Skip to content
Protection des données

Déclaration de protection des données

Statut : en cours de rédaction

Ce document est en cours de rédaction

Bricks prépare une déclaration complète de protection des données destinée aux personnes dont les données personnelles sont traitées par les applications construites sur la plateforme — utilisateurs finaux, membres, visiteurs, et toute autre personne dont les données sont collectées par une application hébergée par Bricks. Elle n'est pas encore publiée.

Nous ne taisons pas cette lacune volontairement : une déclaration de protection des données qui décrit mal ce qui se passe réellement est pire que pas de déclaration du tout. Une rédaction correcte exige que nous cartographiions précisément quelles données nous collectons au niveau plateforme sur les utilisateurs finaux (informations de compte BricksID, métadonnées de la vue /account, journaux d'accès en bordure), séparément des données au niveau locataire que chaque responsable collecte via sa propre application, et que nous expliquions les deux en langage clair sans jargon juridique.

Pour être plus précis sur ce qui prend du temps : ce n'est pas la cartographie des données traitées ou des techniques employées — nous connaissons précisément les unes et les autres. Le véritable défi est de rendre cette matière, qui touche à des technologies avancées (multi-locataire, orchestration IA, chiffrement par locataire, déclarations de flux de données), accessible en langage clair à des utilisateurs finaux qui n'ont aucune raison d'être expert(e)s. Comme preuve de bonne foi, le public peut consulter dès aujourd'hui notre Accord de traitement de données : ce document, plus technique par nature, est déjà très complet et publiquement lisible. Nous ne cachons rien — nous travaillons à rendre la même substance lisible pour un public non technique.

Qui est responsable de la protection des données chez Bricks

RainbowTop Softwares SRL n'a pas désigné de Délégué à la protection des données (DPO) au sens formel du RGPD. La désignation d'un DPO n'est obligatoire, en vertu de l'article 37(1) du Règlement (UE) 2016/679, que lorsque :

  • le traitement est effectué par une autorité ou un organisme public (article 37(1)(a)) — RainbowTop Softwares est une société privée, non concernée ;
  • les activités de base consistent en opérations de traitement qui exigent un suivi régulier et systématique à grande échelle des personnes concernées (article 37(1)(b)) — RainbowTop Softwares ne pratique ni surveillance comportementale, ni publicité, ni profilage de ses utilisateurs ;
  • les activités de base consistent en un traitement à grande échelle des catégories particulières de données visées à l'article 9 ou de données relatives à des condamnations et infractions pénales visées à l'article 10 (article 37(1)(c)) — aucune de ces catégories n'est traitée au niveau de la couche BricksID.

En l'absence d'obligation réglementaire de désignation, la responsabilité de la protection des données est assumée à titre personnel par Simon Mulquin, CTO et co-fondateur de RainbowTop Softwares SRL. Cette responsabilité couvre la revue périodique des mesures techniques et organisationnelles de la plateforme, la tenue de la présente Déclaration et de l'Accord de traitement de données, le traitement des demandes d'exercice des droits au titre des articles 12 à 22 du RGPD, et la relation de la plateforme avec ses sous-traitants ultérieurs.

Conflit d'intérêts — transparence. RainbowTop Softwares reconnaît que l'exercice du rôle de DPO de facto par un membre de la direction est en tension avec l'exigence d'indépendance fonctionnelle que l'article 38(6) du RGPD impose à un DPO formellement désigné. À l'échelle actuelle de la société, et en l'absence d'obligation de désignation, cette tension est assumée pour la raison suivante : la fonction doit être tenue par quelqu'un, et dans la structure actuelle Simon Mulquin est, par son rôle et sa formation, le plus qualifié pour le faire — il a déjà exercé ce rôle dans d'autres organisations. Cet arbitrage sera reconsidéré dès lors que la structure ou l'échelle de traitement de RainbowTop Softwares franchira l'un des seuils de l'article 37(1), ou plus tôt si un membre indépendant disponible et qualifié rejoint la société.

