Politique de Confidentialité

1. Informations que Nous Collectons

Informations de Compte. Lorsque vous créez un compte BrickGRC, nous collectons votre nom, adresse email, nom d'organisation et rôle. Si vous vous inscrivez ou vous connectez via OAuth/SSO (comme Google ou Microsoft), nous recevons également votre identifiant utilisateur du fournisseur et, le cas échéant, l'URL de votre photo de profil. Si vous rejoignez via une invitation, nous traitons le jeton d'invitation et les détails de l'organisation qui vous a invité.

Données de Conformité. Au fur et à mesure que vous utilisez la plateforme, nous stockons les données de conformité que vous créez : engagements, évaluations de contrôles, scores de maturité, progression des jalons, réponses aux éléments de travail, configurations de rapports et annonces du marketplace. Nous stockons également les documents que vous téléchargez comme preuves (politiques, rapports d'audit, certificats et autres fichiers).

Données de l'Annuaire des Employés. Si votre organisation configure une intégration d'annuaire des employés (comme Azure AD, Google Workspace, Okta, JumpCloud, BambooHR, Workday, Rippling ou un fournisseur SCIM), nous synchronisons et stockons les enregistrements des employés incluant noms, adresses email, numéros de téléphone, départements, titres de poste et données de hiérarchie organisationnelle. Ces données peuvent inclure des individus qui ne sont pas des utilisateurs directs de BrickGRC. Voir la Section 12 pour les détails.

Données Techniques et de Journal d'Audit. Nous collectons automatiquement des données techniques incluant l'adresse IP, le type et la version du navigateur, la chaîne user agent, le système d'exploitation, le type d'appareil, les pages visitées dans l'application, les patterns d'utilisation des fonctionnalités et les horodatages de vos interactions. Nous maintenons des journaux d'audit qui enregistrent les actions des utilisateurs dans la plateforme (comme les connexions, les modifications de données et les changements de configuration) ainsi que l'adresse IP et le user agent associés. Les métadonnées des clés API (date de création, horodatage de dernière utilisation et scopes associés) sont également enregistrées.

2. Comment Nous Utilisons Vos Informations

Nous utilisons vos informations pour exploiter la plateforme BrickGRC : authentifier votre identité, appliquer les contrôles d'accès basés sur les rôles (RBAC) au sein de votre organisation (Admin, Auditeur, Éditeur, Observateur), traiter les workflows de conformité, générer des rapports de maturité, gérer les opérations du marketplace, délivrer des notifications par webhook et dans l'application, traiter les demandes commerciales et maintenir les journaux d'audit à des fins de sécurité et de conformité.

Lorsque vous utilisez des fonctionnalités alimentées par l'IA — telles que l'intelligence documentaire, la liaison automatique de preuves, la notation de maturité ou l'assistant IA — des portions pertinentes de vos données de conformité et documents téléchargés sont traitées par des fournisseurs d'IA comme décrit dans les Sections 3 à 5 ci-dessous.

Nous ne vendons, ne louons ni ne partageons vos informations personnelles avec des tiers à des fins de publicité ou de marketing. Nous ne diffusons pas de publicités dans la plateforme.

3. Traitement IA et Fournisseurs d'IA Tiers

BrickGRC utilise l'intelligence artificielle pour alimenter plusieurs fonctionnalités principales : Intelligence Documentaire — analyse des documents téléchargés pour la pertinence de conformité et extraction d'informations structurées ; Liaison Automatique de Preuves — mise en correspondance automatique des documents avec les contrôles et exigences applicables ; Notation de Maturité — évaluation de la maturité organisationnelle par rapport aux exigences de la grille du référentiel à l'aide de l'analyse IA ; et l'Assistant IA — assistance guidée à la conformité et réponses aux questions sur votre posture de conformité.

Dans le cadre de ces opérations, BrickGRC génère et stocke des embeddings vectoriels du contenu de vos documents pour la recherche par similarité et la mise en correspondance des preuves. Le fournisseur d'embeddings par défaut est Google Gemini. Si l'API d'embeddings de Google n'est pas disponible, la plateforme recourt à l'API d'Anthropic pour la génération d'embeddings. Les embeddings sont stockés de manière persistante et associés aux données de votre organisation.

Vous pouvez configurer votre propre fournisseur d'IA via le système « Bricks » de la plateforme en connectant une clé API d'OpenAI, Anthropic, Google Gemini, Cohere ou Mistral. Dans ce cas, les requêtes IA pour les opérations de chat et d'analyse sont envoyées à ce fournisseur selon votre propre accord API, et leurs politiques de confidentialité et conditions de traitement des données respectives s'appliquent.

