traite les donnees necessaires a l'execution du paiement, notamment :

  • Nom du payeur
  • Donnees de paiement (en fonction du mode de paiement choisi)
  • Montant et devise de la transaction
  • Adresse e-mail
  • Adresse IP

Base juridique : art. 6, paragraphe 1, point b) du RGPD (execution du contrat).

Mollie agit en qualite de prestataire de services de paiement et est responsable du traitement independant pour le traitement des donnees relevant de sa responsabilite.

Informations complementaires : https://www.mollie.com/fr/privacy


11. Services de cartographie

Nous utilisons des services de cartographie pour l'affichage de cartes et la configuration des zones de livraison des restaurants sur notre plateforme.

Prestataire : Google Maps (Google Ireland Limited) Gordon House, Barrow Street, Dublin 4, Irlande

Donnees traitees : lors du chargement de la vue cartographique, une connexion est etablie avec les serveurs du prestataire de cartographie. Les donnees suivantes peuvent etre transmises :

  • Adresse IP
  • Donnees de localisation (si autorisees par l'utilisateur)
  • Informations sur l'appareil et le navigateur
  • Donnees d'utilisation (par exemple zone de la carte, niveau de zoom)

Finalite : affichage des cartes, configuration et affichage des zones de livraison des restaurants.

Base juridique : art. 6, paragraphe 1, point b) du RGPD (execution du contrat), dans la mesure ou la vue cartographique est necessaire a la fourniture de la prestation contractuelle (configuration des zones de livraison) ; pour le reste, art. 6, paragraphe 1, point f) du RGPD (interet legitime a une presentation conviviale).

Dans la mesure ou des donnees sont transferees vers des pays tiers, ce transfert s'effectue sur la base de clauses contractuelles types (art. 46, paragraphe 2, point c) du RGPD) ou du cadre de protection des donnees UE-Etats-Unis.

Informations complementaires : https://policies.google.com/privacy


12. Securite des donnees

Nous mettons en oeuvre des mesures techniques et organisationnelles etendues conformement a l'article 32 du RGPD afin de garantir un niveau de protection adapte au risque pour les donnees a caractere personnel traitees. Cela comprend notamment :

Mesures techniques :

  • Chiffrement AES-256 pour les donnees clients stockees (chiffrement au repos)
  • Chiffrement TLS/SSL pour l'ensemble des transferts de donnees entre le client et le serveur (chiffrement en transit)
  • Bases de donnees isolees par restaurant — chaque restaurant dispose de sa propre base de donnees logiquement separee. L'acces aux donnees d'autres restaurants est ainsi techniquement exclu.
  • Stockage securise des mots de passe au moyen d'un hachage bcrypt. Les mots de passe ne sont a aucun moment stockes ou transmis en clair.
  • Mises a jour de securite regulieres et correctifs pour tous les systemes et dependances
  • Sauvegardes automatisees avec chiffrement
  • Pare-feu et systemes de detection d'intrusion pour la protection de l'infrastructure

Mesures organisationnelles :

  • Controle d'acces base sur les roles (RBAC) : l'acces aux donnees a caractere personnel est strictement limite aux collaborateurs qui en ont besoin dans l'exercice de leurs fonctions (principe du besoin de connaitre).
  • Engagement de confidentialite de tous les collaborateurs et prestataires conformement a l'article 28, paragraphe 3, point b) du RGPD
  • Sensibilisation reguliere des collaborateurs a la protection des donnees et a la securite informatique
  • Procedure documentee pour les incidents de protection des donnees conformement aux articles 33 et 34 du RGPD

Hebergement dans l'UE : tous les serveurs et bases de donnees sont situes dans des centres de donnees au sein de l'Union europeenne.

Nous attirons votre attention sur le fait que, malgre toutes les mesures de securite, une securite totale lors de la transmission de donnees par Internet ne peut etre garantie.


13. Transmission a des tiers et sous-traitants

La transmission de donnees a caractere personnel a des tiers n'a lieu que si :

  • vous avez donne votre consentement explicite (art. 6, paragraphe 1, point a) du RGPD),
  • cela est necessaire a l'execution d'un contrat (art. 6, paragraphe 1, point b) du RGPD),
  • une obligation legale l'exige (art. 6, paragraphe 1, point c) du RGPD), ou
  • cela est necessaire aux fins de la sauvegarde d'interets legitimes et qu'il n'y a pas de raison de penser que votre interet digne de protection a l'exclusion de la transmission prevaut (art. 6, paragraphe 1, point f) du RGPD).

