Anzar Technologies
Technique··7 min de lecture·Par Yanis B.

Application mobile restaurant et RGPD : ce que vous devez absolument respecter

Guide RGPD pour les applications mobiles de restaurants : consentement, données collectées, droits clients, transferts hors UE. Avec checklist de conformité en 12 points.

RGPD et application mobile restaurant

Photo : FlyD · Unsplash

Une application mobile collecte des données personnelles. En France et en Europe, le RGPD (Règlement Général sur la Protection des Données) impose des règles précises sur la collecte, l'utilisation et la conservation de ces données. Ignorer ces règles peut coûter cher : les sanctions de la CNIL peuvent atteindre 4 % du chiffre d'affaires annuel ou 20 millions d'euros pour les manquements graves.

Cet article résume ce qu'une application mobile restaurant doit faire pour être en conformité, sans le jargon juridique.

Les 4 principes fondamentaux du RGPD

Avant toute checklist, il faut comprendre la logique du RGPD. Tout part de 4 principes que tout responsable de traitement (= votre restaurant) doit respecter.

1. Consentement explicite

Avant de collecter une donnée personnelle, vous devez obtenir le consentement clair et éclairé de la personne. Pas de case pré-cochée, pas de bouton "j'accepte tout" caché. Le client doit pouvoir refuser sans subir de discrimination (= il doit pouvoir utiliser l'app même sans accepter les cookies analytics par exemple).

2. Minimisation des données

Vous ne devez collecter que les données strictement nécessaires à votre objectif. Si vous voulez livrer un repas, vous avez besoin de l'adresse, pas du sexe, ni de l'âge. Toute donnée superflue est un risque légal et un risque de fuite.

3. Finalité explicite

Chaque donnée collectée doit avoir une finalité claire et déclarée au client. "Pour vous offrir un service personnalisé" est trop vague. "Pour vous envoyer votre commande à domicile" est précis.

4. Droits des personnes

Tout client doit pouvoir, sans friction :

  • Accéder à ses données (droit d'accès)
  • Les corriger (droit de rectification)
  • Les supprimer (droit à l'oubli)
  • Les exporter (droit à la portabilité)
  • S'opposer à un traitement (droit d'opposition)

Les données typiquement collectées par une app restaurant

Pour comprendre votre exposition, listons les données qu'une app restaurant collecte habituellement.

DonnéeFinalité légitimeRisque RGPD
E-mailCréation de compte, communicationFaible
TéléphoneNotifications, livraisonFaible
PrénomPersonnalisationTrès faible
Nom completFacturation, livraisonFaible
AdresseLivraisonModéré (sensible)
Date de naissanceAnniversaire, vérification d'âge si alcoolModéré
Historique de commandesRecommandations, fidélitéFaible
Préférences alimentairesPersonnalisation, allergènesModéré (santé)
Coordonnées GPSRestaurant procheModéré (sensible)
Données de paiement (CB)PaiementÉlevé (jamais stocker, Stripe gère)
Photos de profilPersonnalisationFaible
Cookies de tracking marketingAnalytics, retargetingÉlevé (consentement obligatoire)

La checklist de conformité en 12 points

Voici la checklist que nous appliquons aux applications restaurant que nous concevons. Si votre app coche tous ces points, vous êtes en très bonne posture RGPD.

Avant l'utilisation de l'app

1. Politique de confidentialité accessible avant inscription

  • Lien explicite dans l'écran d'inscription
  • Texte en français, rédigé pour être compris par un non-juriste
  • Liste claire des données collectées et de leurs finalités

2. Bouton "Refuser" aussi visible que "Accepter"

  • Pas de design qui pousse vers Accept
  • Refus possible sans bloquer l'usage de base de l'app

3. Consentement par catégorie, pas global

  • Cookies fonctionnels : obligatoires (pas de consentement)
  • Cookies analytics : opt-in
  • Cookies marketing : opt-in
  • Notifications push : opt-in séparé

Pendant la collecte

4. Minimisation systématique

  • Aucun champ obligatoire qui n'est pas strictement nécessaire
  • Pas de date de naissance demandée si vous ne servez pas d'alcool
  • Pas de sexe demandé sauf cas légitime

5. Stockage en Europe (ou pays avec décision d'adéquation)

  • Hébergement dans l'UE (Scaleway, OVH, AWS Paris/Francfort, Vercel EU)
  • Si hors UE : justifier par des clauses contractuelles types (SCC) ou un autre mécanisme légal

6. Chiffrement des données sensibles

  • Mots de passe : hashés (bcrypt, argon2)
  • Données bancaires : jamais stockées en clair, déléguées à Stripe (PCI-DSS)
  • Adresses, téléphones : chiffrés au repos dans la base

Pendant l'utilisation

7. Profil utilisateur accessible

  • Le client peut voir toutes ses données dans son compte
  • Modification facile en quelques taps

