§ Légal · 02
Politique de confidentialité
La présente politique décrit comment HorecAI (édité par Trinteractive SRL) collecte, traite et protège les données à caractère personnel des utilisateurs du site horecai.org et du service vocal HorecAI, conformément au Règlement (UE) 2016/679 (RGPD) et à la Loi belge du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel.
1. Responsable du traitement
Trinteractive SRL
Siège social : Bruxelles, Belgique
Numéro d'entreprise (BCE) : BE 0XXX.XXX.XXX (à compléter)
Email général : [email protected]
2. Délégué à la protection des données (DPO)
Pour toute question relative au traitement de vos données ou à l'exercice de vos droits :
Email : [email protected]
3. Données collectées
3.1 Données des commerçants (nos clients)
- Nom commercial, raison sociale, numéro d'entreprise (BCE)
- Nom et prénom du contact, fonction
- Email professionnel, numéro de téléphone professionnel
- Adresse postale du commerce
- Données de facturation (IBAN, TVA)
- Configuration métier (menu, horaires, zones de livraison, prompts personnalisés)
- Données techniques : adresse IP, logs d'accès au dashboard administrateur, identifiants de session
3.2 Données des appelants finaux (clients de nos clients)
- Numéro de téléphone (format E.164) de l'appelant
- Nom et prénom (uniquement si l'appelant les communique pour la commande, le devis ou la réservation)
- Transcription textuelle de l'appel (l'audio brut n'est pas conservé)
- Contenu de la commande, de la demande de devis ou de la réservation (produits, montants, dates, adresses de livraison/intervention, gravité d'urgence)
- Métadonnées techniques de l'appel (date, heure, durée, langue détectée)
4. Bases légales du traitement (Art. 6 RGPD)
| Finalité | Base légale |
|---|---|
| Fourniture du service aux commerçants clients (prise de commandes, qualification d'urgence, dashboard) | Exécution d'un contrat — Art. 6.1.b |
| Traitement des appels entrants (au nom et pour le compte du commerçant) | Exécution d'un contrat (commerçant) + Intérêt légitime (appelant ayant initié le contact) |
| Sécurité, prévention de la fraude, logs techniques | Intérêt légitime — Art. 6.1.f |
| Comptabilité, facturation, obligations fiscales | Obligation légale (Code TVA BE) — Art. 6.1.c |
| Formulaire de contact / demande de démo | Consentement (case à cocher) — Art. 6.1.a |
5. Finalités
- Prendre les commandes, réservations, demandes de devis et appels d'urgence pour le compte du commerçant
- Notifier le commerçant (WhatsApp, SMS, email, ntfy) des nouveaux tickets
- Synchroniser les réservations avec le PMS de l'hôtel (clients hôteliers uniquement, via Apaleo)
- Améliorer la qualité du service vocal (debug, transcription)
- Assurer la sécurité de la plateforme et prévenir les abus
- Tenir notre comptabilité et émettre les factures
6. Destinataires et sous-traitants
Pour fournir le service, HorecAI fait appel aux sous-traitants suivants. Chacun a signé un Data Processing Agreement (DPA) conforme à l'Art. 28 RGPD :
| Sous-traitant | Rôle | Pays / cadre transfert |
|---|---|---|
| Twilio Inc. | Téléphonie (numéros BE, voix, SMS) | USA — Clauses contractuelles types CE 2021/914 |
| Google LLC | IA vocale Gemini Live (voix-vers-voix temps réel) | USA — Clauses contractuelles types + Adequacy Decision EU-US Data Privacy Framework |
| OpenAI LLC | IA vocale fallback (transcription / génération) | USA — Clauses contractuelles types CE 2021/914 |
| Meta Platforms Ireland Ltd | WhatsApp Business Platform (notifications patron) | Irlande (UE) |
| Apaleo GmbH | Synchronisation PMS hôtels (clients hôteliers uniquement) | Allemagne (UE) |
| ntfy.sh (Heckel) | Alertes opérationnelles internes | Allemagne (UE) |
| OVH SAS | Hébergement applicatif et sauvegardes | France (UE) — Roubaix / Gravelines |
| Cloudflare Inc. | Protection anti-bot Turnstile sur formulaire de démo | USA — Clauses contractuelles types CE 2021/914 |
Aucune donnée n'est vendue, louée ou cédée à des fins publicitaires ou de profilage marketing.