Sous-traitants et prestataires de services utilises

Nous collaborons avec les categories de prestataires de services suivantes, avec lesquels — dans la mesure necessaire — des contrats de sous-traitance conformement a l'article 28 du RGPD ont ete conclus :

| Prestataire / Categorie | Finalite | Siege | |---|---|---| | Vercel Inc. | Hebergement, infrastructure serveur | Etats-Unis (certifie DPF) | | Stripe Payments Europe, Ltd. | Traitement des paiements | Irlande (UE) | | Mollie B.V. | Traitement des paiements | Pays-Bas (UE) | | Google Ireland Limited | Google Analytics 4, Google Ads, Google OAuth | Irlande (UE) | | Meta Platforms Ireland Limited | Meta Pixel (Facebook/Instagram) | Irlande (UE) | | TikTok Technology Limited | TikTok Pixel | Irlande (UE) | | X Corp. | Twitter/X Pixel | Etats-Unis | | Apple Distribution International Ltd. | Sign in with Apple | Irlande (UE) | | Google Ireland Limited | Service de cartographie (Google Maps) / Zones de livraison | Irlande (UE) | | Resend Inc. | Envoi d'e-mails de formulaire de contact et de lettres d'information | Etats-Unis (SCC) |

Cette liste est mise a jour en cas de modification. La liste complete et actualisee des sous-traitants ulterieurs peut etre fournie sur demande.


14. Transfert de donnees vers des pays tiers

Certains des prestataires de services que nous utilisons ont leur siege en dehors de l'Union europeenne ou de l'Espace economique europeen (EEE), notamment aux Etats-Unis. Dans la mesure ou un transfert de donnees a caractere personnel a ces prestataires a lieu, nous veillons a ce qu'un niveau de protection des donnees adequat soit garanti.

Bases juridiques du transfert de donnees :

  • Cadre de protection des donnees UE-Etats-Unis (DPF) : pour les entreprises ayant leur siege aux Etats-Unis et certifiees dans le cadre du DPF UE-Etats-Unis, il existe une decision d'adequation de la Commission europeenne conformement a l'article 45 du RGPD (decision d'execution (UE) 2023/1795 de la Commission du 10 juillet 2023). Cela concerne notamment Google LLC et Meta Platforms, Inc.

  • Clauses contractuelles types (Standard Contractual Clauses — SCC) : pour les transferts vers des pays tiers pour lesquels aucune decision d'adequation n'existe, nous utilisons les clauses contractuelles types approuvees par la Commission europeenne conformement a l'article 46, paragraphe 2, point c) du RGPD (decision d'execution (UE) 2021/914 de la Commission du 4 juin 2021) comme garantie d'un niveau de protection adequat.

  • Mesures supplementaires : en complement des clauses contractuelles types, nous mettons en oeuvre — dans la mesure necessaire — des mesures techniques et organisationnelles supplementaires pour garantir la protection des donnees a caractere personnel lors du transfert vers des pays tiers (par exemple chiffrement, pseudonymisation).

Pour toute question relative aux garanties specifiques d'un transfert de donnees particulier, vous pouvez nous contacter (voir section 1).


15. Duree de conservation

Nous ne conservons les donnees a caractere personnel que le temps necessaire aux finalites de traitement respectives ou tant que des obligations legales de conservation l'exigent. Les durees de conservation suivantes s'appliquent :

| Categorie de donnees | Duree de conservation | Fondement | |---|---|---| | Fichiers journaux du serveur | Maximum 30 jours | Art. 6, paragraphe 1, point f) du RGPD | | Donnees contractuelles (clients B2B) | Duree de la relation contractuelle plus delais de conservation legaux | Art. 6, paragraphe 1, points b) et c) du RGPD | | Correspondance commerciale et d'affaires | 6 ans apres la fin du contrat | § 257 HGB (Code de commerce allemand) | | Documents pertinents sur le plan fiscal | 10 ans apres la fin du contrat | § 147 AO (Code fiscal allemand) | | Demandes de contact | Apres traitement definitif, sauf obligations legales de conservation | Art. 6, paragraphe 1, points b) et f) du RGPD | | Preuves de consentement (journaux de consentement) | 3 ans apres le dernier consentement / revocation | Art. 7, paragraphe 1 du RGPD ; § 195 BGB (Code civil allemand) | | Donnees des clients finaux (en tant que sous-traitant) | Selon les instructions du responsable du traitement (restaurant) | Art. 28 du RGPD |

Delai d'exportation apres la fin du contrat : apres la fin de la relation contractuelle, le client professionnel (restaurant) dispose d'un delai de 30 jours pour exporter ses donnees, y compris les donnees des clients finaux traitees pour son compte. A l'expiration de ce delai, les donnees sont — sous reserve des obligations legales de conservation — definitivement supprimees.


