Privacy Policy

POLITIQUE DE CONFIDENTIALITÉ
Site internet wedely.com et application mobile Wedely
Dernière mise à jour : 29 avril 2026

1. Identité du responsable du traitement
La présente politique s'applique aux traitements de données à caractère personnel effectués par :

Wedely S.à r.l.
Société à responsabilité limitée de droit luxembourgeois
Siège social : 5, rue Aldringen, L-1118 Luxembourg
RCS Luxembourg : B233559
TVA intracommunautaire : LU31754380

Délégué à la protection des données (DPO) : privacy@wedely.com

2. Cadre normatif
Le traitement des données à caractère personnel par Wedely est régi par :
  • le Règlement (UE) 2016/679 du 27 avril 2016 (« RGPD ») ;
  • la loi luxembourgeoise du 1er août 2018 portant organisation de la Commission nationale pour la protection des données et du régime général sur la protection des données ;
  • la loi modifiée du 30 mai 2005 relative aux communications électroniques (relative aux cookies et autres traceurs) ;
  • les lignes directrices et recommandations de la CNPD et de l'EDPB.
3. Données traitées et finalités
Wedely traite vos données à caractère personnel dans la stricte mesure nécessaire aux finalités indiquées. Les données que nous traitons proviennent :
  • De vous-même : lorsque vous créez un compte, passez une commande, laissez un avis, contactez le service client ou choisissez de vous connecter via un service de connexion externe (Google, Apple) ;
  • De votre terminal : lorsque vous utilisez le site ou l'application, nous collectons automatiquement certaines informations techniques (adresse IP, type de terminal, navigateur, système d'exploitation, paramètres de connexion, identifiants anonymes) ;
  • De services tiers que vous avez explicitement liés à votre compte : lorsque vous choisissez de vous inscrire ou de vous connecter via un compte social, nous recevons du prestataire externe uniquement les informations minimales nécessaires à l'authentification (nom et e-mail). Nous ne récupérons ni ne conservons les autres informations que le prestataire pourrait rendre disponibles (photo de profil, contacts, contenus partagés, etc.).
Ci-dessous, les catégories de données traitées avec les finalités, bases légales et durées de conservation correspondantes :

Identification
Finalité : création et gestion de votre compte client
Base légale : exécution du contrat (art. 6.1.b RGPD)   •   Conservation : durée du compte + 3 ans après la dernière activité
Coordonnées (adresse de livraison, numéro de téléphone)
Finalité : préparation, livraison et suivi des commandes
Base légale : exécution du contrat (art. 6.1.b RGPD)   •   Conservation : 10 ans (obligation comptable)
Données de transaction (commandes, factures)
Finalité : facturation, traçabilité, comptabilité
Base légale : obligation légale fiscale et comptable (art. 6.1.c RGPD)   •   Conservation : 10 ans à compter de la facture
Données de paiement
Finalité : paiement de la commande — traitées par Stripe (certifié PCI-DSS) ; Wedely ne conserve pas les numéros de carte
Base légale : exécution du contrat (art. 6.1.b RGPD)   •   Conservation : selon la politique du prestataire de paiement
Adresse IP, identifiant du terminal, journaux de connexion
Finalité : sécurité, prévention de la fraude, journalisation
Base légale : intérêt légitime (art. 6.1.f RGPD)   •   Conservation : 12 mois
Avis et commentaires
Finalité : publication des avis, amélioration des services
Base légale : intérêt légitime (art. 6.1.f RGPD)   •   Conservation : aussi longtemps que le contenu est utile à la finalité
Données de navigation et cookies
Finalité : mesure d'audience, marketing (avec consentement)
Base légale : consentement pour les cookies non essentiels (art. 6.1.a RGPD)   •   Conservation : 13 mois maximum
Adresse e-mail (newsletter)
Finalité : envoi d'informations commerciales
Base légale : consentement (art. 6.1.a RGPD)   •   Conservation : jusqu'au retrait du consentement
Données du formulaire de contact
Finalité : réponse aux demandes
Base légale : intérêt légitime (art. 6.1.f RGPD)   •   Conservation : 3 ans à compter du dernier échange

Notre site peut contenir des liens vers des sites tiers. La présente politique s'applique exclusivement aux données traitées par Wedely ; nous vous invitons à consulter les politiques de confidentialité de ces sites tiers.

