Politique de confidentialité
Dernière mise à jour : 23 avril 2026
Version du 23 avril 2026
Chef Neighborly accorde une importance particulière à la protection des données personnelles. La présente politique décrit comment nous collectons, utilisons et protégeons les données des utilisateurs de notre application mobile et de notre site internet (ci-après la « Plateforme »).
Elle est conforme à la Loi fédérale sur la protection des données suisse dans sa version du 1er septembre 2023 (nLPD) et, pour les utilisateurs résidant dans l'Union européenne, au Règlement général sur la protection des données 2016/679 (RGPD).
1. Responsable du traitement
Le responsable du traitement des données personnelles est :
Contact protection des données : hello@chefneighborly.com
2. Données personnelles collectées
Nous collectons uniquement les données nécessaires à la fourniture de notre service. Les catégories suivantes sont traitées :
2.1 Données de compte
- Adresse courriel et mot de passe (stocké sous forme hachée et salée via Firebase Authentication)
- Prénom, nom (facultatif)
- Numéro de téléphone (si fourni, utile pour les notifications de Commande)
- Photo de profil (facultatif)
- Identifiants fédérés si connexion via Apple, Google ou GitHub (identifiant unique du fournisseur, adresse courriel communiquée)
- Rôle (client, cuisinier) et, pour les comptes professionnels, statut de validation
2.2 Données de profil et préférences
- Adresse(s) de livraison enregistrée(s)
- Préférences de notification (push, courriel, SMS)
- Langue préférée
- Code d'accès entreprise associé au compte, le cas échéant, et statut « corporate vérifié »
2.3 Données de Commande
- Historique des Commandes (plats, quantités, prix, cuisinier, créneau, mode de service)
- Adresse de livraison ou point de retrait
- Montant total, taxes, frais éventuels
- Statut de la Commande, échanges éventuels avec le support
2.4 Données de paiement
Chef Neighborly ne stocke jamais directement les numéros de carte bancaire, cryptogrammes ou identifiants équivalents. Le paiement est traité par Stripe Payments Europe, Limited (« Stripe »), sous-traitant certifié PCI-DSS. Nous conservons :
- L'identifiant de client Stripe (
stripeCustomerId) - Pour les cuisiniers indépendants, l'identifiant de compte Stripe Connect (
stripeAccountId) - Les références des moyens de paiement enregistrés (type de carte, quatre derniers chiffres, date d'expiration) telles que renvoyées par Stripe
- Les identifiants des transactions (
paymentIntentId,invoiceId)
2.5 Données de géolocalisation
Si vous autorisez l'accès à votre position, nous l'utilisons ponctuellement pour afficher les cuisiniers à proximité et pré-remplir votre adresse de livraison. La position précise n'est pas enregistrée en base ; seule l'adresse saisie est conservée.
2.6 Données techniques et d'usage
- Adresse IP
- Type d'appareil, système d'exploitation et version
- Version de l'application
- Identifiant d'installation ou d'appareil (à des fins de push notifications)
- Journaux d'erreurs et de performance (Firebase Crashlytics, le cas échéant)
2.7 Données de communication
- Contenu des messages adressés à hello@chefneighborly.com ou via le chat in-app
- Métadonnées des notifications (date d'envoi, statut de lecture)
3. Finalités et bases légales du traitement
| Finalité | Base légale LPD / RGPD |
|---|---|
| Créer et gérer le compte utilisateur | Exécution du contrat (art. 31 al. 2 lit. a LPD / art. 6.1.b RGPD) |
| Traiter les Commandes et faciliter la relation client-cuisinier | Exécution du contrat |
| Encaisser les paiements via Stripe | Exécution du contrat |
| Envoyer les notifications transactionnelles (confirmation, rappel de retrait, échec de paiement) | Exécution du contrat |
| Envoyer des communications marketing | Consentement (art. 31 al. 2 lit. c LPD / art. 6.1.a RGPD), révocable à tout moment |
| Prévenir la fraude et assurer la sécurité de la Plateforme | Intérêt légitime (art. 31 al. 1 LPD / art. 6.1.f RGPD) |
| Améliorer la Plateforme (analyse d'usage, correction de bugs) | Intérêt légitime |
| Respecter nos obligations légales (comptabilité, TVA, audit) | Obligation légale (art. 31 al. 2 lit. c LPD / art. 6.1.c RGPD) |
| Défendre nos droits en justice | Intérêt légitime |
4. Destinataires des données
Vos données peuvent être communiquées aux catégories de destinataires suivantes, uniquement dans la mesure strictement nécessaire à la finalité concernée :
4.1 En interne
- Personnel de Chef Neighborly dûment autorisé (support, développement, comptabilité, direction)
- Cuisiniers business (salariés de Chef Neighborly) pour les Commandes les concernant
4.2 Cuisiniers indépendants
Les cuisiniers indépendants reçoivent, pour chaque Commande passée auprès d'eux, les informations strictement nécessaires à la préparation et à la remise de la Commande : prénom, éventuellement nom, téléphone, adresse de livraison, liste des plats, créneau, montant. Ils sont tenus à un engagement de confidentialité contractuel et ne peuvent pas utiliser ces données à d'autres fins.