7. Transferts hors Union européenne
Certaines données sont traitées par des sous-traitants situés aux États-Unis (Twilio, Google, OpenAI, Cloudflare). Ces transferts sont encadrés par les Clauses Contractuelles Types adoptées par la Commission européenne (Décision 2021/914), et le cas échéant par l'EU-US Data Privacy Framework (décision d'adéquation du 10 juillet 2023).
Aucun transfert n'est effectué vers un pays tiers ne disposant pas de garanties appropriées.
8. Durées de conservation
| Donnée | Durée maximale |
|---|---|
| Données du compte client commerçant (configuration, contacts) | Durée du contrat + 3 ans (prescription civile belge) |
| Données comptables (factures, paiements) | 7 ans (Code TVA belge — Art. 60 §4) |
| Transcriptions textuelles des appels (l'audio n'est pas enregistré) | 90 jours maximum, suppression automatique |
| Données d'appels (numéros, commandes finalisées) au-delà de 90 jours | Anonymisation automatique (la ligne reste pour les agrégats facturation) |
| Numéro de téléphone d'un invité d'hôtel (PMS Apaleo) | 30 jours après le check-out, puis anonymisation |
| Logs techniques (accès, sécurité) | 12 mois maximum |
| Demandes via formulaire de contact (sans suite commerciale) | 12 mois |
9. Vos droits (Art. 15 à 22 RGPD)
Vous disposez à tout moment des droits suivants :
- Droit d'accès (Art. 15) — savoir quelles données nous détenons sur vous
- Droit de rectification (Art. 16) — corriger une donnée inexacte
- Droit à l'effacement / droit à l'oubli (Art. 17)
- Droit à la limitation du traitement (Art. 18)
- Droit à la portabilité (Art. 20) — recevoir vos données dans un format structuré
- Droit d'opposition (Art. 21) — notamment au traitement fondé sur l'intérêt légitime
- Droit de retirer votre consentement à tout moment (Art. 7.3)
- Droit de ne pas faire l'objet d'une décision automatisée ayant un effet juridique (Art. 22)
Procédure : écrire à [email protected] en joignant une preuve d'identité (copie carte d'identité avec photo et numéro de registre national masqués si vous le souhaitez). Nous répondons dans un délai maximum de 30 jours (prolongeable de deux mois si la demande est complexe, avec information motivée).
10. Réclamation auprès de l'autorité de contrôle
Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de l'Autorité de protection des données (APD) belge :
Autorité de protection des données
Rue de la Presse 35
1000 Bruxelles — Belgique
Email : [email protected]
Site : autoriteprotectiondonnees.be
11. Cookies
Voir notre politique des cookies dédiée. En résumé :
le site utilise 1 cookie strictement nécessaire pour l'authentification administrateur
(token JWT — HttpOnly, Secure, SameSite=Strict, durée 24h) et le cookie
Cloudflare Turnstile sur le formulaire de démo. Aucun cookie de tracking, aucun Google
Analytics, aucun pixel publicitaire.
12. Sécurité
Nous mettons en œuvre des mesures techniques et organisationnelles appropriées (Art. 32 RGPD) : chiffrement TLS 1.2+ des communications, chiffrement au repos sur les sauvegardes, contrôle d'accès strict (multi-facteurs), pseudonymisation lorsque possible, journalisation des accès, sauvegarde quotidienne, plan de continuité.
13. Modifications
La présente politique peut être mise à jour à tout moment pour refléter les évolutions réglementaires ou techniques. La date de dernière révision figure en haut du document. Pour toute modification substantielle, les commerçants clients sont informés par email.