Politique de confidentialité
Cette politique de confidentialité explique comment nous collectons, utilisons et protégeons vos informations personnelles lorsque vous utilisez notre service.
Dernière mise à jour : 18 mai 2026
1. Introduction et champ d'application
Cette Politique de confidentialité décrit comment Brodin Dev (« nous » ou « notre ») collecte, utilise, stocke et protège les données personnelles en lien avec notre application web Software-as-a-Service (SaaS) (le « Service »).
Cette politique s'applique à tous les utilisateurs du Service, quel que soit leur pays de résidence. Notre Service est disponible dans le monde entier, et nous nous engageons à respecter les normes de confidentialité requises par :
- Règlement (UE) 2016/679 — le Règlement général sur la protection des données (RGPD) ;
- Lov om behandling av personopplysninger (Personopplysningsloven) — la loi norvégienne sur les données personnelles, qui transpose le RGPD dans le droit norvégien ;
- et les autres lois applicables sur la protection des données, le cas échéant.
En utilisant le Service, vous reconnaissez avoir lu et compris la présente Politique de confidentialité. Si vous n'êtes pas d'accord avec ces conditions, veuillez ne pas utiliser le Service.
2. Responsable du traitement des données
Le responsable du traitement des données pour les traitements décrits dans la présente Politique de confidentialité est :
Brodin Dev
Numéro d'organisation : 973 861 778
E-mail : contact@brodin.dev
3. Quelles données nous collectons
Nous ne collectons que les données personnelles nécessaires pour fournir et maintenir le Service. Les catégories de données que nous collectons sont décrites ci-dessous.
3.1 Données de compte et d'identité
| Point de donnée | Source | Remarques |
|---|---|---|
| Adresse e-mail | Fournie par vous ou via OAuth | Requise pour l'authentification et la communication |
| Mot de passe | Fourni par vous | Stocké uniquement sous forme chiffrée (hachée) ; jamais stocké en texte clair |
| Nom complet | Fourni via Google ou GitHub OAuth | Rempli automatiquement à partir du profil de votre fournisseur OAuth |
| Avatar/photo de profil | Fourni via Google ou GitHub OAuth | Rempli automatiquement à partir du profil de votre fournisseur OAuth |
Remarque : Si vous vous inscrivez en utilisant une adresse e-mail et un mot de passe, nous ne collectons pas votre nom ou votre avatar à moins que vous ne choisissiez de les fournir. Si vous vous inscrivez via Google ou GitHub OAuth, nous ne recevons que les données que votre fournisseur OAuth met à notre disposition selon les autorisations que vous lui accordez.
3.2 Données d'authentification et de session
- Identifiants de session, gérés de manière sécurisée par notre système d'authentification (Better Auth).
- Enregistrements relatifs aux événements d'authentification et aux méthodes de connexion liées, lorsque cela est nécessaire pour gérer l'accès au compte et les fonctionnalités de sécurité.
3.3 Données techniques et d'utilisation (Anonymisées)
- Métriques agrégées et anonymisées de consultation des pages et de performances collectées via Vercel Analytics et Vercel Speed Insights (voir Section 11). Ces données ne peuvent pas être utilisées pour vous identifier personnellement.
3.4 Les données que nous NE collectons PAS
Nous tenons à être explicites sur ce que nous ne collectons ou ne stockons pas :
- Numéros de carte de paiement, coordonnées bancaires ou toute autre donnée financière. Tout le traitement des paiements est entièrement géré par Polar.sh en tant que notre Marchand officiel (Merchant of Record).
- Données personnelles sensibles (telles que définies à l'article 9 du RGPD), comme les données de santé, les croyances religieuses ou les données biométriques.
- Données de géolocalisation précises.
- Empreintes numériques uniques d'appareil ou identifiants de suivi intersites (cross-site tracking).
4. Comment nous collectons les données
Nous collectons des données personnelles par les moyens suivants :
- Inscription directe : Lorsque vous créez un compte en utilisant une adresse e-mail et un mot de passe.
- Authentification OAuth : Lorsque vous choisissez de vous connecter via Google ou GitHub, ces fournisseurs partagent des données de profil limitées avec nous en fonction des autorisations que vous accordez.
- Mises à jour du profil : Lorsque vous mettez volontairement à jour votre nom ou votre avatar via le tableau de bord de votre compte.
- Collecte automatique : Métriques techniques anonymisées collectées automatiquement lorsque vous utilisez le Service (voir Section 11).