Si vous ne configurez pas de fournisseur d'IA, ou si votre fournisseur configuré n'est pas disponible, la plateforme utilise son moteur d'IA par défaut comme décrit dans la Section 4.

4. Moteur d'IA par Défaut — Google Gemini

Lorsqu'aucune intégration IA configurée par l'utilisateur n'est active, BrickGRC traite les requêtes IA en utilisant l'API Gemini de Google (actuellement le modèle gemini-2.5-flash) sous la propre clé API de BrickGRC.

Google traite les données soumises via l'API Gemini conformément aux Conditions d'Utilisation de l'API de Google et aux Conditions de Service Supplémentaires d'IA Générative de Google. Pour l'utilisation payante de l'API, Google déclare ne pas utiliser les données API des clients pour entraîner ses modèles de base. Cependant, Google peut temporairement enregistrer les requêtes API pour la surveillance des abus, l'application de la sécurité, le débogage et la fiabilité du service, et ces journaux peuvent être conservés pour une période limitée comme décrit dans les conditions de Google.

BrickGRC ne contrôle pas le traitement interne des données de Google au-delà de ce qui est spécifié dans leurs conditions API. Si vous avez besoin de contrôles plus stricts sur la façon dont vos données sont traitées par l'IA — par exemple, pour satisfaire des exigences réglementaires spécifiques ou des politiques internes de gouvernance des données — vous devriez configurer votre propre fournisseur d'IA avec un fournisseur dont les conditions répondent à vos besoins.

BrickGRC se réserve le droit de changer le fournisseur du moteur d'IA par défaut à tout moment. Nous mettrons à jour cette Politique de Confidentialité pour refléter tout changement et notifierons les utilisateurs via la plateforme.

5. Données Envoyées aux Fournisseurs d'IA

Lorsque les fonctionnalités IA sont invoquées, nous envoyons les données nécessaires pour l'opération spécifique. Selon la fonctionnalité, cela peut inclure : le contenu textuel complet extrait des documents téléchargés, les noms et descriptions des contrôles de conformité, les données des champs d'éléments et les réponses aux éléments de travail, le texte de la grille de maturité et les critères de notation, le contexte de l'engagement (type de référentiel, noms des jalons) et le prompt ou la question de l'utilisateur lors de l'utilisation de l'assistant IA. Pour l'intelligence documentaire et la liaison automatique de preuves, le contenu complet du document peut être transmis plutôt que des extraits seuls.

Nous n'envoyons pas vos mots de passe de compte, clés API, informations de facturation ou identifiants personnels au-delà de ce qui peut naturellement apparaître dans vos documents de conformité téléchargés ou données de l'annuaire des employés.

Les réponses IA (scores générés, recommandations, résultats d'analyse documentaire, messages de l'assistant) sont stockées dans la plateforme pour alimenter les fonctionnalités et maintenir l'historique des conversations. Les journaux d'interaction IA — y compris les prompts et les réponses — sont conservés comme décrit dans la Section 9.

6. Isolation des Données et Sécurité

Les données de chaque organisation sont stockées dans un environnement de tenant logiquement isolé au niveau de la couche applicative, utilisant une infrastructure de base de données partagée avec une portée stricte par organisation pour toutes les requêtes. Vos données de conformité, documents, configurations et identifiants d'intégration IA ne sont jamais accessibles à d'autres organisations sur la plateforme.

Nous mettons en œuvre les mesures de sécurité suivantes : TLS 1.2 ou supérieur pour toutes les données en transit ; chiffrement au repos pour les données et documents stockés ; chiffrement AES-256-GCM pour les identifiants d'intégration et clés API stockés ; stockage des mots de passe avec hash et sel (bcrypt) ; contrôles d'accès basés sur les rôles (Admin, Auditeur, Éditeur, Observateur) ; et revues de sécurité régulières.

Si vous configurez un backend de stockage externe (comme AWS S3, Azure Blob Storage, Google Drive, Dropbox, SharePoint ou Nextcloud), les documents stockés via cette intégration sont soumis aux propres politiques de chiffrement et de sécurité de ce fournisseur. BrickGRC ne contrôle pas les paramètres de chiffrement des backends de stockage configurés par l'utilisateur.

