Politique de confidentialité : CHWIT
Applicable aux services CHWIT : commande WhatsApp, site public chwit.fr, back-office pro.chwit.app, console d'administration admin.chwit.app, service d'images cdn.chwit.app et application livreur (chwit-livreur.vercel.app, future livreur.chwit.app) Dernière mise à jour : juin 2026 Version : 2.0
En résumé (version courte)
CHWIT est la plateforme technique qui permet de commander en ligne auprès de votre restaurant. Pour faire fonctionner ce service, nous traitons certaines de vos données personnelles : votre numéro WhatsApp, votre historique de commandes, votre adresse ou position de livraison si vous commandez en livraison, et, si vous le souhaitez, vos préférences alimentaires.
Trois choses importantes à savoir :
- Vous parlez à un assistant automatisé. Les conversations CHWIT sont traitées par une intelligence artificielle, supervisée par le restaurant. Vous pouvez à tout moment demander à être mis en relation avec un humain du restaurant.
- Vos données sont stockées en Europe (Irlande), protégées et jamais revendues à des tiers.
- Vous gardez le contrôle. Vous pouvez demander l'accès à vos données ou leur suppression à tout moment en écrivant à contact@chwit.fr.
1. Qui est responsable de vos données ?
La plateforme CHWIT est exploitée par la société JVD Solutions :
JVD Solutions SAS au capital de 100 € 23 Lotissement Heliconias, 97300 Cayenne, Guyane française SIRET : 941 470 171 00013, RCS Cayenne 941 470 171 Représentant : Jonathan VARRIN-DOYER, Président Contact : contact@chwit.fr · téléphone : +594 694 37 53 54 Référent protection des données : dpo@chwit.fr
1.1 Qui est responsable de quoi ? (répartition des rôles)
Selon les traitements, JVD Solutions (CHWIT) agit soit comme sous-traitant du restaurant, soit comme responsable de traitement pour son propre compte. Cette répartition est reprise à l'identique dans l'accord de traitement des données (DPA) signé avec chaque restaurant.
| Traitement | Responsable de traitement | Rôle de CHWIT |
|---|---|---|
| Données des clients finaux traitées pour la prise, la préparation et la livraison des commandes (conversations, commandes, adresses, position GPS, allergies) | Le restaurant auprès duquel vous commandez | Sous-traitant du restaurant |
| Comptes des restaurateurs et de leurs équipes, facturation des restaurants | JVD Solutions | Responsable de traitement |
| Perception du frais de service de 0,99 € par commande payée (relation directe entre CHWIT et le client final) | JVD Solutions | Responsable de traitement |
| Prévention de la fraude et sécurité des paiements | JVD Solutions | Responsable de traitement |
| Supervision des erreurs applicatives (Sentry) | JVD Solutions | Responsable de traitement |
| Amélioration de la plateforme et statistiques agrégées | JVD Solutions | Responsable de traitement |
Concrètement : pour tout ce qui concerne votre commande (son contenu, sa préparation, sa livraison), le responsable de traitement est le restaurant, et CHWIT traite vos données pour son compte et sur ses instructions. Pour le fonctionnement de la plateforme elle-même (frais de service, sécurité, supervision technique), le responsable de traitement est JVD Solutions.
2. Quelles données collectons-nous ?
2.1 Si vous commandez via WhatsApp (client final)
| Donnée | Exemple | Pourquoi |
|---|---|---|
| Numéro de téléphone WhatsApp | +594 694 000 000 | Vous identifier et communiquer avec vous |
| Nom d'affichage WhatsApp | "Marie D." | Personnaliser les échanges |
| Contenu des messages | "Je voudrais commander..." | Traiter votre commande |
| Historique de commandes | Articles, montants, dates | Suivi et service client |
| Adresse de livraison | "12 rue des Palmiers, 97300 Cayenne" | Livraison de votre commande |
| Instructions de livraison | "Code immeuble 1234, étage 3" | Faciliter la livraison |
| Position GPS partagée volontairement | Position envoyée via la fonction "Partager ma position" de WhatsApp | Localiser le point de livraison, calculer les frais de livraison et l'itinéraire du livreur (voir §6) |
| Préférences alimentaires | "Sans gluten" | Adapter votre commande |
| Allergies déclarées | "Allergie aux arachides" | Sécurité alimentaire (voir §5) |
| Messages vocaux (si envoyés) | Transcription du message | Traitement de la commande |
Important sur la position GPS : si vous choisissez de partager votre position pour une livraison, les coordonnées (latitude et longitude) sont enregistrées avec votre commande, ainsi que la commune correspondante obtenue par géocodage inversé (Google Maps Platform). Les coordonnées précises sont supprimées ou tronquées au plus tard 90 jours après la livraison ; seule la commune est conservée à des fins de statistiques. Voir §6 pour le détail.
