Politique de Confidentialité

1. Introduction

Brandesk accorde une grande importance à la protection de vos données personnelles. Cette politique de confidentialité vous informe sur la manière dont nous collectons, utilisons, stockons et protégeons vos données personnelles conformément au Règlement Général sur la Protection des Données (RGPD) et à la loi Informatique et Libertés.

2. Responsable du traitement

Le responsable du traitement des données personnelles est :

METEORA
Éditeur de Brandesk
Email : privacy@brandesk.io
Site web : https://www.brandesk.io

3. Données collectées

Nous collectons différentes catégories de données personnelles en fonction de votre utilisation de nos services :

3.1 Données d'identification

• Nom et prénom
• Adresse email professionnelle
• Nom de l'entreprise
• Fonction ou titre professionnel
• Numéro de téléphone professionnel

3.2 Données de connexion

• Identifiant de compte Google Workspace ou Microsoft 365
• Adresse IP
• Logs de connexion
• Type de navigateur et système d'exploitation

3.3 Données d'utilisation

• Templates de signatures créés
• Paramètres de configuration
• Statistiques d'utilisation (clics sur bannières, déploiements)
• Historique des modifications

3.4 Données synchronisées

• Liste des utilisateurs de votre workspace (nom, email, département)
• Structure organisationnelle (groupes, services)
• Photos de profil (si disponibles)

4. Finalités du traitement

Vos données personnelles sont collectées et traitées pour les finalités suivantes :

4.1 Fourniture du service

• Création et gestion de votre compte utilisateur
• Authentification et sécurisation de l'accès
• Déploiement et gestion des signatures email
• Synchronisation avec Google Workspace ou Microsoft 365
• Support technique et assistance

4.2 Amélioration du service

• Analyse des usages et statistiques d'utilisation
• Correction de bugs et optimisation des performances
• Développement de nouvelles fonctionnalités

4.3 Communication

• Envoi de notifications relatives au service
• Information sur les mises à jour et nouvelles fonctionnalités
• Réponse à vos demandes de support
• Envoi de newsletters (avec votre consentement explicite)

4.4 Obligations légales

• Facturation et comptabilité
• Respect des obligations fiscales
• Réponse aux demandes des autorités compétentes

5. Base légale du traitement

Le traitement de vos données personnelles repose sur les bases légales suivantes :

5.1 Exécution du contrat

Le traitement des données nécessaires à la fourniture du service (compte, authentification, déploiement de signatures) est fondé sur l'exécution du contrat vous liant à Brandesk.

5.2 Intérêt légitime

Certains traitements sont fondés sur notre intérêt légitime :

• Amélioration et optimisation du service
• Sécurité et prévention de la fraude
• Analyses statistiques

5.3 Consentement

Certains traitements nécessitent votre consentement explicite :

• Cookies non essentiels
• Communications marketing et newsletters

5.4 Obligations légales

Nous traitons certaines données pour respecter nos obligations légales (comptabilité, fiscalité, etc.).

6. Durée de conservation

Vos données personnelles sont conservées pour la durée nécessaire aux finalités pour lesquelles elles sont traitées :

6.1 Données de compte

• Compte actif : Pendant toute la durée de votre abonnement
• Après résiliation : 30 jours (possibilité de réactivation), puis suppression définitive
• Logs de connexion : 12 mois maximum

6.2 Données de facturation

• Factures et données comptables : 10 ans (obligation légale)

6.3 Données de support

• Échanges de support : 3 ans après la dernière interaction

6.4 Données marketing

• Newsletters : Jusqu'à votre désinscription + 3 ans maximum

À l'expiration de ces délais, vos données sont soit supprimées définitivement, soit anonymisées de manière irréversible.

7. Destinataires des données

7.1 Personnel autorisé

Vos données sont accessibles par les employés de METEORA strictement habilités, dans la limite de leurs attributions respectives (support, développement, administration).

7.2 Sous-traitants

Nous faisons appel à des sous-traitants de confiance pour la fourniture du service :

• Hébergement : OVH SAS (France) - Hébergement des données et infrastructure
• Paiement : Stripe (certifié PCI-DSS) - Traitement des paiements
• Email transactionnel : Service d'envoi d'emails (notifications, support)
• Analytics : Outils d'analyse d'usage (données anonymisées)

7.3 APIs tierces

Brandesk se connecte aux APIs officielles de Google et Microsoft pour déployer les signatures :

• Google Workspace : Via Google Admin SDK et Gmail API
• Microsoft 365 : Via Microsoft Graph API

Ces connexions sont sécurisées via OAuth 2.0 et ne transmettent que les données strictement nécessaires au fonctionnement du service.

