Politique de confidentialité
Dernière mise à jour : 28 avril 2026
La présente politique décrit la façon dont MGroupe, éditeur de l’application koulis.app commercialisée sous la marque Koulis (ci-après le « Service »), traite les données personnelles des utilisateurs. Elle est conforme au Règlement général sur la protection des données (RGPD) et à la loi française Informatique et Libertés.
Koulis est un outil de réservation destiné aux restaurateurs indépendants. Le Service comprend un tableau de bord de gestion, un widget de réservation intégrable au site du restaurant et un serveur MCP (Model Context Protocol) open source qui expose des connecteurs ouverts permettant à tout agent conversationnel ou outil tiers d’interroger et de gérer des réservations. MGroupe ne diffuse aucune publicité et ne vend aucune donnée personnelle.
1. Responsable du traitement
MGroupe, micro-entreprise immatriculée au nom de Massimo Marcellin, exploitant la marque Koulis.
Siège : 3 Avenue François Mitterrand, 59290 Wasquehal, France.
SIRET : 100 354 513 00010.
Contact : [email protected]
Compte tenu de la taille de la structure, MGroupe n’est pas tenue de désigner un délégué à la protection des données. Toutes les demandes liées aux données personnelles sont traitées directement par le responsable du traitement à l’adresse ci-dessus.
2. Données collectées
MGroupe collecte uniquement les données strictement nécessaires au fonctionnement du Service.
2.1 Lors de la création de compte (Google OAuth)
Lorsqu’un utilisateur se connecte via Google, MGroupe reçoit, par l’intermédiaire des scopes openid, email et profile, les informations suivantes : identifiant Google unique, adresse email, prénom, nom, photo de profil et locale. Ces données ne sont jamais utilisées à d’autres fins que l’authentification et l’identification au sein du Service. MGroupe n’accède ni à Gmail, ni à Google Calendar, ni à Google Drive, ni à aucun autre service Google.
2.2 Données générées par l’usage du Service
En fonction de l’utilisation du Service, peuvent être enregistrés : les établissements créés et leur configuration, les paramètres du widget de réservation, l’historique des réservations, les requêtes adressées au serveur MCP, les logs techniques d’API ainsi que les coordonnées des convives strictement nécessaires à la prise de réservation (nom, téléphone et/ou email, taille du groupe, créneau, commentaires éventuels). Les coordonnées des convives sont traitées pour le compte du restaurateur, qui en demeure le responsable de traitement principal.
2.3 Données de mesure d’audience produit
À l’intérieur du tableau de bord utilisateur (zone authentifiée), Koulis utilise PostHog pour mesurer l’utilisation des fonctionnalités produit (clics, parcours, erreurs). Cette mesure d’audience est strictement interne, n’est jamais partagée avec des annonceurs et ne sert pas à du ciblage publicitaire. Aucun cookie de traçage publicitaire tiers n’est posé par MGroupe.
3. Finalités et bases légales
| Finalité | Base légale |
|---|---|
| Création et gestion du compte utilisateur | Exécution du contrat (CGU) |
| Fourniture du tableau de bord, du widget et du serveur MCP | Exécution du contrat |
| Communications opérationnelles (email transactionnels) | Exécution du contrat |
| Mesure d’audience produit (PostHog) au sein du dashboard | Intérêt légitime à améliorer le Service |
| Sécurité, prévention de la fraude et journalisation | Intérêt légitime |
| Respect des obligations comptables et fiscales | Obligation légale |
4. Durées de conservation
Les données de compte sont conservées tant que le compte utilisateur est actif, puis supprimées dans un délai maximal de 30 jours après la clôture du compte, à l’exception des données nécessaires au respect d’obligations légales (comptables, fiscales) qui sont conservées jusqu’à 10 ans en archivage intermédiaire.
Les logs techniques sont conservés 12 mois maximum. Les évènements PostHog sont conservés 12 mois puis agrégés ou supprimés. Les réservations sont conservées 36 mois pour permettre les statistiques d’établissement, sauf demande de suppression antérieure du restaurateur ou de la personne concernée.
5. Sous-traitants et destinataires
Pour fournir le Service, MGroupe s’appuie sur les sous-traitants suivants. Chacun est lié par un accord de sous-traitance conforme à l’article 28 du RGPD.
| Sous-traitant | Rôle | Localisation |
|---|---|---|
| Google Ireland Ltd. | Authentification (OAuth 2.0) | UE / États-Unis (DPF) |
| Supabase Inc. | Authentification, base de données, stockage | UE (région Francfort) |
| Cloudflare Inc. | CDN, DNS, protection | Mondial (DPF) |
| Railway Corp. | Hébergement applicatif backend | États-Unis (DPF) |
| PostHog Inc. | Mesure d’audience produit | UE (option EU Cloud) |
Lorsqu’un transfert hors UE a lieu, il est encadré par les Clauses contractuelles types de la Commission européenne et, le cas échéant, par l’adhésion du sous-traitant au cadre Data Privacy Framework (DPF) UE-États-Unis.
6. Vos droits
Conformément aux articles 15 à 22 du RGPD, vous disposez d’un droit d’accès, de rectification, d’effacement, de limitation, d’opposition et de portabilité sur vos données. Vous pouvez également définir des directives relatives à leur sort après votre décès.
Pour exercer ces droits, écrivez à [email protected]. MGroupe répond dans un délai maximal d’un mois. En cas de désaccord, vous pouvez adresser une réclamation à la CNIL ( cnil.fr).
7. Sécurité
Les données sont chiffrées en transit (TLS 1.2 ou supérieur) et au repos chez Supabase. L’accès aux systèmes de production est restreint et journalisé. MGroupe procède régulièrement à des revues de dépendances et à une rotation des secrets. En cas de violation de données susceptible d’engendrer un risque pour les personnes concernées, MGroupe notifiera la CNIL dans les 72 heures et informera, le cas échéant, les utilisateurs concernés.
8. Cookies
Le Service utilise uniquement des cookies strictement nécessaires (session d’authentification Supabase, préférence d’interface). Aucun cookie publicitaire ni cookie de mesure d’audience tiers n’est déposé sur la partie publique du site. Les évènements PostHog sont collectés après authentification, dans le cadre de la mesure d’audience produit décrite à l’article 2.3.
9. Limitation d’usage des données Google
L’utilisation par Koulis des informations reçues des API Google respecte la Google API Services User Data Policy, y compris les exigences relatives à l’usage limité (Limited Use). Les données Google ne sont jamais transférées à des tiers à des fins publicitaires, ne sont jamais utilisées pour de la publicité ciblée et ne sont jamais lues par un humain, sauf consentement explicite de l’utilisateur, nécessité opérationnelle stricte (sécurité, support) ou obligation légale.
10. Modifications
MGroupe peut faire évoluer la présente politique. Toute modification substantielle sera notifiée aux utilisateurs par email ou par une bannière dans le Service au moins 15 jours avant son entrée en vigueur.