Politique en vigueur
Politique de confidentialité
Cette politique explique comment StoveOps traite les renseignements personnels lorsque vous visitez notre site, demandez un accès, utilisez le produit ou apparaissez comme client dans un flux exploité par un restaurant client.
StoveOps est conçu pour des restaurants au Canada, aux États-Unis, au Brésil, dans l’Union européenne/EEE et dans des marchés hispanophones, y compris le Mexique. Cette politique tient compte des attentes liées à la LPRPDE, à la Loi 25 du Québec, aux lois américaines applicables comme la CCPA/CPRA, à la LGPD, au RGPD/GDPR de l’UE et du Royaume-Uni, et aux règles mexicaines du secteur privé.
Lorsque le RGPD s’applique, nous traitons les données personnelles sur les bases légales de l’article 6 — exécution d’un contrat, intérêts légitimes, consentement ou respect d’une obligation légale — selon l’activité. Lorsque des données personnelles sont transférées hors de leur région d’origine (par exemple vers les États-Unis), nous nous appuyons sur des garanties de transfert reconnues telles que les clauses contractuelles types (CCT/SCC) de l’UE et des mécanismes équivalents.
Qui nous sommes et champ d’application
StoveOps fournit un logiciel d’opérations pour restaurants : liste d’attente, messagerie clients, outils de site/menu, campagnes et analytique. Cette politique s’applique à stoveops.com, aux pages localisées, aux formulaires d’accès anticipé, aux tableaux de bord et aux communications de soutien.
Lorsqu’un restaurant utilise StoveOps pour gérer ses clients, le restaurant est généralement l’entreprise, le responsable du traitement ou le décideur équivalent pour les données des clients. StoveOps agit comme fournisseur de services, sous-traitant, opérateur ou encargado selon les instructions du restaurant.
Renseignements personnels recueillis
- Données du site : préférence de langue, état du consentement aux témoins, choix d’analytique, données de navigateur/appareil, URL de référence et événements lorsque l’analytique est activée.
- Données opérateur : nom, courriel professionnel, téléphone, restaurant, rôle, pays, province/État, facturation, paramètres de compte, forfait et historique de soutien.
- Contenu du restaurant : établissements, menus, heures, marque, liens publics, modèles, campagnes et configuration opérationnelle.
- Données clients soumises dans le produit : nom, coordonnées, taille du groupe, statut de liste d’attente ou réservation, historique de visites, préférences, allergies ou notes saisies par le restaurant.
- Données de messagerie : canal, opt-in ou opt-out, statut de livraison, horodatage et journaux des fournisseurs courriel, SMS, WhatsApp ou notifications de navigateur.
- Données de paiement : statut d’abonnement et d’achats additionnels traité par notre fournisseur de paiement; StoveOps ne stocke pas les numéros complets de carte.
Utilisation des renseignements
- Fournir, sécuriser et améliorer les fonctions StoveOps.
- Créer les comptes, authentifier les utilisateurs, soutenir les équipes et gérer la facturation.
- Envoyer des messages transactionnels, notifications clients et avis de service.
- Mémoriser la langue, les témoins et les préférences du produit.
- Mesurer l’usage agrégé et la fiabilité.
- Détecter les abus, appliquer nos politiques et respecter nos obligations légales.
Bases juridiques et consentement
Selon le pays et le contexte, nous nous appuyons sur l’exécution du contrat, les intérêts commerciaux légitimes, le consentement, les obligations légales et, au besoin, la protection de la vie ou de la sécurité. Au Canada et au Québec, le consentement valable, la transparence et la personne responsable des renseignements personnels sont essentiels. Pour le Brésil, cela correspond aux bases de la LGPD. Pour les États-Unis, les droits varient selon l’État.
Les restaurants doivent recueillir et démontrer tout consentement client requis pour leurs propres cas d’usage, notamment SMS, WhatsApp, courriels marketing et messages promotionnels.
Conformité des messages
Les messages opérationnels, comme une table prête ou une confirmation de réservation, doivent être envoyés seulement si le restaurant dispose d’une base légale pour joindre le client. Les messages commerciaux doivent respecter les règles de consentement, identification, désabonnement et suppression, notamment CASL, TCPA, CAN-SPAM, LGPD et règles similaires.
StoveOps fournit des outils d’opt-out et de suppression lorsque disponibles, mais les clients ne doivent pas importer des listes achetées, envoyer sans permission ou contourner les désabonnements.
