Sommaire
- 1. Qui sommes-nous ?
- 2. Qui est concerné par cette politique ?
- 3. Quelles données on collecte et pourquoi
- 4. Sur quelle base légale on traite ces données ?
- 5. Qui a accès à vos données ?
- 6. Données stockées hors Union Européenne
- 7. Combien de temps on garde vos données ?
- 8. Comment on sécurise vos données
- 9. Cookies : on utilise le minimum
- 10. Vos droits sur vos données
- 11. Restaurateurs : votre rôle dans tout ça
- 12. Si cette politique change
- 13. Nous contacter
1.Qui sommes-nous ?
Éditeur / responsable du traitement : Valentin Ambiehl (My3DTable)
SIRET : 105 313 357 00011
Contact données personnelles : valentin.ambiehl@my3dtable.com
My3DTable est responsable du traitement pour les données de compte des Restaurateurs (inscription, facturation), et sous-traitant pour les données de réservation, qu'il traite pour le compte de chaque Restaurateur (lequel en est le responsable vis-à-vis de ses clients).
My3DTable permet aux restaurants de proposer la réservation de table directement depuis leur visite 3D, sans intermédiaire et sans commission.
Cette page explique simplement quelles données on collecte, pourquoi, et comment on les protège.
2.Qui est concerné par cette politique ?
On traite les données de deux types de personnes :
- Les Restaurateurs : les professionnels qui souscrivent un abonnement My3DTable pour gérer leur établissement.
- Les Clients finaux : les personnes qui font une réservation via le widget intégré sur le site du restaurant.
Dans les deux cas, on collecte uniquement ce qui est strictement nécessaire au service.
3.Quelles données on collecte et pourquoi
Données des Clients finaux (réservations) :
| Donnée | Finalité / durée de conservation |
|---|---|
| Nom et prénom | Identifier la réservation. Conservé 12 mois après la date de réservation. |
| Adresse email | Envoyer la confirmation et les notifications. Conservé 12 mois. |
| Numéro de téléphone | Contact éventuel par le restaurant. Conservé 12 mois (facultatif). |
| Date, heure, nombre de convives | Traiter la réservation. Conservé 12 mois. |
| Table choisie | Gérer le plan de salle. Conservé 12 mois. |
| Occasion / notes | Personnaliser l'accueil. Conservé 12 mois (facultatif). |
| Empreinte bancaire (token Stripe) | Garantie anti no-show si activée par le restaurant. Jamais stockée en clair, gérée directement par Stripe. |
Données des Restaurateurs :
| Donnée | Finalité / durée de conservation |
|---|---|
| Email de connexion | Authentification. Durée de l'abonnement. |
| Mot de passe (hash scrypt) | Sécurité du compte. Jamais stocké en clair. |
| Informations de l'établissement | Fonctionnement du service. Durée de l'abonnement. |
| Token Google Calendar | Synchronisation agenda. Jusqu'à déconnexion. |
| Identifiants Zenchef | Synchronisation réservations. Durée de l'abonnement. |
| Identifiant Stripe Connect | Gestion des encaissements. Durée de l'abonnement. |
My3DTable ne fait aucun profilage. La disponibilité des tables suit des règles fixes, sans décision automatisée vous concernant (art. 22 RGPD).
4.Sur quelle base légale on traite ces données ?
On se base sur quatre fondements reconnus par le RGPD :
- L'exécution du contrat (art. 6.1.b) : les données de réservation sont indispensables pour fournir le service.
- L'intérêt légitime (art. 6.1.f) : prévention des fraudes, sécurité de la plateforme, amélioration du service.
- L'obligation légale (art. 6.1.c) : les données de facturation doivent être conservées 10 ans en France.
- Le consentement (art. 6.1.a) : pour les cookies non essentiels, si on en ajoute un jour.
5.Qui a accès à vos données ?
On travaille avec des prestataires de confiance, tous conformes RGPD :
| Donnée | Finalité / durée de conservation |
|---|---|
| Supabase Inc. | Stockage des données (PostgreSQL). Hébergé en Europe (eu-west-1). supabase.com/privacy |
| Vercel Inc. | Hébergement de l'application. Certifié SOC 2. vercel.com/legal/privacy-policy |
| Resend Inc. | Emails transactionnels. Transfert UE vers US encadré par CCT. resend.com/legal/privacy-policy |
| Stripe Inc. | Paiements et empreintes bancaires. Certifié PCI-DSS. stripe.com/fr/privacy |
| Google LLC | Intégration Google Calendar. Transfert UE vers US encadré par CCT. policies.google.com/privacy |
| Matterport Inc. | Visite 3D dans le navigateur client. matterport.com/privacy |
| Sentry Inc. | Suivi des erreurs applicatives (traces anonymisées). sentry.io/privacy |
Les données de réservation sont aussi accessibles aux Restaurateurs, qui en sont responsables vis-à-vis de leurs clients.
