Politique de confidentialité
Dernière mise à jour : 27 mars 2026
1. Responsable du traitement
Le responsable du traitement de vos données personnelles est :
MinibarFlow
Suisse
E-mail : contact@minibarflow.com
La présente politique s'applique à l'application mobile MinibarFlow, au site web (minibarflow.com) et à tous les services associés. Elle décrit comment nous collectons, utilisons, conservons et protégeons vos données personnelles conformément au Règlement général sur la protection des données de l'UE (RGPD) et à la Loi fédérale suisse sur la protection des données (nLPD/nDSG), en vigueur depuis le 1er septembre 2023.
2. Données que nous collectons
2.1 Données de compte
Lorsque votre hôtel s'inscrit à MinibarFlow, nous collectons :
- Nom de l'utilisateur et adresse e-mail
- Nom de l'hôtel et configuration de l'établissement (chambres, bâtiments, étages)
- Rôle de l'utilisateur (Manager, Superviseur, Employé)
Base légale (GDPR Art. 6(1)(b)) : Exécution du contrat de service entre MinibarFlow et votre hôtel.
2.2 Données opérationnelles
Dans le cadre de l'utilisation normale de l'application, nous traitons :
- Niveaux de stock et informations produits du minibar
- Historique des contrôles de chambres et journaux d'activité des shifts
- Données de chargement et de réconciliation des chariots
- Enregistrements de consommation et de réapprovisionnement
- Photos avant/après (lorsque la fonctionnalité de vérification photo est activée)
Base légale (GDPR Art. 6(1)(b)) : Exécution du contrat de service. Ces données sont nécessaires au fonctionnement du service de gestion de minibars.
2.3 Données relatives aux clients
Les hôtels peuvent saisir les noms et préférences alimentaires des clients dans MinibarFlow à des fins de facturation et de personnalisation des chambres. Ces données sont fournies par l'hôtel (et non directement par le client). Dans le cadre de ce traitement, l'hôtel agit en tant que responsable du traitement et MinibarFlow en tant que sous-traitant pour le compte de l'hôtel.
Base légale (GDPR Art. 6(1)(f)) : Intérêt légitime de l'hôtel pour une facturation précise et la personnalisation du service.
Anonymisation automatique : Les noms des clients sont automatiquement anonymisés 30 jours après la clôture du contrôle de chambre. Après anonymisation, les données de consommation sont conservées à des fins de reporting mais ne peuvent plus être reliées à un client identifiable.
2.4 Données techniques et relatives à l'appareil
Pour assurer le bon fonctionnement de l'application, nous collectons :
- Type d'appareil, système d'exploitation et version de l'application
- Rapports de plantage et métriques de performance (via Firebase Crashlytics et Performance Monitoring)
- Jetons de notifications push (identifiants d'appareil utilisés pour la livraison des notifications)
Base légale (GDPR Art. 6(1)(f)) : Intérêt légitime lié au maintien de la fiabilité du service et à la correction des bugs.
2.5 Données du site web
Lorsque vous visitez minibarflow.com, nous pouvons collecter des journaux serveur standards (adresse IP, pages visitées, type de navigateur, URL de provenance). Nous n'utilisons pas de cookies publicitaires ni de scripts de suivi tiers. Nous n'utilisons pas Google Analytics.
Base légale (GDPR Art. 6(1)(f)) : Intérêt légitime lié à la sécurité et à la performance du site web.
3. Utilisation de vos données
Nous utilisons vos données personnelles exclusivement pour :
- Fournir et exploiter l'application MinibarFlow
- Générer des rapports et des analyses pour votre hôtel
- Envoyer des notifications push relatives aux événements de shift, aux alertes et aux mises à jour système
- Diagnostiquer les problèmes techniques et améliorer l'application
- Communiquer avec vous concernant votre compte et le service
Nous ne vendons, ne louons et ne partageons pas vos données personnelles avec des tiers à des fins commerciales ou publicitaires. Nous n'utilisons pas vos données à des fins de profilage ou de prise de décision automatisée.