Pour toute question relative à la protection des données, écrivez à simon@bricks-softwares.com.

Ce que vous pouvez faire entre-temps

  • Si vous avez un compte BricksID, connectez-vous et consultez /account. La vue « Mes données » affiche chaque champ stocké sur votre compte au niveau plateforme ; « Mes applications » affiche toutes les applications hébergées par Bricks auxquelles vous vous êtes authentifié(e), ainsi que le responsable de chacune.
  • Pour le traitement par application, le responsable de chaque application est responsable de ses propres informations relatives à la protection des données. Cherchez sur le site de l'application elle-même, ou contactez l'organisation qui exploite l'application (ses coordonnées apparaissent dans votre vue /account sous « Mes applications »).
  • Pour les détails techniques au niveau plateforme sur l'isolation, le chiffrement, les sous-traitants ultérieurs, la conservation et la protection des données par l'orchestrateur IA, l'Accord de traitement de données couvre l'ensemble — ce document est rédigé pour un public professionnel mais reste publiquement lisible et peut répondre à la plupart des questions techniques qu'un utilisateur final peut se poser.
  • Adressez vos questions à support@bricks-softwares.com. Nous répondrons aux demandes individuelles des personnes concernées au titre des articles 12 à 22 du RGPD avant même la publication de la déclaration.

Ce que nous pouvons déjà vous dire, en langage clair

Le contenu ci-dessous est préliminaire et pourra être reformulé avant la publication de la déclaration finale. Ce n'est pas le document définitif — mais il est exact à ce jour, et nous préférons le rendre lisible ici plutôt que de vous laisser face à une page d'attente.

Qui détient quoi à votre sujet

Deux acteurs distincts peuvent détenir des données personnelles à votre sujet lorsque vous utilisez une application construite sur Bricks : Bricks elle-même (la plateforme) et l'organisation qui exploite l'application (votre association, votre employeur, la petite entreprise dont vous utilisez le service — le « responsable de traitement » au sens du RGPD). Cette distinction importe parce qu'elle conditionne la réponse à la question « à qui m'adresser au sujet de mes données ? ».

  • Bricks détient : les informations de votre compte BricksID (email, mot de passe haché, historique de connexion, sessions actives) ; la liste des applications hébergées par Bricks auxquelles vous vous êtes authentifié(e) ; et les journaux d'accès en bordure (adresse IP, identification du navigateur) sur une fenêtre glissante de 30 jours à des fins de sécurité et d'investigation d'abus. Bricks ne pratique pas d'analytique, de pixels de tracking, de publicité ni de profilage comportemental à votre égard.
  • Chaque organisation détient : les données personnelles que ses applications collectent auprès de vous — votre profil dans son système, le contenu que vous y avez produit, vos interactions avec son service. Une organisation qui exploite plusieurs applications sur Bricks détient ces données de manière centralisée pour ces applications (par conception : l'organisation, en tant que responsable de traitement, est comptable des données de chacune de ses applications et y applique ses propres règles d'accès). Deux applications exploitées par deux organisations différentes, en revanche, constituent deux ensembles d'enregistrements pleinement distincts — même si vous vous connectez à toutes deux avec le même BricksID.

Comment voir et exercer vos droits dès maintenant

Vous n'avez pas besoin d'attendre la déclaration finale pour voir ce qui est détenu à votre sujet ou pour exercer vos droits au titre du RGPD.

