Chez Kavente, la protection des données personnelles est une priorité. Cette politique détaille les engagements de Kavente conformément au RGPD et à la loi Informatique et Libertés modifiée.
Dernière mise à jour : 21/05/2026
Kavente est une plateforme SaaS française proposant des Services dédiés aux restaurateurs indépendants (Kavente Restaurant) ainsi que des Services ouverts aux professionnels et aux particuliers (Social AI, Calendar AI). Cette politique explique comment Kavente collecte, utilise, conserve et protège les données personnelles.
1. Identité du Responsable de Traitement
| Information | Détail |
|---|---|
| Dénomination | Kavente |
| Exploitant | Ali Sayilir, entrepreneur individuel |
| Forme juridique | Entreprise individuelle sous régime de la micro-entreprise |
| Adresse | 2110 route de la Blanche Maison, 59270 Bailleul, France |
| N° SIREN | 883 153 785 |
| N° SIRET | 883 153 785 00018 |
| N° TVA intracommunautaire | Non applicable — franchise en base de TVA |
| Contact protection des données | privacy@kavente.com |
| Autorité de contrôle | CNIL — Commission Nationale de l'Informatique et des Libertés |
Pour toute question, contacter privacy@kavente.com ou par courrier recommandé au siège en mentionnant « Protection des données personnelles ».
2. Champ d'Application
La présente politique s'applique à :
- Clients professionnels (restaurateurs et autres professionnels) ayant souscrit à une offre Kavente
- Clients consommateurs ayant souscrit à un Service (Social AI, Calendar AI)
- Utilisateurs du Compte d'un Client professionnel (gérant, équipe)
- Visiteurs du site public kavente.com
- Contacts ayant échangé avec Kavente via les formulaires
- Clients finaux des Clients professionnels (commandes Click & Collect, contacts, avis) — traités en sous-traitance
Double rôle de Kavente
Responsable de traitement : pour les données des Clients (professionnels et consommateurs) et utilisateurs du Compte — identification, facturation, logs techniques, activité sur la Plateforme.
Sous-traitant : pour les données des Clients finaux d'un Client professionnel (commandes, contacts, paiements, avis), traitées pour le compte du Client professionnel et selon ses instructions. Le Client professionnel demeure le Responsable de traitement.
Un Accord de Traitement des Données (DPA) conforme à l'article 28 du RGPD est annexé aux CGV/CGU et accepté électroniquement lors de la souscription par les Clients professionnels traitant des données personnelles. Il est téléchargeable à tout moment depuis l'espace client.
3. Catégories de Données Collectées
Conformément au principe de minimisation (Art. 5(1)(c) RGPD), Kavente ne collecte que les données strictement nécessaires.
3.1 Données d'identification et de compte
- Prénom, nom
- Adresse e-mail (identifiant de connexion)
- Mot de passe stocké sous forme de hachage irréversible (bcrypt)
- Numéro de téléphone (optionnel, pour alertes et 2FA)
- Raison sociale, SIREN/SIRET (Clients professionnels)
- Adresse de l'établissement (Clients professionnels) ou adresse postale (Clients consommateurs)
- Préférences de notification et paramètres de compte
- Date de naissance ou confirmation de majorité (Clients consommateurs)
3.2 Données de facturation et de paiement
- Adresse de facturation complète
- Méthode de paiement tokenisée via Stripe — Kavente ne stocke jamais les numéros de carte en clair
- Historique des abonnements, commandes, factures
- Régime fiscal de l'Utilisateur (assujetti TVA ou non)
3.3 Données d'utilisation des Services
Selon les fonctionnalités utilisées :
Kavente Restaurant :
- Site restaurant et contenu : menu, horaires d'ouverture, photos uploadées, Contenus IA générés, textes de présentation, configuration de domaine
- Module Caisse : tickets de vente horodatés et inaltérables, encaissements, journaux de caisse archivés conformément à l'article 286-I-3°bis du CGI et à l'article L102 B du Livre des procédures fiscales
