Politique de confidentialité — Pilot
Dernière mise à jour : 29 juin 2026
BRAIKE — service Pilot (AI Ad Manager)
La présente politique décrit comment Braike traite vos données personnelles en qualité de responsable de traitement lorsque vous accédez au Service ou l’utilisez (« Politique de confidentialité » ou « Politique ») et font partie des CGV entre vous et Braike. La présente Politique est rédigée conformément au Règlement (UE) 2016/679 (« RGPD ») et à la loi « Informatique et Libertés » n° 78-17 modifiée.
1. Qui sommes-nous ?
Responsable de traitement : BRAIKE, SAS au capital de 20 000 euros, siège 18 bis rue de Villiers, 92300 Levallois-Perret, immatriculée au R.C.S. de Nanterre sous le n°106 573 983.
Référent données personnelles : Edris PAIKAN — contact@braike.com.
En ce qui concerne le traitement des données de vos propres clients par Braike aux fins de la fourniture du Service, vous (ou votre client dans le cas où vous intervenez en qualité de sous-traitant d’un tiers responsable de traitement desdites données) restez responsable de ce traitement et nous agissons comme sous-traitant au sens de l’art. 28 RGPD, dans les conditions prévues dans l’Accord de traitement des données entre Braike et vous (« DPA »).
2. Quelles données collectons-nous ?
2.1 Données de compte. Adresse email, identifiant, nom et profil OAuth ; espace(s) de travail et rôle (owner/admin/editor/viewer).
2.2 Données de connexion aux plateformes. Jetons OAuth chiffrés (AES-GCM) ; comptes publicitaires connectés (identifiant externe, nom, devise, fuseau).
2.3 Conversations et IA. Contenu des conversations (texte et requêtes vocales du mode Pilot Call, réponses de l’IA) ; documents fournis pour le contexte (RAG) et leurs représentations vectorielles (embeddings).
2.4 Usage et journaux. Journal d’audit des actions (auteur, outil, plateforme, niveau de risque, paramètres avec secrets caviardés, résultat, durée, adresse IP, horodatage), évènements et compteurs d’usage (crédits), stratégies, automations et prompts planifiés, erreurs du mode vocal.
2.5 Données techniques. Adresses IP, agent utilisateur (user-agent), identifiants de session et métadonnées techniques, notamment journalisés dans le registre d’audit des actions.
Données sensibles : aucune catégorie particulière de données personnelles n’est nécessaire pour utiliser le Service. Le Client s’empêche expressément de fournir toutes données sensibles à Braike.
3. Pourquoi collectons-nous vos données ?
| Finalité | Base légale (art. 6 RGPD) | Données concernées |
|---|---|---|
| Création et gestion du compte et des espaces de travail | Exécution du contrat | Compte, profil, rôles |
| Connexion aux comptes publicitaires | Exécution du contrat | Jetons OAuth |
| Gestion publicitaire et exécution d’actions | Exécution du contrat | Données de campagne, journaux d’audit |
| Assistance par l’IA conversationnelle et vocale | Exécution du contrat | Contenu des conversations, documents RAG |
| Mesure d’usage et gestion des crédits | Exécution du contrat | Évènements et compteurs d’usage |
| Facturation et abonnement | Exécution du contrat / obligation légale (comptable) | Données de facturation |
| Sécurité, journalisation, prévention des abus | Exécution du contrat / Intérêt légitime | Journaux, données de connexion |
| Amélioration de nos produits ou développement de nouveaux produits, par exemple à des fins de recherches ou pour générer des statistiques agrégées et anonymes | Intérêt légitime | Données d’usage agrégées, statistiques agrégées et dé-identifiées, feedback |
4. Décision automatisée et profilage
Braike ne met en œuvre aucune décision entièrement automatisée produisant des effets juridiques à votre égard ou vous affectant de manière significative au sens de l’article 22 du RGPD. L’outil d’assistance par IA fournit des analyses et suggestions soumises à votre validation ; aucune action n’est appliquée sans votre intervention.
