La présente politique décrit, conformément au Règlement (UE) 2016/679 (RGPD) et à la loi « Informatique et Libertés », la manière dont VERMEIL traite les données à caractère personnel dans le cadre de la fourniture du service aux organisations clientes (cuisines centrales, collectivités, établissements).
1.Responsable de traitement et rôles
Pour les données de ses propres comptes utilisateurs et de la relation client, l’éditeur (KV HOLDING, SAS — RCS Saint-Pierre 940 980 410) agit en qualité de responsable de traitement.
Pour les données que chaque organisation cliente saisit et gère dans le Service (notamment les données de ses agents/personnels), l’organisation cliente est responsable de traitement et l’éditeur agit comme sous-traitant au sens de l’article 28 du RGPD. Un accord de traitement (DPA) peut être annexé au contrat sur demande.
Délégué à la protection des données (DPO) / point de contact : rgpd@vermeil-restauration.com.
2.Données collectées
- Compte utilisateur : nom, adresse e-mail, mot de passe (haché), rôle, organisation de rattachement.
- Personnels / agents (saisis par le client) : identité, poste, atelier d’affectation, éléments d’aptitude/formation hygiène le cas échéant.
- Données d’exploitation : produits, fournisseurs, recettes, menus, production, stocks, enregistrements qualité/HACCP — pouvant contenir des données personnelles de manière incidente.
- Données techniques : journaux de connexion et d’audit (adresse IP, user-agent, horodatage) à des fins de sécurité et de traçabilité.
Aucune donnée de santé n’est traitée par le Service.
3.Finalités et bases légales
- Fourniture du Service (gestion des comptes, des organisations, des fonctionnalités métier) — exécution du contrat.
- Sécurité et prévention des abus (journaux d’accès, limitation de débit) — intérêt légitime.
- Obligations de traçabilité sanitaire (HACCP / plan de maîtrise sanitaire) — obligation légale du client, dont le Service est le support.
- Relation client et facturation — exécution du contrat et obligation légale (comptabilité).
4.Destinataires et sous-traitants
Les données sont accessibles aux seules personnes habilitées de l’organisation cliente (cloisonnement strict par organisation, voir § Sécurité) et au personnel autorisé de l’éditeur pour l’exploitation et le support.
Sous-traitants techniques (hébergement et traitement) :
- OVH SAS (France) — hébergement applicatif et base de données.
- Service de base de données / stockage — Supabase (base PostgreSQL et stockage objet hébergés en Irlande, Union européenne).
- Service d’intelligence artificielle (assistant « Jeanne », extraction documentaire) — OVHcloud AI Endpoints (modèles open-weight de la famille Qwen), hébergé en France (Union européenne) : aucun transfert hors UE.
5.Transferts hors Union européenne
Le Service est conçu pour héberger et traiter les données au sein de l’Union européenne. En l’absence de configuration contraire, aucun transfert hors UE n’est réalisé. Tout recours à un sous-traitant hors UE serait encadré par les garanties appropriées (clauses contractuelles types) et documenté.
6.Durées de conservation
- Compte et données d’organisation : pendant toute la durée du contrat, puis suppression ou restitution dans un délai de 90 jours après la fin du contrat (réversibilité).
- Journaux d’audit / sécurité : 12 mois.
- Demandes de démonstration (prospects) : 3 ans à compter du dernier contact.
- Données comptables / facturation : 10 ans (obligation légale).
7.Vos droits
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits d’accès, de rectification, d’effacement, de limitation, d’opposition et de portabilité de vos données. Vous pouvez les exercer auprès du point de contact ci-dessus. Les fonctions d’export et de suppression sont également accessibles depuis l’espace d’administration de l’organisation, lorsqu’elles sont activées.
Vous pouvez introduire une réclamation auprès de la CNIL (cnil.fr).
8.Cookies et traceurs
Le Service n’utilise que des cookies strictement nécessaires à l’authentification et au fonctionnement (gestion de session). Aucun traceur publicitaire ni mesure d’audience tierce n’est déposé sans consentement.
9.Sécurité
Le Service applique un cloisonnement strict des données par organisation (sécurité au niveau des lignes — RLS — sur la base de données), une validation des accès côté serveur, le chiffrement des échanges (HTTPS) et un hébergement en France. Les accès sont journalisés. Voir aussi les conditions générales et les mentions légales.