4.3 Sous-traitants (hébergement, paiement, communication)
| Sous-traitant | Finalité | Pays d'hébergement | Garanties |
|---|---|---|---|
| Google LLC (Firebase Authentication, Firestore, Cloud Storage, Cloud Functions, Crashlytics, Cloud Messaging) | Hébergement, authentification, notifications, télémétrie | UE / États-Unis | Clauses contractuelles types UE + Data Privacy Framework |
| Stripe Payments Europe, Limited | Traitement des paiements, Stripe Connect | Irlande, États-Unis | Certifié PCI-DSS, CCT, DPF |
| Google LLC (Maps Platform) | Géocodage d'adresses, suggestions | UE / États-Unis | CCT, DPF |
| Apple Inc. (Sign in with Apple, Apple Pay) | Authentification, paiement mobile | États-Unis | Contrat standard Apple, DPF |
4.4 Partenaires entreprise
Pour les Clients titulaires d'un code d'accès entreprise, certaines informations peuvent être transmises au Partenaire dans un cadre strictement agrégé et à des fins de facturation ou de reporting global (nombre de commandes, montant agrégé, jours d'utilisation). Les contenus des Commandes individuelles ne sont jamais communiqués nominativement au Partenaire sans consentement explicite du Client.
4.5 Autorités et tiers autorisés
Nous pouvons être amenés à communiquer des données en réponse à une réquisition judiciaire, une décision administrative ou une obligation légale (PFPDT, autorités fiscales, autorités sanitaires cantonales en cas d'incident alimentaire). Dans toute la mesure permise par la loi, nous informons l'utilisateur concerné.
5. Transferts hors Suisse / Union européenne
Certains sous-traitants (principalement Google, Apple, Stripe) peuvent traiter des données depuis les États-Unis. Ces transferts s'appuient sur :
- Les clauses contractuelles types adoptées par la Commission européenne (décision d'exécution 2021/914)
- Le Data Privacy Framework UE-USA (décision d'adéquation 2023/1795) pour les organismes certifiés
- Les décisions d'adéquation reconnues par la Suisse, notamment pour les transferts couverts par le Swiss–US Data Privacy Framework
En acceptant l'utilisation de la Plateforme, vous êtes informé que vos données peuvent être transférées dans ces conditions.
6. Durée de conservation
Nous conservons vos données aussi longtemps que nécessaire à la finalité du traitement, puis selon les obligations légales applicables :
| Catégorie | Durée |
|---|---|
| Données de compte actives | Durée de la relation contractuelle |
| Données de compte après suppression | 30 jours en soft-delete (permet la restauration), puis anonymisation |
| Données de Commande et de paiement | 10 ans (obligation de conservation comptable, art. 958f CO) |
| Journaux techniques et de sécurité | 12 mois |
| Messages de support | 3 ans après la clôture de l'échange |
| Données de fraude avérée | 5 ans |
| Données nécessaires à une procédure judiciaire en cours | Durée de la procédure et délais d'appel |
À l'expiration, les données sont effacées ou anonymisées de manière irréversible.