4. Stockage des données et transferts transfrontaliers
4.1 Lieu de stockage
Vos données sont hébergées sur les serveurs Firebase (Google Cloud) situés en Europe. Toutes les données sont chiffrées au repos et en transit selon les standards de l'industrie (TLS 1.2+, AES-256).
L'application MinibarFlow stocke également des données localement sur votre appareil pour le fonctionnement hors ligne. Ces données locales sont synchronisées de manière sécurisée avec nos serveurs dès que la connexion est rétablie.
4.2 Transferts transfrontaliers
Bien que notre stockage principal se situe en Europe, certains de nos prestataires de services sont basés aux États-Unis. Google LLC (société mère de Firebase) peut accéder aux données depuis les États-Unis à des fins de support et de maintenance.
Garanties mises en place :
- Google LLC est certifié au titre du EU-US Data Privacy Framework (DPF) et du Swiss-US Data Privacy Framework
- Nous avons signé l'Addendum au traitement des données cloud (CDPA) de Google, qui inclut les Clauses contractuelles types (CCT) de l'UE
- Les données sont chiffrées au repos et en transit
Pour les transferts vers d'autres pays, nous nous appuyons sur les décisions d'adéquation de la Commission européenne ou du Conseil fédéral suisse, ou sur les Clauses contractuelles types en l'absence de décision d'adéquation.
5. Sous-traitants et services tiers
MinibarFlow utilise les services tiers suivants pour son fonctionnement. Chacun agit en qualité de sous-traitant :
| Service | Finalité | Données traitées | Localisation |
|---|---|---|---|
| Firebase / Google Cloud | Authentification, base de données, stockage de fichiers, hébergement | Toutes les données de l'application | Europe (principal), États-Unis (accès support) |
| Firebase Crashlytics | Rapports de plantage | Informations sur l'appareil, journaux de plantage | États-Unis (Google) |
| Firebase Performance Monitoring | Métriques de performance de l'application | Informations sur l'appareil, traces de performance | États-Unis (Google) |
| Expo Push Service | Envoi de notifications push | Jetons push des appareils, contenu des notifications | États-Unis |
| Apple APNs | Envoi de notifications push iOS | Jetons d'appareil | États-Unis (Apple) |
| Google FCM | Envoi de notifications push Android | Jetons d'appareil | États-Unis (Google) |
| Cal.com | Planification des appels découverte | Nom, e-mail, horaire de rendez-vous | UE / États-Unis |
Chaque service dispose de sa propre politique de confidentialité. Nous nous assurons que tous les sous-traitants offrent des garanties adéquates en matière de protection des données au moyen d'accords contractuels (DPA) et/ou de certifications au titre des cadres de protection des données applicables.
6. Conservation des données
Nous conservons les données uniquement aussi longtemps que nécessaire aux finalités décrites dans la présente politique :
| Type de données | Durée de conservation | Justification |
|---|---|---|
| Comptes utilisateurs | Durée du contrat + 2 ans | Exécution du contrat + délais de prescription légaux |
| Données opérationnelles de l'hôtel | Durée du contrat + 10 ans | Conservation des registres commerciaux suisses (art. 958f CO) |
| Noms des clients | 30 jours, puis anonymisation | Exactitude de la facturation, puis minimisation des données (GDPR Art. 5(1)(e)) |
| Données de facturation | 10 ans | Droit fiscal suisse (art. 958f CO, art. 70 LTVA) |
| Rapports de plantage | 90 jours | Débogage et stabilité du service |
| Métriques de performance | 30 jours | Optimisation du service |
| Données de planification (Cal.com) | Durée de la relation + 1 an | Suivi commercial |
À la résiliation du compte, nous supprimons toutes les données personnelles associées dans un délai de 30 jours, sauf si une durée de conservation plus longue est exigée par le droit suisse ou européen.
