Politique de confidentialité
Dernière mise à jour : 12 avril 2026
La présente politique explique comment ZeDish collecte, utilise, conserve et protège vos données personnelles lorsque vous utilisez notre application mobile, notre site web zedish.com, ou notre portail destiné aux restaurateurs. Elle est rédigée conformément au Règlement Général sur la Protection des Données (RGPD — UE 2016/679) et à la loi française « Informatique et Libertés » (loi n° 78-17 du 6 janvier 1978 modifiée).
1. Responsable du traitement
Le responsable du traitement de vos données personnelles est :
- QUANAI, éditeur de ZeDish
- Siège social : 144 avenue Charles de Gaulle, 92200 Neuilly-sur-Seine, France
- SIREN : 939 365 912 — Code NAF 62.01Z (programmation informatique)
- Directeur de la publication : Joachim Patora
- Contact : privacy@zedish.com
Hébergement : Scaleway SAS, 8 rue de la Ville l'Évêque, 75008 Paris, France — scaleway.com.
2. Données que nous collectons
2.1 Données d'inscription à la liste d'attente alpha
- Adresse e-mail
- Prénom ou nom d'usage (facultatif)
- Ville (facultatif)
- Source d'inscription (pour comprendre comment vous nous avez trouvés)
- Date d'inscription
2.2 Données de compte (lors de la création d'un compte dans l'application)
- Adresse e-mail, mot de passe haché (bcrypt), pseudonyme, nom d'affichage
- Date de naissance (pour vérifier l'âge minimum et proposer un contenu adapté)
- Photo de profil si vous en téléversez une
- Identifiant OAuth et adresse e-mail si vous vous connectez via Apple ou Google
2.3 Contenus que vous partagez
- Avis sur les plats, notes, commentaires
- Photos de plats téléversées
- Participation à des Rencontres (meetups autour d'un plat) et commentaires associés
- Réactions aux contenus d'autres utilisateurs
2.4 Données d'utilisation et techniques
- Adresse IP (anonymisée après 30 jours)
- Type d'appareil, système d'exploitation, langue préférée
- Version de l'application
- Pages visitées et interactions (via PostHog auto-hébergé, analytics non publicitaire)
- Rapports de plantage anonymisés (via Firebase Crashlytics)
2.5 Géolocalisation
L'application vous demandera votre autorisation explicite avant d'accéder à votre position. Nous utilisons la géolocalisation uniquement pour vous montrer les plats et restaurants à proximité et pour faciliter les Rencontres. Vous pouvez refuser, et révoquer cette autorisation à tout moment dans les réglages de votre téléphone. Nous ne conservons pas d'historique de votre position.
2.6 Données de paiement (ZeCoins, Premium)
Les paiements in-app passent par Apple (App Store) ou Google (Play Store) et sont confirmés via RevenueCat. Nous ne stockons jamais vos coordonnées bancaires. Nous conservons uniquement l'identifiant de transaction et le montant, aux fins de comptabilité et de lutte contre la fraude.
3. Finalités et bases légales
| Finalité | Base légale (art. 6 RGPD) |
|---|---|
| Fourniture du service (compte, avis, Rencontres) | Exécution du contrat (art. 6.1.b) |
| Inscription à la liste d'attente alpha | Consentement (art. 6.1.a) |
| Sécurité, prévention de la fraude, modération des contenus | Intérêt légitime (art. 6.1.f) |
| Envoi d'e-mails transactionnels (confirmation, invitation, réinitialisation de mot de passe) | Exécution du contrat (art. 6.1.b) |
| Statistiques d'utilisation agrégées (PostHog) | Intérêt légitime (art. 6.1.f) |
| Obligations légales (comptabilité, demandes des autorités) | Obligation légale (art. 6.1.c) |
| Publicités ciblées | Consentement (art. 6.1.a) — désactivé par défaut ; peut être activé dans les réglages |
4. Destinataires et sous-traitants
Vos données sont traitées par ZeDish et par les sous-traitants suivants, qui agissent sur nos instructions et ont conclu avec nous un contrat de sous-traitance conforme à l'article 28 du RGPD :
| Sous-traitant | Rôle | Localisation des données |
|---|---|---|
| Scaleway SAS | Hébergement applicatif, base de données, stockage objet, envoi d'e-mails transactionnels (TEM) | France (Paris) |
| Mapbox, Inc. | Affichage de cartes et géocodage | États-Unis — Clauses Contractuelles Types (SCC) |
| PostHog (auto-hébergé) | Statistiques produit anonymisées | France (Paris) |
| RevenueCat, Inc. | Gestion des paiements in-app et de la monnaie virtuelle ZeCoins | États-Unis — SCC |
| Apple, Inc. / Google LLC | Distribution via App Store / Play Store, connexion OAuth, paiements in-app | États-Unis — SCC |
| Google Firebase (Crashlytics, Cloud Messaging) | Rapports de plantage, notifications push | États-Unis — SCC |
Nous ne vendons jamais vos données personnelles à des tiers. Nous ne les partageons avec les sous-traitants ci-dessus que dans la stricte mesure nécessaire au fonctionnement du service.
