Tablity← Retour

Politique de confidentialite

Derniere mise a jour : juin 2026

MONTPC SASU, editrice du service Tablity, s'engage a proteger la vie privee des utilisateurs de son service conformement au Reglement (UE) 2016/679 du 27 avril 2016 relatif a la protection des donnees a caractere personnel (RGPD) et a la loi n° 78-17 du 6 janvier 1978 modifiee, dite « Informatique et Libertes ».

1. Responsable du traitement et contact

  • Denomination sociale : MONTPC SASU
  • Forme juridique : Societe par actions simplifiee (Societe a associe unique), capital de 500 €
  • SIREN : 993 766 369
  • SIRET : 993 766 369 00017
  • RCS : Annecy — N° de gestion 2025B02663
  • Siege social : 57 Avenue du Mont Paccard, 74170 Saint-Gervais-les-Bains, France
  • Representant legal : Monsieur Artem KOSTYUCHENKO, President
  • Point de contact protection des donnees : [email protected]

La nature, le volume et la sensibilite des traitements operes par MONTPC SASU ne declenchent pas l'obligation legale de designer un Delegue a la protection des donnees (DPO) au sens de l'article 37 du RGPD. MONTPC SASU a neanmoins designe l'adresse [email protected] comme point de contact unique pour l'ensemble des questions relatives a la protection des donnees, tant pour les personnes concernees que pour les responsables de traitement clients dans le cadre des accords de sous-traitance.

2. Roles RGPD — Responsable de traitement et sous-traitant

La presente politique distingue deux situations distinctes au sens du RGPD :

  • Donnees des restaurateurs (Clients de Tablity) : MONTPC SASU agit en qualite de responsable de traitement. Elle definit seule les finalites et les moyens du traitement.
  • Donnees des clients finaux des restaurants (convives qui reservent une table) : le restaurateur est le responsable de traitement et MONTPC SASU agit en qualite de sous-traitant au sens de l'article 28 du RGPD, sur instruction documentee du restaurateur, avec engagement de confidentialite, de securite, et de notification des violations dans les delais legaux.

L'acceptation des Conditions Generales par le restaurateur vaut conclusion de l'accord de sous-traitance prevu par l'article 28 du RGPD pour les traitements operes par Tablity sur les donnees des convives. Au titre de cet accord, MONTPC SASU s'engage notamment a :

  • traiter les donnees uniquement sur instruction documentee du restaurateur, y compris en cas de transfert hors UE ;
  • garantir la confidentialite des personnes autorisees a traiter les donnees ;
  • mettre en oeuvre les mesures techniques et organisationnelles requises par l'article 32 du RGPD ;
  • ne pas recruter de sous-traitant ulterieur sans information prealable du restaurateur, qui dispose d'un droit d'objection motive ;
  • assister le restaurateur dans la reponse aux demandes d'exercice de droits, dans la realisation d'analyses d'impact (AIPD) le cas echeant, et dans la documentation des mesures de securite ;
  • notifier le restaurateur de toute violation de donnees dans un delai maximum de 48 heures apres en avoir pris connaissance, en lui transmettant les elements requis par l'article 33.3 du RGPD afin de lui permettre de remplir sa propre obligation de notification a la CNIL dans les 72 heures ;
  • au terme du contrat, selon le choix du restaurateur, supprimer ou restituer l'ensemble des donnees au format CSV/JSON, sauf obligation legale de conservation ;
  • mettre a disposition les informations permettant de demontrer la conformite et autoriser la realisation d'audits sur demande raisonnable et avec un preavis de 15 jours.

Le restaurateur, en sa qualite de responsable de traitement, conserve la responsabilite d'informer ses propres clients, de recueillir leur consentement le cas echeant, et de la liceite des champs qu'il choisit de renseigner. Pour les enseignes soumises a un programme interne de conformite, un accord de sous-traitance autonome peut etre conclu sur demande motivee.