7. Vos droits
Conformément à la nLPD et au RGPD, vous disposez des droits suivants :
- Droit d'information et d'accès : obtenir la confirmation que des données vous concernant sont traitées et en recevoir une copie
- Droit de rectification : corriger des données inexactes
- Droit d'effacement (« droit à l'oubli ») : demander la suppression de vos données, sous réserve des obligations de conservation
- Droit à la limitation du traitement
- Droit à la portabilité : recevoir vos données dans un format structuré et lisible par machine
- Droit d'opposition au traitement fondé sur notre intérêt légitime, y compris au profilage
- Droit de retirer votre consentement à tout moment pour les traitements qui en dépendent
- Droit de ne pas être soumis à une décision entièrement automatisée produisant des effets juridiques ou vous affectant significativement
7.1 Comment les exercer
Écrivez à hello@chefneighborly.com ou par courrier postal à l'adresse du siège. Indiquez clairement votre demande et un moyen de vous identifier. Nous répondrons sans retard, et en tout état de cause dans un délai maximal de 30 jours (prorogeable à 60 jours en cas de demande complexe, avec information motivée).
L'exercice de ces droits est gratuit, sauf demande manifestement infondée ou excessive.
7.2 Droit de plainte
Si vous estimez que le traitement de vos données personnelles enfreint la législation applicable, vous avez le droit de déposer une plainte auprès de :
- Préposé fédéral à la protection des données et à la transparence (PFPDT), Feldeggweg 1, 3003 Berne, Suisse — edoeb.admin.ch
- Ou, si vous résidez dans l'UE, l'autorité de contrôle de votre pays de résidence
8. Suppression de compte
Vous pouvez supprimer votre compte directement depuis la Plateforme (Paramètres → Compte → Supprimer mon compte). Cette action est irréversible après la période de 30 jours de soft-delete. Elle entraîne :
- L'anonymisation des données d'identification
- La conservation des données strictement nécessaires aux obligations comptables (factures liées aux Commandes passées) pour une durée de 10 ans, dissociées de votre identité dans la mesure du possible
- La révocation des jetons d'authentification et la déconnexion de tous vos appareils
Les Commandes en cours au moment de la suppression doivent être soit annulées dans les conditions des CGV, soit exécutées jusqu'à leur terme.
9. Sécurité des données
Nous mettons en œuvre des mesures techniques et organisationnelles pour protéger vos données :
- Chiffrement en transit (TLS 1.2 ou supérieur) pour toutes les communications
- Chiffrement au repos via les services Google Cloud / Firebase
- Hachage des mots de passe (Firebase Authentication, bcrypt/scrypt)
- Contrôle d'accès interne fondé sur le principe du moindre privilège
- Séparation des environnements de développement, de pré-production et de production
- Journalisation des accès administratifs
- Procédure de gestion des incidents de sécurité, avec notification au PFPDT et aux utilisateurs concernés en cas de violation susceptible d'engendrer un risque élevé (art. 24 nLPD / art. 33 RGPD)
Aucune mesure ne peut garantir une sécurité absolue. En cas de violation avérée, nous informerons les utilisateurs concernés dans les meilleurs délais.
10. Cuisinieries et traceurs
10.1 Application mobile
L'application utilise des identifiants propres à Firebase (instance ID, Analytics ID le cas échéant) à des fins de gestion des notifications et de télémétrie anonymisée. Aucun cuisinierie publicitaire n'est déployé.
11. Protection des mineurs
La Plateforme n'est pas destinée à un public de moins de 16 ans. Nous ne collectons pas sciemment de données concernant ce public sans autorisation parentale. Si vous constatez qu'un compte a été créé en violation de cette règle, contactez-nous à hello@chefneighborly.com pour suppression immédiate.
12. Décisions automatisées et profilage
La Plateforme ne prend pas de décision entièrement automatisée produisant des effets juridiques à votre égard. Le classement des cuisiniers et des plats, les suggestions de livraison et l'application automatique d'une tarification entreprise reposent sur des règles opérées sous contrôle humain, pouvant être contestées via hello@chefneighborly.com.
13. Modifications de la présente politique
Nous pouvons modifier la présente politique pour tenir compte d'évolutions légales, techniques ou fonctionnelles. Les modifications substantielles sont notifiées aux utilisateurs par courriel et par notification in-app au moins 30 jours avant leur entrée en vigueur. La version en vigueur est en tout temps accessible sur la Plateforme.
14. Contact
Pour toute question relative à cette politique ou à vos données :