Cette politique explique quelles données SplitMyTicket collecte, pourquoi, comment elles sont protégées, et vos droits. Elle s'applique conformément au Règlement Général sur la Protection des Données (RGPD — UE 2016/679).
1. Responsable du traitement
Raison sociale : SullyAndCie
Pays : Belgique
Application : SplitMyTicket — https://splitmyticket.com
Contact protection des données : [à compléter lors de la mise en ligne]
2. Données collectées et finalités
Nous collectons uniquement les données strictement nécessaires au fonctionnement du service. SplitMyTicket ne collecte pas de données sensibles au sens de l'article 9 du RGPD.
| Donnée collectée | Obligatoire ? | Durée de conservation | Base légale |
|---|---|---|---|
| Email (organisateur) | Oui | Durée du compte | Exécution du contrat |
| Prénom participant | Non (optionnel) | 48 heures | Consentement |
| Token participant (technique) | Oui | 48 heures | Intérêt légitime |
| Photo du ticket de caisse | Oui (scan OCR) | 48h puis suppression automatique | Intérêt légitime |
| Items et prix extraits du ticket | Oui | 48 heures | Intérêt légitime |
| IBAN de l'organisateur | Non (optionnel) | Durée de la session | Consentement |
| Données analytiques (voir §3) | Non | 24 mois (agrégé) | Consentement |
| Logs techniques (IP, erreurs) | Automatique | 30 jours | Intérêt légitime |
2.1 Traitement des photos de tickets
Les photos soumises pour l'analyse OCR sont transmises à l'API Claude Vision d'Anthropic Inc. (sous-traitant). Elles sont utilisées uniquement pour extraire les items et prix. Elles ne sont pas conservées par Anthropic au-delà du traitement et sont supprimées automatiquement de nos serveurs dans les 48 heures suivant la clôture de la session.
2.2 Ce que nous ne faisons PAS
- Nous ne vendons pas vos données personnelles à des tiers
- Nous n'utilisons pas vos données à des fins publicitaires ciblées
- Nous ne profilons pas les utilisateurs de manière individuelle
- Nous ne conservons pas les données au-delà des durées indiquées
3. Données analytiques et insights de consommation (opt-in)
Cette fonctionnalité est soumise à votre consentement explicite. Aucune donnée analytique n'est collectée sans votre accord préalable.
SplitMyTicket peut, avec votre consentement, collecter des données agrégées et anonymisées sur les habitudes de consommation. Ces données permettent de produire des statistiques anonymes sur les tendances de consommation au restaurant (types de plats populaires, panier moyen, nombre de convives, etc.).
3.1 Nature des données collectées (avec consentement)
- Catégories d'items consommés (plats, boissons, desserts) — jamais les noms exacts
- Panier moyen par personne et par session
- Nombre de participants par session
- Région géographique approximative (ville ou région) — jamais d'adresse précise
- Type d'établissement si renseigné
- Heure approximative du repas (midi / soir)
3.2 Ce que ces données ne contiennent JAMAIS
- Aucune donnée permettant d'identifier un individu
- Aucun prénom, email, IBAN ou token
- Aucune photo ou contenu brut de ticket
- Aucune localisation GPS précise
3.3 Utilisation de ces données
Ces données agrégées peuvent être utilisées pour :
- Améliorer les fonctionnalités de l'application
- Produire des rapports statistiques anonymes sur les tendances de consommation
- Dans une version future, proposer ces insights agrégés à des professionnels de la restauration (uniquement sous forme anonymisée, sans données individuelles)
Vous pouvez retirer votre consentement à tout moment depuis les paramètres de votre compte. Le retrait du consentement n'affecte pas la légalité du traitement effectué avant ce retrait.
