Politique de confidentialité
Comment Brifay collecte, utilise et protège vos données personnelles.
Dernière mise à jour : 10 avril 2026
Sommaire
1. Responsable de traitement
Le responsable du traitement des données personnelles collectées via l’application et le site web Brifay est :
| Raison sociale | Brifay |
|---|---|
| Forme juridique | Société par actions simplifiée unipersonnelle (SASU) |
| Capital social | 5 000 € |
| Siège social | 15 place Michelet, 37000 Tours, France |
| RCS / SIREN | RCS Tours 105 817 209 |
| SIRET | 105 817 209 00015 |
| N° TVA intracommunautaire | FR30105817209 |
| Code APE / NAF | 58.29C |
| Représentant légal | La société Brifay, représentée par son représentant légal |
| [email protected] |
Le référent protection des données est joignable à l’adresse : [email protected].
2. Données personnelles collectées
Brifay collecte uniquement les données strictement nécessaires au fonctionnement du service de GMAO. Nous ne collectons aucune donnée sensible au sens de l’article 9 du RGPD.
| Catégorie | Données | Caractère |
|---|---|---|
| Compte utilisateur | Email, nom, prénom, téléphone, photo de profil | Email et nom obligatoires ; téléphone et photo facultatifs |
| Authentification | Email, mot de passe (hashé) | Obligatoire |
| Localisation | Coordonnées GPS des sites et bâtiments (saisies manuellement) | Facultatif |
| Médias | Photos et fichiers joints aux demandes de maintenance | Facultatif |
| Messagerie | Messages échangés dans le chat des demandes | Lié à l’utilisation |
| Équipements | Données de suivi des actifs et historique de maintenance | Lié à l’utilisation |
| Notifications | Tokens de notification push, préférences | Lié à l’utilisation |
| Paiement | Traité exclusivement par Stripe — Brifay ne stocke aucune donnée bancaire | Obligatoire pour l’abonnement |
| Données techniques | Adresse IP, type d’appareil, version OS et de l’application | Automatique |
| Support client | Captures d’écran, rapports de bugs via Gleap | Facultatif |
3. Finalités du traitement et bases légales
Chaque traitement de données repose sur une base légale prévue par le RGPD (article 6) :
| Finalité | Base légale |
|---|---|
| Création et gestion du compte utilisateur | Exécution du contrat (art. 6.1.b) |
| Fourniture du service de GMAO (demandes, équipements, maintenance) | Exécution du contrat (art. 6.1.b) |
| Messagerie interne (chat des demandes) | Exécution du contrat (art. 6.1.b) |
| Stockage des pièces jointes | Exécution du contrat (art. 6.1.b) |
| Affichage cartographique (Google Maps) | Exécution du contrat (art. 6.1.b) |
| Notifications push (Firebase) | Intérêt légitime (art. 6.1.f) — informer en temps réel des événements de maintenance. Désactivable dans les paramètres. |
| Facturation et abonnements (Stripe) | Obligation légale (art. 6.1.c) et exécution du contrat (art. 6.1.b) |
| Support client (Gleap) | Intérêt légitime (art. 6.1.f) — améliorer le service et résoudre les problèmes |
| Sécurité et prévention des fraudes | Intérêt légitime (art. 6.1.f) |
| Statistiques et amélioration du service | Intérêt légitime (art. 6.1.f) |
| Respect des obligations légales | Obligation légale (art. 6.1.c) |
Brifay ne procède à aucun profilage ni à aucune décision automatisée produisant des effets juridiques sur les utilisateurs.
