Version 1.1 · En vigueur à compter du 1er juin 2026 · Ajout de la section 5 (intégrations tierces de caisse)
SASU Brewbook
62 Avenue de la Libération Charles de Gaulle, 33110 Le Bouscat, France
RCS Bordeaux 105 027 155
Email : contact@brewbook.fr
Brewbook n'a pas l'obligation légale de désigner un Délégué à la Protection des Données (DPO) au stade actuel de son développement. Pour toute question relative à vos données, contactez contact@brewbook.fr.
Lors de la navigation sur brewbook.fr, les données suivantes peuvent être collectées :
| Données | Finalité | Base légale | Durée |
|---|---|---|---|
| Adresse IP, navigateur, pages consultées | Sécurité, mesure d'audience agrégée | Intérêt légitime (Art. 6.1.f RGPD) | 13 mois maximum |
| Nom, email (formulaire de contact) | Répondre aux demandes | Intérêt légitime / consentement | 3 ans après dernier contact |
| Polices de caractères (auto-hébergées) | Affichage du site | · | Aucune donnée transmise à un tiers |
Brewbook n'utilise pas de pixels de tracking publicitaire (Facebook Pixel, Google Ads, etc.), ni de solution d'analyse comportementale tierce sur son site vitrine.
Dans le cadre de la relation contractuelle, Brewbook collecte et traite les données suivantes relatives aux établissements abonnés :
| Données | Finalité | Base légale | Durée |
|---|---|---|---|
| Nom, prénom du gérant, email, téléphone | Gestion du compte, support, facturation | Exécution du contrat (Art. 6.1.b) | Durée du contrat + 5 ans (obligations comptables) |
| Nom de l'établissement, adresse, SIRET | Facturation, identification légale | Obligation légale (Art. 6.1.c) | 10 ans (droit comptable) |
| IBAN, données du mandat SEPA | Prélèvement de l'abonnement | Exécution du contrat (Art. 6.1.b) | Durée du contrat + 13 mois (contestation SEPA) |
| Logs de connexion, actions dans l'application | Sécurité, support technique | Intérêt légitime (Art. 6.1.f) | 12 mois |
Les données des Clients sont accessibles uniquement aux équipes Brewbook habilitées. Elles ne sont pas vendues ni cédées à des tiers à des fins commerciales.
Pour les données personnelles des convives collectées via le widget de réservation Brewbook, l'établissement (Client Brewbook) est responsable du traitement, et Brewbook agit en qualité de sous-traitant au sens de l'article 28 du RGPD.
Brewbook traite ces données uniquement pour fournir le service de gestion des réservations à l'établissement. Les catégories de données traitées sont :
Les convives souhaitant exercer leurs droits (accès, rectification, effacement) sur leurs données doivent contacter directement l'établissement auprès duquel ils ont effectué une réservation. Brewbook apportera son assistance à l'établissement pour traiter ces demandes.
Les données des convives sont conservées pendant la durée de l'abonnement de l'établissement, augmentée de 90 jours après résiliation, puis supprimées définitivement.
Brewbook propose à ses établissements abonnés un dispositif d'évaluation factuelle des convives, partagé de manière anonyme entre les établissements du réseau. Ce dispositif vise à valoriser les convives de confiance et à anticiper les comportements à risque (no-show, annulations tardives, incidents).
Comment ça fonctionne :
Base légale : intérêt légitime (article 6.1.f RGPD) des établissements abonnés à se prémunir des comportements à risque dans le cadre de leur activité, mis en balance avec les droits des convives par des garanties appropriées (motifs fermés, anonymisation entre établissements, droit d'opposition).
Durée de conservation des évaluations : 36 mois à compter de la dernière évaluation reçue, prolongée si une activité de réservation est maintenue. Au-delà, suppression automatique.
Vos droits sur vos évaluations : conformément aux articles 15 à 21 du RGPD, vous pouvez à tout moment demander à Brewbook (contact@brewbook.fr) :
Brewbook s'engage à instruire toute demande dans un délai d'un mois à compter de sa réception. Vous disposez également du droit d'introduire une réclamation auprès de la CNIL.
Brewbook permet à chaque établissement abonné de connecter, à sa propre initiative, son système d'encaissement à Brewbook afin de clôturer automatiquement les réservations à l'encaissement et d'enrichir les statistiques d'activité. L'activation de cette intégration est facultative et révocable à tout moment depuis le tableau de bord de l'établissement.
Les intégrations actuellement disponibles ou en préparation incluent : Square (Square, Inc.), Sumup/Tiller, Lightspeed, L'Addition, Zelty.
L'activation se fait selon le protocole standard OAuth 2.0 : l'établissement est redirigé vers son système de caisse, s'authentifie avec ses propres identifiants et accorde explicitement à Brewbook les autorisations listées avant la connexion. Brewbook ne reçoit jamais les identifiants de connexion de l'établissement à son système de caisse.