4. Destinataires et sous-traitants
Pour les finalités indiquées ci-dessus, vos données peuvent être communiquées :

Aux fins de l'exécution du contrat et de la livraison de votre commande :
  • Restaurant partenaire chargé de la préparation : il reçoit via son système d'impression le contenu de la commande, votre nom, l'adresse de livraison, le numéro de téléphone, les éventuelles instructions d'accès (interphone) et les notes que vous avez saisies — informations nécessaires pour préparer correctement la commande et vous contacter en cas de besoin.
  • Coursier indépendant chargé de la livraison : il reçoit votre nom, l'adresse de livraison (textuelle), le numéro de téléphone, les éventuelles instructions d'accès et le contenu de la commande, dans la stricte mesure nécessaire à la bonne remise de la livraison.
À des prestataires techniques agissant en qualité de sous-traitants :
  • LeaseWeb Deutschland GmbH (Francfort, Allemagne — UE) — hébergement principal et infrastructure technique du site wedely.com ;
  • Amazon Web Services (AWS, UE) — services accessoires de stockage cloud (par exemple pour les images et les fichiers) ;
  • Google LLC et Google Ireland Ltd. — services bureautiques (Google Workspace), cartographie (Google Maps Platform), mesure d'audience (Google Analytics 4) et authentification (Google Sign-In) ;
  • Apple Inc. (États-Unis) — authentification via « Sign in with Apple » (site et application mobile) et, limitée à l'application mobile, mesure d'attribution des installations provenant de l'App Store ;
  • Stripe Payments Europe Ltd. (Irlande / États-Unis) — prestataire de services de paiement certifié PCI-DSS, agissant en tant que responsable autonome pour les fonctions de prévention de la fraude ;
  • Brevo (ex Sendinblue, France) — envoi d'e-mails transactionnels et de newsletters ;
  • Twilio Inc. (États-Unis) — envoi de SMS de notification ;
  • Meta Platforms Ireland Ltd. (Facebook, États-Unis) et Microsoft Ireland Operations Ltd. (Bing Ads, États-Unis) — services de publicité en ligne, activés exclusivement avec votre consentement préalable aux cookies marketing ;
  • Hotjar Ltd. / Contentsquare (États-Unis / UE) — outils d'analyse de l'expérience utilisateur, activés exclusivement avec votre consentement préalable aux cookies fonctionnels.
  • OpenAI Ireland Ltd. (Irlande / États-Unis) — fournit le modèle de langage alimentant l'assistant conversationnel du service client (voir section 9). Les données qui lui sont transmises sont pseudonymisées en amont par la substitution du nom, prénom, téléphone, adresse civique, nom d'interphone et notes de livraison par des marqueurs opaques : l'assistant travaille donc sur un contexte dépourvu d'identifiants directs. OpenAI Ireland Ltd. agit en qualité de sous-traitant au sens de l'art. 28 RGPD sur la base du Data Processing Addendum signé avec Wedely, n'utilise pas les données API pour entraîner ses modèles et applique une conservation technique maximale de 30 jours à des fins de prévention des abus.
La liste actualisée des sous-traitants et de leurs accords DPA est disponible sur demande à privacy@wedely.com. À des destinataires à des fins légales :
  • Administration des contributions luxembourgeoise (DAC7 — Directive (UE) 2021/514) ;
  • Autorités judiciaires ou administratives, sur demande légalement fondée.
5. Transferts hors de l'Union européenne
Certains de nos prestataires techniques sont établis ou peuvent traiter vos données dans des pays tiers à l'Union européenne, notamment aux États-Unis (Google, Apple, Stripe, Twilio, Meta, Microsoft, Hotjar/Contentsquare). Dans ce cas, le transfert est encadré :
  • soit par la décision d'adéquation EU-US Data Privacy Framework (Décision d'exécution (UE) 2023/1795 du 10 juillet 2023), lorsque le destinataire y est valablement certifié ;
  • soit par les clauses contractuelles types adoptées par la Décision d'exécution (UE) 2021/914, complétées le cas échéant par des mesures supplémentaires conformément à la jurisprudence Schrems II et aux Recommandations 01/2020 EDPB.
6. Cookies et traceurs
Lors de votre première visite, une bannière vous informe de la présence de cookies et vous permet de refuser, d'accepter ou de personnaliser votre choix. Les cookies strictement nécessaires sont déposés sans consentement ; les cookies fonctionnels, de mesure d'audience non exemptée et marketing ne sont déposés qu'avec votre consentement préalable.