3. Donnees collectees

3.1. Donnees des restaurateurs (utilisateurs du service)

  • Identite : nom, prenom ;
  • Coordonnees professionnelles : adresse email, numero de telephone ;
  • Informations de l'etablissement : nom du restaurant, adresse, horaires de service, plan de salle, capacite ;
  • Donnees d'authentification : identifiant Google (sub OAuth, email valide) ou jeton de lien magique ;
  • Donnees de facturation : raison sociale, adresse, n° TVA le cas echeant. Les donnees de paiement (numero de carte, IBAN) sont collectees et stockees directement par Stripe ; MONTPC SASU ne les voit ni ne les stocke ;
  • Donnees de connexion : adresse IP, journal d'evenements, identifiants de session.

3.2. Donnees des clients finaux des restaurants (convives)

Lorsqu'un client effectue une reservation via le widget Tablity ou que le restaurateur saisit une reservation pour son compte, les donnees suivantes sont susceptibles d'etre collectees :

  • Nom et prenom ;
  • Adresse email ;
  • Numero de telephone ;
  • Historique de reservations (dates, horaires, nombre de couverts, statut, source, table attribuee) ;
  • Notes ou demandes speciales associees a une reservation (allergies, occasion, preferences) saisies par le client ou par le restaurateur ;
  • Tags et segmentation CRM (offre Pro), uniquement renseignes par le restaurateur ;
  • Le cas echeant, donnees relatives a un acompte (montant, date, statut) collectees directement par Stripe.

Pour ces donnees, MONTPC SASU agit en qualite de sous-traitant. Le restaurateur est responsable de l'information de ses propres clients, du recueil eventuel de leur consentement, et de la legalite des champs qu'il choisit de remplir.

4. Finalites du traitement

Les donnees sont traitees pour les finalites suivantes :

  • Fourniture et gestion du service de reservation (creation et suivi des reservations, plan de salle, statuts) ;
  • Gestion des comptes utilisateurs, authentification et securite des acces ;
  • Facturation et gestion des paiements via Stripe ;
  • Envoi de notifications transactionnelles aux convives (confirmations de reservation, rappels avant le service) et au restaurateur (alertes de reservation, evenements operationnels) ;
  • Le cas echeant, collecte et gestion des acomptes anti no-show via Stripe Connect (offre Pro) ;
  • Support utilisateur et reponse aux demandes ;
  • Amelioration du service et statistiques agregees d'utilisation (interet legitime) ;
  • Respect des obligations legales et reglementaires (comptables, fiscales, RGPD).

5. Bases legales des traitements

TraitementBase legale
Fourniture du service, gestion des reservations, plan de salleExecution du contrat (art. 6.1.b RGPD) entre le restaurateur et l'Editeur ; pour le convive, execution de mesures precontractuelles a sa demande (art. 6.1.b)
Authentification (Google OAuth, lien magique)Execution du contrat (art. 6.1.b)
Facturation, paiement de l'abonnementExecution du contrat (art. 6.1.b) et obligation legale comptable (art. 6.1.c)
Acomptes anti no-show (Stripe Connect)Execution du contrat entre le restaurateur et son client final (art. 6.1.b)
Notifications transactionnelles (email, SMS le cas echeant)Execution du contrat (art. 6.1.b)
Statistiques agregees, amelioration du serviceInteret legitime de l'Editeur (art. 6.1.f) a faire fonctionner et ameliorer son produit
Conservation des donnees comptablesObligation legale (art. 6.1.c) — Code de commerce
Conservation des journaux de connexionObligation legale (art. 6.1.c) — LCEN, decret 2011-219

6. Destinataires et sous-traitants

Les donnees personnelles peuvent etre communiquees aux sous-traitants suivants, dans le strict cadre des finalites decrites :

