Légal

Politique de Confidentialité

Date d'entrée en vigueur : 01 / 01 / 2026 Dernière mise à jour : 16 / 05 / 2026

Cette traduction est fournie à titre informatif uniquement ; en cas de divergence, la version anglaise prévaut. Nous vous recommandons de consulter un avocat.

1.Qui nous sommes

FoodWeb AI Ltd ("ROA", "nous") est le responsable du traitement des données personnelles traitées via l'application et le site web ROA (roaapp.ai).

  • Siège social : 2 Castle Close, London SW19 5NH, Royaume-Uni
  • Numéro d'entreprise : 16018953 (Angleterre et Pays de Galles)
  • Numéro de TVA : 482681365
  • Contact pour les questions de confidentialité : privacy@roaapp.ai
  • Représentant dans l'UE (Art. 27 RGPD) : Arnav Agarwal, privacy@roaapp.ai.
  • Représentant au Royaume-Uni : non requis — FoodWeb AI Ltd est établie au Royaume-Uni.
  • Délégué à la protection des données : non désigné (évaluation de l'article 37 conservée en dossier).

2.Champ d'application

Cette politique décrit comment nous traitons les données personnelles des utilisateurs de ROA (titulaires de comptes, membres de cuisines), des visiteurs de roaapp.ai, et des utilisateurs qui interagissent avec nous par e-mail ou messagerie in-app.

3.Quelles données nous collectons et pourquoi

Identité du compte
Exemples
E-mail, nom, photo de profil, identifiants OAuth d'Apple / Google
Source
Vous (inscription), votre fournisseur OAuth
Finalité
Créer et gérer votre compte
Base juridique
Contrat — Art. 6(1)(b)
Profil de cuisine / entreprise
Exemples
Nom de la cuisine, adresse, horaires, réseaux sociaux, site web, type
Source
Vous
Finalité
Faire fonctionner le service
Base juridique
Contrat
Adhésion et rôle
Exemples
Cuisines auxquelles vous appartenez et votre rôle
Source
Vous / propriétaire de la cuisine
Finalité
Contrôle d'accès
Base juridique
Contrat
Données de contenu
Exemples
Recettes, chats, factures, menus, informations fournisseurs, documents analysés et fichiers téléversés
Source
Vous et votre équipe
Finalité
Fournir les fonctionnalités du produit
Base juridique
Contrat
Données de facturation
Exemples
Identifiant client Stripe, adresse de facturation, historique des factures. Les données de carte de paiement sont détenues par Stripe, pas par nous.
Source
Vous, via Stripe Checkout
Finalité
Abonnements et dossiers fiscaux
Base juridique
Contrat ; obligation légale (fiscalité)
Données de l'appareil
Exemples
Identifiant de l'appareil, nom, plateforme, version de l'application, empreinte de l'appareil, jeton push
Source
Votre appareil
Finalité
Limites des appareils, notifications push, sécurité du compte
Base juridique
Contrat ; intérêt légitime (sécurité)
Données techniques et d'utilisation
Exemples
Adresse IP, agent utilisateur, rapports d'erreurs, traces de performance ; sur le web, rejeu de session optionnel si vous y consentez
Source
Votre appareil, nos serveurs
Finalité
Stabilité, sécurité, prévention des abus
Base juridique
Intérêt légitime ; consentement pour la télémétrie non essentielle
Support / retours
Exemples
Ce que vous nous écrivez, captures d'écran optionnelles, votre e-mail
Source
Vous
Finalité
Service client
Base juridique
Contrat ; intérêt légitime
Communications
Exemples
E-mails d'authentification, invitations, notifications transactionnelles
Source
Vous / votre équipe
Finalité
Fonctionnement du service
Base juridique
Contrat

Données de catégorie particulière (article 9). Le contenu que vous téléversez (recettes, chats, notes diététiques) peut révéler des informations sur un régime religieux, des allergies ou la santé. Nous ne vous les demandons pas directement et ne les utilisons pas pour établir des profils. En téléversant du contenu, vous acceptez que nous le stockions et le traitions dans le cadre du service.