16. Droits des personnes concernees

En tant que personne concernee, vous disposez des droits suivants a notre egard en qualite de responsable du traitement. Pour exercer vos droits, veuillez nous contacter aux coordonnees indiquees a la section 1 ou par e-mail a : office@omiser.com.

Nous traiterons votre demande sans delai et en tout etat de cause dans un delai d'un mois a compter de la reception (art. 12, paragraphe 3 du RGPD). Dans des cas justifies, ce delai peut etre prolonge de deux mois supplementaires, et nous vous en informerons.

16.1 Droit d'acces (art. 15 du RGPD)

Vous avez le droit d'obtenir de notre part la confirmation que des donnees a caractere personnel vous concernant sont ou ne sont pas traitees. Lorsqu'elles le sont, vous avez le droit d'acces a ces donnees a caractere personnel ainsi qu'aux informations suivantes :

  • les finalites du traitement
  • les categories de donnees a caractere personnel traitees
  • les destinataires ou categories de destinataires
  • la duree de conservation prevue
  • l'existence d'un droit de rectification, d'effacement, de limitation ou d'opposition
  • l'existence d'un droit d'introduire une reclamation aupres d'une autorite de controle
  • l'origine des donnees, lorsqu'elles n'ont pas ete collectees aupres de vous
  • l'existence d'une prise de decision automatisee, y compris le profilage

Vous avez le droit d'obtenir une copie des donnees a caractere personnel faisant l'objet du traitement (art. 15, paragraphe 3 du RGPD).

16.2 Droit de rectification (art. 16 du RGPD)

Vous avez le droit d'obtenir, dans les meilleurs delais, la rectification des donnees a caractere personnel inexactes vous concernant. Compte tenu des finalites du traitement, vous avez le droit d'obtenir que les donnees a caractere personnel incompletes soient completees, y compris en fournissant une declaration complementaire.

16.3 Droit a l'effacement (art. 17 du RGPD)

Vous avez le droit d'obtenir de notre part l'effacement, dans les meilleurs delais, de donnees a caractere personnel vous concernant, lorsque l'un des motifs suivants s'applique :

  • Les donnees a caractere personnel ne sont plus necessaires au regard des finalites pour lesquelles elles ont ete collectees.
  • Vous avez retire votre consentement et il n'existe pas d'autre fondement juridique au traitement.
  • Vous exercez votre droit d'opposition conformement a l'article 21, paragraphe 1 du RGPD et il n'existe pas de motif legitime imperatif pour le traitement.
  • Les donnees a caractere personnel ont fait l'objet d'un traitement illicite.
  • L'effacement est necessaire pour respecter une obligation legale.

Le droit a l'effacement ne s'applique pas lorsque le traitement est necessaire au respect d'une obligation legale (par exemple obligations legales de conservation) ou a la constatation, a l'exercice ou a la defense de droits en justice.

16.4 Droit a la limitation du traitement (art. 18 du RGPD)

Vous avez le droit d'obtenir la limitation du traitement de vos donnees a caractere personnel lorsque :

  • l'exactitude des donnees est contestee par vous (pendant la duree de verification),
  • le traitement est illicite et vous demandez la limitation de l'utilisation plutot que l'effacement,
  • nous n'avons plus besoin des donnees, mais que celles-ci vous sont necessaires pour la constatation, l'exercice ou la defense de droits en justice, ou
  • vous vous etes oppose au traitement conformement a l'article 21, paragraphe 1 du RGPD, pendant la verification de la question de savoir si nos motifs legitimes prevalent.

16.5 Droit a la portabilite des donnees (art. 20 du RGPD)

Vous avez le droit de recevoir les donnees a caractere personnel vous concernant que vous nous avez fournies, dans un format structure, couramment utilise et lisible par machine. Vous avez egalement le droit de transmettre ces donnees a un autre responsable du traitement sans que nous y fassions obstacle, lorsque :

  • le traitement est fonde sur le consentement (art. 6, paragraphe 1, point a) du RGPD) ou sur un contrat (art. 6, paragraphe 1, point b) du RGPD), et
  • le traitement est effectue a l'aide de procedes automatises.

Lorsque cela est techniquement possible, vous avez le droit d'obtenir que les donnees a caractere personnel soient transmises directement d'un responsable du traitement a un autre.

16.6 Droit d'opposition (art. 21 du RGPD)


AVIS IMPORTANT — DROIT D'OPPOSITION CONFORMEMENT A L'ARTICLE 21 DU RGPD :

Vous avez le droit de vous opposer a tout moment, pour des raisons tenant a votre situation particuliere, au traitement de donnees a caractere personnel vous concernant fonde sur l'article 6, paragraphe 1, point f) du RGPD (interets legitimes).