4. Destinataires et sous-traitants
Vos données ne sont jamais vendues à des tiers. Elles sont partagées uniquement avec les sous-traitants suivants, contractuellement tenus de ne les traiter que sur instruction de Brifay :
Sous-traitants « produit » (application Brifay)
| Sous-traitant | Rôle | Localisation | Garanties |
|---|---|---|---|
| Supabase | Base de données, authentification, stockage fichiers, Edge Functions | Union européenne | DPA, chiffrement AES-256 |
| Firebase / FCM (Google) | Notifications push mobile | USA / global | EU-US Data Privacy Framework, ISO 27001 |
| Stripe | Paiements et abonnements | UE / USA | PCI-DSS niveau 1, DPA |
| Pennylane | Facturation TVA (synchronisation Stripe) | France (UE) | DPA, conformité comptable FR |
| EmailIt | Emails transactionnels produit (depuis brifay.com) | UE | DPA |
| Gleap | Support client, rapports de bugs | Autriche (UE) | RGPD natif, DPO désigné |
| Sentry | Observabilité erreurs Edge Functions | USA | SCC, pseudonymisation |
| Google Maps | Affichage cartographique | USA / global | EU-US Data Privacy Framework |
Sous-traitants « site et acquisition » (site vitrine + emails marketing warm)
| Sous-traitant | Rôle | Localisation | Garanties |
|---|---|---|---|
| Cloudflare (DNS, Turnstile, Stream, Web Analytics) | DNS des domaines brifay.com et usebrifay.com, anti-bot invisible des formulaires, hébergement et signature de la démo vidéo, statistiques d’audience anonymes du site | Mondial (edge UE prioritaire) | SCC, DPA, hébergement edge UE par défaut |
| Acumbamail | Emails marketing warm uniquement (après consentement explicite) depuis usebrifay.com | Espagne (UE) | DPA, opt-out 1 clic, SPF/DKIM/DMARC |
| PostHog | Analytics produit et site (funnels, identification post-capture), cookie first-party uniquement, pas de cookie tiers | UE (instance EU) | DPA, hashing IP, anonymisation par défaut |
| RADAAR | Publication programmée de contenus de marque sur LinkedIn / YouTube / X / Google Business Profile | USA | SCC ; ne traite que des contenus publics |
| Google Workspace | Boîte collaborative [email protected] (réception des réponses email), agenda de prise de rendez-vous FR | UE / USA | EU-US Data Privacy Framework, DPA |
Sous-traitants « prospection cold » (uniquement si activé)
Les sous-traitants suivants ne sont mobilisés que pour la prospection B2B sortante (cold email), sur la base juridique de l’intérêt légitime (LIA documentée), avec opt-out 1 clic (List-Unsubscribe) systématique. Aucune donnée « produit » client n’y transite.
| Sous-traitant | Rôle | Localisation | Garanties |
|---|---|---|---|
| Apify / Outscraper | Sourcing d’entreprises (sources publiques uniquement, jamais LinkedIn) | UE / global | SCC, sources publiques |
| Dropcontact (ou Pharow) | Enrichissement professionnel nominatif RGPD (B2B uniquement) | France (UE) | DPA, RGPD by design |
| Smartlead | Envoi des emails cold depuis usebrifay.com (boîtes dédiées, isolées de l’envoi warm) | USA | SCC, opt-out 1 clic |
Au sein de Brifay, seules les personnes habilitées (support technique, direction) accèdent aux données dans la limite de leurs fonctions.
Isolation multi-tenant
Chaque organisation utilisant Brifay dispose d’un espace isolé. Un utilisateur ne peut accéder qu’aux données de l’organisation à laquelle il appartient.
5. Transferts hors Union européenne
Certains de nos sous-traitants (Firebase/Google, Stripe, Cloudflare, Sentry, RADAAR, Google Workspace, et — si la prospection cold est activée — Smartlead) peuvent traiter des données aux États-Unis. Ces transferts sont encadrés par :
- Le EU-US Data Privacy Framework (décision d’adéquation de la Commission européenne)
- Les Clauses contractuelles types (SCC) de la Commission européenne
- Des mesures techniques supplémentaires (chiffrement de bout en bout, pseudonymisation)
Votre base de données principale (Supabase) est hébergée dans l’Union européenne. Vous pouvez obtenir une copie des garanties de transfert en contactant [email protected].
6. Durées de conservation
Vos données sont conservées conformément aux recommandations de la CNIL (cycle en trois phases : base active, archivage intermédiaire, suppression) :
| Donnée | Conservation active | Archivage |
|---|---|---|
| Compte utilisateur | Durée de la relation contractuelle | 3 ans après dernière activité |
| Données de maintenance | Durée du contrat | 5 ans après fin du contrat |
| Messages internes | Durée du contrat | 1 an après clôture de la demande |
| Pièces jointes | Durée du contrat | Supprimées avec le compte |
| Données de facturation | Durée du contrat | 10 ans (obligation légale) |
| Logs techniques | 1 an | — |
| Cookies | 13 mois maximum | — |
À l’expiration de ces délais, les données sont supprimées ou anonymisées de manière irréversible. Vous pouvez demander une suppression anticipée, sauf obligations légales contraires.