4. Cookies et traceurs
4.1 Cookies strictement nécessaires (pas de consentement requis)
- Cookie de session d'authentification (organisateur connecté)
- Cookie de préférences UI (thème, langue)
4.2 Cookies analytiques (consentement requis)
SplitMyTicket peut utiliser des outils d'analyse de trafic (ex. Google Analytics, PostHog ou équivalent) pour comprendre comment les utilisateurs naviguent dans l'application. Ces outils déposent des cookies traceurs.
Si des outils analytiques sont activés, un bandeau de consentement conforme au RGPD vous sera présenté à votre première visite. Vous pouvez refuser sans impact sur votre utilisation du service.
Les données collectées via ces outils sont : pages visitées, durée de session, type d'appareil, pays (jamais d'IP complète si Google Analytics 4 est configuré avec anonymisation). Elles ne sont jamais croisées avec vos données personnelles de compte.
5. Sous-traitants
| Sous-traitant | Rôle | Localisation & garanties |
|---|---|---|
| Supabase Inc. | Base de données, authentification, stockage fichiers | USA — Clauses Contractuelles Types UE |
| Vercel Inc. | Hébergement frontend, CDN, déploiement | USA — Clauses Contractuelles Types UE |
| Anthropic Inc. | OCR / analyse IA des photos de tickets | USA — Clauses Contractuelles Types UE |
| Upstash Inc. | Rate limiting Redis | USA — Clauses Contractuelles Types UE |
| Google LLC | Analytics (si activé, avec consentement) | USA — Clauses Contractuelles Types UE + Google DPA |
6. Transferts hors UE
L'ensemble de nos sous-traitants sont établis aux États-Unis. Ces transferts sont encadrés par des Clauses Contractuelles Types (CCT) approuvées par la Commission européenne, conformément à l'article 46 du RGPD. Des accords de traitement des données (DPA) sont en place avec chaque sous-traitant.
7. Vos droits (RGPD)
Conformément au RGPD (articles 15 à 22), vous disposez des droits suivants :
- Droit d'accès (art. 15) — obtenir une copie de vos données personnelles
- Droit de rectification (art. 16) — corriger des données inexactes
- Droit à l'effacement (art. 17) — demander la suppression de vos données
- Droit à la portabilité (art. 20) — recevoir vos données dans un format structuré
- Droit d'opposition (art. 21) — vous opposer à un traitement basé sur l'intérêt légitime
- Droit de limitation (art. 18) — demander la suspension temporaire d'un traitement
- Droit de retirer votre consentement — à tout moment pour les traitements basés sur le consentement (analytics, données de consommation)
Pour exercer ces droits : [adresse email à compléter] ou via les paramètres de votre compte.
Vous disposez également du droit d'introduire une réclamation auprès de l'Autorité de Protection des Données belge : www.autoriteprotectiondonnees.be
8. Sécurité
Nous mettons en place des mesures techniques et organisationnelles appropriées :
- Chiffrement TLS pour toutes les communications
- Chiffrement des données au repos (Supabase)
- Row Level Security (RLS) sur l'ensemble des tables
- Tokens participants à usage limité (48h, nanoid 32 caractères)
- Rate limiting sur l'API de scan (10 requêtes/heure/IP)
- Variables d'environnement sécurisées — aucun secret dans le code source
9. Mineurs
SplitMyTicket est destiné aux personnes âgées d'au moins 16 ans. Nous ne collectons pas sciemment de données personnelles concernant des mineurs de moins de 16 ans.
10. Modifications de cette politique
Cette politique peut être mise à jour. En cas de modification substantielle, nous vous informerons par email (si vous disposez d'un compte) ou via une notice visible dans l'application. La date de mise à jour est toujours indiquée en haut du document. L'utilisation continue du service après notification vaut acceptation.
11. Contact
Responsable du traitement : SullyAndCie — https://splitmyticket.com
Pour toute demande relative à vos données personnelles : [adresse email à compléter]
Autorité de contrôle belge : Autorité de Protection des Données — www.autoriteprotectiondonnees.be