Politique de confidentialité

1. Responsable du traitement

L'application Batlr et le site batlr.app sont édités par Lucas Khoury, personne physique. À défaut de Délégué à la protection des données désigné, toute question relative à la protection des données peut être adressée à : privacy@batlr.app.

2. Données collectées

2.1 Données du restaurateur (utilisateur de l'app)

• Identité et compte : prénom, nom, adresse email, mot de passe haché, langue d'interface
• Identifiants d'authentification : identifiants Sign in with Apple (relais « Hide My Email » accepté) ; identifiants Google OAuth si vous utilisez Sign in with Google
• Restaurant : nom et adresse de l'établissement, numéro de téléphone professionnel, devise, fuseau horaire, configuration du plan de salle et paramètres de service
• Membres d'équipe : prénom, nom, email (managers), rôle, code PIN haché (serveurs)
• Abonnement : identifiants de transaction StoreKit transmis par Apple (productID, dates de souscription, statut), reçus de notifications App Store Server (V2)
• Compte Stripe Connect : identifiant acct_… du compte Stripe connecté à votre restaurant lorsque vous activez la fonction Paiements ; les vérifications d'identité KYC sont effectuées et conservées par Stripe et ne sont jamais stockées par Batlr

2.2 Données des clients du restaurant

• Coordonnées : prénom, nom, numéro de téléphone, adresse email
• Historique de réservation : date, heure, taille du groupe, table affectée, statut, notes, source (app, widget, walk-in), langue préférée
• CRM : tags, étoiles, notes libres, allergies, préférences (saisis par le restaurateur)
• Consentement marketing : booléen marketing_consent collecté via le widget public au moment de la réservation, ou directement par le restaurateur dans l'application
• Paiement : payment_method_id Stripe, payment_intent_id Stripe, statut de paiement, montant pré-autorisé ou prélevé. Les numéros de carte ne transitent jamais par Batlr et ne sont jamais stockés sur nos serveurs : ils sont saisis directement dans une iframe Stripe sécurisée (Stripe Elements)

2.3 Données techniques et de mesure d'audience

• Réseau : adresse IP collectée par les fournisseurs d'infrastructure (Vercel, Supabase, Stripe), à des fins de prévention de la fraude et de logs techniques
• Mesure d'audience produit (PostHog) : Une fois connecté(e), votre identifiant de compte Batlr (UUID utilisateur Supabase), l'identifiant du restaurant actif, votre niveau d'abonnement et les événements d'interaction (écrans visités, actions effectuées, erreurs rencontrées) sont transmis à l'instance européenne de PostHog (Frankfurt, Allemagne). Ces événements sont rattachés à votre compte Batlr afin de nous permettre d'investiguer les bugs que vous remontez et de prioriser les fonctionnalités les plus utilisées. La mesure d'audience n'inclut jamais les clients finaux (guests) de votre restaurant. Vous pouvez désactiver la mesure d'audience à tout moment depuis Réglages → Confidentialité → Statistiques d'usage dans l'application.
• Suivi d'ouverture des liens transactionnels : Lorsque vous ouvrez un lien transactionnel que nous vous avons envoyé (paiement, reconfirmation, demande d'avis), nous enregistrons l'horodatage et le nombre d'ouvertures de ce lien spécifique. Cette mesure est strictement nécessaire au suivi de votre réservation par le restaurant et relève de notre intérêt légitime (article 6.1.f du RGPD). Aucune donnée personnelle (adresse IP, navigateur, position géographique) n'est conservée. Pour exercer votre droit d'opposition, contactez-nous à privacy@batlr.app.
• Diagnostics : version de l'application, version du système, langue, environnement de build, rapports de plantage et d'erreur (le module error tracking de PostHog capture automatiquement les exceptions Mach, signaux POSIX et NSException non interceptées), logs des fonctions Edge Supabase (sans contenu personnel des guests). Les rapports de plantage et de diagnostic sont rattachés à votre compte Batlr.

2.4 Données non collectées

L'application iOS Batlr ne demande aucune permission système étendue : aucun accès à la localisation, au carnet de contacts, à la caméra, au microphone, à votre bibliothèque photo complète, au calendrier ou à tout autre capteur du terminal. Lorsque vous téléversez le logo de votre restaurant, une image de couverture ou une capture d'écran pour vos retours, le sélecteur de photos iOS (PhotosPicker) vous permet de choisir des éléments précis — Batlr ne reçoit que les images que vous sélectionnez explicitement, jamais le reste de votre bibliothèque, et nous ne demandons jamais l'accès « à toutes les photos ». Aucun cookie publicitaire ou tiers de tracking n'est déposé sur le site batlr.app.

3. Finalités du traitement

• Fourniture, maintenance et amélioration du service Batlr
• Gestion des réservations, du plan de salle et de la liste d'attente
• Gestion de la relation client (CRM) du restaurant
• Envoi de confirmations, rappels et messages post-visite par email et SMS
• Traitement des paiements et facturation des no-shows via Stripe Connect
• Notifications transactionnelles vers les clients du restaurant (email/SMS)
• Mesure d'audience produit rattachée à votre compte Batlr (PostHog)
• Détection et correction des erreurs et des plantages
• Support client et obligations comptables/fiscales

4. Bases légales

• Exécution du contrat : traitement nécessaire à la fourniture du service Batlr et à l'exécution des réservations
• Intérêt légitime : amélioration du produit, prévention de la fraude, mesure d'audience produit, sécurité de l'infrastructure
• Obligation légale : conservation des données de facturation (article L.123-22 du Code de commerce — 10 ans)
• Consentement : envoi de communications marketing par email/SMS (opt-in via le widget de réservation), utilisation de Sign in with Apple ou Sign in with Google si vous y recourez

