RGPD · Art. 13/14

Comment nous traitons vos données.

Dernière mise à jour · 06 mai 2026

Cette politique s'applique à tablario.com et au portail restaurant. La notice de confidentialité distincte propre à chaque restaurant — celle que les appelants entendent au téléphone — se trouve sur tablario.com/datenschutz/<restaurant-id>.

Responsable du traitement

Qui traite vos données

Staqmind UG (haftungsbeschränkt)

Saalfelder Strasse 11 · 51103 Cologne · Allemagne

Représentée par

Mirko Rossbach, Montassar Zaroui

E-mail

datenschutz@tablario.com

Le responsable du traitement au sens du RGPD est Staqmind UG. Aucun délégué à la protection des données n'est désigné — les conditions du § 38 BDSG ne sont pas remplies.

Collecte & bases légales

Ce que nous collectons — et pourquoi

Journaux serveur

Chaque accès à notre site génère automatiquement des informations sur notre serveur web :

Champs enregistrés

Adresse IP (anonymisée) · date/heure · URL demandée · statut HTTP · référent · agent utilisateur

Base légale: RGPD art. 6(1)(f) (intérêt légitime : sécurité d'exploitation, analyse des erreurs)
Conservation: 7 jours

Demandes de démo / formulaire de contact

Pour les demandes via formulaire, nous collectons le nom, l'e-mail et, en option, le téléphone/le nom du restaurant.

Base légale: RGPD art. 6(1)(b) (mesures précontractuelles)
Conservation: 12 mois après traitement

Données de compte (portail restaurant)

Pour l'exécution du contrat, nous conservons les données maîtres du restaurant et les informations de paiement (Stripe).

Base légale: RGPD art. 6(1)(b) (exécution du contrat)
Conservation: Jusqu'à 30 jours après la fin du contrat ; factures 10 ans (§ 147 AO)

Appels du téléphone IA (sous-traitance)

Tablario traite les données des appelants pour le compte du restaurant (numéro de téléphone, audio, transcription, détails de la réservation). Tablario est sous-traitant au sens de l'art. 28 du RGPD ; le responsable du traitement est le restaurant concerné. L'audio des appels est conservé jusqu'à 30 jours puis anonymisé automatiquement.

Base légale: RGPD art. 6(1)(b) (exécution du contrat du restaurant envers le client) ; RGPD art. 6(1)(a) (consentement via la mention IA au début de l'appel)
Conservation: Audio 30 jours max. · transcriptions 30 jours par défaut (configurable)

Cookies & traçage

Ce qui s'exécute dans le navigateur

Nous n'utilisons que des cookies strictement nécessaires (cookies de session, protection CSRF). Pour les statistiques web, nous utilisons Plausible Analytics — sans cookie, sans données personnelles, sans traçage inter-sites. Aucun bandeau de consentement requis. Transfert de données chiffré via SSL/TLS.

Sous-traitants

Qui d'autre intervient

Nous faisons appel aux prestataires suivants. Des accords de sous-traitance (RGPD art. 28) sont conclus avec chacun d'eux. Les transferts de données vers les États-Unis reposent sur le cadre de protection des données UE-États-Unis (DPF) ou sur les clauses contractuelles types (CCT).

Prestataire	Finalité	Localisation	Base pour pays tiers
Amazon Web Services EMEA SARL	Hébergement cloud, calcul, BDD, CDN, auth Cognito, e-mail SES	eu-central-1 · Francfort	—
Telnyx Ireland Limited	Routage téléphonique, numéros, SMS	Dublin, Irlande	CCT (flux UE/USA possible)
LiveKit, Inc.	Orchestration vocale (WebRTC/SIP)	USA / UE	DPF / CCT
Deepgram, Inc.	Reconnaissance vocale (STT) · prestataire par défaut	USA	DPF / CCT
Soniox Inc.	Reconnaissance vocale (STT) · alternative	USA	CCT
ElevenLabs Inc.	Synthèse vocale (TTS)	Résidence UE / USA	DPF / CCT
Anthropic, PBC	Modèle de langage IA (Claude)	USA	DPF / CCT
Stripe, Inc.	Traitement des paiements	USA / Irlande	DPF / CCT
ImprovMX (Reflexion Networks)	Transfert d'e-mails entrants	USA	CCT
Functional Software (Sentry)	Surveillance des erreurs & analyse de stabilité	USA	DPF / CCT
Plausible Analytics	Statistiques web (sans cookie)	UE	—

LiveKit, Deepgram, Soniox, ElevenLabs et Anthropic ne traitent des données qu'au sein de l'assistant téléphonique IA, pour le compte de nos restaurants clients.