- Click & Collect et Commandes en ligne : commandes des Clients finaux, coordonnées des Clients finaux, historique
- Vue Cuisine : statuts des commandes, horodatages
- Comptes équipe : profils des collaborateurs, permissions, journaux d'actions
- Avis clients : avis publiés, réponses, modération
- Dashboard et exports : statistiques agrégées, exports comptables CSV
- Assistant IA : historique des conversations pour modifications du site
Social AI :
- Comptes de réseaux sociaux connectés (jetons d'authentification OAuth)
- Publications créées, planifiées, publiées
- Statistiques de performance des publications
- Conversations avec l'assistant IA
- Contenus IA générés (textes, visuels)
Calendar AI :
- Données d'agenda (événements, rendez-vous, contacts)
- Synchronisation avec calendriers tiers le cas échéant (jetons OAuth)
- Conversations avec l'assistant IA
- Préférences et règles personnelles d'organisation
3.4 Données techniques et de navigation
- Adresse IP (v4 et v6)
- Localisation géographique approximative (pays, région) déduite de l'IP
- Type de navigateur, version, OS, type d'appareil
- Pages consultées, durée des sessions, actions effectuées
- Logs de connexion, d'accès à l'API, erreurs techniques
- Jetons d'authentification et de session (hachés)
- Référent URL
3.5 Données traitées par les fonctionnalités d'IA
L'assistant IA conversationnel, la génération d'images IA, les traductions et la génération de publications s'appuient sur l'API Anthropic (Claude). Les requêtes (instructions de l'Utilisateur, extraits de contenus, photos, textes) sont transmises à Anthropic exclusivement pour générer la réponse demandée.
Conformément aux conditions commerciales de l'API Anthropic applicables à Kavente, les données envoyées via l'API ne sont pas utilisées pour entraîner les modèles d'Anthropic et sont effacées des systèmes d'Anthropic conformément à leur politique de rétention (30 jours par défaut, sauf signalement de sécurité).
3.6 Données des Clients finaux (clients du Client professionnel)
Lorsque le Client professionnel utilise Kavente pour servir ses propres clients, il traite des données personnelles de ces Clients finaux (nom, téléphone, e-mail, adresse, historique de commande, contenu des avis). Pour ces données :
- Le Client professionnel est Responsable de traitement
- Kavente est Sous-traitant au sens de l'article 28 du RGPD
Les modalités sont régies par le DPA accepté à la souscription. Le Client professionnel s'assure que ses propres clients sont informés (mention RGPD dans le tunnel de commande, politique de confidentialité accessible).
4. Fondements Juridiques
Conformément à l'article 6 du RGPD :
| Traitement | Fondement | Référence |
|---|---|---|
| Création et gestion du Compte | Exécution du contrat | Art. 6(1)(b) RGPD |
| Fourniture des Services souscrits | Exécution du contrat | Art. 6(1)(b) RGPD |
| Facturation et abonnements | Exécution du contrat | Art. 6(1)(b) RGPD |
| Conservation des factures (10 ans) | Obligation légale | Art. L.123-22 C. com. |
| Conservation des journaux de caisse (6 ans) | Obligation légale | Art. 286-I-3°bis CGI et L102 B LPF |
| Journaux de connexion (LCEN) | Obligation légale | LCEN Art. 6 |
| Sécurité et prévention des fraudes | Intérêt légitime | Art. 6(1)(f) RGPD |
| Amélioration de la plateforme | Intérêt légitime | Art. 6(1)(f) RGPD |
| Support client | Exécution du contrat | Art. 6(1)(b) RGPD |
| Notifications transactionnelles | Exécution du contrat | Art. 6(1)(b) RGPD |
| Newsletters et marketing | Consentement | Art. 6(1)(a) RGPD |
| Cookies analytiques | Consentement | Art. 82 LIL |
| Cookies techniques essentiels | Nécessité contractuelle | Art. 6(1)(b) RGPD |
| Réquisitions judiciaires | Obligation légale | Art. 6(1)(c) RGPD |
Retrait du consentement : le retrait est possible à tout moment et ne remet pas en cause la licéité du traitement effectué avant.