7.4 Autorités légales

Nous pouvons être amenés à divulguer vos données aux autorités compétentes en cas de demande légale ou pour protéger nos droits.

7.5 Pas de vente de données

8. Sécurité des données

La sécurité de vos données est notre priorité absolue. Nous mettons en œuvre des mesures techniques et organisationnelles conformes aux standards les plus élevés de l'industrie et aux exigences du RGPD.

8.1 Classification des données

Nous classons les données selon leur niveau de sensibilité pour appliquer les protections appropriées :

• Données hautement sensibles : Tokens OAuth, secrets API, données d'authentification
• Données sensibles : Informations personnelles (nom, email, fonction), logs contenant des adresses IP
• Données opérationnelles : Templates de signatures, configurations, statistiques anonymisées

8.2 Chiffrement des données

8.2.1 Chiffrement en transit

• TLS 1.3 obligatoire : Toutes les communications entre votre navigateur et nos serveurs utilisent le protocole TLS 1.3 (ou TLS 1.2 minimum)
• HSTS activé : HTTP Strict Transport Security pour forcer les connexions HTTPS
• Perfect Forward Secrecy (PFS) : Protection contre le déchiffrement rétroactif
• APIs externes : Communications avec Google Workspace et Microsoft 365 via OAuth 2.0 sur HTTPS exclusivement

8.2.2 Chiffrement au repos

• Chiffrement AES-256 : Toutes les données hautement sensibles (tokens OAuth, secrets) sont chiffrées en AES-256-GCM
• Base de données : Chiffrement transparent des données (TDE) au niveau du système de fichiers
• Sauvegardes : Sauvegardes quotidiennes chiffrées avec AES-256 et stockées dans une région géographique distincte (France)
• Gestion des clés : Rotation automatique des clés de chiffrement tous les 90 jours, clés maîtres stockées dans un coffre-fort sécurisé (Hardware Security Module compatible)

8.3 Contrôle d'accès et authentification

8.3.1 Authentification utilisateur

• OAuth 2.0 / OpenID Connect : Authentification déléguée via Google ou Microsoft, aucun mot de passe stocké par Brandesk
• MFA disponible : Authentification multi-facteurs (2FA) recommandée et disponible
• Sessions sécurisées : Tokens de session avec expiration automatique (24h), révocation instantanée à la déconnexion
• Protection CSRF : Tous les formulaires et requêtes protégés contre les attaques CSRF

8.3.2 Contrôle d'accès interne (personnel Brandesk)

• Principe du moindre privilège : Chaque employé n'a accès qu'aux données strictement nécessaires à sa fonction
• RBAC (Role-Based Access Control) : Système de rôles et permissions granulaires
• Authentification forte obligatoire : MFA imposée pour tous les employés ayant accès aux systèmes de production
• VPN sécurisé : Accès aux systèmes de production uniquement via VPN avec certificats clients
• Logs d'accès : Traçabilité complète de tous les accès aux données (qui, quand, quoi) conservés 12 mois
• Révocation immédiate : Suppression automatique des accès dans les 2 heures suivant un départ d'employé

8.4 Protection réseau et infrastructure

• Segmentation réseau : Isolation des bases de données dans des réseaux privés sans accès Internet direct
• Firewall applicatif (WAF) : Protection contre les attaques OWASP Top 10 (injection SQL, XSS, etc.)
• DDoS protection : Mitigation automatique des attaques par déni de service
• IDS/IPS : Système de détection et prévention d'intrusion en temps réel
• Scan de vulnérabilités : Analyses automatisées hebdomadaires et tests de pénétration annuels par auditeurs externes
• Liste blanche IP : Restrictions d'accès aux interfaces d'administration

8.5 Minimisation et pseudonymisation

• Minimisation des données : Nous ne collectons que les données strictement nécessaires à la fourniture du service
• Pseudonymisation : Les données d'analyse (statistiques, métriques) sont pseudonymisées - les identifiants personnels sont remplacés par des identifiants techniques
• Anonymisation : Les données analytiques agrégées sont rendues totalement anonymes (impossible de ré-identifier les personnes)
• Suppression automatique : Purge automatique des logs et données temporaires selon les durées de rétention définies