Vous pouvez à tout moment modifier vos préférences sur la page wedely.com/cookies_consent. La liste détaillée des cookies est disponible dans notre Politique en matière de cookies.

7. Vos droits
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :
  • Droit d'accès à vos données et d'en obtenir une copie ;
  • Droit de rectification des données inexactes ou incomplètes ;
  • Droit à l'effacement de vos données dans les cas prévus par l'article 17 du RGPD ;
  • Droit à la limitation du traitement ;
  • Droit à la portabilité de vos données dans un format structuré et lisible par machine ;
  • Droit d'opposition au traitement, en particulier pour les finalités de marketing direct ;
  • Droit de retirer à tout moment votre consentement, sans que cela n'affecte la licéité des traitements antérieurs ;
  • Droit de ne pas faire l'objet d'une décision exclusivement automatisée produisant des effets juridiques à votre égard ou vous affectant de manière significative.
Wedely peut utiliser des outils automatisés pour améliorer le service (par exemple pour vous suggérer des restaurants pertinents, acheminer votre commande vers le coursier le plus proche, prévenir les fraudes et les abus). Nous ne prenons pas de décisions exclusivement automatisées produisant des effets juridiques significatifs à votre égard : toute décision affectant vos droits contractuels (par exemple suspension du compte ou refus d'une commande) fait l'objet d'une intervention humaine.

Pour exercer vos droits, contactez notre DPO à l'adresse privacy@wedely.com en indiquant votre nom, l'adresse e-mail associée à votre compte Wedely et le droit que vous souhaitez exercer. Votre demande sera traitée dans un délai d'un mois à compter de la vérification de votre identité, prorogeable de deux mois pour les demandes complexes (art. 12.3 RGPD). Nous pourrions vous demander des informations supplémentaires pour confirmer votre identité à des fins de sécurité.

Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la Commission nationale pour la protection des données (CNPD) : https://cnpd.public.lu, 15 boulevard du Jazz, L-4370 Belvaux.

8. Marketing direct
Vous avez le droit de vous opposer à tout moment au traitement de vos données à des fins de marketing direct, y compris le profilage éventuellement effectué à des fins de marketing. Vous pouvez le faire :
  • en cliquant sur le lien « Se désabonner » figurant au bas de chaque e-mail commercial que vous recevez ;
  • en mettant à jour vos préférences dans les paramètres de votre compte Wedely ;
  • en écrivant à privacy@wedely.com.
L'opposition au marketing direct est gratuite et prend effet immédiatement. Vous continuerez à recevoir uniquement les communications de service strictement nécessaires à l'exécution des commandes (confirmations, notifications de livraison, factures).

8.1. Profilage et personnalisation
Pour vous offrir une expérience utile et pertinente, Wedely effectue les niveaux de traitement suivants :
  • Personnalisation du site et de l'application : nous utilisons votre historique de commandes et vos interactions pour vous suggérer des restaurants pertinents et améliorer l'expérience de navigation (base légale : intérêt légitime) ;
  • Segmentation des communications : si vous avez consenti à la newsletter, nous pouvons vous envoyer des offres sélectionnées en fonction de vos intérêts et habitudes de commande (base légale : consentement) ;
  • Suivi publicitaire cross-site : si vous avez accepté les cookies marketing, nos partenaires publicitaires (Meta, Google Ads, Microsoft Bing Ads) et les identifiants publicitaires mobiles (IDFA/AAID) nous permettent de mesurer l'efficacité de nos campagnes et de vous afficher des annonces pertinentes sur d'autres sites et applications que vous visitez (base légale : consentement aux cookies marketing).
Ce que nous ne faisons PAS : nous n'effectuons pas de décisions automatisées à haut risque (par exemple scores sociaux, scores de crédit, exclusion automatique du compte, évaluations discriminatoires). Toute décision affectant vos droits contractuels fait toujours l'objet d'une révision humaine.

Vous avez le droit de vous opposer à tout moment au profilage effectué à des fins de marketing direct, selon les mêmes modalités décrites ci-dessus (lien de désabonnement dans les e-mails, paramètres du compte, e-mail au DPO).