Intérêt légitime : Kavente procède à un test de mise en balance pour s'assurer que cet intérêt ne prévaut pas sur les droits fondamentaux. Cette analyse peut être communiquée sur demande à privacy@kavente.com.
5. Finalités du Traitement
5.1 Fourniture et gestion des services
Créer et administrer le Compte, donner accès aux modules souscrits, assurer la continuité de service, informer des mises à jour critiques.
5.2 Facturation et gestion commerciale
Émettre et archiver les factures, traiter les paiements via Stripe, gérer abonnements et résiliations, relancer en cas d'incident de paiement.
5.3 Support client
Traiter les demandes d'assistance, diagnostiquer les incidents, améliorer la qualité du support.
5.4 Sécurité et prévention des fraudes
Détecter les tentatives de connexion suspectes, prévenir les abus, protéger l'intégrité des données, maintenir les journaux légalement requis.
5.5 Respect des obligations légales
Répondre aux réquisitions, respecter les obligations comptables et fiscales (notamment l'archivage du module Caisse), coopérer avec la CNIL.
5.6 Communications et marketing (avec consentement)
Newsletters, informations sur nouvelles fonctionnalités, offres adaptées. Lien de désinscription dans chaque e-mail marketing. Préférences gérables depuis le profil.
5.7 Amélioration de la plateforme
Analyse de l'utilisation des fonctionnalités pour orienter le développement, détection des points de friction, tests A/B dans le respect de la vie privée.
6. Destinataires et Sous-traitants
6.1 Accès interne
Seules les personnes habilitées (l'exploitant et, le cas échéant, des prestataires sous accord de confidentialité) accèdent aux données, dans la stricte limite de leurs missions. L'accès est tracé.
6.2 Sous-traitants techniques
Kavente fait appel aux sous-traitants suivants, chacun lié par un contrat conforme à l'article 28 du RGPD :
| Sous-traitant | Pays | Finalité | Mécanisme de transfert |
|---|---|---|---|
| Stripe Payments Europe, Ltd | Irlande (UE) | Traitement des paiements, gestion des abonnements, Stripe Connect | Intra-UE |
| Stripe Inc. | États-Unis | Backend technique Stripe (selon flux) | Clauses Contractuelles Types (CCT) |
| Anthropic, Inc. | États-Unis | API Claude — assistant IA conversationnel, génération d'images, traductions, génération de publications | CCT |
| IKOULA SAS | France (UE) | Hébergement de l'infrastructure et des données | Intra-UE |
| Gandi SAS | France (UE) | Enregistrement et gestion des noms de domaine | Intra-UE |
La liste complète et à jour des sous-traitants peut être obtenue sur demande à privacy@kavente.com.
6.3 Divulgation légale
Kavente peut être amené à divulguer des données à des autorités judiciaires, administratives ou réglementaires sur requête légalement fondée, en se limitant aux données strictement nécessaires et en informant la personne concernée si la loi le permet.
6.4 Cession ou fusion
En cas de cession, fusion ou restructuration, les données peuvent être transférées au repreneur sous réserve qu'il s'engage à respecter la présente politique. Information préalable des personnes concernées dans un délai raisonnable.
7. Transferts Internationaux
Certains sous-traitants sont établis aux États-Unis. Ces transferts sont encadrés conformément au Chapitre V du RGPD :
- Clauses Contractuelles Types (CCT) adoptées par la Commission Européenne (décision 2021/914) appliquées avec Stripe Inc. et Anthropic
- Mesures supplémentaires : chiffrement des données en transit (TLS 1.2+) et au repos, pseudonymisation lorsque possible, accès restreint
Une copie des garanties est disponible sur demande à privacy@kavente.com.
