Politique de Confidentialité

Le responsable du traitement des données personnelles collectées via le Service Yield est [À COMPLÉTER : raison sociale exacte], dont le siège social est situé [À COMPLÉTER : adresse postale complète], immatriculée au [À COMPLÉTER : RCS ville et numéro - "Non applicable (EI)" si auto-entrepreneur] sous le numéro SIRET [À COMPLÉTER : SIRET 14 chiffres].

Responsable de la protection des données : [À COMPLÉTER : nom et prénom du DPO ou responsable de traitement RGPD - peut être identique au représentant légal pour une EI]. Contact pour toute question relative aux données personnelles : chef@yieldapp.fr.

Yield collecte les catégories de données suivantes :

• Données de compte : adresse e-mail, mot de passe (haché), nom du restaurant, date de création du compte.
• Données de facturation : identifiant Stripe customer, statut de l'abonnement. Aucune donnée bancaire n'est stockée par Yield — les paiements sont opérés directement par Stripe.
• Données métier : photos / PDF de bons de livraison, données extraites par l'IA (fournisseur, produits, prix, quantités), historique des prix, recettes, alertes générées.
• Données techniques : adresse IP, type d'appareil, logs d'accès (à des fins de sécurité et de débogage).

Les données sont traitées pour les finalités suivantes :

• Fourniture du Service (base légale : exécution du contrat) — authentification, scan, calcul des marges, alertes, exports.
• Facturation (base légale : exécution du contrat et obligation légale comptable) — gestion de l'abonnement Stripe.
• Sécurité (base légale : intérêt légitime) — détection d'abus, prévention de la fraude, journaux d'accès.
• Communication (base légale : exécution du contrat ou intérêt légitime) — e-mails transactionnels (rappel fin d'essai, paiement échoué, alertes prix). Le Client peut s'opposer aux notifications non essentielles.

Yield s'appuie sur les sous-traitants suivants pour fournir le Service. Tous sont liés par un contrat conforme à l'article 28 du RGPD :

• Supabase Inc. (États-Unis) — hébergement de la base de données et stockage des fichiers, sur serveurs situés dans l'Union Européenne (AWS Paris, eu-west-3). Transfert hors UE encadré par les Clauses Contractuelles Types (SCC) de la Commission européenne. Politique Supabase.
• Vercel Inc. (États-Unis) — hébergement de l'application web. Couverture SCC. Politique Vercel.
• Stripe Payments Europe Ltd. (Irlande) — gestion des paiements et des abonnements. Couverture UE. Politique Stripe.
• Anthropic PBC (États-Unis) — analyse des bons de livraison par modèle d'intelligence artificielle (Claude). Les fichiers transmis ne sont pas conservés par Anthropic au-delà du traitement et ne sont pas utilisés pour entraîner ses modèles. Couverture SCC. Politique Anthropic.
• Resend (Resend Inc.) (États-Unis) — envoi des e-mails transactionnels (bienvenue, codes de connexion OTP, rappels d'essai, récap mensuel). Aucune utilisation publicitaire ou marketing tiers. Couverture SCC. Politique Resend.
• Sentry (Functional Software, Inc.) (États-Unis) — monitoring des erreurs applicatives et alertes en cas d'incident. Les données personnelles éventuellement contenues dans les rapports d'erreur (e-mails, libellés produits, identifiants) sont filtrées et masquées avant transmission (mécanisme `beforeSend`). Couverture SCC. Politique Sentry.

Certains sous-traitants ci-dessus sont établis hors de l'Union Européenne (États-Unis principalement). Pour chaque transfert hors UE, Yield s'assure que le sous-traitant offre un niveau de protection adéquat via :

• les Clauses Contractuelles Types (SCC) adoptées par la Commission européenne (décision 2021/914), incluses dans les Data Processing Agreements signés avec ces sous-traitants ; et / ou
• le cadre EU-US Data Privacy Framework (DPF) pour les sous-traitants américains certifiés.

Les données métier du Client (prix fournisseurs, libellés produits, fiches techniques recettes) ne sont pas des données personnelles au sens strict du RGPD, mais constituent des données commerciales sensibles. Yield s'engage contractuellement à :

• ne pas divulguer ces données à des tiers ;
• ne pas les utiliser à des fins concurrentielles ou commerciales propres ;
• les protéger par les mêmes mesures de sécurité que les données personnelles (RLS, chiffrement, isolation par compte).

Une future fonctionnalité de comparaison de prix anonymisée entre restaurateurs est envisagée. Cette fonctionnalité fera l'objet d'un consentement opt-in séparé et explicite au moment de son activation. Les données partagées seront strictement anonymisées par k-anonymisation (un produit ne sera inclus dans une statistique qu'à partir d'au moins 5 restaurateurs distincts), empêchant toute réidentification d'un Client par croisement de prix.

• Données de compte et métier : conservées tant que le compte est actif. Supprimées sous 30 jours après suppression du compte par le Client (fonction « Supprimer mon compte » dans le profil) ou après 24 mois d'inactivité.
• Données de facturation : conservées 10 ans à compter de l'émission de chaque facture, conformément à l'obligation comptable française (article L.123-22 du Code de commerce).
• Logs techniques : conservés au maximum 12 mois.

Conformément au RGPD (articles 15 à 22), le Client dispose des droits suivants sur ses données personnelles :

• Droit d'accès : obtenir une copie des données détenues.
• Droit de rectification : corriger les données inexactes (l'interface permet de modifier les libellés et prix extraits).
• Droit à l'effacement : supprimer le compte et toutes les données associées via le profil.
• Droit à la portabilité : exporter les données au format CSV ou PDF depuis l'interface.
• Droit d'opposition : refuser le traitement à des fins de communication non essentielle.
• Droit de réclamation auprès de la CNIL (cnil.fr).

Pour exercer ces droits, écrire à chef@yieldapp.fr. Réponse sous 30 jours maximum.

Yield met en œuvre des mesures techniques et organisationnelles appropriées pour protéger les données :

• Chiffrement TLS 1.2+ pour tous les échanges client-serveur.
• Chiffrement au repos (AES-256) pour les fichiers stockés.
• Mots de passe stockés sous forme de haché bcrypt (Supabase Auth).
• Row Level Security (RLS) sur toutes les tables — chaque utilisateur ne peut accéder qu'à ses propres données, garanti au niveau base de données.
• Journalisation des accès et alertes en cas d'activité suspecte.

Yield utilise uniquement des cookies strictement nécessaires au fonctionnement du Service (session d'authentification, préférences d'interface). Aucun cookie tiers de tracking publicitaire ou analytique n'est déployé sans consentement explicite.

La présente politique peut être modifiée. Les modifications substantielles seront notifiées par e-mail au moins 30 jours avant entrée en vigueur.