9. Communications d'assistance (chatbot et chat)
Wedely met à votre disposition plusieurs outils d'assistance accessibles depuis le site et l'application :
  • Assistant conversationnel (chatbot) basé sur l'intelligence artificielle. Lorsque vous contactez le service client depuis le site ou l'application, vos questions sont traitées par un modèle de langage fourni par OpenAI Ireland Ltd. (modèle actuellement utilisé : GPT de la famille o-mini, susceptible d'être mis à jour). Afin de limiter l'exposition de vos données personnelles, avant tout envoi au modèle nous appliquons une pseudonymisation automatique : nom, prénom, numéro de téléphone, adresse civique, nom d'interphone et notes de livraison sont remplacés par des marqueurs opaques (par exemple <<NOM>>, <<TELEPHONE>>) ; la valeur réelle n'est réintroduite que dans la réponse que vous lisez, côté Wedely. L'assistant reçoit donc uniquement les informations opérationnelles nécessaires pour vous répondre (code commande, restaurant, statut de livraison, distance du coursier, montants, etc.) mais non les identifiants directs de votre identité. Le chatbot fournit des informations et ne prend pas de décisions produisant des effets juridiques à votre égard au sens de l'art. 22 RGPD : remboursements, annulations et modifications de commande sont toujours gérés par du personnel humain. Vous pouvez à tout moment demander à parler à un opérateur en tapant « humain » ou en utilisant le formulaire de la page contacts.
  • Messages libres liés à une commande. Pour signaler un problème ou demander de l'aide, vous pouvez envoyer un bref message libre (maximum 256 caractères) lié à une commande spécifique. Le message est conservé avec la commande à des fins de traçabilité et de gestion des éventuels litiges et peut être lu par notre personnel d'assistance.
  • Chat avec le coursier pendant la livraison. Du moment où un coursier prend en charge votre commande jusqu'à la livraison, il peut communiquer avec vous via un chat in-app limité à l'exécution de la livraison. Le chat reste consultable pendant une courte période après la commande pour la gestion des éventuelles contestations et n'est pas traité par des systèmes d'intelligence artificielle.
Base légale du chatbot IA. Exécution du contrat et mesures précontractuelles (art. 6.1.b RGPD) pour les demandes liées à une commande en cours, et intérêt légitime (art. 6.1.f RGPD) à fournir une assistance évolutive et à réduire les délais de réponse, mis en balance avec la pseudonymisation automatique et la possibilité de passer à tout moment à un opérateur humain. Transferts. Si OpenAI Ireland Ltd. traite les données en dehors de l'Espace économique européen, le transfert est couvert par le Data Privacy Framework et/ou les clauses contractuelles types (SCC) prévues par l'art. 46 RGPD. Conservation. Les conversations avec le chatbot sont conservées dans nos systèmes avec la commande de référence pour la durée de conservation correspondante ; OpenAI Ireland Ltd. conserve les données API pendant 30 jours au maximum à des fins exclusives de prévention des abus et ne les utilise pas pour entraîner ses modèles. Distinction avec la section 11. L'intégration optionnelle avec des assistants IA externes (Model Context Protocol) décrite à la section 11 est un canal séparé que vous activez en connectant un connecteur à votre assistant IA personnel : il ne reçoit ni ne lit le contenu des conversations d'assistance décrites ici.

10. Sécurité
Wedely met en œuvre des mesures techniques et organisationnelles appropriées pour garantir la sécurité de vos données : chiffrement des communications en transit, gestion stricte des accès, sauvegardes régulières, journalisation des activités, sensibilisation du personnel et tests de sécurité périodiques.

Mesures de sécurité et prévention des fraudes. Afin de protéger le service contre les abus et les accès automatisés, Wedely applique des contrôles techniques (CAPTCHA plus strict, limitation de la fréquence des SMS de vérification, vérification supplémentaire) dont l'intensité varie en fonction d'indicateurs statistiques de risque — notamment la géolocalisation approximative de l'adresse IP, utilisée comme signal de risque et non comme donnée d'état civil relative à la nationalité. Base juridique : art. 6.1.f RGPD (intérêt légitime à la prévention des fraudes). Ces contrôles ne constituent pas une décision automatisée au sens de l'art. 22 RGPD ; en cas de blocage automatique, nous garantissons l'intervention d'un opérateur humain en écrivant à info@wedely.com. Vous pouvez vous opposer au traitement en vertu de l'art. 21 RGPD à privacy@wedely.com. Les critères de risque reposent sur des données statistiques d'abus et non sur la nationalité en tant que telle.