8. Durée de Conservation
| Catégorie | Durée | Justification |
|---|---|---|
| Données de compte actif | Durée du contrat | Nécessité contractuelle |
| Données de compte résilié (profil) | 3 ans après résiliation | Litiges potentiels |
| Factures et données comptables | 10 ans à compter de la clôture de l'exercice | Art. L.123-22 C. com. |
| Journaux de caisse (module Caisse) | 6 ans | Art. 286-I-3°bis CGI et L102 B LPF |
| Tickets de vente | 6 ans | Idem |
| Commandes Click & Collect | Durée du contrat + 3 ans | Prescription commerciale |
| Données de paiement Stripe (tokens) | Durée du contrat + 13 mois | Obligations Stripe + délai de contestation |
| Logs de connexion (LCEN) | 12 mois | LCEN Art. 6 |
| Logs API et journaux techniques | 6 mois | Sécurité et débogage |
| Cookies de session | Durée de la session | Nécessité technique |
| Cookies analytiques | 13 mois maximum | Recommandation CNIL |
| Conversations avec l'assistant IA | 12 mois | Qualité de service, débogage |
| Photos uploadées et Contenus IA | Durée du contrat (propriété de l'Utilisateur) | Service |
| Pièces jointes support (tickets clôturés) | 12 mois après clôture | Qualité de service |
| Données candidature recrutement | 2 ans après le dernier contact | Recommandation CNIL |
À l'expiration, les données sont supprimées définitivement des systèmes actifs ou anonymisées de façon irréversible à des fins statistiques.
9. Droits sur les Données Personnelles
Conformément au RGPD (Articles 15 à 22) :
Droit d'accès (Art. 15)
Obtenir confirmation du traitement, accéder aux données, recevoir des informations sur les finalités, destinataires, durée, droits. Première copie gratuite.
Droit de rectification (Art. 16)
Faire corriger toute donnée inexacte ou incomplète, sans délai injustifié.
Droit à l'effacement (Art. 17)
Demander la suppression dans les cas prévus par le RGPD. Ne s'applique pas lorsque le traitement est nécessaire au respect d'obligations légales (ex. factures, journaux de caisse).
Droit à la limitation (Art. 18)
Suspendre temporairement le traitement pendant vérification d'une contestation.
Droit à la portabilité (Art. 20)
Recevoir les données dans un format structuré, couramment utilisé et lisible par machine (JSON, CSV) ou demander leur transmission directe à un autre responsable, lorsque le traitement repose sur le consentement ou l'exécution d'un contrat.
Droit d'opposition (Art. 21)
S'opposer au traitement fondé sur l'intérêt légitime, notamment à la prospection commerciale.
Décisions automatisées et profilage (Art. 22)
Aucune décision produisant des effets juridiques ou affectant significativement une personne n'est prise sur la seule base d'un traitement automatisé. Demande d'intervention humaine possible à privacy@kavente.com.
Retrait du consentement (Art. 7)
Retrait possible à tout moment via l'espace client ou par e-mail. Sans effet rétroactif.
Directives post-mortem
Conformément à l'article 85 de la loi Informatique et Libertés, toute personne peut définir des directives relatives à la conservation, à l'effacement et à la communication de ses données personnelles après son décès. Ces directives sont communicables à privacy@kavente.com.
10. Comment Exercer les Droits
Voies de recours
- Espace client : rubrique « Confidentialité et données »
- Email : privacy@kavente.com — réponse sous 30 jours
- Courrier recommandé avec AR : Kavente — Service Protection des Données, 2110 route de la Blanche Maison, 59270 Bailleul, France
Délai
Réponse sous 30 jours calendaires à compter de la réception. Délai prolongeable de 2 mois pour les demandes complexes, avec notification motivée dans les 30 premiers jours.
Vérification d'identité
Kavente peut demander un justificatif d'identité avant traitement, proportionné à la nature de la demande.
Recours auprès de la CNIL
Commission Nationale de l'Informatique et des Libertés (CNIL) — 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07 — Tél. +33 (0)1 53 73 22 22 — www.cnil.fr
Ce recours ne préjudicie pas au droit d'introduire un recours juridictionnel.