5. Base légale du traitement
En vertu du RGPD (Article 6), nous devons avoir une base légale valide pour traiter vos données personnelles. Nous nous appuyons sur ce qui suit :
5.1 Exécution du contrat (Article 6(1)(b))
La base principale du traitement de vos données personnelles est qu'il est nécessaire à l'exécution d'un contrat entre vous et nous — plus précisément, pour vous fournir l'accès et l'utilisation du Service. Cela couvre :
- La création et la gestion de votre compte utilisateur.
- Votre authentification lors de la connexion.
- La possibilité pour vous d'utiliser toutes les fonctionnalités du Service.
- L'envoi d'e-mails transactionnels (par exemple, vérification de l'adresse e-mail, notifications de réinitialisation de mot de passe).
Sans ce traitement, nous ne pouvons pas fournir le Service.
5.2 Intérêts légitimes (Article 6(1)(f))
Nous traitons également certaines données sur la base de nos intérêts légitimes, à condition que ces intérêts ne soient pas supplantés par vos droits et libertés. Ces intérêts incluent :
- Sécurité : Détection et prévention des accès frauduleux, des abus ou de l'utilisation non autorisée du Service.
- Intégrité du Service : Garantie de la stabilité technique, de la fiabilité et des performances du Service.
- Analyses anonymisées : Utilisation de données de performance et d'utilisation agrégées et non identifiables pour améliorer le Service.
Nous avons procédé à un test de mise en balance et sommes convaincus que nos intérêts légitimes ne prévalent pas sur vos droits fondamentaux, compte tenu de la nature limitée et respectueuse de la vie privée de ce traitement.
5.3 Remarque sur le consentement
Nous ne nous appuyons pas sur le consentement comme base légale pour le traitement des données de base. Toutefois, le cas échéant (par exemple, pour des fonctionnalités facultatives ou des communications au-delà des e-mails transactionnels), nous vous demanderons votre consentement explicite et distinct, et fournirons un mécanisme clair pour le retirer à tout moment.
6. Comment nous utilisons vos données
Nous utilisons les données personnelles que nous collectons pour les finalités spécifiques suivantes :
| Finalité | Base légale | Données utilisées |
|---|---|---|
| Créer et gérer votre compte utilisateur | Exécution du contrat | E-mail, hachage du mot de passe, nom, avatar |
| Authentifier votre identité à la connexion | Exécution du contrat | E-mail, hachage du mot de passe, jetons OAuth |
| Envoyer des e-mails transactionnels (vérification, réinitialisation de mot de passe) | Exécution du contrat | Adresse e-mail |
| Vous permettre de lier/délier des comptes sociaux | Exécution du contrat | Jetons OAuth, e-mail |
| Permettre l'autogestion et la suppression du compte | Exécution du contrat | Toutes les données du compte |
| Détecter et prévenir les menaces de sécurité | Intérêt légitime | E-mail, données de session |
| Surveiller et améliorer les performances du Service | Intérêt légitime | Données d'analyse anonymisées |
Nous n'utilisons pas vos données personnelles pour :
- Des communications marketing ou publicitaires (sans votre consentement explicite).
- La vente ou la location de vos données à des tiers.
- La prise de décision automatisée ou le profilage produisant des effets juridiques ou significatifs à votre égard.
7. Partage des données et tiers
Nous ne vendons pas vos données personnelles. Nous ne partageons les données personnelles qu'avec un ensemble limité de tiers lorsque cela est nécessaire pour faire fonctionner le Service, se conformer à la loi ou prendre en charge les fonctionnalités que vous choisissez d'utiliser. Certaines de ces parties agissent en tant que nos sous-traitants sous contrat, tandis que d'autres agissent en tant que responsables de traitement indépendants pour leurs propres parties de la transaction ou du flux d'authentification.
7.1 Convex — Base de données, Backend et Stockage de fichiers
| Détail | Informations |
|---|---|
| Finalité | Stocke toutes les données de l'application, y compris les enregistrements des comptes utilisateurs et les fichiers de profil (avatars) |
| Données partagées | Adresse e-mail, mot de passe haché, nom, avatar de profil, données de session |
| Politique de confidentialité | https://www.convex.dev/legal/privacy |
Convex sert de magasin de données principal pour le Service. Toutes les données stockées dans Convex sont traitées selon nos instructions.
7.2 Resend — E-mail transactionnel
| Détail | Informations |
|---|---|
| Finalité | Livre des e-mails transactionnels en notre nom (ex. : vérification de compte, réinitialisation de mot de passe) |
| Données partagées | Adresse e-mail et le contenu minimum requis pour afficher l'e-mail |
| Politique de confidentialité | https://resend.com/legal/privacy-policy |
Resend traite votre adresse e-mail uniquement pour livrer les messages que vous avez déclenchés (par exemple, la demande de réinitialisation d'un mot de passe). Resend n'utilise pas ces données pour ses propres fins marketing.