5. Transferts hors UE
Les données sont hébergées en France sur l'infrastructure Scaleway. Lorsque certains sous-traitants (Mapbox, RevenueCat, Apple, Google, Firebase) sont basés hors de l'Union européenne, le transfert est encadré par les Clauses Contractuelles Types de la Commission européenne (décision 2021/914) ou par des décisions d'adéquation (ex. : DPF pour les États-Unis).
6. Durée de conservation
| Type de données | Durée de conservation |
|---|---|
| Compte utilisateur actif | Toute la durée d'utilisation du service |
| Compte utilisateur inactif > 3 ans | Suppression automatique après notification |
| Liste d'attente alpha (avant création de compte) | 18 mois maximum |
| Contenus supprimés par l'utilisateur | 30 jours (puis suppression définitive) |
| Journaux techniques (logs) | 30 jours |
| Données de facturation (factures, transactions) | 10 ans (obligation légale — Code de commerce) |
| Sauvegardes de base de données | 30 jours glissants |
7. Vos droits
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants sur vos données personnelles :
- Droit d'accès (art. 15) : obtenir une copie des données que nous détenons sur vous.
- Droit de rectification (art. 16) : corriger des données inexactes ou incomplètes.
- Droit à l'effacement (art. 17) : demander la suppression de vos données (« droit à l'oubli »).
- Droit à la limitation du traitement (art. 18).
- Droit à la portabilité (art. 20) : recevoir vos données dans un format lisible par machine.
- Droit d'opposition (art. 21), notamment au profilage à des fins de marketing.
- Droit de retirer votre consentement à tout moment, sans que cela n'affecte la licéité du traitement antérieur.
Pour exercer ces droits, écrivez à privacy@zedish.com. Nous vous répondrons dans un délai d'un mois. L'application intègre également une fonction d'export et de suppression de compte dans les réglages.
Si vous estimez que le traitement de vos données n'est pas conforme à la réglementation, vous avez le droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL), 3 place de Fontenoy — TSA 80715 — 75334 Paris Cedex 07, ou sur www.cnil.fr.
8. Sécurité
Les mots de passe sont hachés avec bcrypt. Les communications sont chiffrées via TLS 1.2+. Les accès administrateurs sont protégés par authentification forte et journalisés. Les sauvegardes sont chiffrées au repos. En cas de violation de données susceptible d'entraîner un risque élevé pour vos droits et libertés, nous vous en informerons dans les 72 heures conformément à l'article 34 du RGPD.
9. Mineurs
ZeDish n'est pas destiné aux enfants de moins de 15 ans (âge de consentement numérique en France selon la loi Informatique et Libertés). Nous ne collectons pas sciemment de données concernant des mineurs de moins de 15 ans. Si vous pensez qu'un enfant nous a fourni des données, contactez-nous pour que nous les supprimions.
10. Cookies et traceurs
Le site zedish.com utilise uniquement des cookies strictement nécessaires à son fonctionnement (session, préférence de langue). Aucun cookie publicitaire ou de suivi n'est déposé sans votre consentement explicite.
11. Modifications de cette politique
Nous pouvons être amenés à modifier cette politique. Toute modification substantielle sera notifiée par e-mail aux utilisateurs inscrits au moins 15 jours avant son entrée en vigueur. La version en vigueur est toujours accessible sur zedish.com/privacy.html.
12. Contact
Pour toute question relative à cette politique ou à vos données personnelles : privacy@zedish.com
Privacy Policy
Last updated: 12 April 2026
This policy explains how ZeDish collects, uses, stores, and protects your personal data when you use our mobile app, our website zedish.com, or our business portal. It is written in accordance with the General Data Protection Regulation (GDPR — EU 2016/679) and the French Loi Informatique et Libertés.
1. Data controller
The controller of your personal data is:
- QUANAI, publisher of ZeDish
- Registered office: 144 avenue Charles de Gaulle, 92200 Neuilly-sur-Seine, France
- Company number (SIREN): 939 365 912 — NAF code 62.01Z (computer programming)
- Publication director: Joachim Patora
- Contact: privacy@zedish.com
Hosting: Scaleway SAS, 8 rue de la Ville l'Évêque, 75008 Paris, France — scaleway.com.
2. Data we collect
2.1 Alpha waitlist data
- Email address
- First name or display name (optional)
- City (optional)
- Sign-up source
- Sign-up timestamp
2.2 Account data (when you create an account in the app)
- Email address, bcrypt-hashed password, username, display name
- Date of birth (for age verification and content appropriateness)
- Profile photo if you upload one
- OAuth identifier + email when signing in via Apple or Google
2.3 Content you share
- Dish reviews, ratings, comments
- Dish photos you upload
- Participation in Meets (meetups around a dish) and associated comments
- Reactions to other users' content
2.4 Usage and technical data
- IP address (anonymised after 30 days)
- Device type, operating system, preferred language
- App version
- Pages visited and interactions (via self-hosted PostHog, non-advertising analytics)
- Anonymised crash reports (via Firebase Crashlytics)
2.5 Location
The app will ask for your explicit permission before accessing your location. We use it only to show you nearby dishes and restaurants and to facilitate Meets. You can decline, and revoke this permission at any time in your phone settings. We do not keep a history of your location.