11. Sécurité des Données
Conformément à l'article 32 du RGPD :
Mesures techniques
- Chiffrement en transit : TLS 1.2 minimum (HTTPS obligatoire)
- Chiffrement au repos : données sensibles (mots de passe, jetons, paiements) chiffrées ou hachées
- Architecture multi-tenant : isolation stricte des données par Client
- Double authentification (2FA) : disponible et recommandée
- Gestion des sessions : expiration automatique, révocation des jetons compromis
- Tests de sécurité : audits réguliers
- Mises à jour de sécurité : appliquées en priorité dès leur disponibilité
- Sauvegardes chiffrées : quotidiennes, rétention 30 jours
Mesures organisationnelles
- Principe du moindre privilège : accès strictement nécessaire
- Journalisation : tout accès aux données de production est enregistré et auditable
- Politique de mots de passe : forts, stockés sous forme de hachés
- Accords de confidentialité : avec tous les sous-traitants
- Plan de réponse aux incidents : procédure documentée
Limites
Aucun système n'est infaillible. Les Utilisateurs sont encouragés à utiliser un mot de passe unique et robuste, activer la 2FA et ne pas partager leurs identifiants.
12. Violation de Données Personnelles
En cas de violation susceptible d'engendrer un risque pour les droits et libertés :
- Notification à la CNIL dans les 72 heures suivant la découverte (Art. 33 RGPD)
- Information des personnes concernées sans délai injustifié en cas de risque élevé (Art. 34 RGPD)
- Documentation interne de toutes les violations
Signalement d'une faille de sécurité : security@kavente.com
13. Fonctionnalités d'Intelligence Artificielle
Kavente utilise des algorithmes d'IA pour les fonctionnalités suivantes :
- Assistant IA conversationnel : interprétation des instructions de l'Utilisateur en langage naturel pour modifier le site, le menu, les horaires, créer des promotions, gérer un agenda
- Génération d'images de plats : transformation des photos uploadées en visuels professionnels
- Génération de descriptions et de publications : suggestion automatique de descriptions, publications de réseaux sociaux à partir des données fournies par l'Utilisateur
- Traduction multilingue : compréhension des instructions de l'Utilisateur dans sa langue (turc, arabe, mandarin, etc.) et restitution en français pour les Clients finaux
Ces fonctionnalités constituent du profilage au sens de l'article 4(4) du RGPD lorsqu'elles s'appliquent à des données personnelles. Conformément à l'article 22, aucune décision produisant des effets juridiques ou affectant significativement une personne n'est prise sur la seule base d'un traitement automatisé : l'Utilisateur valide systématiquement les Contenus IA avant publication.
Les conversations avec l'assistant IA sont conservées 12 mois pour la qualité de service et le débogage, puis supprimées.
14. Données des Mineurs
Les Services Kavente sont strictement réservés aux personnes majeures (18 ans ou plus). Kavente ne collecte pas sciemment de données concernant des mineurs de moins de 18 ans. En cas de découverte, contacter privacy@kavente.com pour suppression.
Concernant les Clients finaux d'un Client professionnel (commandes Click & Collect, avis), c'est le Client professionnel, en qualité de Responsable de traitement, qui est responsable de l'application des règles applicables aux mineurs.
15. Cookies et Traceurs
Le site et la Plateforme utilisent des cookies conformément à la réglementation. Contrôle des cookies non essentiels via le bandeau de consentement.
- Cookies essentiels (non soumis au consentement) : nécessaires au fonctionnement (session, CSRF, préférences de base)
- Cookies analytiques (soumis au consentement) : mesure d'audience
- Cookies marketing (soumis au consentement) : personnalisation des communications
Détail complet : Politique des Cookies
16. Modifications de la Politique
Kavente peut mettre à jour la présente politique pour refléter les évolutions des Services, de la réglementation ou des décisions de la CNIL et de la CJUE.
En cas de modification substantielle :
- La date de mise à jour en haut du document est actualisée
- Notification par e-mail ou bandeau au moins 30 jours avant l'entrée en vigueur
- La poursuite de l'utilisation après entrée en vigueur vaut acceptation
Les versions antérieures sont archivées et disponibles sur demande à privacy@kavente.com.
Notre équipe vous accompagne à chaque étape — de la mise en ligne de votre site à la prise en main de l'assistant IA. Réponse garantie sous 24h.