2.2 Si vous êtes un compte restaurant (back-office)
| Donnée | Exemple | Pourquoi |
|---|---|---|
| Email et mot de passe | compte@restaurant.fr | Authentification |
| Nom complet | Jean Martin | Identification de l'utilisateur |
| Numéro de téléphone | Pour les notifications de commandes | Alertes opérationnelles |
| Informations de l'établissement | SIRET, IBAN, raison sociale | Contractuel et vérification d'identité Stripe Connect (KYC) |
| Documents contractuels signés | Contrat, DPA | Signature électronique via Yousign et preuve de la relation contractuelle |
2.3 Si vous êtes livreur d'un restaurant (application livreur)
L'application livreur (chwit-livreur.vercel.app, future livreur.chwit.app) est un outil fourni au restaurant pour organiser ses tournées de livraison. Les livreurs sont les préposés du restaurant, qui reste leur employeur et le responsable du traitement de leurs données. CHWIT traite ces données en qualité de sous-traitant du restaurant.
| Donnée | Pourquoi |
|---|---|
| Identité du livreur (nom, identifiant) | Affectation des tournées et suivi des livraisons |
| Position GPS du livreur, uniquement pendant une tournée active | Suivi de la tournée en cours et calcul des itinéraires |
La position du livreur n'est jamais collectée en dehors d'une tournée active. Elle est purgée à la clôture de la tournée, et au plus tard sous 30 jours. Le restaurant a l'obligation d'informer ses livreurs et son équipe de ces traitements, conformément au référentiel de la CNIL sur la géolocalisation des véhicules des salariés.
2.4 Données techniques collectées automatiquement
Lors de votre utilisation de nos sites et applications (chwit.fr, pro.chwit.app, admin.chwit.app, application livreur) : adresse IP, type de navigateur, pages visitées, horodatages de connexion. Ces données sont utilisées pour la sécurité et l'amélioration du service.
En cas d'erreur technique, des informations de diagnostic (message d'erreur, contexte technique de la requête) sont transmises à notre outil de supervision Sentry afin de détecter et corriger les dysfonctionnements (voir §8 et §9).
3. Pour quoi utilisons-nous vos données ?
3.1 Exécution du contrat (article 6.1.b du RGPD)
Ces traitements sont nécessaires pour vous fournir le service :
- Recevoir, traiter et confirmer votre commande
- Vous envoyer les confirmations et mises à jour de statut sur WhatsApp
- Gérer le paiement via Stripe, y compris la perception du frais de service de 0,99 € par commande payée
- Permettre au restaurant de préparer et livrer votre commande, y compris l'organisation de la tournée du livreur
- Gérer votre compte back-office (pour les restaurants), y compris la signature électronique des contrats via Yousign
3.2 Consentement explicite (article 6.1.a du RGPD)
Ces traitements ne sont effectués qu'avec votre accord :
- Mémorisation de vos allergies : vos allergies constituent des données de santé (catégorie particulière, article 9 du RGPD). Elles ne sont enregistrées que si vous les communiquez explicitement lors d'un échange WhatsApp dédié et confirmez votre accord. Vous pouvez demander leur suppression à tout moment.
- Communications marketing : si vous souhaitez recevoir des promotions ou actualités du restaurant, un consentement séparé vous sera demandé. Vous pouvez vous y opposer à tout moment.
3.3 Mesures précontractuelles et intérêt légitime (articles 6.1.b et 6.1.f du RGPD)
- Rappel de panier en cours : si vous avez commencé une commande sans la finaliser, un unique message de rappel peut vous être envoyé après environ 25 minutes d'inactivité, dans la conversation en cours. Ce message ne contient aucun contenu promotionnel : il vous rappelle simplement que votre panier est en attente. Ce traitement repose sur les mesures précontractuelles prises à votre demande et sur l'intérêt légitime du restaurant à finaliser les commandes engagées. Vous pouvez vous y opposer à tout moment en répondant "STOP" : aucun rappel ne vous sera plus envoyé.
- Amélioration de la qualité du service et correction des erreurs, y compris la supervision technique des erreurs applicatives via Sentry
- Prévention de la fraude et sécurité des paiements
- Statistiques agrégées et anonymisées d'usage de la plateforme
- Gestion des litiges de paiement et défense des droits : en cas de contestation d'un paiement (par exemple une procédure de "chargeback" auprès de votre banque), les éléments de votre commande, y compris les échanges WhatsApp strictement pertinents pour établir la réalité de la commande, peuvent être transmis à Stripe comme éléments de preuve. Ce traitement est strictement minimisé : la conversation entière n'est jamais transmise, et vos allergies ne sont jamais transmises.