Durées de conservation

Combien de temps nous conservons les données

Journaux serveur: 7 jours
Demandes de contact: 12 mois après traitement
Factures: 10 ans · § 147 AO
Correspondance commerciale: 6 ans · § 257 HGB
Audio des appels: 30 jours max. · puis anonymisé
Transcriptions d'appels: 30 jours par défaut · configurable par restaurant

Vos droits

Ce à quoi vous avez droit

Vous disposez d'un droit d'accès (art. 15), de rectification (art. 16), d'effacement (art. 17), de limitation (art. 18), de portabilité des données (art. 20) et d'opposition (art. 21 du RGPD). Contactez-nous à :

datenschutz@tablario.com

Droit d'introduire une réclamation

Vous avez le droit d'introduire une réclamation auprès d'une autorité de contrôle. Notre autorité compétente est :

Commissaire à la protection des données de Rhénanie-du-Nord-Westphalie (LDI NRW)

Kavalleriestr. 2-4 · 40213 Düsseldorf

www.ldi.nrw.de

Décision automatisée

Aucun profilage

Aucun profilage au sens de l'art. 22 du RGPD n'a lieu. L'IA ne prend aucune décision produisant des effets juridiques ; le restaurant garde à tout moment le plein contrôle des règles de réservation et peut ajuster les réservations manuellement.

Sécurité des données

Mesures techniques & organisationnelles

Nous prenons des mesures appropriées au titre de l'art. 32 du RGPD :

Chiffrement SSL/TLS pour tous les transferts de données
Localisation des serveurs en UE · AWS Francfort (eu-central-1)
Chiffrement au repos · Aurora PostgreSQL, S3, Secrets Manager · KMS
Contrôle d'accès selon le principe du besoin d'en connaître
MFA imposée sur les comptes de la plateforme · authentification adaptative (Cognito Threat Protection)
Pare-feu applicatif web (AWS WAF) avec limitation de débit et filtres de réputation
Mises à jour de sécurité régulières et analyse des conteneurs
Aucune donnée de paiement stockée sur nos serveurs

Incidents de sécurité

Ce qui se passe en cas de violation de données

Nous nous engageons à détecter, examiner et signaler les violations de données personnelles sans retard injustifié. Pour les violations à notifier au titre de l'art. 33 du RGPD, nous informons l'autorité de contrôle sous 72 heures. Lorsque des violations à haut risque concernent des personnes, nous les informons sans délai (art. 34 du RGPD). Les restaurants clients reçoivent également une notification en tant que sous-traitant.

Détection: Surveillance & alertes (AWS GuardDuty, Sentry, journaux WAF)
Signalement à l'autorité: Sous 72 h · RGPD art. 33
Information des personnes: Sans délai si haut risque · RGPD art. 34
Signalement au client: Obligation de signalement par accord de sous-traitance · RGPD art. 33(2)

Mises à jour

Modifications de cette politique

Nous mettons à jour cette politique chaque fois que nos services ou les exigences légales évoluent. La version en vigueur est toujours disponible ici.

Antwort innerhalb 1 Werktag

Werktags zwischen 9 und 18 Uhr

DSGVO-konform

Server in Deutschland · keine Daten-Verkäufe

Made in Germany

Persönlicher Support direkt aus Köln

Monatlich kündbar

Kein Vertrag, keine Setup-Gebühr

Des questions qu'on n'a pas couvertes ?

Envoie-nous un message — on répond sous un jour ouvré.

Aperçu de la conformité Contact