2.6 Payment data (ZeCoins, Premium)
In-app payments are processed by Apple (App Store) or Google (Play Store) and confirmed via RevenueCat. We never store your banking details. We only keep the transaction ID and amount for accounting and anti-fraud purposes.
3. Purposes and legal bases
| Purpose | Legal basis (GDPR Art. 6) |
|---|---|
| Service delivery (account, reviews, Meets) | Contract (Art. 6(1)(b)) |
| Alpha waitlist signup | Consent (Art. 6(1)(a)) |
| Security, fraud prevention, content moderation | Legitimate interest (Art. 6(1)(f)) |
| Transactional emails (confirmation, invitation, password reset) | Contract (Art. 6(1)(b)) |
| Aggregate product analytics (PostHog) | Legitimate interest (Art. 6(1)(f)) |
| Legal obligations (accounting, lawful requests) | Legal obligation (Art. 6(1)(c)) |
| Targeted advertising | Consent (Art. 6(1)(a)) — off by default; can be enabled in settings |
4. Recipients and processors
Your data is processed by ZeDish and the following sub-processors, who act on our instructions under a GDPR Art. 28 data processing agreement:
| Sub-processor | Role | Data location |
|---|---|---|
| Scaleway SAS | Application hosting, database, object storage, transactional email (TEM) | France (Paris) |
| Mapbox, Inc. | Map rendering and geocoding | United States — Standard Contractual Clauses (SCC) |
| PostHog (self-hosted) | Anonymised product analytics | France (Paris) |
| RevenueCat, Inc. | In-app purchase and ZeCoins virtual currency management | United States — SCC |
| Apple, Inc. / Google LLC | App Store / Play Store distribution, OAuth sign-in, in-app payments | United States — SCC |
| Google Firebase (Crashlytics, Cloud Messaging) | Crash reporting, push notifications | United States — SCC |
We never sell your personal data. We only share it with the sub-processors above to the extent strictly necessary for the service to function.
5. Transfers outside the EU
Data is hosted in France on Scaleway infrastructure. When sub-processors (Mapbox, RevenueCat, Apple, Google, Firebase) are based outside the European Union, transfers are governed by the European Commission's Standard Contractual Clauses (decision 2021/914) or by adequacy decisions (e.g. DPF for the United States).
6. Retention periods
| Data type | Retention |
|---|---|
| Active user account | For as long as you use the service |
| Inactive user account > 3 years | Automatic deletion after notification |
| Alpha waitlist (before account creation) | Maximum 18 months |
| Content deleted by the user | 30 days, then permanently deleted |
| Technical logs | 30 days |
| Billing data (invoices, transactions) | 10 years (legal obligation — French Commercial Code) |
| Database backups | 30-day rolling window |
7. Your rights
Under GDPR Articles 15 to 22, you have the following rights over your personal data:
- Right of access (Art. 15): obtain a copy of the data we hold about you.
- Right to rectification (Art. 16): correct inaccurate or incomplete data.
- Right to erasure (Art. 17): "right to be forgotten".
- Right to restriction of processing (Art. 18).
- Right to data portability (Art. 20): receive your data in a machine-readable format.
- Right to object (Art. 21), including to profiling for marketing purposes.
- Right to withdraw consent at any time, without affecting the lawfulness of prior processing.
To exercise these rights, email privacy@zedish.com. We will respond within one month. The app also includes account export and deletion features in Settings.
If you believe the processing of your data does not comply with the regulation, you have the right to lodge a complaint with the French data protection authority CNIL (www.cnil.fr), 3 place de Fontenoy — TSA 80715 — 75334 Paris Cedex 07, France, or with the supervisory authority of your country of residence in the EU.
8. Security
Passwords are hashed with bcrypt. Communications are encrypted via TLS 1.2+. Administrative access is protected by strong authentication and fully logged. Backups are encrypted at rest. In the event of a data breach likely to cause high risk to your rights and freedoms, we will notify you within 72 hours in accordance with GDPR Article 34.
9. Minors
ZeDish is not intended for children under 15 (digital consent age in France under the Loi Informatique et Libertés). We do not knowingly collect data about minors under 15. If you believe a child has provided us with personal data, contact us so we can delete it.
10. Cookies and trackers
The zedish.com website only uses strictly necessary cookies (session, language preference). No advertising or tracking cookies are set without your explicit consent.
11. Changes to this policy
We may update this policy. Any substantial change will be notified by email to registered users at least 15 days before it takes effect. The current version is always available at zedish.com/privacy.html.
12. Contact
For any question about this policy or your personal data: privacy@zedish.com