5. Sous-traitants et partage des données

Vos données ne sont jamais vendues. Elles sont traitées par les sous-traitants suivants, chacun lié par un engagement de confidentialité conforme au RGPD (DPA / Data Processing Addendum) :

| Sous-traitant | Finalité | Localisation principale | |---|---|---| | Supabase (Supabase Inc.) | Base de données, authentification, stockage de fichiers, fonctions Edge, temps réel | Frankfurt, Allemagne (région eu-central-1) | | Apple (Apple Inc. / Apple Distribution International Ltd) | Distribution de l'application, achats in-app StoreKit, Sign in with Apple, notifications App Store Server | États-Unis / Irlande | | Stripe (Stripe, Inc. / Stripe Payments Europe Ltd) | Empreinte bancaire, prépaiements, remboursements, vérifications KYC pour Stripe Connect | Irlande / États-Unis | | Google (Google LLC / Google Ireland Ltd) | Sign in with Google (lorsque vous l'utilisez) | Irlande / États-Unis | | Resend (Resend Inc.) | Envoi d'emails transactionnels (confirmations, rappels, post-visite, invitations équipe) | États-Unis | | Twilio (Twilio Inc.) | Envoi de SMS transactionnels et marketing | États-Unis | | PostHog (PostHog Inc.) | Mesure d'audience produit et capture des plantages/erreurs (instance EU eu.i.posthog.com) | Frankfurt, Allemagne | | Vercel (Vercel Inc.) | Hébergement du site batlr.app et des pages restaurant publiques | États-Unis (réseau d'edge mondial) | | jsDelivr (Prospect One sp. z o.o.) | CDN de runtime du widget de réservation public (Supabase JS, polices web) | Réseau mondial |

Pour les transferts de données hors Union européenne, Batlr s'appuie sur les Clauses Contractuelles Types (CCT) de la Commission européenne et/ou sur le programme EU-U.S. Data Privacy Framework lorsqu'il est applicable au sous-traitant concerné.

6. Durée de conservation

| Catégorie de données | Durée de conservation | |---|---| | Données de compte (utilisateur Batlr) | Durée de vie du compte, puis 3 ans après la dernière activité | | Données de réservation | 3 ans à compter de la dernière visite | | Données de facturation et factures | 10 ans (obligation légale, art. L.123-22 du Code de commerce) | | Logs techniques et journaux d'audit | 12 mois | | Données de mesure d'audience PostHog | 12 mois |

Lors de la suppression d'un compte, certaines factures soumises à conservation légale peuvent être conservées sous une forme anonymisée (hash du nom client) dans le registre legal_retention_invoices pour la durée légale de 10 ans, puis supprimées définitivement.

7. Vos droits

Conformément au RGPD, vous disposez des droits suivants :

• Droit d'accès à vos données
• Droit de rectification
• Droit à l'effacement (« droit à l'oubli »)
• Droit à la portabilité de vos données
• Droit d'opposition et de limitation du traitement
• Droit de retirer votre consentement à tout moment
• Droit de définir des directives post-mortem

Pour exercer ces droits, contactez-nous à privacy@batlr.app. Nous répondrons dans un délai maximal de 30 jours.

Vous pouvez également introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés) — www.cnil.fr — ou auprès de l'autorité de protection des données équivalente de votre pays de résidence.

8. Suppression de compte

Vous pouvez demander la suppression de votre compte et de toutes vos données à tout moment :

• Depuis l'application : Réglages → Compte → Supprimer mon compte
• Par email à privacy@batlr.app

Plus de détails sur la page dédiée à la suppression de compte.

La procédure de suppression exécutée depuis l'application enchaîne les étapes suivantes :

1. Remboursement automatique via Stripe des prépaiements non encore consommés (réservations futures)
2. Archivage anonymisé des factures soumises à conservation légale (10 ans)
3. Tentative de fermeture des comptes Stripe Connect rattachés
4. Cascade de suppression des restaurants, équipes, réservations, plans de salle et listes d'attente
5. Révocation des jetons Sign in with Apple, le cas échéant
6. Suppression définitive du compte d'authentification Supabase (auth.admin.deleteUser) — sans copie de secours

La suppression effective intervient sous 30 jours maximum. Les données soumises à une conservation légale sont conservées pour la durée requise puis purgées automatiquement.

9. Sécurité

Nous mettons en œuvre des mesures techniques et organisationnelles appropriées :

• Chiffrement en transit (TLS 1.2+) et chiffrement au repos sur les bases de données Supabase
• Hachage des mots de passe (bcrypt côté Supabase Auth) et hachage avec sel des codes PIN d'équipe
• Contrôle d'accès basé sur les rôles via Row-Level Security (RLS) Postgres
• Journalisation des accès et revues régulières des permissions
• Vérification cryptographique des notifications Apple App Store (chaîne de certificats x5c)
• Jetons d'authentification JWT à durée de vie limitée, conservés dans le Trousseau iOS, révocables à distance

10. Cookies et stockage local

Le site batlr.app utilise uniquement des cookies strictement nécessaires à son fonctionnement et à la mémorisation de la langue. Aucun cookie publicitaire ni de traçage tiers n'est utilisé.

Le widget de réservation public et les pages restaurant peuvent utiliser le stockage local du navigateur (localStorage) pour mémoriser temporairement les informations saisies dans le formulaire afin d'éviter leur perte en cas d'erreur réseau.

11. Modifications

Cette politique peut être mise à jour. En cas de modification substantielle, nous vous en informerons par email ou via l'application au moins 30 jours avant son entrée en vigueur.

12. Contact

Pour toute question relative à cette politique : privacy@batlr.app