7. Sous-Traitants Tiers

BrickGRC utilise les sous-traitants principaux suivants pour fournir le Service (toujours actifs) :

Hetzner Online GmbH (Allemagne/UE) — Hébergement applicatif et infrastructure de base de données. Cloudflare, Inc. (États-Unis, avec réseau edge mondial et présence dans l'UE) — CDN, protection DDoS, DNS, stockage d'objets R2 pour les documents et routage email. Resend, Inc. (États-Unis) — Livraison d'emails transactionnels (notifications de compte, demandes commerciales). Google LLC (États-Unis) — Moteur d'IA par défaut (API Gemini) et fournisseur d'embeddings par défaut. Stripe, Inc. (États-Unis) — Traitement des paiements et gestion des abonnements. Grafana Labs (États-Unis) — Télémétrie opérationnelle, surveillance et alertes (métriques d'infrastructure uniquement, pas de contenu client).

Intégrations configurées par l'utilisateur. Lorsque vous configurez une intégration via la plateforme, ce fournisseur devient un sous-traitant pour les données de votre organisation. Vous êtes responsable de l'examen des conditions de traitement des données de ce fournisseur. Les intégrations configurables par l'utilisateur incluent :

Fournisseurs d'IA : OpenAI, Anthropic, Google Gemini (sous votre propre clé), Cohere, Mistral. Stockage de Documents : SharePoint, Nextcloud, AWS S3, Azure Blob Storage, Google Drive, Dropbox. Notifications : Slack, Microsoft Teams, serveurs SMTP personnalisés. Gestion de Projet : Jira, Azure DevOps. Calendriers : Google Calendar, Outlook Calendar. Annuaire des Employés : Azure AD, Google Workspace, Okta, JumpCloud, BambooHR, Workday, Rippling, fournisseurs compatibles SCIM.

8. Cookies et Suivi

Nous utilisons des cookies et jetons strictement essentiels pour l'authentification et le fonctionnement. L'application BrickGRC utilise des jetons de session JWT (JSON Web Token) stockés dans votre navigateur pour l'authentification. Nous stockons également les préférences utilisateur (sélection de langue, thème) localement.

La page d'accueil de BrickGRC (brickgrc.com) charge Google Fonts, qui peut définir des cookies ou enregistrer des requêtes selon la politique de confidentialité de Google. Cloudflare peut définir des cookies pour la détection de bots et des fins de sécurité sur tous les domaines BrickGRC.

Nous n'utilisons pas de cookies publicitaires tiers, de pixels de suivi de réseaux sociaux ou de plateformes d'analyse comportementale. Nous ne prenons pas d'empreintes numériques d'appareils et ne suivons pas les utilisateurs sur d'autres sites web.

9. Conservation des Données

Données de compte et de conformité. Nous conservons vos données tant que votre compte est actif. Lors de la suppression du compte ou de l'organisation, vous disposez de 30 jours pour exporter vos données. Après cette période, toutes vos données — y compris les enregistrements de conformité, les documents téléchargés et la configuration — sont définitivement supprimées de nos systèmes de production dans un délai de 90 jours, y compris les sauvegardes.

Journaux d'interaction IA. BrickGRC stocke les prompts IA, les réponses et les métadonnées d'interaction (y compris les horodatages, l'utilisation de jetons et le fournisseur d'IA utilisé) dans un journal d'interaction interne. Ces journaux sont conservés pour fournir l'historique des conversations dans l'assistant IA, soutenir le dépannage et améliorer le Service. Les journaux d'interaction IA sont supprimés lors de la suppression du compte de votre organisation, selon la même chronologie décrite ci-dessus.

Journaux d'audit. Les journaux d'audit des actions utilisateurs (y compris les adresses IP, les chaînes user agent et les descriptions d'actions) sont conservés jusqu'à 2 ans à des fins de conformité de sécurité et d'investigation d'incidents. Les journaux d'audit peuvent être conservés au-delà de la suppression du compte lorsque requis par des obligations légales ou réglementaires.

Réponses IA en cache. Les réponses IA en cache utilisées pour l'optimisation des performances sont automatiquement purgées de manière continue et ne sont pas conservées au-delà de la période d'expiration du cache.

10. Vos Droits

Selon votre juridiction (y compris en vertu du RGPD, du RGPD du Royaume-Uni et de lois similaires sur la protection des données), vous pouvez avoir le droit de : accéder aux données personnelles que nous détenons à votre sujet ; rectifier des données inexactes ou incomplètes ; effacer vos données personnelles (« droit à l'oubli ») ; recevoir vos données dans un format portable et lisible par machine ; restreindre ou vous opposer à certaines activités de traitement ; retirer votre consentement lorsque le traitement est basé sur le consentement ; et déposer une plainte auprès d'une autorité de contrôle.