5. Avec qui partageons-nous vos données ?
| Destinataire | Rôle | Localisation | Garantie de transfert |
|---|---|---|---|
| Supabase | Base de données, authentification, temps réel, stockage | Union européenne (infra. AWS) | Pas de transfert hors UE |
| Vercel Inc. | Hébergement application (front + API) | États-Unis | DPF certifié |
| Google Cloud (Cloud Run) | Microservices MCP (connecteurs) | Union européenne (europe-west1, Dublin) | DPA Google ; pas de transfert hors UE |
| Google LLC (Gemini) | IA conversationnelle et vocale | États-Unis | DPF (à confirmer sur la liste) |
| Google Ads / Meta / TikTok | Lecture et écriture des campagnes | États-Unis / Chine (TikTok) | Consentement OAuth ; DPF (Google, Meta) ; CCT + TIA (TikTok) |
| Resend Inc. | Emails transactionnels | États-Unis | DPF certifié |
| Upstash | Cache, rate limiting, vecteurs | Union européenne | Pas de transfert hors UE |
| Inngest Inc. | Jobs planifiés (rafraîchissement des jetons) | États-Unis | CCT + TIA (non certifié DPF) |
| E2B | Bac à sable d’exécution de code isolé (fonctions avancées) | États-Unis [à confirmer] | CCT + TIA ; DPA à vérifier |
| Connecteurs optionnels (GA4, GSC, CRM, Gmail…) | Activés à la demande de l’utilisateur | Variable | Consentement OAuth ; DPF/CCT selon le cas |
6. Transferts hors UE
Nos bases de données (Supabase), nos microservices de connecteurs (Google Cloud Run, Dublin) et notre cache (Upstash) sont situés dans l’Union européenne. Des transferts hors EEE interviennent vers :
États-Unis : Vercel et Resend sont certifiés sous le Data Privacy Framework (DPF) ; Google et Meta y participent ; Inngest et E2B ne sont pas certifiés et relèvent des clauses contractuelles types (CCT, UE 2021/914), complétées d’une analyse d’impact des transferts;
Chine (TikTok / ByteDance) : CCT, complétées d’une analyse d’impact des transferts et de mesures renforcées.
7. Combien de temps conservons-nous vos données ?
| Type de données | Durée de conservation |
|---|---|
| Compte et espaces de travail | Durée du contrat, puis suppression sous 30 jours après résiliation (sous réserve du respect par Braike de ses obligations légales) |
| Jetons OAuth | Tant que la connexion est active ; supprimés à la déconnexion |
| Contenu des conversations et documents RAG | Durée du compte + 12 mois |
| Données de facturation | 10 ans (obligation comptable, art. L.123-22 C. com.) |
| Journaux d’audit et de sécurité | 6 à 12 mois |
8. Vos droits
Vous disposez des droits d’accès, de rectification, d’effacement, de limitation, de portabilité, d’opposition et de retrait du consentement, ainsi que du droit de définir des directives post-mortem. Vous les exercez auprès de contact@braike.com ; nous répondons sous un mois. Vous pouvez également introduire une réclamation auprès de la CNIL (www.cnil.fr).
9. Cookies
L’utilisation de tout cookie relatif au Service par Braike est régie par la Politique de cookies.
10. Sécurité
Authentification à deux facteurs (TOTP), HTTPS/TLS, chiffrement des jetons OAuth au repos (AES-256-GCM), isolation des données par espace de travail (Row-Level Security PostgreSQL) interdisant la lecture des jetons côté client, journal d’audit non falsifiable des actions avec caviardage des secrets, disjoncteur, limitation de débit et quotas, gestion des secrets côté serveur.
11. Modification de la présente politique
Braike peut modifier toute stipulation de la présente Politique à tout moment, y-compris notamment pour refléter une évolution légale, technique ou fonctionnelle, sous réserve de notifier le Client de toute modification substantielle au moins trente (30) jours avant l’entrée en vigueur de ladite modification. En cas de refus d’acceptation de toute modification, le Client a la faculté de résilier le Contrat dans les conditions prévues aux CGV. La date de la dernière version en vigueur figure en tête de la présente Politique.
12. Nous contacter
Email / données personnelles : contact@braike.com — Adresse : 18 bis rue de Villiers, 92300 Levallois-Perret.