Politique de confidentialité

Le responsable du traitement des données personnelles est Bestoph Adv (Entreprise individuelle (auto-entrepreneur)), immatriculée sous le SIRET 95264990300012, dont le siège est situé 262 chemin du Garoutier, 13600 La Ciotat, France.

Contact RGPD : rgpd@eventplates.fr

Nous collectons les catégories de données suivantes :

• Données de compte établissement : nom, type, ville, adresse, téléphone, email, site web, photos, description, logo.
• Données utilisateur : nom, email, mot de passe haché (bcrypt 10 rounds), rôle (Propriétaire / Manager / Staff).
• Données client (saisies par l'établissement) : nom, email, téléphone, fonction, société.
• Données invité (formulaire public) : prénom, nom, email, téléphone (si activé), choix de menu, allergies, régime alimentaire.
• Données de facturation : via Stripe (sous-traitant certifié PCI-DSS). EventPlates ne stocke aucune donnée bancaire.
• Données techniques : cookie de session (HttpOnly, JWT signé), logs d'activité interne, statistiques de vues marketplace anonymisées.

• Permettre aux établissements de gérer leurs repas de groupe.
• Permettre aux organisateurs de demander un devis.
• Permettre aux invités de communiquer leurs choix et allergies.
• Améliorer la plateforme via des statistiques anonymisées.
• Respecter nos obligations légales (factures, comptabilité).

Bases légales : exécution du contrat (CGU), obligation légale (facturation), intérêt légitime (sécurité, statistiques anonymisées), consentement (formulaires invités).

Les allergies et régimes alimentaires sont des données de santé sensibles au sens de l'article 9 du RGPD. EventPlatesles protège par :

• une isolation stricte par établissement (aucun partage transversal) ;
• une suppression automatique 90 jours après la date de l'évènement (par défaut) ;
• aucune utilisation à des fins de profilage ou de publicité.

Vos données sont traitées par les sous-traitants techniques suivants, tous conformes au RGPD :

• Vercel Inc. (États-Unis, Privacy Shield / SCC) — hébergement de l'application.
• Neon Inc. (Frankfurt, Allemagne — eu-central-1) — base de données Postgres.
• Stripe Payments Europe Ltd. (Irlande) — traitement des paiements.
• Resend, Inc. (États-Unis, SCC) — envoi d'emails transactionnels.

Aucune donnée n'est vendue ni transmise à des fins publicitaires.

• Données de compte : tant que le compte est actif, puis 30 jours après résiliation.
• Réponses aux formulaires : durée de l'évènement + 90 jours.
• Données comptables (factures Stripe) : 10 ans (obligation légale).
• Logs techniques : 12 mois maximum.

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :

• Accès à toutes vos données.
• Rectification directement dans l'application.
• Effacement sur simple demande (anonymisation immédiate disponible dans Paramètres → RGPD).
• Portabilité via l'export JSON disponible dans Paramètres → RGPD.
• Opposition à tout traitement non strictement nécessaire.
• Limitation du traitement.
• Réclamation auprès de la CNIL : cnil.fr.

Pour exercer vos droits : rgpd@eventplates.fr — ou directement depuis votre espace via Paramètres → RGPD.

EventPlates utilise un seul cookie strictement nécessaire : ep_session (HttpOnly, SameSite=Lax, durée 30 jours). Aucun cookie tiers, aucun outil de tracking publicitaire, aucun pixel marketing.

• Mots de passe hachés avec bcrypt (10 rounds).
• Sessions chiffrées (JWT HS256, secret rotaté périodiquement).
• Cookies HttpOnly + SameSite=Lax + Secure en production.
• Isolation stricte par établissement (multi-tenant SQL).
• Connexions chiffrées TLS 1.2+ partout (HTTPS, base de données).
• Journalisation des actions sensibles.
• Sauvegardes automatiques de la base de données (Neon).

Vercel Inc. et Resend, Inc. sont basés aux États-Unis. Les transferts sont encadrés par les Clauses Contractuelles Types (CCT) de la Commission européenne. Les bases de données restent en Allemagne (Frankfurt, Neon eu-central-1).

Toute modification matérielle vous sera notifiée par email avec un préavis de 30 jours. La poursuite de l'utilisation après cette date vaudra acceptation.