Ce que nous ne collectons PAS :

  • Les numéros de carte de paiement (Stripe les détient directement).
  • Les données de suivi à des fins publicitaires.
  • Les données biométriques.

4.Sources

La plupart des données proviennent directement de vous lorsque vous vous inscrivez et utilisez le service. Certaines proviennent de votre équipe. D'autres proviennent de tiers lorsque vous les utilisez pour vous connecter (Apple, Google).

5.Durée de conservation

  • Comptes actifs : pendant la durée d'existence du compte.
  • Comptes supprimés : supprimés définitivement de la production sous 30 jours ; les sauvegardes disparaissent sous 30–35 jours.
  • Factures Stripe : conservées pendant au moins 10 ans pour conformité fiscale.
  • Journaux serveur : 30–90 jours.
  • Télémétrie Sentry : 30–90 jours, selon les paramètres du projet Sentry.

6.Avec qui nous les partageons (sous-traitants)

Principaux sous-traitants : Supabase (base de données, authentification), Google Cloud (hébergement, stockage de fichiers, inférence IA via Vertex AI), Stripe (paiements), Sentry (surveillance des erreurs), MailerSend (e-mail transactionnel), Notion (tickets de support), Neo4j Aura (graphe d'ingrédients), Expo (push mobile). Nous informons les utilisateurs des modifications importantes avant leur entrée en vigueur.

7.Transferts internationaux

ROA opère avec une résidence des données exclusivement dans l'UE : infrastructure principale dans europe-west1 (Belgique), Sentry dans la région UE (de.sentry.io), MailerSend traite dans l'UE, inférence Vertex AI limitée aux régions UE. Lorsque des données sont transférées hors de l'EEE / Royaume-Uni, nous nous appuyons sur le Cadre de Protection des Données UE → États-Unis lorsque le destinataire est certifié, et/ou sur les Clauses Contractuelles Types de la Commission européenne (2021/914) et, pour les transferts du Royaume-Uni, l'Addendum International de Transfert de Données du Royaume-Uni.

8.Vos droits

  • Accéder aux données personnelles que nous détenons à votre sujet (Art. 15).
  • Rectifier les données inexactes (Art. 16).
  • Effacer vos données (Art. 17). En libre-service via Paramètres → Compte.
  • Limiter ou s'opposer au traitement (Art. 18, 21).
  • Portabilité des données (Art. 20).
  • Retirer votre consentement à tout moment, lorsque le traitement est fondé sur le consentement.
  • Déposer une plainte auprès de votre autorité de contrôle. Notre autorité de contrôle principale est l'ICO britannique, ico.org.uk.

Nous répondons dans un délai d'un mois (extensible à trois pour les demandes complexes, avec notification).

9.Prise de décision automatisée

Nous utilisons des modèles d'IA (Google Gemini et Anthropic Claude via Google Vertex AI) pour analyser les documents et recettes téléversés. Ces modèles ne prennent pas de décisions produisant des effets juridiques ou significativement similaires sur vous au sens de l'Art. 22.

10.Sécurité

TLS en transit, chiffrement du disque au repos, sécurité au niveau des lignes dans la base de données, accès au moindre privilège par le personnel de ROA, certifications côté fournisseur (SOC 2 / ISO 27001 le cas échéant).

11.Enfants

ROA n'est pas destiné aux enfants de moins de 16 ans. Nous ne collectons pas sciemment de données personnelles auprès de personnes de moins de 16 ans.

12.Modifications de cette politique

Nous publions les modifications importantes ici et, le cas échéant, vous en informons dans l'application ou par e-mail au moins 30 jours avant leur entrée en vigueur.

13.Contact

privacy@roaapp.ai — nous nous engageons à répondre dans les 5 jours ouvrables.