Registre des traitements
Registre tenu conformément à l'art. 12 nLPD suisse et à l'art. 30 RGPD. Dernière mise à jour : 10 février 2026.
Responsable du traitement
Oresto — Entreprise individuelle
IDE : en cours d'attribution
Siège : Rue d'Oche 10, 1920 Martigny, Suisse
Email dédié : confidentialite@oresto.ch
Traitement n°1 — Gestion des comptes utilisateurs
- Finalités : création, authentification et gestion des comptes des Clients.
- Base légale : exécution du contrat (souscription à l'abonnement Oresto).
- Catégories de personnes concernées : Clients d'Oresto (restaurateurs).
- Catégories de données : email, mot de passe (chiffré bcrypt), nom, date de création, date de dernière connexion.
- Destinataires : personnel technique restreint d'Oresto ; MongoDB Atlas (hébergement).
- Transferts hors UE : aucun.
- Durée de conservation : durée de l'abonnement + 90 jours après résiliation.
- Mesures de sécurité : chiffrement bcrypt des mots de passe, cookies httpOnly/Secure, HTTPS/TLS 1.3, isolation par user_id.
Traitement n°2 — Données de l'établissement
- Finalités : personnaliser les rapports PDF, calculer la TVA cantonale et afficher le contexte de l'utilisateur.
- Base légale : exécution du contrat.
- Catégories de personnes concernées : Clients d'Oresto.
- Catégories de données : nom de l'établissement, adresse, canton, numéro TVA, logo (image).
- Destinataires : Client uniquement (personne d'autre n'y accède, sauf support technique demandé par le Client).
- Transferts hors UE : aucun.
- Durée de conservation : durée de l'abonnement + 90 jours.
- Mesures de sécurité : idem traitement n°1.
Traitement n°3 — Données d'exploitation (caisses et factures)
- Finalités : permettre au Client de saisir, consulter et exporter ses données de gestion (CA, TVA, factures fournisseurs).
- Base légale : exécution du contrat.
- Catégories de personnes concernées : Clients (les données saisies concernent uniquement l'activité commerciale du Client, pas des personnes physiques identifiables autres que le Client lui-même et les fournisseurs qu'il enregistre).
- Catégories de données : chiffres d'affaires quotidiens, TVA calculée, nombre de couverts, factures fournisseurs (nom du fournisseur, montant, échéance, statut).
- Destinataires : Client uniquement.
- Transferts hors UE : aucun.
- Durée de conservation : durée de l'abonnement + 90 jours. Les données comptables associées à un paiement sont conservées 10 ans (art. 958f CO).
- Mesures de sécurité : isolation par user_id sur chaque requête, HTTPS/TLS 1.3, sauvegarde régulière.
Traitement n°4 — Paiement et abonnement
- Finalités : encaisser l'abonnement mensuel/annuel du Client et émettre les reçus.
- Base légale : exécution du contrat + obligation légale (comptabilité).
- Catégories de personnes concernées : Clients ayant souscrit un abonnement payant.
- Catégories de données : formule choisie, montant, date de paiement, référence de transaction Stripe. Aucune donnée de carte bancaire n'est stockée par Oresto.
- Destinataires : Stripe Payments Europe (Dublin, Irlande) ; personnel comptable d'Oresto.
- Transferts hors UE : aucun (Stripe est basé en UE).
- Durée de conservation : 10 ans (obligation comptable suisse, art. 958f CO).
- Mesures de sécurité : PCI-DSS niveau 1 (Stripe), HTTPS/TLS 1.3.
Traitement n°5 — Emails transactionnels
- Finalités : envoyer les emails de bienvenue, de réinitialisation de mot de passe, les reçus de paiement et les alertes techniques.
- Base légale : exécution du contrat.
- Catégories de personnes concernées : Clients.
- Catégories de données : adresse email, contenu de l'email (limité à ce qui est nécessaire).
- Destinataires : Resend, Inc. (États-Unis).
- Transferts hors UE : oui, vers les États-Unis. Encadrement juridique : Clauses Contractuelles Types de la Commission Européenne (SCC) signées avec Resend.
- Durée de conservation : les emails ne sont pas archivés côté Oresto ; Resend conserve les métadonnées d'envoi 30 jours.
- Mesures de sécurité : TLS pour la transmission, DKIM/SPF/DMARC pour l'authentification des emails, aucun contenu sensible dans les emails.
Traitement n°6 — Support client
- Finalités : répondre aux demandes de support par email.
- Base légale : exécution du contrat.
- Catégories de personnes concernées : Clients contactant le support.
- Catégories de données : email, contenu de la demande, éventuelles captures d'écran fournies par le Client.
- Destinataires : personnel de support d'Oresto.
- Transferts hors UE : aucun.
- Durée de conservation : 3 ans à compter de la clôture du ticket.
- Mesures de sécurité : accès restreint au personnel support, formation confidentialité.
Traitement n°7 — Statistiques d'usage anonymisées
- Finalités : améliorer le produit en comprenant les fonctionnalités les plus utilisées.
- Base légale : intérêt légitime.
- Catégories de personnes concernées : tous les visiteurs et Clients.
- Catégories de données : événements techniques anonymisés (page vue, clic, durée). Aucune donnée personnelle directement identifiante.
- Destinataires : PostHog (via Emergent).
- Transferts hors UE : possibles selon la configuration PostHog choisie ; encadrement par SCC.
- Durée de conservation : 6 mois.
- Mesures de sécurité : anonymisation à la source, aucun identifiant personnel transmis.
Mise à jour du registre
Ce registre est révisé au minimum une fois par an, et à chaque évolution significative des traitements. La version en vigueur est publiée sur https://oresto.ch/registre-traitements.