8. Suppression de compte en 2 taps

  • Bouton "Supprimer mon compte" facile à trouver
  • Confirmation, puis exécution dans les 30 jours
  • Notification au client une fois fait

9. Export des données

  • Bouton "Exporter mes données" qui génère un fichier (JSON ou CSV)
  • Inclus : profil + historique de commandes + préférences

10. Notification de fuite (data breach)

  • Procédure interne : si une fuite est détectée, notification CNIL sous 72h
  • Si la fuite met en risque les clients : notification aux clients impactés

Côté restaurant

11. Registre des traitements

  • Document interne listant toutes les données traitées, par qui, pour quoi
  • À tenir à jour, à présenter en cas de contrôle CNIL

12. DPO (Délégué à la Protection des Données)

  • Obligatoire seulement si traitement à grande échelle ou de données sensibles
  • Pour la plupart des restaurants indépendants : non obligatoire
  • Pour les franchises 20+ sites : recommandé

Les transferts internationaux (cas Anzar Technologies LLC)

Si votre prestataire d'application mobile est hors UE (cas classique : États-Unis, Asie, etc.), les transferts de données nécessitent un cadre juridique. Les options :

Option 1, Clauses contractuelles types (SCC)

Mécanisme officiel de la Commission européenne. Anzar Technologies LLC (US) signe avec votre restaurant un contrat incluant les SCC publiées par l'UE en 2021. Le transfert devient légalement encadré.

Avantage : mécanisme reconnu, simple à mettre en place Inconvénient : reste juridiquement complexe en cas d'audit, ne couvre pas tous les risques (notamment l'accès des autorités US aux données)

Option 2, Hébergement européen exclusif

Anzar Technologies LLC héberge les données de votre restaurant uniquement dans l'UE (Vercel Frankfurt, OVH, Scaleway), même si la société est américaine. Les données ne quittent jamais l'Europe.

Avantage : simplifie considérablement la conformité Inconvénient : Anzar doit le garantir contractuellement

Option 3, Filiale française

Si le prestataire crée une filiale française qui traite les données en local, les données ne quittent pas l'UE. C'est la solution la plus robuste mais la plus complexe.

Les sanctions à connaître

Pour rester réaliste : la CNIL ne s'en prend pas en priorité aux restaurants indépendants. Elle cible les grandes entreprises, les administrations, et les acteurs qui font des manquements répétés.

Mais elle peut sanctionner si :

  • Plainte client (un client mécontent qui invoque le RGPD pour casser les pieds)
  • Fuite de données médiatisée
  • Audit de votre secteur (la restauration a déjà fait l'objet d'audits sectoriels)

Les sanctions typiques pour une PME :

  • Avertissement : 0 €, mais publication possible
  • Mise en demeure : 0 €, mais délai imposé pour se mettre en conformité
  • Amende administrative : de 1 000 € à plusieurs centaines de milliers d'euros selon la gravité

La meilleure stratégie n'est pas d'attendre la sanction, c'est d'être conforme dès le départ.

Ce que doit faire votre prestataire (vs vous-même)

Important : la responsabilité RGPD est partagée entre vous (restaurant = responsable de traitement) et votre prestataire (Anzar = sous-traitant). Mais c'est vous, le restaurant, qui restez juridiquement responsable vis-à-vis du client.

Votre prestataire doit :

  • Concevoir l'app dans le respect du "privacy by design"
  • Vous fournir un accord de sous-traitance (DPA) signé
  • Mettre en œuvre les mesures techniques (chiffrement, authentification, suppression)
  • Vous notifier toute fuite sous 24-48h

Vous (restaurant) devez :

  • Maintenir le registre des traitements
  • Répondre aux demandes des clients (accès, suppression)
  • Avoir une politique de confidentialité publique
  • Notifier la CNIL en cas de fuite grave

En résumé

Une application mobile restaurant conforme RGPD nécessite :

  1. Consentement explicite par catégorie (fonctionnel / analytics / marketing / push)
  2. Minimisation des données collectées
  3. Stockage chiffré en Europe
  4. Droits clients accessibles en quelques taps dans l'app
  5. Politique de confidentialité claire rédigée pour des humains
  6. Accord de sous-traitance signé avec votre prestataire
  7. Procédure interne en cas de fuite (notification CNIL sous 72h)

Pour discuter de la mise en conformité RGPD de votre application mobile, ou la conception d'une nouvelle app native conforme dès le départ, demandez-nous une estimation, ou consultez la politique de confidentialité d'Anzar Technologies qui sert d'exemple de conformité pour nos clients.

#rgpd#compliance#données personnelles#consentement

Votre application mobile, par Anzar

Si vous voulez mettre en pratique ce que vous venez de lire dans votre restaurant ou votre franchise, parlons-en.

À lire ensuite, Technique

Code source sur l'écran d'un développeur

React Native, Flutter ou natif : que choisir pour une application restaurant en 2026

8 min de lecture

Retour au blog