POLITIQUE DE CONFIDENTIALITÉ

1. Responsable du traitement

Entité : ZAH Trading (SnackFlow / MenuDirect)

Représentant : Nour Ait Hocine

Adresse : 57000 Metz, France

Email : nour.aithocine@gmail.com

2. Données collectées

2.1 Données des clients professionnels (restaurants)

Dans le cadre de la souscription à la solution SnackFlow, nous collectons les données suivantes :

• Nom et prénom du responsable de l'établissement
• Adresse email professionnelle
• Informations de facturation (adresse, numéro SIRET le cas échéant)

2.2 Données des consommateurs finaux (clients des restaurants)

Dans le cadre de la prise de commande via WhatsApp, les données suivantes sont traitées pour le compte des restaurants clients :

• Numéro de téléphone WhatsApp
• Historique des commandes passées

3. Finalités et bases légales des traitements

Gestion de la relation contractuelle avec les restaurants : base légale — exécution du contrat (art. 6.1.b RGPD)

Facturation et comptabilité : base légale — obligation légale (art. 6.1.c RGPD)

Traitement des commandes via WhatsApp : base légale — exécution du contrat (art. 6.1.b RGPD), pour le compte du restaurant en qualité de sous-traitant

4. Qualité de sous-traitant

Pour le traitement des données des consommateurs finaux (numéros WhatsApp, commandes), ZAH Trading agit en qualité de sous-traitant au sens de l'article 28 du RGPD. Le restaurant client est responsable de traitement. Un accord de traitement des données (DPA) est intégré aux Conditions Générales de Vente.

5. Durée de conservation

Données clients professionnels : durée du contrat + 5 ans (prescription commerciale)

Données de commandes (consommateurs) : 12 mois glissants, puis suppression automatique

Données de facturation : 10 ans (obligation comptable légale)

6. Sous-traitants techniques

Les données sont hébergées et traitées par les prestataires suivants, avec lesquels des garanties contractuelles appropriées ont été mises en place :

• Supabase (PostgreSQL) : base de données — Supabase Inc., États-Unis (clauses contractuelles types UE)
• Railway : hébergement applicatif — Railway Corp., États-Unis (clauses contractuelles types UE)
• Meta Platforms (WhatsApp Business API) : messagerie — Meta Platforms Inc., États-Unis (clauses contractuelles types UE)
• HubRise : intégration POS — HubRise SAS, France
• Hostinger : hébergement du site vitrine — Hostinger International Ltd, Chypre (UE)

7. Transferts hors Union Européenne

Certains sous-traitants (Supabase, Railway, Meta) sont établis aux États-Unis. Ces transferts sont encadrés par des clauses contractuelles types approuvées par la Commission Européenne, conformément à l'article 46 du RGPD.

8. Droits des personnes concernées

Conformément au RGPD, toute personne concernée dispose des droits suivants :

• Droit d'accès à ses données (art. 15)
• Droit de rectification (art. 16)
• Droit à l'effacement (art. 17)
• Droit à la limitation du traitement (art. 18)
• Droit à la portabilité des données (art. 20)
• Droit d'opposition (art. 21)

Pour exercer ces droits, vous pouvez adresser votre demande à : nour.aithocine@gmail.com

En cas de réponse insatisfaisante, vous disposez du droit d'introduire une réclamation auprès de la CNIL (www.cnil.fr).

9. Sécurité

ZAH Trading met en œuvre des mesures techniques et organisationnelles appropriées pour protéger les données contre tout accès non autorisé, perte ou divulgation, notamment : chiffrement des données en transit (HTTPS/TLS), accès restreint aux bases de données, cloisonnement des données par client (architecture multi-tenant).