11. Intégration avec des assistants IA (Model Context Protocol)
Wedely propose une intégration optionnelle avec des assistants IA tiers via le Model Context Protocol (MCP). L'intégration est strictement opt-in et ne s'active que si vous connectez explicitement Wedely en tant que connecteur personnalisé dans votre assistant IA.

Aucun accès à votre compte Wedely. L'intégration ne lit pas votre nom, e-mail, téléphone, adresses enregistrées, moyens de paiement, historique de commandes ni aucune donnée de votre profil Wedely. Chaque session de commande IA est anonyme de notre côté, identifiée uniquement par un jeton aléatoire opaque généré pour la seule tentative de commande.

Ce que nous recevons via MCP. L'assistant IA nous envoie exclusivement les données opérationnelles nécessaires à la construction de la commande, c'est-à-dire celles que vous avez vous-même saisies dans la conversation : adresse de livraison (et coordonnées géocodifiées associées), contenu du panier, horaire de livraison choisi, un jeton de session aléatoire et un identifiant anonyme de la plateforme IA utilisée.

Ce que nous retournons. En réponse aux appels de l'assistant IA, Wedely fournit uniquement des informations publiques (noms et adresses des restaurants, menus, prix, horaires, options de livraison). Aucune donnée à caractère personnel d'aucun utilisateur n'est jamais incluse dans les réponses MCP.

Conservation. La session temporaire IA est conservée pendant 2 heures d'inactivité au maximum, après quoi elle expire automatiquement ; les sessions expirées sont supprimées dans les 24 heures. Si vous confirmez la commande sur wedely.com, la commande est créée sur votre compte conformément à la section 3 de la présente politique. Si aucune commande n'est confirmée, la session et son contenu sont supprimés à l'expiration et ne font jamais partie d'un compte utilisateur.

Responsables distincts et transferts internationaux. Le prestataire de l'assistant IA est un responsable du traitement autonome pour la conversation que vous avez avec son outil. Wedely et le prestataire de l'assistant IA ne sont pas co-responsables ni liés par une relation au titre de l'art. 28 RGPD. Lorsque le prestataire opère en dehors de l'Espace économique européen, les données que vous saisissez dans l'assistant IA sont traitées conformément à sa politique de confidentialité et à ses mécanismes de transfert (DPF, clauses contractuelles types). Wedely ne transfère pas vos données à caractère personnel au prestataire de l'assistant IA.

Base légale. Mesures précontractuelles à votre demande (art. 6.1.b RGPD) combinées au consentement explicite (art. 6.1.a RGPD), exprimé en connectant le connecteur MCP. Vous pouvez retirer votre consentement à tout moment en supprimant le connecteur dans les paramètres de votre assistant IA. Aucune prise de décision exclusivement automatisée au titre de l'art. 22 RGPD : les commandes sont toujours confirmées manuellement par vous sur wedely.com.

12. Contenus générés ou retouchés avec l'intelligence artificielle
Certaines images illustratives publiées sur le site et l'application — notamment les photos des plats et des catégories de cuisine — peuvent être générées ou retouchées avec des outils d'intelligence artificielle. Ces images ont une finalité purement illustrative : elles représentent une idée visuelle du plat et ne constituent pas une photographie exacte du produit livré, qui peut différer pour l'assaisonnement, le dosage, les ingrédients ou la présentation.

Contrôle humain. Toutes les images générées ou retouchées avec IA font l'objet d'une relecture éditoriale humaine de la part de l'équipe Wedely (ou du restaurant/magasin partenaire) avant leur publication.

Aucune donnée personnelle des clients. Pour produire ces images, Wedely communique à ses fournisseurs IA exclusivement la description textuelle du plat, du produit, de la cuisine ou du magasin et de la scène photographique. Aucune donnée personnelle de clients n'est communiquée et aucun visage ou personne réelle n'est représenté.

13. Modifications de la présente politique
Wedely peut modifier la présente politique pour refléter une évolution réglementaire, technique ou organisationnelle. Toute modification substantielle est portée à votre connaissance par voie d'avis sur le site ou par e-mail.

14. Contact
Pour toute question relative à la présente politique :
  • E-mail : privacy@wedely.com
  • Adresse postale : Wedely S.à r.l. — DPO, 5, rue Aldringen, L-1118 Luxembourg