Politique de confidentialité — Pilot

Dernière mise à jour : 29 juin 2026

BRAIKE — service Pilot (AI Ad Manager)

La présente politique décrit comment Braike traite vos données personnelles en qualité de responsable de traitement lorsque vous accédez au Service ou l’utilisez (« Politique de confidentialité » ou « Politique ») et font partie des CGV entre vous et Braike. La présente Politique est rédigée conformément au Règlement (UE) 2016/679 (« RGPD ») et à la loi « Informatique et Libertés » n° 78-17 modifiée.

1. Qui sommes-nous ?

Responsable de traitement : BRAIKE, SAS au capital de 20 000 euros, siège 18 bis rue de Villiers, 92300 Levallois-Perret, immatriculée au R.C.S. de Nanterre sous le n°106 573 983.

Référent données personnelles : Edris PAIKAN — contact@braike.com.

En ce qui concerne le traitement des données de vos propres clients par Braike aux fins de la fourniture du Service, vous (ou votre client dans le cas où vous intervenez en qualité de sous-traitant d’un tiers responsable de traitement desdites données) restez responsable de ce traitement et nous agissons comme sous-traitant au sens de l’art. 28 RGPD, dans les conditions prévues dans l’Accord de traitement des données entre Braike et vous (« DPA »).

2. Quelles données collectons-nous ?

2.1 Données de compte. Adresse email, identifiant, nom et profil OAuth ; espace(s) de travail et rôle (owner/admin/editor/viewer).

2.2 Données de connexion aux plateformes. Jetons OAuth chiffrés (AES-GCM) ; comptes publicitaires connectés (identifiant externe, nom, devise, fuseau).

2.3 Conversations et IA. Contenu des conversations (texte et requêtes vocales du mode Pilot Call, réponses de l’IA) ; documents fournis pour le contexte (RAG) et leurs représentations vectorielles (embeddings).

2.4 Usage et journaux. Journal d’audit des actions (auteur, outil, plateforme, niveau de risque, paramètres avec secrets caviardés, résultat, durée, adresse IP, horodatage), évènements et compteurs d’usage (crédits), stratégies, automations et prompts planifiés, erreurs du mode vocal.

2.5 Données techniques. Adresses IP, agent utilisateur (user-agent), identifiants de session et métadonnées techniques, notamment journalisés dans le registre d’audit des actions.

Données sensibles : aucune catégorie particulière de données personnelles n’est nécessaire pour utiliser le Service. Le Client s’empêche expressément de fournir toutes données sensibles à Braike.

3. Pourquoi collectons-nous vos données ?

FinalitéBase légale (art. 6 RGPD)Données concernées
Création et gestion du compte et des espaces de travailExécution du contratCompte, profil, rôles
Connexion aux comptes publicitairesExécution du contratJetons OAuth
Gestion publicitaire et exécution d’actionsExécution du contratDonnées de campagne, journaux d’audit
Assistance par l’IA conversationnelle et vocaleExécution du contratContenu des conversations, documents RAG
Mesure d’usage et gestion des créditsExécution du contratÉvènements et compteurs d’usage
Facturation et abonnementExécution du contrat / obligation légale (comptable)Données de facturation
Sécurité, journalisation, prévention des abusExécution du contrat / Intérêt légitimeJournaux, données de connexion
Amélioration de nos produits ou développement de nouveaux produits, par exemple à des fins de recherches ou pour générer des statistiques agrégées et anonymesIntérêt légitimeDonnées d’usage agrégées, statistiques agrégées et dé-identifiées, feedback

4. Décision automatisée et profilage

Braike ne met en œuvre aucune décision entièrement automatisée produisant des effets juridiques à votre égard ou vous affectant de manière significative au sens de l’article 22 du RGPD. L’outil d’assistance par IA fournit des analyses et suggestions soumises à votre validation ; aucune action n’est appliquée sans votre intervention.