3.4 Obligation légale (article 6.1.c du RGPD)
- Conservation des données de transaction à des fins comptables et fiscales (10 ans, article L123-22 du Code de commerce)
- Réponse aux réquisitions judiciaires
4. Un service assisté par intelligence artificielle
Le service de commande CHWIT sur WhatsApp est un assistant conversationnel automatisé : lorsque vous écrivez ou envoyez un message vocal, votre message est traité par une intelligence artificielle. Cette information vous est rappelée dès le début de la conversation, conformément à la réglementation européenne sur l'intelligence artificielle (règlement (UE) 2024/1689, article 50).
Ce que cela implique pour vos données :
- Vos messages texte sont transmis à Anthropic (États-Unis), notre prestataire d'intelligence artificielle, pour comprendre votre demande et formuler les réponses. Les garanties applicables à ce transfert sont décrites au §9.
- Vos messages vocaux sont transmis à Groq (États-Unis) pour être transcrits en texte, puis traités comme les messages texte.
- Vos données ne servent jamais à entraîner les modèles d'intelligence artificielle. Conformément à nos contrats avec ces prestataires, les données transmises via leurs API ne sont pas utilisées pour l'entraînement de leurs modèles.
- Aucune décision produisant des effets juridiques ou vous affectant de manière significative n'est prise de façon exclusivement automatisée au sens de l'article 22 du RGPD. L'assistant prend votre commande ; la décision de l'accepter, de la préparer et de la livrer appartient au restaurant.
- Vous pouvez à tout moment demander à être mis en relation avec un humain du restaurant, qui reste votre interlocuteur et le vendeur de votre commande.
5. Un cas particulier : les allergies
Vos allergies alimentaires sont des données de santé selon le RGPD (article 9). Elles bénéficient d'une protection renforcée.
Nous ne les enregistrons que si vous les communiquez spontanément via WhatsApp. Lorsque c'est le cas, un message vous informe explicitement que ces informations sont conservées pour faciliter vos commandes futures, et vous demande confirmation.
Ces données ne sont transmises qu'au restaurant concerné, uniquement pour préparer votre commande, et ne sont jamais partagées avec d'autres restaurants ou des tiers. Elles ne sont jamais transmises à Stripe, même en cas de litige de paiement (voir §3.3).
Vous pouvez demander leur suppression à tout moment à contact@chwit.fr.
6. Géolocalisation : ce que nous faisons exactement
6.1 Votre position (client en livraison)
Si vous commandez en livraison, vous pouvez partager volontairement votre position via la fonction native de WhatsApp ("Partager ma position"). Vous n'y êtes jamais obligé : vous pouvez aussi indiquer une adresse en texte.
Voici ce qu'il advient de cette position :
- Les coordonnées (latitude, longitude) sont transmises à Google Maps Platform pour un géocodage inversé : déterminer la commune et l'adresse approximative correspondantes, afin de calculer les frais de livraison applicables.
- Les coordonnées et la commune sont enregistrées avec votre commande afin de permettre la livraison et le calcul de l'itinéraire du livreur (Google Routes API).
- Engagement de purge : les coordonnées précises sont supprimées ou tronquées au plus tard 90 jours après la livraison. Seule la commune est conservée au-delà, à des fins de statistiques de livraison (donnée non identifiante à cette échelle d'agrégation).
6.2 La position des livreurs
La position GPS du livreur est collectée uniquement pendant une tournée active, pour suivre la livraison en cours et optimiser l'itinéraire. Elle est purgée à la clôture de la tournée, et au plus tard sous 30 jours. Voir §2.3.
7. Combien de temps conservons-nous vos données ?
| Type de données | Durée de conservation |
|---|---|
| Compte restaurant (utilisateur du back-office) | Durée de la relation contractuelle + 3 ans |
| Commandes, historique d'achats et profils clients | 3 ans après la dernière commande |
| Conversations WhatsApp | 12 mois glissants |
| Données comptables et transactions Stripe | 10 ans (obligation légale) |
| Données techniques (logs serveur, journaux d'erreurs) | 90 jours |
| Coordonnées GPS précises de livraison | Au plus tard 90 jours après la livraison (seule la commune est conservée ensuite) |
| Position GPS des livreurs | Purgée à la clôture de la tournée, au plus tard sous 30 jours |
| Allergies déclarées | Jusqu'à suppression à votre demande |
| Documents contractuels signés (restaurants) | 10 ans (preuve de la relation contractuelle) |
À l'expiration de ces délais, vos données sont soit supprimées, soit anonymisées de manière irréversible.