7.3 Google & GitHub — Connexion OAuth
| Détail | Informations |
|---|---|
| Finalité | Fournir une connexion tierce facultative et des flux de liaison de compte |
| Données partagées | Données de compte et d'authentification limitées requises pour terminer le flux de connexion OAuth |
| Rôle | Responsables de traitement indépendants pour les traitements qui ont lieu sur leurs propres plateformes et services |
Si vous choisissez de vous connecter avec Google ou GitHub, vous serez redirigé vers ce fournisseur et leur traitement de vos données personnelles sera régi par leurs propres conditions de confidentialité.
7.4 Polar.sh — Paiements (Marchand officiel)
| Détail | Informations |
|---|---|
| Finalité | Traite les transactions de paiement en tant que Marchand officiel (Merchant of Record) |
| Données partagées | Données limitées de commande et de compte requises pour initier et administrer un achat ; les données de la carte de paiement sont gérées par Polar.sh |
| Rôle | Responsable de traitement indépendant pour le traitement des paiements et de la facturation sur ses propres systèmes de paiement |
| Politique de confidentialité | https://polar.sh/legal/privacy |
Polar.sh agit en tant que Marchand officiel pour les achats et les abonnements. Cela signifie que Polar.sh est indépendamment responsable de la collecte et du traitement des informations de paiement en vertu de sa propre politique de confidentialité. Nous ne recevons, ne stockons ni ne traitons les détails de votre carte de crédit ou de débit à aucun moment.
7.5 Vercel — Hébergement de l'application & Analyses
| Détail | Informations |
|---|---|
| Finalité | Héberge et sert l'application web ; fournit des analyses de performances anonymisées |
| Données partagées | Trafic de l'application (traité au niveau de l'infrastructure) ; données d'analyse anonymisées |
| Politique de confidentialité | https://vercel.com/legal/privacy-policy |
Vercel héberge l'infrastructure sur laquelle le Service fonctionne. En tant que fournisseur d'hébergement, Vercel peut traiter les métadonnées des requêtes (par exemple, les adresses IP) au niveau de l'infrastructure dans le cadre des opérations réseau normales. Les fonctionnalités d'analyse de Vercel sont configurées pour respecter la confidentialité (voir Section 11).
7.6 Aucun autre partage avec des tiers
Nous ne partageons vos données personnelles avec aucun autre tiers, sauf si la loi applicable l'exige (voir ci-dessous).
7.7 Divulgation légale
Nous pouvons divulguer vos données personnelles si nous y sommes tenus par la loi, une ordonnance d'un tribunal ou une autorité réglementaire, ou si nous pensons de bonne foi qu'une telle divulgation est nécessaire pour protéger les droits, la propriété ou la sécurité de Brodin Dev, de nos utilisateurs ou d'autres personnes. Nous vous informerons de toute divulgation de ce type dans la mesure permise par la loi.
8. Transferts internationaux de données
Nos sous-traitants tiers peuvent stocker ou traiter des données en dehors de l'Espace économique européen (EEE). Lorsque de tels transferts se produisent, nous veillons à ce qu'ils soient soumis à des garanties appropriées tel que requis par le chapitre V du RGPD, notamment :
- Clauses contractuelles types (CCT) approuvées par la Commission européenne, et/ou
- Le traitement dans des pays bénéficiant d'une décision d'adéquation de la Commission européenne.
Spécifiquement :
- Convex et Vercel sont des fournisseurs basés aux États-Unis. Les transferts de données sont régis par les CCT applicables et leurs DPA (Data Processing Agreements) respectifs.
- Resend est un fournisseur basé aux États-Unis fonctionnant sous des CCT.
- Google, GitHub et, le cas échéant, Polar.sh peuvent également traiter des données en dehors de l'EEE en vertu de leurs propres mécanismes de transfert et cadres de confidentialité.
Vous pouvez demander de plus amples informations sur les mécanismes de transfert spécifiques sur lesquels nous nous appuyons en nous contactant à contact@brodin.dev.