Une fois l'intégration activée, Brewbook reçoit en temps réel, par le biais de notifications (webhooks) signées cryptographiquement, les informations suivantes en provenance du système de caisse :
Données financières sensibles non collectées : Brewbook ne reçoit aucun numéro de carte bancaire, code de sécurité (CVV), date d'expiration, identifiant porteur, ni aucune information permettant d'effectuer ou de rejouer un paiement. Ces données restent intégralement chez le prestataire de caisse (Square ou autre) et son écosystème de paiement (PCI DSS).
Les données reçues via les intégrations de caisse sont traitées exclusivement pour les finalités suivantes :
Brewbook ne réutilise ces données pour aucune autre finalité (marketing, profilage cross-établissement, transfert à un tiers commercial, entraînement de modèles d'apprentissage). Elles ne sont jamais partagées avec un autre Client Brewbook.
Le traitement repose sur l'exécution du contrat liant Brewbook à l'établissement abonné (article 6.1.b RGPD) : l'intégration est une fonctionnalité offerte aux Clients dans le cadre de leur abonnement, activée à leur initiative. L'établissement, en sa qualité de Responsable du traitement des données de ses convives, instruit Brewbook pour relier ses encaissements à ses réservations.
Les jetons d'accès OAuth (access_token, refresh_token) délivrés par le système de caisse pour permettre à Brewbook d'interroger son API sont stockés dans les bases de données Brewbook sous forme chiffrée AES-256-CBC avec une clé de chiffrement détenue exclusivement par Brewbook et conservée hors base. Les notifications entrantes (webhooks) sont systématiquement vérifiées par signature HMAC-SHA256 pour s'assurer qu'elles émanent bien du système de caisse et n'ont pas été altérées.
Les jetons d'accès chiffrés sont conservés tant que l'intégration est active. Dès que l'établissement déconnecte l'intégration depuis son tableau de bord ou résilie son abonnement, les jetons sont désactivés immédiatement et supprimés définitivement dans les 30 jours.
Les événements de paiement reçus (registre d'audit) sont conservés pendant 13 mois à des fins de support technique et de diagnostic, puis supprimés.
Les informations de paiement attachées à une réservation (montant réel, durée) sont conservées avec la réservation correspondante selon la durée définie à la section 4.1.
Le prestataire de caisse choisi par l'établissement (Square, Inc. dans le cas de Square ; ou autre prestataire) est distinct de Brewbook et reste responsable du traitement des données qu'il collecte directement auprès de l'établissement et de ses convives lors d'un paiement. La politique de confidentialité applicable au prestataire de caisse s'ajoute à la présente politique. À titre d'information :
Brewbook n'effectue pas de transfert direct des données de caisse vers un sous-traitant tiers. Les données restent hébergées sur l'infrastructure Brewbook (IONOS SE, Allemagne, UE).
L'établissement peut, à tout moment et sans préavis, désactiver une intégration de caisse depuis son tableau de bord (page Intégrations). La déconnexion :
L'établissement peut également révoquer l'autorisation directement depuis son compte chez le prestataire de caisse, ce qui produit le même effet.
Conformément au RGPD et à la loi Informatique et Libertés, vous disposez des droits suivants sur vos données personnelles :
Pour exercer ces droits, envoyez votre demande à contact@brewbook.fr. Brewbook s'engage à répondre dans un délai d'un mois à compter de la réception.
Vous avez le droit d'introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés) si vous estimez que le traitement de vos données ne respecte pas le RGPD.
CNIL · 3 Place de Fontenoy, 75007 Paris · www.cnil.fr
Brewbook met en œuvre des mesures techniques et organisationnelles appropriées pour protéger les données personnelles contre toute perte, accès non autorisé, divulgation ou altération :
En cas de violation de données susceptible d'engendrer un risque pour vos droits et libertés, Brewbook notifiera la CNIL dans les 72 heures et vous informera sans délai indu si le risque est élevé.
Brewbook s'engage à ne pas transférer vos données personnelles en dehors de l'Espace Économique Européen (EEE) sans garanties appropriées conformes au RGPD.
L'ensemble des données est hébergé sur des serveurs situés dans l'UE (IONOS SE, Allemagne).
Les polices de caractères utilisées sur le site sont auto-hébergées sur les serveurs de Brewbook. Aucune donnée n'est transmise à Google ou à tout autre CDN tiers lors du chargement des polices.
Pour toute question relative à la présente politique ou à vos données personnelles :
SASU Brewbook
62 Avenue de la Libération Charles de Gaulle, 33110 Le Bouscat
Email : contact@brewbook.fr
Brewbook se réserve le droit de modifier la présente politique à tout moment pour refléter les évolutions légales ou techniques. La version en vigueur est toujours disponible à l'adresse brewbook.fr/politique-confidentialite.html. En cas de modification substantielle, les Clients seront notifiés par email.