8.6 Sécurité des développements

• Développement sécurisé (SSDLC) : Méthodologie de développement intégrant la sécurité dès la conception (Security by Design)
• Revue de code : Revue systématique du code par au moins deux développeurs
• Tests de sécurité automatisés : SAST (analyse statique) et DAST (analyse dynamique) dans la pipeline CI/CD
• Gestion des dépendances : Scan automatique des vulnérabilités dans les bibliothèques tierces, mises à jour régulières
• Secrets management : Aucun secret, clé API ou mot de passe dans le code source, utilisation d'un gestionnaire de secrets dédié

8.7 Sauvegarde et continuité d'activité

• Sauvegardes automatiques : Sauvegardes complètes quotidiennes + sauvegardes incrémentales toutes les 6 heures
• Rétention : Conservation de 30 jours de sauvegardes glissantes
• Chiffrement : Toutes les sauvegardes sont chiffrées AES-256 avant stockage
• Tests de restauration : Procédures de restauration testées mensuellement
• Géo-réplication : Sauvegardes stockées dans deux datacenters distincts en France (Paris et Strasbourg)
• RTO/RPO : Objectif de temps de restauration de 4h, perte maximale de données de 6h (clients Enterprise : RTO 1h, RPO 1h)

8.8 Surveillance et détection

• Monitoring 24/7 : Surveillance continue des systèmes, serveurs, applications et bases de données
• Alertes automatiques : Notifications en temps réel en cas d'anomalie (tentatives de connexion suspectes, pics d'utilisation, erreurs critiques)
• SIEM : Centralisation et analyse des logs de sécurité pour détecter les comportements anormaux
• Indicateurs de compromission : Surveillance active des indicateurs de cyberattaques (IoC)
• Threat intelligence : Veille sur les nouvelles menaces et vulnérabilités

8.9 Mesures organisationnelles

• Politique de sécurité documentée : Procédures formalisées et régulièrement mises à jour
• Formation continue : Sensibilisation obligatoire de tous les employés à la sécurité et à la protection des données (RGPD, cybersécurité) - sessions trimestrielles
• NDA (accord de confidentialité) : Tous les employés et sous-traitants signent des accords de confidentialité stricts
• Vérification des antécédents : Contrôle des références pour les employés ayant accès aux données sensibles
• Comité de sécurité : Réunions mensuelles pour évaluer les risques et ajuster les mesures
• Plan de réponse aux incidents (IRP) : Procédure documentée et testée pour réagir rapidement en cas de violation

8.10 Audits et certifications

• Audits internes : Audits de sécurité trimestriels réalisés par notre équipe sécurité
• Audits externes : Tests de pénétration annuels par des sociétés spécialisées indépendantes
• Conformité ISO 27001 : Hébergement dans des datacenters certifiés ISO 27001 (sécurité de l'information)
• Conformité RGPD : Processus et contrôles vérifiés pour assurer la conformité continue au RGPD
• SOC 2 (en cours) : Certification SOC 2 Type II en cours d'obtention pour les clients Enterprise

8.11 Notification de violation

En cas de violation de données personnelles susceptible de présenter un risque pour vos droits et libertés, nous nous engageons à :

• Détection rapide : Systèmes de surveillance permettant la détection d'incidents sous 1 heure
• Notification CNIL : Notification à la CNIL dans les 72 heures suivant la découverte de la violation
• Notification utilisateurs : Information des utilisateurs concernés dans les meilleurs délais (sous 72h) avec détail de la nature de la violation, des données concernées et des mesures prises
• Mesures correctives : Mise en œuvre immédiate de mesures pour limiter l'impact et prévenir de nouvelles violations
• Documentation : Tenue d'un registre des violations conformément au RGPD
• Post-mortem : Analyse approfondie de chaque incident pour améliorer nos procédures

8.12 Datacenter et infrastructure certifiés

Nos serveurs sont hébergés chez OVH SAS dans des datacenters certifiés situés en France :

• Certifications : ISO 27001 (Sécurité de l'information), ISO 50001 (Énergie)
• Localisation : Datacenters basés à Paris et Strasbourg (France, Union Européenne)
• Souveraineté : Vos données ne quittent jamais le territoire de l'Union Européenne
• Sécurité physique : Contrôle d'accès biométrique, vidéosurveillance 24/7, équipes de sécurité sur site
• Redondance : Alimentation électrique redondante (UPS + groupes électrogènes), connexions réseau multiples
• Haute disponibilité : SLA de disponibilité de 99,9% (99,99% pour clients Enterprise)
• Climatisation : Systèmes de refroidissement redondants pour éviter la surchauffe

9. Vos droits

Conformément au RGPD, vous disposez des droits suivants sur vos données personnelles :

9.1 Droit d'accès

Vous pouvez obtenir une copie de toutes les données personnelles que nous détenons sur vous, ainsi que des informations sur leur traitement.