Sous-traitantFinaliteLocalisation
Contabo GmbHHebergement des serveurs et de la base de donneesAllemagne (Union europeenne)
Stripe Payments Europe, LimitedPaiement de l'abonnement et facturationIrlande (UE) — transferts intra-groupe vers les Etats-Unis encadres par clauses contractuelles types
Stripe Payments Europe, Limited (Connect)Collecte des acomptes anti no-show, offre ProIrlande (UE) — clauses contractuelles types
Resend, Inc.Envoi des emails transactionnels (confirmations, rappels)Etats-Unis — clauses contractuelles types
Google Ireland Limited (OAuth)Authentification du restaurateur (option Continuer avec Google)Irlande (UE) — transferts intra-groupe vers les Etats-Unis encadres par clauses contractuelles types
Sentry, Inc.Surveillance d'erreurs et de performance (le cas echeant)Etats-Unis — clauses contractuelles types

Lorsque la fonctionnalite SMS / messagerie pour restaurateurs sera ouverte (offre Pro, en preparation), Tablity recourra a un prestataire de routage SMS dont la selection est en cours d'arbitrage. L'identite, la localisation et les garanties contractuelles du prestataire selectionne seront integrees a la presente politique avant toute activation de la fonctionnalite, et notifiees aux restaurateurs au titre de l'information sur les sous-traitants ulterieurs.

MONTPC SASU ne vend, ne loue et ne partage aucune donnee personnelle a des tiers a des fins commerciales ou publicitaires.

7. Transferts de donnees hors Union europeenne

L'hebergement principal est realise dans l'Union europeenne (Allemagne). Certains sous-traitants (Stripe, Resend, Google, Sentry) peuvent, dans le cadre de leur fonctionnement intra-groupe, traiter des donnees aux Etats-Unis. Ces transferts sont encadres par des clauses contractuelles types approuvees par la Commission europeenne (decision d'execution 2021/914) et, le cas echeant, par la decision d'adequation UE / EU-US Data Privacy Framework du 10 juillet 2023, garantissant un niveau de protection adequat conformement au chapitre V du RGPD.

8. Duree de conservation des donnees

Type de donneesDuree de conservation
Donnees du compte restaurateurPendant la duree de l'abonnement + 12 mois apres resiliation (puis suppression ou anonymisation)
Donnees des convives (sous traitance)Selon les instructions du restaurateur, dans la limite de la duree de l'abonnement + 12 mois ; export possible a la demande
Donnees de facturation10 ans (obligation legale comptable — art. L.123-22 Code de commerce)
Journaux de connexion12 mois (LCEN — decret 2011-219)
Cookie de session (tablity_session)7 jours glissants (renouvelement a chaque connexion active)

A l'expiration de ces delais, les donnees sont supprimees ou anonymisees de maniere irreversible, sous reserve des obligations legales de conservation et des exigences relatives a la constatation, a l'exercice ou a la defense de droits en justice.

9. Droits des personnes concernees

Conformement aux articles 15 a 22 du RGPD, vous disposez des droits suivants :

  • Droit d'acces : obtenir la confirmation que des donnees vous concernant sont traitees et en obtenir une copie ;
  • Droit de rectification : demander la correction de donnees inexactes ou incompletes ;
  • Droit a l'effacement : demander la suppression de vos donnees, sous reserve des obligations legales de conservation ;
  • Droit a la portabilite : recevoir vos donnees dans un format structure, couramment utilise et lisible par machine, ou demander leur transmission directe a un autre responsable de traitement ;
  • Droit d'opposition : vous opposer au traitement de vos donnees pour des motifs lies a votre situation particuliere, notamment lorsque le traitement est fonde sur l'interet legitime ;
  • Droit a la limitation : demander la limitation du traitement dans les cas prevus par le RGPD ;
  • Droit de definir des directives post mortem relatives au sort de vos donnees apres votre deces ;
  • Droit de ne pas faire l'objet d'une decision automatisee produisant des effets juridiques : aucune decision de ce type n'est mise en oeuvre par Tablity.

Pour exercer ces droits, vous pouvez nous contacter a : [email protected]. Une preuve d'identite pourra etre demandee en cas de doute raisonnable sur l'identite du demandeur.

Si vous etes un convive ayant reserve via le widget Tablity, vos demandes relatives a vos donnees doivent etre adressees en priorite au restaurateur concerne (responsable de traitement). Tablity, agissant comme sous-traitant, transmettra la demande au restaurateur si elle lui est adressee.