7. Vos droits
Conformément au RGPD et à la loi Informatique et Libertés, vous disposez des droits suivants :
| Droit | Description |
|---|---|
| Accès (art. 15) | Obtenir la confirmation que vos données sont traitées et en recevoir une copie |
| Rectification (art. 16) | Corriger ou compléter vos données inexactes ou incomplètes |
| Effacement (art. 17) | Demander la suppression de vos données (« droit à l’oubli ») |
| Limitation (art. 18) | Suspendre temporairement le traitement de vos données |
| Portabilité (art. 20) | Recevoir vos données dans un format structuré et lisible (CSV, JSON) |
| Opposition (art. 21) | Vous opposer au traitement fondé sur l’intérêt légitime |
| Retrait du consentement (art. 7) | Retirer votre consentement à tout moment, sans affecter le traitement antérieur |
| Directives post-mortem | Définir des directives relatives au sort de vos données après votre décès (droit français) |
Comment exercer vos droits
- Par email : [email protected]
- Via la page : Supprimer mon compte
Nous répondons dans un délai d’un mois (extensible de deux mois pour les demandes complexes). Une vérification d’identité peut être demandée.
Réclamation auprès de la CNIL
Si vous estimez que le traitement de vos données ne respecte pas la réglementation, vous pouvez déposer une réclamation auprès de la CNIL :
Commission Nationale de l’Informatique et des Libertés
3 Place de Fontenoy, TSA 80715
75334 Paris Cedex 07
www.cnil.fr
8. Cookies et traceurs
Cookies strictement nécessaires
Ces cookies sont indispensables au fonctionnement du service et ne nécessitent pas votre consentement :
- Supabase Auth — session d’authentification, jetons de sécurité
- Stripe — sécurité des transactions et prévention de la fraude
Cookies soumis à consentement
- Firebase Analytics — mesure d’audience et amélioration du service (durée : 13 mois max.)
- Google Maps — affichage de cartes interactives
- Gleap — support technique et retour utilisateur
Gérer vos préférences
Vous pouvez à tout moment modifier vos préférences en matière de cookies via les paramètres de votre navigateur. Le refus des cookies non essentiels ne bloque pas l’accès au service.
9. Sécurité des données
Brifay met en œuvre des mesures techniques et organisationnelles pour protéger vos données conformément à l’article 32 du RGPD :
Mesures techniques
- Chiffrement des données en transit (TLS/HTTPS)
- Chiffrement des données au repos (AES-256)
- Hashage des mots de passe (bcrypt)
- Authentification par jetons JWT
- Sauvegardes automatiques régulières
- Journalisation des accès (audit logs)
- Hébergement dans des centres certifiés SOC 2 et ISO 27001
Mesures organisationnelles
- Accès limité au personnel strictement nécessaire (principe du moindre privilège)
- Politique de mots de passe robustes
- Procédures de gestion des incidents de sécurité
En cas de violation
En cas de violation de données, Brifay notifie la CNIL dans les 72 heures (art. 33 RGPD) et informe les personnes concernées si le risque est élevé (art. 34 RGPD).
10. Protection des mineurs
Brifay est un service professionnel destiné aux entreprises et collectivités (B2B). Le service n’est pas destiné aux personnes de moins de 16 ans. Aucune donnée de mineur n’est collectée intentionnellement.
11. Modifications de la politique
Brifay peut mettre à jour la présente politique de confidentialité. En cas de modification substantielle, nous vous informons par email ou par notification dans l’application. La date de dernière mise à jour est indiquée en tête de cette page.
La présente politique est régie par le droit français. En cas de litige, les tribunaux français sont compétents.
12. Contact
Pour toute question relative à la protection de vos données :
- Email : [email protected]
- Formulaire : Page contact