8. Qui a accès à vos données ?
Vos données ne sont jamais vendues. Elles peuvent être transmises aux destinataires suivants, dans le strict cadre du service :
| Destinataire | Localisation | Rôle |
|---|---|---|
| Restaurant auquel vous commandez | France | Préparation et livraison de votre commande ; responsable de traitement pour la relation commerciale (voir §1.1) |
| Livreur du restaurant | France | Livraison de votre commande (adresse, position, instructions de livraison uniquement) |
| Supabase | Irlande (UE), région eu-west-1 | Hébergement de la base de données |
| Stripe (Stripe Payments Europe Ltd) | Irlande (UE) | Traitement des paiements ; destinataire d'éléments de preuve en cas de litige de paiement (voir §3.3) |
| Meta Platforms Ireland Ltd | Irlande (UE) | Infrastructure WhatsApp |
| Anthropic, PBC | États-Unis | Traitement par intelligence artificielle des messages (voir §4 et §9) |
| Groq, Inc. | États-Unis | Transcription des messages vocaux (voir §9) |
| Vercel, Inc. | États-Unis | Hébergement des applications web (back-office, application livreur) |
| Cloudflare, Inc. | États-Unis | Réseau de diffusion des images du menu |
| Google LLC (Google Maps Platform) | États-Unis | Géocodage inversé des positions et adresses de livraison, calcul des itinéraires de tournées (Routes API) (voir §9) |
| Functional Software, Inc. (Sentry) | États-Unis, avec hébergement des données en Union européenne (de.sentry.io) | Supervision des erreurs applicatives |
| Yousign SAS | France (données hébergées en UE) | Signature électronique des contrats des restaurants |
| Autorités | France | Uniquement sur réquisition légale |
Chacun de ces prestataires est lié à JVD Solutions par un contrat de traitement des données conforme à l'article 28 du RGPD.
9. Transferts de données hors Union européenne
Certains de nos prestataires techniques sont établis aux États-Unis : Anthropic, Groq, Vercel, Cloudflare, Google et Sentry (Functional Software, Inc.). Ces transferts sont encadrés par les garanties suivantes :
- Les Clauses contractuelles types (CCT) adoptées par la Commission européenne (décision 2021/914), intégrées dans nos contrats avec ces prestataires
- Pour Google LLC : la décision d'adéquation EU-US Data Privacy Framework (DPF, décision d'exécution (UE) 2023/1795 du 10 juillet 2023), à laquelle Google LLC est certifié, complétée par les CCT et le contrat de traitement des données de Google Maps Platform
- Pour Anthropic : la certification EU-US Data Privacy Framework, complétée par les CCT. Anthropic n'utilise pas les données transmises via son API pour entraîner ses modèles
- Pour Sentry (Functional Software, Inc.) : la certification EU-US Data Privacy Framework, complétée par les CCT. Les données de supervision sont en outre hébergées dans la région de données Union européenne de Sentry (de.sentry.io)
- Pour Stripe : la relation contractuelle est établie avec Stripe Payments Europe Limited (entité irlandaise), avec les mécanismes de transfert intragroupe de Stripe
- Pour Meta : les CCT de Meta Platforms Ireland Limited
En pratique : vos messages de commande transitent via l'API d'Anthropic aux États-Unis pour y être traités par intelligence artificielle, puis sont stockés sur l'infrastructure Supabase en Irlande. Les messages vocaux transitent via Groq (États-Unis) pour transcription, puis sont stockés en Irlande. Si vous commandez en livraison, votre position ou votre adresse est transmise à Google Maps Platform (États-Unis) pour le géocodage inversé et le calcul de l'itinéraire de livraison.
Si vous souhaitez davantage d'informations sur ces garanties ou en obtenir une copie, contactez : dpo@chwit.fr.
10. Vos droits
Vous disposez des droits suivants sur vos données personnelles, que vous pouvez exercer à tout moment :
| Droit | Ce que cela signifie |
|---|---|
| Accès | Obtenir une copie de toutes vos données |
| Rectification | Corriger des données inexactes |
| Suppression | Demander l'effacement de vos données ("droit à l'oubli") |
| Opposition | Vous opposer à un traitement fondé sur l'intérêt légitime (y compris le rappel de panier : répondez "STOP") |
| Portabilité | Recevoir vos données dans un format structuré et lisible par machine |
| Limitation | Demander la suspension temporaire d'un traitement |
| Retrait du consentement | Retirer à tout moment un consentement donné (allergies, marketing) |
Pour exercer ces droits, écrivez à : contact@chwit.fr
Nous vous répondrons dans un délai maximum d'un mois suivant la réception de votre demande, conformément à l'article 12.3 du RGPD. En cas de demande complexe ou de demandes nombreuses, ce délai peut être prolongé de deux mois supplémentaires ; nous vous en informerons dans le premier mois.