9. Conservation des données
Nous ne conservons vos données personnelles que le temps nécessaire pour atteindre les finalités décrites dans cette politique, ou tel que requis par la loi applicable.
| Catégorie de données | Période de conservation |
|---|---|
| Données de compte (e-mail, nom, avatar) | Pour la durée de vie de votre compte, et supprimées lors de la suppression du compte |
| Mots de passe hachés | Pour la durée de vie de votre compte, et supprimés lors de la suppression du compte |
| Enregistrements de comptes liés | Conservés tant que le compte social lié reste actif ; supprimés lors du déliement ou de la suppression du compte |
| Journaux des e-mails transactionnels | Selon la politique de conservation de Resend ; nous conservons les enregistrements minimaux requis à des fins d'audit de sécurité |
| Données d'analyse anonymisées | Indéfiniment, car elles ne peuvent être liées à aucun individu |
Suppression du compte
Lorsque vous supprimez définitivement votre compte via le tableau de bord du compte, toutes vos données personnelles associées sont supprimées de nos systèmes. Cette action est irréversible. Des données résiduelles peuvent persister dans des sauvegardes chiffrées pendant une période limitée (généralement jusqu'à 30 jours) avant d'être purgées lors des cycles de sauvegarde de routine.
10. Vos droits en vertu du RGPD
En tant que personne concernée en vertu du RGPD et de la loi norvégienne Personopplysningsloven, vous disposez des droits suivants. Nous nous engageons à honorer ces droits et répondrons aux demandes vérifiées dans un délai de 30 jours (prolongeable de deux mois supplémentaires pour les demandes complexes, avec préavis).
10.1 Droit d'accès (Article 15)
Vous avez le droit de demander une copie des données personnelles que nous détenons à votre sujet, ainsi que des informations sur la manière dont nous les traitons et pourquoi.
10.2 Droit de rectification (Article 16)
Vous avez le droit de demander que les données personnelles inexactes ou incomplètes que nous détenons à votre sujet soient corrigées. Vous pouvez mettre à jour la plupart de vos informations de profil directement depuis le tableau de bord de votre compte à tout moment.
10.3 Droit à l'effacement / Droit à l'oubli (Article 17)
Vous avez le droit de demander la suppression de vos données personnelles lorsque :
- Les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ;
- Vous retirez votre consentement (lorsque le consentement était la base légale) ;
- Vous vous opposez au traitement et il n'existe pas de motif légitime impérieux ;
- Les données ont fait l'objet d'un traitement illicite.
Vous pouvez exercer ce droit à tout moment en supprimant définitivement votre compte depuis le tableau de bord, ce qui supprimera toutes les données associées. Alternativement, vous pouvez nous contacter à contact@brodin.dev.
10.4 Droit à la limitation du traitement (Article 18)
Vous avez le droit de demander que nous limitions le traitement de vos données dans certaines circonstances — par exemple, pendant la résolution d'un litige concernant leur exactitude.
10.5 Droit à la portabilité des données (Article 20)
Vous avez le droit de recevoir une copie de vos données personnelles dans un format structuré, couramment utilisé et lisible par machine (ex. JSON ou CSV), et de faire transmettre ces données à un autre responsable de traitement lorsque cela est techniquement possible. Ce droit s'applique aux données traitées sur la base de l'exécution d'un contrat ou du consentement.
Pour demander une exportation de données, veuillez nous contacter à contact@brodin.dev.
10.6 Droit d'opposition (Article 21)
Vous avez le droit de vous opposer à un traitement fondé sur nos intérêts légitimes. Nous cesserons ce traitement à moins que nous puissions démontrer des motifs légitimes et impérieux qui prévalent sur vos intérêts, droits et libertés, ou si le traitement est nécessaire à la constatation, l'exercice ou la défense de droits en justice.
10.7 Droits liés à la prise de décision automatisée (Article 22)
Nous ne nous engageons pas dans une prise de décision automatisée ou un profilage produisant des effets juridiques ou des effets significatifs similaires. Ce droit n'est donc pas applicable actuellement à notre Service.
10.8 Comment exercer vos droits
Pour exercer l'un des droits ci-dessus, veuillez :
- Libre-service : Utilisez le tableau de bord de votre compte (pour les modifications de profil, la suppression de compte et la gestion des comptes sociaux).
- Nous contacter : Envoyez un e-mail à contact@brodin.dev avec une description de votre demande. Nous pourrons vous demander de vérifier votre identité avant de donner suite à la demande.
Il n'y a pas de frais pour exercer vos droits. Si les demandes sont manifestement infondées ou excessives (en particulier si elles sont répétitives), nous pouvons facturer des frais administratifs raisonnables ou refuser d'y donner suite, conformément à l'Article 12(5) du RGPD.