  • Pour vos données au niveau plateforme : connectez-vous et consultez /account. « Mes données » affiche chaque champ que Bricks détient sur votre compte ; « Mes applications » affiche toutes les applications hébergées par Bricks auxquelles vous vous êtes authentifié(e), avec le nom et l'email de contact du responsable de chacune. Vous pouvez supprimer vous-même votre compte BricksID depuis cette interface — la suppression cascade selon la procédure décrite au §10 de l'Accord de traitement de données.
  • Pour les données par application : la même vue « Mes applications » affiche, par application, la liste des traitements automatisés exécutés par l'application qui touchent à vos données. C'est une information structurée tirée de la configuration réelle des workflows de l'application, et non un résumé marketing — ce que vous voyez correspond à ce que l'application fait réellement. Les demandes d'export et d'effacement de données par application sont acheminées depuis cette même vue directement vers le responsable de cette application.
  • Questions directes : écrivez à support@bricks-softwares.com. Nous répondons aux demandes individuelles des personnes concernées au titre des articles 12 à 22 du RGPD avant même la publication de la déclaration.

Ce qui protège vos données, en mots simples

  • Les données de chaque organisation sont isolées de celles de toutes les autres. Deux organisations différentes exploitant des applications sur Bricks ne peuvent pas voir mutuellement leurs enregistrements — chaque locataire dispose de sa propre zone de base de données dédiée, et la plateforme ne peut pas construire de requête qui franchirait cette frontière. À l'intérieur d'une seule organisation, les applications qu'elle exploite partagent sa base de données à dessein : l'organisation possède et assume la responsabilité de ses données à travers chaque application qu'elle opère, plutôt que de les voir fragmentées en autant de silos qu'elle a d'applications. Qui peut voir quels enregistrements à l'intérieur de cette base partagée est ensuite déterminé par les règles d'accès basées sur les rôles définies par l'organisation elle-même (row-level security) — et ces règles sont vérifiées par un test automatisé exécuté à chaque livraison.
  • Tout est chiffré en transit et au repos. Le trafic vers les applications hébergées par Bricks est toujours servi en HTTPS (TLS) ; les disques sous-jacents chez notre hébergeur VPS (Infomaniak, en Suisse) sont chiffrés au niveau matériel, et la base de données managée ainsi que le stockage de fichiers que nous utilisons (tous deux Scaleway, en France) sont chiffrés au repos par le fournisseur.
  • Les entreprises qui traitent vos données pour notre compte sont nommées. La plateforme transmet des données à un petit nombre de fournisseurs identifiés — Infomaniak (CH) pour l'hébergement VPS et les boîtes mail de notre équipe ; Scaleway (FR) pour la base de la plateforme, le stockage de fichiers, et l'email sortant des applications des locataires lorsqu'une organisation a opté pour bricks-emails.eu ; Brevo pour les emails automatiques que la plateforme elle-même vous envoie (emails de connexion et de réinitialisation de mot de passe, invitations d'organisation, confirmations d'inscription) ; Anthropic (US) pour le Studio AI qui aide le responsable à construire son application ; Mollie (NL) pour le traitement des paiements ; et optionnellement Scaleway à nouveau pour l'inférence du modèle Mistral lorsqu'une organisation a sélectionné ce préréglage de souveraineté. Le détail complet — ce que voit chaque fournisseur, dans quelle juridiction — se trouve au §7 de l'Accord de traitement des données.
  • Un écart honnête, nommé et en cours. Les emails automatiques liés à votre compte que la plateforme vous envoie (confirmations de connexion, liens de réinitialisation de mot de passe, liens de connexion magiques, invitations d'organisation) transitent actuellement par Brevo. Brevo est une entreprise française, mais leur infrastructure d'envoi d'emails passe par les États-Unis. C'est la seule partie de la plateforme qui ne correspond pas encore à la posture de résidence UE que nous visons. Le 5 juin 2026, nous avons commencé le travail de migration de ces emails vers Scaleway, un fournisseur résident UE ; le statut est suivi ouvertement dans notre journal de dette interne.
  • Si une opération risquée doit avoir lieu, vos données sont d'abord sauvegardées. Lorsque l'IA qui aide l'exploitant d'une application à la construire doit appliquer une modification destructive (par exemple, supprimer une colonne ou changer le type d'une colonne), la plateforme prend une sauvegarde des données de cette application avant la modification — automatiquement lorsque l'exploitant travaille dans le mode « raisonnement avancé » contre un locataire en production, ou sur approbation explicite de l'exploitant autrement — et place brièvement l'application dans un état de « maintenance » pour que les visiteurs voient une page d'état plutôt qu'une application à moitié modifiée pendant l'application du changement. Si le changement produit un résultat non voulu, la sauvegarde est le point de récupération. Lorsque l'IA explore un changement dans son propre bac à sable interne avant de l'appliquer en production, elle le fait contre des données synthétiques qu'elle génère elle-même — vos enregistrements réels ne sont jamais mis à disposition de l'IA à cette fin.
  • Aucun script tiers sur les applications hébergées par Bricks. Les applications ne peuvent pas tirer de JavaScript, de polices web ou de feuilles de style depuis des origines tierces ; toute requête externe que l'application pourrait faire effectuer à votre navigateur doit être explicitement déclarée par le responsable, avec le fournisseur, la finalité, les catégories de données et la base légale enregistrés. Ce qui n'est pas déclaré est bloqué au niveau du navigateur.
  • L'IA qui aide à construire les applications ne lit jamais vos données. Le Studio AI assiste le responsable dans la construction de son application, mais il ne peut pas lire les enregistrements de la base de données de l'application déployée ni votre contenu en tant que visiteur. Anthropic, le fournisseur d'IA, ne reçoit que les messages du responsable et les métadonnées du code de son application — pas les données personnelles des personnes qui l'utilisent.
  • Les erreurs d'authentification échouent en mode fermé. Les sessions sont liées à une expiration stricte ; les jetons sans expiration valide sont refusés à la frontière de l'API elle-même, et non après avoir été utilisés.