9.2 Droit de rectification

Vous pouvez demander la correction de données inexactes ou incomplètes. La plupart des informations peuvent être modifiées directement depuis votre espace client.

9.3 Droit à l'effacement ("droit à l'oubli")

Vous pouvez demander la suppression de vos données personnelles dans certains cas :

• Les données ne sont plus nécessaires au regard des finalités
• Vous retirez votre consentement
• Vous vous opposez au traitement
• Les données ont été traitées illicitement

Note : Certaines données peuvent être conservées pour respecter nos obligations légales (facturation, comptabilité).

9.4 Droit à la limitation du traitement

Vous pouvez demander de limiter le traitement de vos données dans certaines situations (contestation de l'exactitude, traitement illicite, etc.).

9.5 Droit à la portabilité

Vous pouvez récupérer vos données dans un format structuré, couramment utilisé et lisible par machine (JSON, CSV) et les transmettre à un autre responsable de traitement.

9.6 Droit d'opposition

Vous pouvez vous opposer à tout moment :

• Au traitement de vos données à des fins de marketing direct
• Au traitement fondé sur notre intérêt légitime

9.7 Droit de retirer votre consentement

Pour les traitements basés sur le consentement, vous pouvez le retirer à tout moment sans affecter la licéité des traitements antérieurs.

9.8 Directives post-mortem

Vous pouvez définir des directives concernant le sort de vos données après votre décès.

9.9 Comment exercer vos droits

Pour exercer l'un de ces droits, vous pouvez :

• Envoyer un email à notre DPO : dpo@brandesk.io
• Utiliser les fonctionnalités disponibles dans votre espace client

Nous nous engageons à répondre à votre demande dans un délai d'un mois maximum. Ce délai peut être prolongé de deux mois si nécessaire, compte tenu de la complexité de la demande.

9.10 Droit de réclamation

Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la CNIL :

Commission Nationale de l'Informatique et des Libertés (CNIL)
3 Place de Fontenoy
TSA 80715
75334 PARIS CEDEX 07
France
www.cnil.fr

10. Cookies et traceurs

10.1 Qu'est-ce qu'un cookie ?

Un cookie est un petit fichier texte déposé sur votre terminal (ordinateur, smartphone, tablette) lors de la visite d'un site web. Il permet de mémoriser des informations relatives à votre navigation.

10.2 Cookies utilisés par Brandesk

Cookies strictement nécessaires (pas de consentement requis)

• Session d'authentification : Maintien de votre connexion
• Sécurité : Protection CSRF, prévention des attaques
• Préférences essentielles : Langue, région

Durée de conservation : Session ou 30 jours maximum

Cookies de performance et analytics (consentement requis)

• Google Analytics : Statistiques d'utilisation anonymisées
• Métriques internes : Analyse des fonctionnalités utilisées

Ces cookies nous aident à améliorer le service. Vous pouvez les refuser sans impact sur le fonctionnement.

Durée de conservation : 13 mois maximum

Cookies marketing (consentement requis)

Brandesk n'utilise actuellement aucun cookie de marketing ou publicité comportementale.

10.3 Gestion des cookies

Vous pouvez gérer vos préférences de cookies :

• Via notre bandeau de cookies : Lors de votre première visite ou dans les paramètres
• Via votre navigateur : Paramètres de confidentialité de votre navigateur

Configuration par navigateur

• Chrome : Paramètres > Confidentialité et sécurité > Cookies
• Firefox : Paramètres > Vie privée et sécurité > Cookies
• Safari : Préférences > Confidentialité > Cookies
• Edge : Paramètres > Confidentialité > Cookies

10.4 Google Analytics

Nous utilisons Google Analytics avec les paramètres suivants :

• Anonymisation des adresses IP activée
• Partage de données avec Google désactivé
• Données utilisées uniquement pour nos analyses internes

Vous pouvez également installer l'extension Google Analytics Opt-out pour désactiver complètement le suivi.

11. Modifications de la politique

Nous nous réservons le droit de modifier cette politique de confidentialité à tout moment pour refléter :

• L'évolution de nos pratiques en matière de données
• Les changements de réglementation
• Les évolutions du service

Notification des changements

En cas de modification substantielle :

• La date de "Dernière mise à jour" en haut de cette page sera actualisée
• Vous serez notifié par email au moins 30 jours avant l'entrée en vigueur
• Un consentement explicite pourra être demandé si nécessaire

Nous vous encourageons à consulter régulièrement cette page pour rester informé de nos pratiques de confidentialité.

12. Contact