En cas d'opposition, nous cesserons de traiter vos donnees a caractere personnel, a moins que nous ne puissions demontrer qu'il existe des motifs legitimes et imperieux pour le traitement qui prevalent sur vos interets, droits et libertes, ou que le traitement est necessaire a la constatation, a l'exercice ou a la defense de droits en justice.

Dans la mesure ou nous traitons vos donnees a caractere personnel a des fins de prospection directe, vous avez le droit de vous opposer a tout moment au traitement a de telles fins. Cela s'applique egalement au profilage dans la mesure ou il est lie a une telle prospection directe. Si vous vous opposez au traitement a des fins de prospection directe, vos donnees a caractere personnel ne seront plus traitees a ces fins.

Pour exercer votre droit d'opposition, vous pouvez nous contacter aux coordonnees indiquees a la section 1.


16.7 Droit de retirer le consentement (art. 7, paragraphe 3 du RGPD)

Lorsque le traitement de vos donnees a caractere personnel est fonde sur un consentement (art. 6, paragraphe 1, point a) du RGPD ; art. 82 de la Loi Informatique et Libertes), vous avez le droit de retirer votre consentement a tout moment avec effet pour l'avenir. Le retrait peut etre effectue sans formalisme, par exemple par e-mail a office@omiser.com ou via les parametres des cookies sur notre site web.

Important : le retrait du consentement ne compromet pas la licaite du traitement fonde sur le consentement effectue avant ce retrait (art. 7, paragraphe 3, deuxieme phrase du RGPD).


17. Prise de decision automatisee et profilage (art. 13, paragraphe 2, point f) du RGPD)

Aucune prise de decision automatisee au sens de l'article 22 du RGPD n'a lieu. Nous ne prenons aucune decision fondee exclusivement sur un traitement automatise — y compris le profilage — produisant des effets juridiques a votre egard ou vous affectant de maniere significative de facon similaire.

Si cela devait changer a l'avenir, nous vous en informerons conformement a l'article 13, paragraphe 2, point f) du RGPD et prendrons les mesures necessaires pour proteger vos droits, libertes et interets legitimes.


18. Obligation de fournir des donnees a caractere personnel

Dans le cadre de la relation commerciale, vous devez fournir les donnees a caractere personnel necessaires a l'etablissement, a l'execution et a la fin de la relation contractuelle ainsi qu'au respect des obligations contractuelles associees, ou dont la collecte nous est legalement imposee.

Donnees obligatoires lors de l'inscription :

  • Le nom, l'adresse e-mail, l'adresse professionnelle et la raison sociale sont imperativement necessaires a la conclusion et a l'execution du contrat. Sans ces donnees, nous ne pouvons ni conclure le contrat ni fournir nos services.

Donnees facultatives :

  • Les informations supplementaires (par exemple numero de telephone dans le formulaire de contact, photo de profil) sont facultatives. Les champs non obligatoires sont identifies comme tels.
  • L'octroi du consentement aux services de suivi et d'analyse (section 8) est entierement volontaire et n'affecte en rien l'utilisation de notre plateforme.

19. Droit d'introduire une reclamation aupres d'une autorite de controle (art. 77 du RGPD)

Sans prejudice de tout autre recours administratif ou juridictionnel, vous avez le droit d'introduire une reclamation aupres d'une autorite de controle de la protection des donnees, en particulier dans l'Etat membre de votre residence habituelle, de votre lieu de travail ou du lieu de la violation presumee, si vous estimez que le traitement de vos donnees a caractere personnel constitue une violation du RGPD.

Autorite de controle competente pour les personnes residant en France :

Commission Nationale de l'Informatique et des Libertes (CNIL) 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07 Telephone : +33 1 53 73 22 22 https://www.cnil.fr

Autorite de controle competente pour le responsable du traitement (Allemagne) :

Landesbeauftragte fuer Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) Postfach 20 04 44, 40102 Duesseldorf Telephone : +49 211 38424-0 https://www.ldi.nrw.de


20. Modifications de la presente politique de confidentialite

Nous nous reservons le droit d'adapter la presente politique de confidentialite afin de la mettre en conformite avec l'evolution de la legislation, les nouveautes techniques ou les modifications de nos services. La version en vigueur prend effet a compter de sa publication sur notre site web.

Les modifications substantielles affectant vos droits ou la nature du traitement des donnees vous seront communiquees en temps utile — par exemple par e-mail ou par un avis bien visible sur notre site web. Nous vous recommandons de consulter regulierement la presente politique de confidentialite afin de vous informer sur la protection de vos donnees.


Mise a jour : avril 2026