Ce qui n'est pas fait avec vos données

  • Vous n'êtes pas pisté(e) à travers les applications à des fins publicitaires ou analytiques.
  • Vos données ne sont pas vendues à des tiers.
  • Le personnel de Bricks ne peut pas se faire passer pour vous. Les accès du personnel de Bricks à l'infrastructure d'un locataire à des fins de support sont journalisés et exigent une justification documentée.
  • Vous n'êtes pas tacitement consentant(e) à un « entraînement IA ». Le Studio AI fonctionne contre l'API commerciale d'Anthropic ; selon les Conditions commerciales de service d'Anthropic, leurs modèles génératifs ne sont pas entraînés sur les entrées et sorties de l'API client par défaut. Anthropic conserve les entrées et sorties pendant une courte fenêtre à des fins de détection d'abus et de confiance/sécurité — la durée de conservation publiée actuellement est documentée sur le portail confidentialité d'Anthropic. Bricks n'active aucune fonctionnalité bêta de conservation étendue, n'attache aucun identifiant d'utilisateur final aux appels API, et n'adhère à aucun programme lié à l'entraînement ; l'appel de la plateforme à Anthropic est une requête API commerciale simple. Par ailleurs, vos données en tant qu'utilisateur final n'entrent de toute façon pas dans ces appels API (voir « L'IA qui aide à construire les applications ne lit jamais vos données » ci-dessus).

Pourquoi nous publions cet espace réservé plutôt que rien

Bricks se positionne comme une plateforme éthique et axée sur la conformité. Une plateforme dont la Déclaration de protection des données « arrive bientôt » sans le dire explicitement ne correspondrait pas à cette position. Cet espace réservé est la version honnête d'un document en cours d'élaboration : ce sur quoi nous travaillons, pourquoi ce n'est pas encore prêt, et où regarder entre-temps.

Quand sera-t-elle publiée ?

Pas de date spécifique. La déclaration sera publiée lorsqu'elle sera exacte, complète et revue. Cette page sera remplacée par la déclaration complète sur place — même URL, aucun changement de lien rompu.


Cette page est publiée en français et en anglais ; la version EN est disponible à l'adresse /data-protection-declaration. Les deux versions sont maintenues synchronisées à mesure que l'espace réservé évolue.