RGPD · Art. 13/14

Comment nous traitons vos données.

Dernière mise à jour · 06 mai 2026

Cette politique s'applique à tablario.com et au portail restaurant. La notice de confidentialité distincte propre à chaque restaurant — celle que les appelants entendent au téléphone — se trouve sur tablario.com/datenschutz/<restaurant-id>.

Responsable du traitement

Qui traite vos données

Staqmind UG (haftungsbeschränkt)
Saalfelder Strasse 11 · 51103 Cologne · Allemagne
Représentée par
Mirko Rossbach, Montassar Zaroui

Le responsable du traitement au sens du RGPD est Staqmind UG. Aucun délégué à la protection des données n'est désigné — les conditions du § 38 BDSG ne sont pas remplies.

Collecte & bases légales

Ce que nous collectons — et pourquoi

Journaux serveur

Chaque accès à notre site génère automatiquement des informations sur notre serveur web :

Champs enregistrés
Adresse IP (anonymisée) · date/heure · URL demandée · statut HTTP · référent · agent utilisateur
Base légale
RGPD art. 6(1)(f) (intérêt légitime : sécurité d'exploitation, analyse des erreurs)
Conservation
7 jours

Demandes de démo / formulaire de contact

Pour les demandes via formulaire, nous collectons le nom, l'e-mail et, en option, le téléphone/le nom du restaurant.

Base légale
RGPD art. 6(1)(b) (mesures précontractuelles)
Conservation
12 mois après traitement

Données de compte (portail restaurant)

Pour l'exécution du contrat, nous conservons les données maîtres du restaurant et les informations de paiement (Stripe).

Base légale
RGPD art. 6(1)(b) (exécution du contrat)
Conservation
Jusqu'à 30 jours après la fin du contrat ; factures 10 ans (§ 147 AO)

Appels du téléphone IA (sous-traitance)

Tablario traite les données des appelants pour le compte du restaurant (numéro de téléphone, audio, transcription, détails de la réservation). Tablario est sous-traitant au sens de l'art. 28 du RGPD ; le responsable du traitement est le restaurant concerné. L'audio des appels n'est pas conservé : il est uniquement traité de manière éphémère pour la transcription en temps réel. Seule la transcription textuelle est conservée ; elle est anonymisée par défaut au bout de 30 jours.

Base légale
RGPD art. 6(1)(b) (exécution du contrat du restaurant envers le client) ; RGPD art. 6(1)(a) (consentement via la mention IA au début de l'appel)
Conservation
Audio : non conservé · transcriptions : 30 jours par défaut, puis anonymisées

Démo vocale en ligne (tablario.com/demo)

Les visiteurs qui demandent la démo vocale gratuite fournissent leur e-mail, téléphone et langue de l'interface. Nous envoyons un e-mail de confirmation (double opt-in) ; la démo ne démarre qu'après le clic sur le lien. L'audio et la transcription de la démo NE sont PAS stockés — le traitement est uniquement en temps réel. Par identité vérifiée (e-mail ou téléphone), 3 minutes par jour sont disponibles.

Base légale
RGPD art. 6(1)(a) (consentement). Le consentement est volontaire et révocable à tout moment (lien de suppression dans chaque e-mail de confirmation).
Conservation
Leads non confirmés : 24 h max., puis supprimés. Leads confirmés : 30 jours, puis anonymisés (le hachage reste pour l'application des quotas). Audio + transcription de la démo : non stockés.
Cookies & traçage

Ce qui s'exécute dans le navigateur

Nous utilisons des cookies strictement nécessaires (cookies de session, protection CSRF) et, pour les statistiques web, Plausible Analytics — sans cookie, sans données personnelles, sans traçage inter-sites (aucun consentement requis). Pour mesurer notre publicité, nous utilisons en outre le suivi des conversions Google Ads : il enregistre les inscriptions issues de nos annonces et dépose un cookie (_gcl_aw) — uniquement après votre consentement préalable via notre bandeau de cookies. Si vous refusez ou ne faites aucun choix, aucun cookie Google n'est déposé et aucune donnée n'est transmise à Google. Via Google Consent Mode v2, seuls les signaux nécessaires à la mesure des conversions sont activés (ad_storage, ad_user_data) ; aucun remarketing n'a lieu (ad_personalization reste désactivé). Le traitement est effectué par Google (y compris aux États-Unis) sur la base de votre consentement (art. 6, par. 1, a RGPD ; art. 25, par. 1 TDDDG). Vous pouvez retirer votre consentement à tout moment avec effet pour l'avenir en supprimant les cookies dans votre navigateur. Transfert de données chiffré via SSL/TLS.

Sous-traitants

Qui d'autre intervient

Nous faisons appel aux prestataires suivants pour fournir nos services. Un accord de sous-traitance (RGPD art. 28) est conclu avec chacun d'eux. Le traitement vocal par IA a lieu dans l'UE. Un transfert vers les États-Unis n'intervient que pour les services signalés comme tels et exclusivement sur la base du cadre de protection des données UE-États-Unis (DPF) ou des clauses contractuelles types (CCT).