7. Vos droits
En vertu du RGPD et de la nLPD suisse, vous disposez des droits suivants concernant vos données personnelles :
- Droit d'accès (GDPR Art. 15, nLPD Art. 25) — Obtenir une copie de vos données personnelles
- Droit de rectification (GDPR Art. 16, nLPD Art. 32) — Corriger des données inexactes ou incomplètes
- Droit à l'effacement (GDPR Art. 17, nLPD Art. 32) — Demander la suppression de vos données (« droit à l'oubli »)
- Droit à la limitation du traitement (GDPR Art. 18) — Restreindre l'utilisation de vos données dans certaines circonstances
- Droit à la portabilité (GDPR Art. 20, nLPD Art. 28) — Recevoir vos données dans un format lisible par machine
- Droit d'opposition (GDPR Art. 21) — Vous opposer au traitement fondé sur l'intérêt légitime
- Droit de retirer le consentement (GDPR Art. 7(3), nLPD Art. 6(6)) — Lorsque le traitement est fondé sur le consentement, vous pouvez le retirer à tout moment sans affecter la licéité du traitement antérieur
Pour exercer l'un de ces droits, contactez-nous à l'adresse contact@minibarflow.com. Nous répondrons dans un délai de 30 jours.
7.1 Droit de déposer une réclamation
Si vous estimez que vos droits en matière de protection des données ont été violés, vous avez le droit de déposer une réclamation auprès de :
- Suisse : Préposé fédéral à la protection des données et à la transparence (PFPDT) — edoeb.admin.ch
- UE : Votre autorité nationale de protection des données (voir la liste des membres du CEPD)
8. Cookies et suivi
Le site web MinibarFlow (minibarflow.com) n'utilise pas de cookies publicitaires, de traqueurs de réseaux sociaux ni d'outils d'analyse tiers. Nous utilisons uniquement les cookies techniques essentiels nécessaires au fonctionnement du site (par exemple, la gestion de session).
L'application mobile MinibarFlow collecte des données techniques via Firebase Crashlytics et Performance Monitoring à des fins de débogage et d'amélioration du service. Cette collecte de données est détaillée à la section 2.4 ci-dessus.
9. Prise de décision automatisée
MinibarFlow n'utilise pas de prise de décision automatisée ni de profilage au sens de GDPR Art. 22 ou nLPD Art. 21. Toutes les décisions affectant les utilisateurs sont prises par des administrateurs humains.
10. Sécurité des données
Nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données personnelles, notamment :
- Chiffrement au repos (AES-256) et en transit (TLS 1.2+)
- Contrôle d'accès basé sur les rôles au sein de l'application
- Règles de sécurité Firebase limitant l'accès aux données selon le rôle de l'utilisateur
- Revues de sécurité et audits de code réguliers
- Anonymisation automatique des données clients après la période de conservation
11. Notification en cas de violation de données
En cas de violation de données personnelles susceptible d'engendrer un risque élevé pour vos droits et libertés, nous nous engageons à :
- Notifier le PFPDT (Préposé fédéral à la protection des données) dans les meilleurs délais, conformément à nLPD Art. 24
- Notifier l'autorité de contrôle européenne compétente dans un délai de 72 heures lorsque cela est requis par GDPR Art. 33
- Informer les personnes concernées sans délai injustifié si la violation est susceptible d'engendrer un risque élevé pour leurs droits (GDPR Art. 34, nLPD Art. 24(4))
12. Accord de traitement des données
Lorsque MinibarFlow traite des données personnelles pour le compte d'un hôtel (en particulier les données relatives aux clients), MinibarFlow agit en qualité de sous-traitant et l'hôtel en qualité de responsable du traitement. Cette relation est régie par un Accord de traitement des données (DPA) conformément à GDPR Art. 28 et nLPD Art. 9, fourni aux hôtels clients dans le cadre du contrat de service.
13. Modifications de la présente politique
Nous pouvons mettre à jour cette politique de confidentialité de temps à autre. Nous informerons les utilisateurs actifs de tout changement significatif par e-mail au moins 30 jours avant son entrée en vigueur. La date de « dernière mise à jour » en haut de cette page reflète la révision la plus récente.
14. Contact
Pour toute question relative à cette politique de confidentialité, à vos données personnelles ou pour exercer vos droits, contactez-nous à :
MinibarFlow
E-mail : contact@minibarflow.com