Politique de protection des données personnelles
Dernière mise à jour : 25 mars 2026
1. Qui est le responsable de traitement ?
La société Brain Security SAS, immatriculée au RCS de Paris sous le numéro 918 391 905, dont le siège social est situé au 229 rue Saint-Honoré, 75001 Paris, France (ci-après « Brain ») est responsable des traitements de données personnelles réalisés via le site startbrain.ai et la plateforme Brain.
Dans le cadre de l’utilisation de la plateforme par les collaborateurs d’une organisation cliente, Brain agit en qualité de sous-traitant (au sens du RGPD). L’organisation cliente est alors le responsable de traitement.
Pour toute question : contact@startbrain.ai
2. Quelles données personnelles sont traitées ?
Données collectées via le site startbrain.ai
| Donnée | Source | Finalité |
|---|---|---|
| Adresse email professionnelle | Formulaire de demande de démo | Envoi de l’accès démo et suivi commercial |
| Nom de l’entreprise | Formulaire de demande de démo | Personnalisation de la démo |
| Secteur d’activité | Formulaire de demande de démo | Personnalisation du contenu |
| Taille de l’entreprise | Formulaire de demande de démo | Qualification commerciale |
| Adresse IP, navigateur, pages visitées | Navigation sur le site | Mesure d’audience, amélioration du site |
| Préférences cookies | Bandeau de consentement | Respect de vos choix |
Données collectées via l’espace démo
| Donnée | Source | Finalité |
|---|---|---|
| Code d’accès et mot de passe | Générés automatiquement | Authentification de l’accès démo |
| Exercices complétés, scores | Utilisation de la démo | Démonstration du fonctionnement de la plateforme |
| Personnalisations (secteur, thème, texte libre) | Choix du prospect | Adaptation du contenu |
| Événements de navigation (connexion, clics) | Utilisation de la démo | Suivi commercial (notifications internes) |
Données collectées via la plateforme (collaborateurs des organisations clientes)
| Donnée | Source | Finalité |
|---|---|---|
| Nom, prénom, email professionnel | Fourni par l’organisation cliente | Création et gestion du compte |
| Fonction, département, groupe | Fourni par l’organisation cliente | Attribution des parcours |
| Exercices complétés, scores, temps passé | Utilisation de la plateforme | Suivi de progression |
| Données de connexion | Utilisation de la plateforme | Sécurité et journalisation |
3. Pourquoi vos données sont-elles traitées ?
| Finalité | Base légale |
|---|---|
| Envoi de l’accès démo personnalisé | Consentement (formulaire) |
| Notification interne lors de l’utilisation de la démo | Intérêt légitime (suivi commercial) |
| Envoi d’email avec les identifiants de connexion | Exécution de la demande (consentement) |
| Génération de contenu personnalisé via IA (Gemini) | Intérêt légitime (démonstration produit) |
| Création et gestion des comptes utilisateurs | Exécution du contrat |
| Délivrance des exercices et calcul des scores | Exécution du contrat |
| Reporting et statistiques pour l’organisation cliente | Intérêt légitime |
| Mesure d’audience du site (Google Analytics, Clarity) | Consentement (cookies) |
| Suivi des pages visitées (HubSpot) | Consentement (cookies) |
| Amélioration de la plateforme | Intérêt légitime |
| Respect des obligations légales | Obligation légale |
4. Qui peut accéder à vos données ?
Vos données personnelles sont accessibles par :
- Les collaborateurs habilités de Brain Security
- Votre employeur (administrateur de la plateforme) : données de progression et scores agrégés par groupe
- Nos sous-traitants techniques :
| Sous-traitant | Service | Localisation des données |
|---|---|---|
| Google Cloud (Cloud Run, Firestore) | Hébergement et base de données | Europe (Belgique) |
| Google (Gemini API) | Génération de contenu IA | UE / États-Unis* |
| SendGrid (Twilio) | Envoi d’emails transactionnels | États-Unis* |
| Slack (Salesforce) | Notifications internes | États-Unis* |
| Google Analytics | Mesure d’audience | États-Unis* |
| Microsoft Clarity | Analyse ergonomique | États-Unis* |
| HubSpot | CRM et suivi commercial | États-Unis* |
* Transferts encadrés par les clauses contractuelles types de la Commission européenne et, le cas échéant, par le EU-US Data Privacy Framework.
Brain ne vend pas vos données personnelles à des tiers. Brain ne partage pas vos données de navigation avec des tiers à des fins publicitaires.
5. Comment vos données sont-elles protégées ?
Brain met en œuvre les mesures techniques et organisationnelles suivantes :
- Chiffrement des données en transit (TLS/HTTPS) et au repos
- Authentification par mot de passe haché (bcrypt) et jetons de session signés (JWT)
- Hébergement en Europe sur Google Cloud Run (région europe-west1)
- Contrôle d’accès strict et journalisation
- Validation des entrées côté serveur (protection contre les injections)
- Limitation du nombre de requêtes par email (anti-abus)
- Champ honeypot pour la protection anti-spam
6. Combien de temps vos données sont-elles conservées ?
| Type de données | Durée de conservation |
|---|---|
| Données de demande de démo (email, entreprise) | 3 ans |
| Données d’accès démo (code, mot de passe, exercices) | Durée de validité de la démo (14 jours par défaut) + 3 mois |
| Données de compte et de progression (plateforme) | Durée du contrat + 1 an |
| Données de facturation | 10 ans (obligation comptable) |
| Cookies et traceurs | 13 mois maximum |
| Statistiques anonymisées | Durée illimitée |
7. Quels sont vos droits ?
Conformément au RGPD, vous disposez des droits suivants :
- Droit d’accès : obtenir une copie de vos données
- Droit de rectification : corriger vos données inexactes
- Droit à l’effacement : demander la suppression de vos données
- Droit à la limitation : restreindre le traitement
- Droit à la portabilité : recevoir vos données dans un format structuré
- Droit d’opposition : vous opposer au traitement fondé sur l’intérêt légitime
- Droit de retrait du consentement : retirer votre consentement à tout moment
Pour exercer vos droits : contact@startbrain.ai
Délai de réponse : 1 mois. Vous pouvez introduire une réclamation auprès de la CNIL (www.cnil.fr).
8. Cookies et traceurs
Pour les informations relatives aux cookies et traceurs utilisés sur startbrain.ai, veuillez consulter notre Politique de cookies.
9. Intelligence artificielle
Brain utilise l’API Gemini (Google) pour générer du contenu personnalisé dans le cadre des espaces démo. Les données transmises à l’API sont limitées au secteur, au thème et au texte libre saisi par le prospect. Aucune donnée personnelle identifiante n’est transmise à l’API de génération.
10. Liens vers des sites tiers
Le site peut contenir des liens vers des sites tiers (HubSpot pour la prise de rendez-vous). Brain n’est pas responsable des pratiques de confidentialité de ces sites.
11. Modifications de cette politique
Brain peut mettre à jour cette politique. En cas de modification substantielle, vous serez informé par email ou via la plateforme. La date de dernière mise à jour figure en haut de cette page.
12. Nous contacter
Brain Security SAS 229 rue Saint-Honoré, 75001 Paris, France Email : contact@startbrain.ai SIREN : 918 391 905