PrestataireFinalitéLocalisationBase pour pays tiers
Amazon Web Services EMEA SARLHébergement cloud, calcul, base de données, CDN, authentification (Cognito), inférence du modèle de langage IA (Claude via AWS Bedrock), orchestration des médias auto-hébergée (LiveKit)eu-central-1 · Francfort
Telnyx Ireland LimitedRoutage téléphonique, numéros, envoi de SMSUE · données hébergées en Allemagne
Soniox, Inc.Reconnaissance vocale (speech-to-text) de la téléphonie IARégion UECCT / DPF (société américaine, traitement sur un point d'accès UE)
ElevenLabs, Inc.Synthèse vocale (text-to-speech) — reçoit uniquement le texte de la réponse à prononcer (nom du client inclus), aucun numéro de téléphone ni identifiantÉtats-UnisCCT / DPF + accord de sous-traitance
Resend, Inc.Envoi d'e-mails transactionnelsÉtats-UnisDPF / CCT
Stripe Payments Europe Ltd.Traitement des paiements de la rémunération du prestataireDublin, Irlande (UE/États-Unis)DPF / CCT
Sentry (Functional Software, Inc.)Suivi technique des erreursÉtats-UnisDPF / CCT
Plausible AnalyticsStatistiques web (sans cookie)UE
Google Ireland Ltd. / Google LLCSuivi des conversions Google Ads (avec consentement)États-UnisConsentement ; DPF

Soniox et ElevenLabs ne traitent des données que dans le cadre de l'assistance téléphonique par IA, pour le compte de nos restaurants clients. L'inférence du modèle de langage IA (Claude) s'effectue via AWS Bedrock dans l'UE ; l'orchestration des médias (LiveKit), nous l'exploitons nous-mêmes sur AWS dans l'UE.

Durées de conservation

Combien de temps nous conservons les données

Journaux serveur
7 jours
Demandes de contact
12 mois après traitement
Factures
10 ans · § 147 AO
Correspondance commerciale
6 ans · § 257 HGB
Audio des appels
Non conservé (traitement en temps réel uniquement)
Transcriptions d'appels
30 jours par défaut · puis anonymisées
Leads démo (e-mail/téléphone)
Non confirmés : 24 h max. · Confirmés : 30 jours, puis anonymisés · Audio/transcription démo : non stockés
Vos droits

Ce à quoi vous avez droit

Vous disposez d'un droit d'accès (art. 15), de rectification (art. 16), d'effacement (art. 17), de limitation (art. 18), de portabilité des données (art. 20) et d'opposition (art. 21 du RGPD). Contactez-nous à :

datenschutz@tablario.com

Droit d'introduire une réclamation

Vous avez le droit d'introduire une réclamation auprès d'une autorité de contrôle. Notre autorité compétente est :

Commissaire à la protection des données de Rhénanie-du-Nord-Westphalie (LDI NRW)
Kavalleriestr. 2-4 · 40213 Düsseldorf
www.ldi.nrw.de
Décision automatisée

Décision de réservation automatisée avec garanties

Aucun profilage n'a lieu (art. 4, point 4 du RGPD). L'acceptation ou le refus automatisé d'une réservation par l'assistant IA intervient en vue de la conclusion du contrat (art. 22, § 2, point a du RGPD) — avec les garanties de l'art. 22, § 3 : les appelants peuvent à tout moment demander une intervention humaine (transfert vers le numéro du personnel enregistré), exprimer leur point de vue et contester la décision ; le restaurant garde le plein contrôle des règles de réservation et peut ajuster les réservations manuellement.

Sécurité des données

Mesures techniques & organisationnelles

Nous prenons des mesures appropriées au titre de l'art. 32 du RGPD :

  • Chiffrement SSL/TLS pour tous les transferts de données
  • Localisation des serveurs en UE · AWS Francfort (eu-central-1)
  • Chiffrement au repos · Aurora PostgreSQL, S3, Secrets Manager · KMS
  • Contrôle d'accès selon le principe du besoin d'en connaître
  • MFA imposée sur les comptes de la plateforme · authentification adaptative (Cognito Threat Protection)
  • Pare-feu applicatif web (AWS WAF) avec limitation de débit et filtres de réputation
  • Mises à jour de sécurité régulières et analyse des conteneurs
  • Aucune donnée de paiement stockée sur nos serveurs
Incidents de sécurité

Ce qui se passe en cas de violation de données

Nous nous engageons à détecter, examiner et signaler les violations de données personnelles sans retard injustifié. Pour les violations à notifier au titre de l'art. 33 du RGPD, nous informons l'autorité de contrôle sous 72 heures. Lorsque des violations à haut risque concernent des personnes, nous les informons sans délai (art. 34 du RGPD). Les restaurants clients reçoivent également une notification en tant que sous-traitant.

Détection
Surveillance & alertes (AWS GuardDuty, Sentry, journaux WAF)
Signalement à l'autorité
Sous 72 h · RGPD art. 33
Information des personnes
Sans délai si haut risque · RGPD art. 34
Signalement au client
Obligation de signalement par accord de sous-traitance · RGPD art. 33(2)
Mises à jour

Modifications de cette politique

Nous mettons à jour cette politique chaque fois que nos services ou les exigences légales évoluent. La version en vigueur est toujours disponible ici.

Réponse sous 1 jour ouvré
En semaine, entre 9h et 18h (CET)
Conforme au RGPD
Serveurs en Allemagne · aucune revente de données
Conçu en Allemagne
Support assuré par les fondateurs, directement depuis Cologne
Résiliable chaque mois
Sans engagement, sans frais d’installation

Des questions qu'on n'a pas couvertes ?

Envoie-nous un message — on répond sous un jour ouvré.