Vous pouvez exporter vos données de conformité et documents à tout moment via les fonctionnalités d'exportation de la plateforme, y compris la génération de rapports PDF et la fonctionnalité d'exportation de données dans l'application. Pour exercer tout autre droit, ou pour demander la suppression de votre compte, contactez-nous à [email protected]. Nous répondrons dans un délai de 30 jours (ou dans le délai requis par la loi applicable).

11. Transferts Internationaux de Données

L'infrastructure principale de BrickGRC est hébergée dans l'Union européenne (Hetzner, Allemagne). Cloudflare opère un réseau edge mondial et peut traiter des requêtes dans des emplacements edge dans le monde entier, y compris aux États-Unis. Les fournisseurs d'IA basés aux États-Unis (Google, OpenAI, Anthropic, Cohere) traitent les données aux États-Unis et dans d'autres juridictions où ils maintiennent une infrastructure. Resend, Stripe et Grafana Labs sont des processeurs basés aux États-Unis.

Lorsque vos données sont transférées en dehors de l'UE/EEE, nous nous appuyons sur des garanties appropriées telles que les Clauses Contractuelles Types (CCT), le Cadre de Protection des Données UE-États-Unis ou la participation du sous-traitant à d'autres mécanismes de transfert de données reconnus. Si vous configurez des intégrations gérées par l'utilisateur, les données peuvent être transférées vers les juridictions où ces fournisseurs opèrent.

12. Données de l'Annuaire des Employés

Lorsque votre organisation configure une intégration d'annuaire des employés, BrickGRC synchronise et stocke les informations des employés incluant noms, adresses email, numéros de téléphone, départements et titres de poste. Ces données sont utilisées au sein de la plateforme pour l'attribution de rôles de conformité, la délégation de tâches et les rapports organisationnels.

Les données de l'annuaire des employés peuvent inclure des individus qui ne sont pas des utilisateurs enregistrés de BrickGRC et qui n'ont pas directement consenti au traitement par BrickGRC. La base juridique du traitement de ces données est l'intérêt légitime de votre organisation à gérer efficacement son programme de conformité. Votre organisation, en tant que responsable du traitement, est responsable de s'assurer qu'elle a le droit légal de synchroniser ces données d'employés avec BrickGRC, y compris la fourniture de toute notification requise aux employés concernés en vertu de la loi applicable sur la protection des données.

Les données de l'annuaire des employés sont soumises aux mêmes politiques d'isolation des données, de sécurité et de conservation décrites dans cette Politique de Confidentialité. Elles sont supprimées lorsque l'intégration est retirée ou le compte de l'organisation est supprimé.

13. Vie Privée des Enfants

BrickGRC est une plateforme de conformité interentreprises. Le Service n'est pas destiné aux personnes de moins de 16 ans et nous ne collectons pas sciemment d'informations personnelles auprès d'enfants. Si nous apprenons que nous avons collecté des données d'un enfant de moins de 16 ans, nous les supprimerons rapidement.

14. Notification de Violation de Données

En cas de violation de données personnelles susceptible d'entraîner un risque pour les droits et libertés des individus, BrickGRC notifiera l'autorité de contrôle compétente dans les 72 heures suivant la prise de connaissance de la violation, comme requis par le RGPD.

Lorsque la violation est susceptible d'entraîner un risque élevé pour les individus concernés, nous notifierons également ces individus sans délai injustifié. Les notifications de violation comprendront : une description de la nature de la violation, les catégories et le nombre approximatif d'individus concernés, les conséquences probables et les mesures prises ou proposées pour remédier à la violation et atténuer ses effets.

Nous notifierons également rapidement les organisations clientes concernées afin qu'elles puissent remplir leurs propres obligations réglementaires de notification.

15. Accord de Traitement des Données

Un Accord de Traitement des Données (DPA) conforme à l'article 28 du RGPD est disponible sur demande pour les clients qui en ont besoin. Pour demander un DPA, contactez-nous à [email protected].

16. Modifications de Cette Politique

Nous pouvons mettre à jour cette Politique de Confidentialité pour refléter les changements dans nos pratiques, sous-traitants ou loi applicable. Nous vous informerons des modifications importantes par email ou par un avis visible dans la plateforme au moins 30 jours avant leur entrée en vigueur. Votre utilisation continue du Service après la date d'effet constitue l'acceptation de la politique mise à jour.

17. Contact

Si vous avez des questions concernant cette Politique de Confidentialité, vos données ou souhaitez exercer vos droits, contactez-nous à [email protected].