Nous nous engageons a repondre dans un delai maximum d'un mois a compter de la reception de la demande. Ce delai peut etre prolonge de deux mois supplementaires en cas de demande complexe, avec information prealable du demandeur.

10. Cookies et traceurs

Le service Tablity utilise exclusivement des cookies strictement necessaires a son fonctionnement :

  • tablity_session : cookie de session, jeton JWT signe (algorithme HS256), drapeaux HttpOnly + Secure + SameSite=Lax, duree 7 jours glissants. Stocke uniquement l'identifiant d'utilisateur authentifie.
  • Preferences d'interface (theme clair/sombre, langue), stockees localement dans le navigateur.

Aucun cookie de tracage publicitaire, de mesure d'audience tiers ou de marketing comportemental n'est utilise. Conformement aux recommandations de la CNIL et a l'article 82 de la loi Informatique et Libertes, les cookies strictement necessaires ne requierent pas le consentement de l'utilisateur ; aucun bandeau cookies n'est donc affiche.

Le widget de reservation integre sur les sites des restaurateurs ne depose, sur le navigateur du convive, aucun cookie de tracage ni d'empreinte de navigation. Les appels API utilises sont anonymes jusqu'a la finalisation d'une reservation.

11. Securite des donnees

MONTPC SASU met en oeuvre les mesures techniques et organisationnelles appropriees, au sens de l'article 32 du RGPD, pour garantir un niveau de securite adapte au risque :

  • Chiffrement des communications en transit (HTTPS / TLS 1.2+) ;
  • Authentification securisee par OAuth 2.0 (Google) ou par lien magique a usage unique transmis par email ;
  • Sessions signees cryptographiquement par jeton JWT, cookies HttpOnly et Secure ;
  • Acces restreint aux donnees selon le principe du moindre privilege ;
  • Hashage et protection des secrets d'application en variables d'environnement ;
  • Sauvegardes regulieres et chiffrees de la base de donnees ;
  • Hebergement sur infrastructure de l'Union europeenne (Allemagne) ;
  • Journalisation centralisee des erreurs applicatives, sans donnees personnelles dans les traces ;
  • Mises a jour de securite des dependances de l'application.

En cas de violation de donnees a caractere personnel, MONTPC SASU applique la procedure suivante : (i) lorsqu'elle agit comme responsable de traitement, notification a la CNIL dans les 72 heures conformement a l'article 33 du RGPD, et communication aux personnes concernees en cas de risque eleve pour leurs droits et libertes (article 34) ; (ii) lorsqu'elle agit comme sous-traitant pour le compte d'un restaurateur, notification au restaurateur dans un delai maximum de 48 heures apres prise de connaissance, en lui transmettant les elements requis pour qu'il puisse effectuer sa propre notification a la CNIL.

12. Reclamation aupres de la CNIL

Si vous estimez que le traitement de vos donnees personnelles constitue une violation du RGPD, vous avez le droit d'introduire une reclamation aupres de la Commission Nationale de l'Informatique et des Libertes (CNIL), sans prejudice de tout autre recours juridictionnel :

CNIL

3 Place de Fontenoy, TSA 80715

75334 Paris Cedex 07

Telephone : 01 53 73 22 22

Site web : www.cnil.fr

13. Modifications de la politique de confidentialite

MONTPC SASU se reserve le droit de modifier la presente politique de confidentialite a tout moment pour refleter l'evolution du service, de la legislation, ou des sous-traitants. En cas de modification substantielle, les utilisateurs en seront informes par email ou par notification dans l'application au moins 30 jours avant l'entree en vigueur des modifications.

La date de derniere mise a jour figurant en haut de cette page permet d'identifier la version en vigueur.

Contact

Pour toute question relative a la protection de vos donnees personnelles :
MONTPC SASU — 57 Avenue du Mont Paccard, 74170 Saint-Gervais-les-Bains, France
Telephone : +33 (0)4 50 58 10 65
Email : [email protected]