6.Données stockées hors Union Européenne
Certains prestataires (Vercel, Resend, Stripe, Google, Matterport) sont basés aux États-Unis. Ces transferts sont encadrés par :
- Les Clauses Contractuelles Types (CCT) adoptées par la Commission Européenne.
- Le cadre EU-US Data Privacy Framework pour les entreprises certifiées.
- Le chiffrement des données en transit et au repos.
Le stockage principal (Supabase) est hébergé en Europe.
7.Combien de temps on garde vos données ?
On ne garde les données que le temps nécessaire :
- Données de réservation : 12 mois à partir de la date de réservation, puis suppression automatique.
- Données des Restaurateurs : durée de l'abonnement, plus 30 jours après résiliation.
- Données de facturation : 10 ans (obligation légale française).
- Tokens OAuth Google : jusqu'à déconnexion ou révocation.
- Logs Sentry : 90 jours.
8.Comment on sécurise vos données
Voici concrètement ce qu'on fait :
- HTTPS partout : toutes les communications sont chiffrées.
- Chiffrement au repos : Supabase chiffre les données sur disque.
- Isolation stricte entre restaurants : chaque requête est cloisonnée par identifiant de restaurant, vérifié côté serveur à partir de la session authentifiée ; un restaurant ne peut jamais accéder aux données d'un autre. Les tables sensibles sont en outre protégées par Row-Level Security (refus par défaut).
- Sessions sécurisées : JWT HMAC-SHA256, cookies HttpOnly, Secure et SameSite=Strict.
- Mots de passe : hashage scrypt avec sel, jamais stockés en clair.
- Rien dans le navigateur : aucune donnée métier en localStorage.
- Protection anti-brute-force : rate limiting via Upstash Redis sur tous les formulaires publics.
- En-têtes de sécurité : Content-Security-Policy sur toutes les routes.
En cas de violation de données, on notifie la CNIL dans les 72 heures (art. 33 RGPD). Si le risque pour vous est élevé, on vous en informe directement par email.
9.Cookies : on utilise le minimum
| Donnée | Finalité / durée de conservation |
|---|---|
| my3d_session | Cookie de session admin (JWT). HttpOnly, Secure, SameSite=Strict. Durée : 12h. Essentiel. |
| my3d_last_tenant | Mémorisation du slug du restaurant dans le formulaire de login. localStorage. Fonctionnel. |
Pas de cookies publicitaires, pas de traceurs analytics, pas de pixels de reciblage.
Les prestataires intégrés (Matterport, Stripe) peuvent déposer leurs propres cookies. Ils relèvent de leurs politiques respectives.
10.Vos droits sur vos données
Le RGPD (art. 15 à 22) vous donne plusieurs droits. Voici lesquels :
- Accès : obtenir une copie de vos données.
- Rectification : corriger des données incorrectes ou incomplètes.
- Effacement : demander la suppression de vos données. Soumettre une demande d'effacement →
- Portabilité : recevoir vos données dans un format lisible par machine.
- Opposition : vous opposer à un traitement fondé sur l'intérêt légitime.
- Limitation : demander la suspension d'un traitement pendant une vérification.
Pour exercer l'un de ces droits, écrivez-nous à valentin.ambiehl@my3dtable.com. On répond dans un délai de 30 jours.
Si vous pensez que vos données ne sont pas traitées correctement, vous pouvez déposer une plainte auprès de la CNIL : cnil.fr/fr/plaintes
11.Restaurateurs : votre rôle dans tout ça
En utilisant My3DTable pour prendre des réservations, vous collectez des données sur vos clients. Au sens du RGPD, c'est vous le responsable de traitement. Concrètement, ça veut dire :
- Informer vos clients de la collecte (le widget My3DTable affiche déjà une mention RGPD).
- Ne collecter que ce qui est nécessaire pour la réservation.
- Répondre aux demandes d'exercice de droits de vos clients.
- Nous signaler tout incident de sécurité dès que vous en avez connaissance.
On peut vous fournir un modèle de politique de confidentialité à intégrer sur votre site. Demandez-le à valentin.ambiehl@my3dtable.com.
12.Si cette politique change
Cette politique peut évoluer si le service change, ou si la loi l'exige. En cas de modification importante, les Restaurateurs sont prévenus par email.
Les Clients finaux peuvent consulter cette page à tout moment. La date de mise à jour est indiquée en haut.
13.Nous contacter
Une question sur vos données ? Un droit à exercer ?
Email : valentin.ambiehl@my3dtable.com
On répond dans un délai de 30 jours.
© 2026 My3DTable. Tous droits réservés.