11. Cookies et analyses
11.1 Cookies d'authentification
Nous utilisons des cookies d'authentification et de sécurité strictement nécessaires pour gérer votre session authentifiée. Ceux-ci sont essentiels au fonctionnement du Service. En vertu des règles ePrivacy applicables, y compris la loi Ekomloven en Norvège, le consentement n'est pas requis pour les cookies qui sont strictement nécessaires pour fournir un service que vous avez demandé. Lorsque ces cookies impliquent des données personnelles, nous traitons ces données sur les bases légales décrites dans la Section 5.
11.2 Vercel Analytics et Speed Insights
Nous utilisons Vercel Analytics et Vercel Speed Insights pour comprendre comment les utilisateurs interagissent avec le Service et pour surveiller ses performances. Ces outils sont configurés pour être respectueux de la vie privée dès la conception :
- Aucune information personnellement identifiable (IPI) n'est collectée.
- Aucune empreinte numérique unique d'appareil ou identifiant persistant n'est utilisé.
- Aucun suivi intersites ne se produit.
- Les adresses IP ne sont pas stockées — elles sont utilisées de manière transitoire pour dériver des agrégats géographiques approximatifs au niveau national, puis supprimées.
- Les données sont agrégées et ne peuvent être liées à aucun utilisateur individuel.
Étant donné que ces outils d'analyse ne traitent pas de données personnelles sous une forme identifiable, ils ne nécessitent pas de bannière de consentement aux cookies en vertu de la directive ePrivacy ou du RGPD tel que transposé dans le droit norvégien.
11.3 Aucun cookie publicitaire ou de suivi tiers
Nous n'utilisons aucun réseau publicitaire, pixel de reciblage, cookie de suivi de médias sociaux ou toute autre technologie de suivi tierce.
12. Sécurité
Nous prenons la sécurité de vos données personnelles au sérieux et mettons en œuvre des mesures techniques et organisationnelles (MTO) appropriées conformément à l'Article 32 du RGPD, notamment :
- Hachage des mots de passe : Les mots de passe ne sont jamais stockés en texte clair. Nous utilisons des algorithmes de hachage cryptographique standard de l'industrie via Better Auth.
- Transmission des données chiffrée : Toutes les données sont transmises via HTTPS/TLS.
- Contrôles d'accès : L'accès aux systèmes de production et aux données des utilisateurs est restreint au seul personnel autorisé.
- Sécurité de l'infrastructure : Notre fournisseur d'hébergement, Vercel, maintient la conformité SOC 2 et met en œuvre des mesures de sécurité de niveau entreprise.
- Sécurité de la base de données : Convex fournit un stockage chiffré et des contrôles d'accès API sécurisés.
Bien que nous nous efforcions de protéger vos données, aucune méthode de transmission sur Internet ou de stockage électronique n'est sûre à 100 %. Dans l'éventualité d'une violation de données personnelles susceptible d'engendrer un risque élevé pour vos droits et libertés, nous vous en informerons conformément à l'Article 34 du RGPD et le signalerons à l'autorité de contrôle compétente (Datatilsynet) dans les 72 heures après en avoir pris connaissance, tel que requis par l'Article 33 du RGPD.
13. Confidentialité des enfants
Le Service n'est pas destiné aux personnes de moins de 18 ans. Nous n'autorisons pas sciemment les personnes de moins de 18 ans à créer des comptes ou à utiliser le Service.
Si vous pensez qu'une personne de moins de 18 ans nous a fourni des données personnelles en violation de cette politique, veuillez nous contacter à contact@brodin.dev et nous prendrons des mesures rapides pour supprimer ces données.
14. Modifications de cette politique
Nous pouvons mettre à jour cette Politique de confidentialité de temps à autre pour refléter les modifications apportées au Service, à la législation applicable ou à nos pratiques en matière de données. Lorsque nous apportons des modifications importantes, nous allons :
- Mettre à jour la date de "Dernière mise à jour" en haut de ce document ;
- Vous informer par e-mail (à l'adresse associée à votre compte) ou via un avis visible dans le Service, lorsque les modifications sont significatives.
Votre utilisation continue du Service après la date d'entrée en vigueur d'une politique mise à jour constitue votre reconnaissance des modifications. Nous vous encourageons à consulter cette politique périodiquement.
15. Contact et réclamations
Pour toute question, préoccupation ou demande liée à cette Politique de confidentialité ou à vos données personnelles, veuillez nous contacter à :
Si vous estimez que notre traitement de vos données personnelles enfreint la législation applicable, vous avez également le droit de déposer une réclamation auprès de l'autorité de contrôle norvégienne, Datatilsynet, ou auprès de votre autorité de contrôle locale dans l'EEE.