Lorsque CHWIT agit en qualité de sous-traitant du restaurant (données de commande, voir §1.1), nous transmettons votre demande au restaurant concerné et l'assistons dans sa réponse. Vous pouvez aussi adresser votre demande directement au restaurant.
Comment demander la suppression de vos données ?
Envoyez un email à contact@chwit.fr avec l'objet "Suppression de mes données" en indiquant votre numéro de téléphone WhatsApp. Nous procéderons à la suppression de votre profil client, de vos conversations et de vos allergies dans un délai d'un mois. Les données de transaction nécessaires à nos obligations comptables sont conservées pendant 10 ans conformément à la loi.
11. Mineurs
Le service de commande s'adresse aux personnes capables de conclure un achat. Conformément à l'article 45 de la loi Informatique et Libertés, un mineur de moins de 15 ans ne peut consentir seul à un traitement de ses données personnelles fondé sur le consentement : le consentement conjoint du titulaire de l'autorité parentale est alors requis. Nous ne collectons pas sciemment de données de mineurs de moins de 15 ans ; si vous pensez qu'un mineur nous a transmis des données dans ces conditions, écrivez à contact@chwit.fr et nous les supprimerons.
12. Sécurité de vos données
JVD Solutions met en oeuvre les mesures techniques et organisationnelles suivantes pour protéger vos données :
- Chiffrement des données en transit (TLS 1.2 et supérieur)
- Chiffrement des données au repos (Supabase, AES-256)
- Contrôle d'accès strict par restaurant (Row Level Security Supabase)
- Gestion des secrets via Supabase Vault (aucune clé API dans le code)
- Sauvegardes quotidiennes de la base de données
- Authentification à deux facteurs disponible pour les comptes restaurant
- Journalisation des accès et des actions administratives (audit_log)
- Supervision des erreurs applicatives (Sentry) avec hébergement des données de supervision en Union européenne
En cas de violation de données susceptible d'engendrer un risque pour vos droits et libertés, nous vous en informerons dans les meilleurs délais et notifierons la CNIL dans les 72 heures conformément à l'article 33 du RGPD. Lorsque la violation concerne des données traitées pour le compte d'un restaurant, nous notifions également le restaurant sans délai indu, conformément à notre accord de traitement des données.
13. Cookies et traceurs
Le service CHWIT de commande via WhatsApp ne dépose pas de cookies sur votre appareil (la conversation se déroule dans WhatsApp).
Les sites et applications web (chwit.fr, pro.chwit.app, admin.chwit.app, application livreur) utilisent :
- Des cookies techniques strictement nécessaires (session d'authentification, sécurité CSRF) : ces cookies ne nécessitent pas de consentement
- Aucun cookie publicitaire ou de suivi n'est déposé sans votre consentement préalable
14. Droit de réclamation auprès de la CNIL
Si vous estimez que le traitement de vos données personnelles constitue une violation du RGPD, vous disposez du droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :
CNIL : Commission Nationale de l'Informatique et des Libertés 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07 www.cnil.fr · 01 53 73 22 22
15. Modifications de cette politique
Nous pouvons mettre à jour cette politique pour refléter l'évolution de nos pratiques ou de la réglementation. En cas de modification substantielle, nous vous en informerons via WhatsApp (pour les clients actifs) ou par email (pour les comptes restaurant).
La date de dernière mise à jour figure en en-tête de ce document. La version en vigueur est publiée en permanence sur chwit.fr/confidentialite.
Historique des versions
| Version | Date | Modifications principales |
|---|---|---|
| 1.0 | Avril 2026 | Version initiale |
| 1.1 | 30 avril 2026 | Ajout livraison + Google Maps Platform |
| 2.0 | Juin 2026 | Correction du traitement GPS (position stockée, purge à 90 jours), ajout de Sentry et Yousign, extension Google (géocodage inversé + Routes API), application livreur et géolocalisation des livreurs, finalité litiges de paiement, répartition des rôles sous-traitant / responsable de traitement, section intelligence artificielle, rappel de panier et opt-out STOP, référent protection des données, délais "un mois", sauvegardes quotidiennes, périmètre chwit.fr |
JVD Solutions, plateforme CHWIT : Politique de confidentialité v2.0, juin 2026