Témoins et analytique
Le site utilise des témoins strictement nécessaires pour la langue et le consentement. L’analytique et la mesure marketing sont désactivées par défaut et activées seulement après consentement lorsque requis. Nous utilisons Cloudflare Web Analytics, Cloudflare Zaraz et Google Analytics 4 pour mesurer le trafic agrégé, les Core Web Vitals et les événements de conversion comme les envois du formulaire de prospect; des pixels publicitaires peuvent être activés dans la catégorie marketing lorsque des campagnes sont configurées. Vous pouvez modifier vos choix dans la bannière de consentement ou en vidant le stockage local du navigateur.
Partage et sous-traitants
Nous partageons les renseignements personnels uniquement avec les fournisseurs nécessaires à StoveOps : Cloudflare pour l’hébergement, la sécurité en périphérie, Zaraz et Web Analytics, Google Analytics 4 pour la mesure du site, courriel, SMS/WhatsApp, paiements, sécurité, journaux et soutien. Ces fournisseurs peuvent traiter les données au Canada, aux États-Unis, au Brésil, au Mexique ou dans d’autres pays où ils exercent leurs activités.
Nous ne vendons pas de renseignements personnels et ne les partageons pas pour de la publicité comportementale intercontextuelle au sens de la loi californienne.
Transferts internationaux
StoveOps est un SaaS transfrontalier. Les renseignements peuvent être transférés et traités dans un pays autre que celui de leur collecte. Nous utilisons des mesures contractuelles, techniques et organisationnelles adaptées aux données et au droit applicable.
Conservation
Nous appliquons des durées de conservation concrètes par type de donnée. Les coordonnées des destinataires de messages (les données personnelles contenues dans les messages aux clients) sont caviardées 30 jours après l’activité du message. Les sessions de connexion expirent après 30 jours. Les prospects en accès anticipé sont conservés jusqu’à ce que vous demandiez leur suppression ou vous désinscriviez. Les données des clients (guests) sont conservées tant que la relation du restaurant avec le client est active, selon les instructions légales et les paramètres du restaurant, avec une option de retrait toujours disponible.
Les comptes et dossiers de facturation sont conservés tant que le compte est actif et pendant une période raisonnable pour les taxes, audits, litiges et la sécurité. Les sauvegardes, journaux de sécurité et de livraison peuvent persister pendant une période limitée après suppression de l’application principale.
Sécurité
Nous utilisons des mesures administratives, techniques et organisationnelles adaptées à un SaaS pour restaurants, dont contrôles d’accès, transport chiffré, privilège minimal, journaux d’audit et revue de fournisseurs. Aucun service Internet n’est sans risque; les restaurants doivent aussi protéger appareils, identifiants et accès du personnel.
Vos droits
Selon votre lieu de résidence, vous pouvez demander l’accès, la rectification, la suppression, la portabilité, la restriction, l’opposition, le retrait du consentement, l’opt-out de certains traitements ou des renseignements sur l’utilisation de vos données. Au Québec, vous pouvez communiquer avec la personne responsable de la protection des renseignements personnels. Au Brésil, les droits LGPD peuvent être exercés auprès du contrôleur et, le cas échéant, de l’ANPD. Au Mexique, les droits ARCO comprennent accès, rectification, annulation et opposition.
Nous répondons aux demandes vérifiées dans les délais prévus par la loi applicable : 30 jours sous le RGPD et la CCPA/CPRA, 15 jours sous la LGPD et 20 jours pour les demandes ARCO au Mexique (prolongeables lorsque la loi le permet). Si vos données ont été soumises par un restaurant, nous pourrions devoir acheminer la demande à ce restaurant ou vérifier avec lui avant d’agir, puisqu’il contrôle sa relation avec vous.
Enfants et données sensibles
StoveOps ne s’adresse pas aux enfants. Les restaurants ne doivent pas soumettre de données d’enfants sans base légale et consentement parental approprié. Les allergies, besoins d’accessibilité et notes similaires doivent être saisis seulement lorsqu’ils sont pertinents au service et mentionnés dans l’avis de confidentialité du restaurant.
Qui est responsable et comment nous joindre
StoveOps est la partie responsable des données personnelles décrites ici. Notre délégué à la protection des données / encarregado (LGPD), la personne responsable de la protection des renseignements personnels (Loi 25 du Québec) et le responsable de la protection des données dont le domicile est l’adresse d’affaires enregistrée de StoveOps (Mexique, LFPDPPP) peuvent tous être joints par le canal unique de confidentialité contact@stoveops.com.
Nous pouvons mettre à jour cette politique lorsque le produit, les marchés et les lois évoluent. La date ci-dessus indique la version actuelle.