5. Avec qui partageons-nous vos données ?

DestinataireRôleLocalisationGarantie de transfert
SupabaseBase de données, authentification, temps réel, stockageUnion européenne (infra. AWS)Pas de transfert hors UE
Vercel Inc.Hébergement application (front + API)États-UnisDPF certifié
Google Cloud (Cloud Run)Microservices MCP (connecteurs)Union européenne (europe-west1, Dublin)DPA Google ; pas de transfert hors UE
Google LLC (Gemini)IA conversationnelle et vocaleÉtats-UnisDPF (à confirmer sur la liste)
Google Ads / Meta / TikTokLecture et écriture des campagnesÉtats-Unis / Chine (TikTok)Consentement OAuth ; DPF (Google, Meta) ; CCT + TIA (TikTok)
Resend Inc.Emails transactionnelsÉtats-UnisDPF certifié
UpstashCache, rate limiting, vecteursUnion européennePas de transfert hors UE
Inngest Inc.Jobs planifiés (rafraîchissement des jetons)États-UnisCCT + TIA (non certifié DPF)
E2BBac à sable d’exécution de code isolé (fonctions avancées)États-Unis [à confirmer]CCT + TIA ; DPA à vérifier
Connecteurs optionnels (GA4, GSC, CRM, Gmail…)Activés à la demande de l’utilisateurVariableConsentement OAuth ; DPF/CCT selon le cas

6. Transferts hors UE

Nos bases de données (Supabase), nos microservices de connecteurs (Google Cloud Run, Dublin) et notre cache (Upstash) sont situés dans l’Union européenne. Des transferts hors EEE interviennent vers :

États-Unis : Vercel et Resend sont certifiés sous le Data Privacy Framework (DPF) ; Google et Meta y participent ; Inngest et E2B ne sont pas certifiés et relèvent des clauses contractuelles types (CCT, UE 2021/914), complétées d’une analyse d’impact des transferts;

Chine (TikTok / ByteDance) : CCT, complétées d’une analyse d’impact des transferts et de mesures renforcées.

7. Combien de temps conservons-nous vos données ?

Type de donnéesDurée de conservation
Compte et espaces de travailDurée du contrat, puis suppression sous 30 jours après résiliation (sous réserve du respect par Braike de ses obligations légales)
Jetons OAuthTant que la connexion est active ; supprimés à la déconnexion
Contenu des conversations et documents RAGDurée du compte + 12 mois
Données de facturation10 ans (obligation comptable, art. L.123-22 C. com.)
Journaux d’audit et de sécurité6 à 12 mois

8. Vos droits

Vous disposez des droits d’accès, de rectification, d’effacement, de limitation, de portabilité, d’opposition et de retrait du consentement, ainsi que du droit de définir des directives post-mortem. Vous les exercez auprès de contact@braike.com ; nous répondons sous un mois. Vous pouvez également introduire une réclamation auprès de la CNIL (www.cnil.fr).

9. Cookies

L’utilisation de tout cookie relatif au Service par Braike est régie par la Politique de cookies.

10. Sécurité

Authentification à deux facteurs (TOTP), HTTPS/TLS, chiffrement des jetons OAuth au repos (AES-256-GCM), isolation des données par espace de travail (Row-Level Security PostgreSQL) interdisant la lecture des jetons côté client, journal d’audit non falsifiable des actions avec caviardage des secrets, disjoncteur, limitation de débit et quotas, gestion des secrets côté serveur.

11. Modification de la présente politique

Braike peut modifier toute stipulation de la présente Politique à tout moment, y-compris notamment pour refléter une évolution légale, technique ou fonctionnelle, sous réserve de notifier le Client de toute modification substantielle au moins trente (30) jours avant l’entrée en vigueur de ladite modification. En cas de refus d’acceptation de toute modification, le Client a la faculté de résilier le Contrat dans les conditions prévues aux CGV. La date de la dernière version en vigueur figure en tête de la présente Politique.

12. Nous contacter

Email / données personnelles : contact@braike.com — Adresse : 18 bis rue de Villiers, 92300 Levallois-Perret.