BLOCKTRUST™
Politique de confidentialité
Dernière mise à jour : 27/05/2026
La présente politique décrit comment BRNB TECH SAS traite vos données personnelles dans le cadre du service BLOCKTRUST™ (blocktrust.tech), conformément au Règlement général sur la protection des données (RGPD).
1. Identité du responsable de traitement
BRNB TECH SAS
Adresse : 17 bis Avenue Franklin Roosevelt, 94300 Vincennes, France
Responsable de traitement : Olivier Bernabé
Référent à la protection des données personnelles
Email : privacy@blocktrust.tech
2. Données personnelles collectées
Selon votre utilisation de BLOCKTRUST™, nous pouvons traiter les catégories suivantes :
- Données d'identification : nom, prénom, adresse e-mail, identifiants de compte.
- Données de connexion : journaux techniques, adresses IP hashées, horodatages, identifiants de session.
- Données de vérification: statut de certification, périmètre certifié (e-mails, domaines, téléphones), dates d'émission et d'expiration.
- Données de facturation et de paiement : abonnement, historique de facturation (les données de carte bancaire sont traitées par Stripe, pas par BLOCKTRUST™).
- Données biométriques: uniquement dans le cadre de la vérification d'identité via Stripe Identity — voir section 4.
- Données extension Chrome TrustScan: adresse e-mail de l'expéditeur Gmail transmise pour vérification — non stockée côté serveur au-delà du traitement immédiat (voir section 5).
- Données organisationnelles (B2B): nom d'organisation, rôle, entrées de coffre équipe (BLOCKTRUST™ Vault).
Blockchain :aucune donnée personnelle n'est stockée sur la blockchain. Seuls des certificats cryptographiques non identifiants (empreintes / hashes) sont ancrés on-chain sur Polygon Mainnet.
3. Finalités et bases légales
| Finalité | Base légale (RGPD) |
|---|---|
| Création et gestion du compte utilisateur | Exécution du contrat (art. 6.1.b) |
| Authentification et sécurité du compte | Exécution du contrat (art. 6.1.b) |
| Émission, vérification et révocation de certificats | Exécution du contrat (art. 6.1.b) |
| Vérification d'identité | Obligation légale LCB-FT + contrat (art. 6.1.c et b) |
| TrustScore et signaux de confiance | Intérêt légitime — sécurité et prévention de la fraude (art. 6.1.f) |
| Trust Circle et réseau de confiance | Exécution du contrat (art. 6.1.b) |
| Facturation et comptabilité | Exécution du contrat + obligation légale (art. 6.1.b et c) |
| Extension Chrome TrustScan | Consentement (art. 6.1.a) |
| Logs de sécurité, anti-fraude et surveillance | Intérêt légitime (art. 6.1.f) |
| Support client et gestion des demandes | Intérêt légitime (art. 6.1.f) |
| Cookies analytiques (Vercel Analytics) | Consentement (art. 6.1.a) |
Lorsque le traitement repose sur l'intérêt légitime, vous pouvez vous y opposer (voir section 10). Le TrustScore est indicatif et non décisionnel ; vous pouvez le contester depuis votre tableau de bord.
4. Données biométriques
La vérification d'identité via Stripe Identity peut impliquer un contrôle de vivacité (liveness) et la comparaison de traits biométriques. Ces données sont des données sensiblesau sens de l'article 9 du RGPD.
- Le traitement biométrique est soumis à votre consentement explicite et séparé, distinct de l'acceptation des CGU.
- Les données biométriques sont collectées et traitées par Stripe Identityen qualité de sous-traitant ; BLOCKTRUST™ n'en conserve pas de copie sur ses propres serveurs.
- Finalité : vérifier que vous êtes bien la personne déclarée, lutter contre l'usurpation d'identité et respecter nos obligations LCB-FT.
- Vous pouvez refuser la vérification biométrique ; certains services (certification avancée) pourront alors rester indisponibles.
- Durée de conservation : 5 ans à compter de la fin de la relation contractuelle (obligations LCB-FT).
5. Extension Chrome TrustScan
L'extension BLOCKTRUST TrustScan pour Google Chrome fonctionne de manière limitée et transparente :
- L'extension lit uniquement l'adresse e-mail de l'expéditeur affichée dans Gmail.
- Aucun contenu d'e-mail(objet, corps, pièces jointes) n'est lu, analysé ni stocké.
- L'adresse e-mail de l'expéditeur est transmise à l'API BLOCKTRUST™ pour vérification contre vos contacts certifiés.
- Un cache local temporaire (maximum 5 minutes) peut être utilisé pour limiter les appels réseau.
- Base légale : consentement, matérialisé par l'installation volontaire de l'extension et la saisie de votre clé API.
- Vous pouvez retirer votre consentement à tout moment en désinstallant l'extension et en révoquant votre clé API depuis les paramètres de votre compte.
6. Durées de conservation
| Type de données | Durée |
|---|---|
| Compte utilisateur actif | Durée de la relation contractuelle + 3 ans (prescription) |
| Sessions et tokens d'authentification | 30 jours maximum |
| Magic link et reset mot de passe | 24 h / 1 h respectivement |
| Historique des vérifications | 12 mois, puis anonymisation |
| Logs de sécurité et anti-fraude | 6 mois |
| Données de vérification d'identité / biométriques (Stripe Identity) | 5 ans (obligations LCB-FT) |
| Données de facturation | 10 ans (obligations comptables) |
| Ancrage blockchain | Permanent (empreinte non identifiante, immuable par nature) |
| Cache extension TrustScan | 5 minutes maximum (local, appareil utilisateur) |
À l'expiration des délais, les données sont supprimées ou anonymisées de manière irréversible, sauf obligation légale contraire.
7. Destinataires et sous-traitants
Vos données peuvent être communiquées aux sous-traitants suivants, strictement dans la limite de leurs missions et dans le cadre de contrats conformes à l'article 28 du RGPD :
- Vercel — hébergement applicatif (États-Unis / UE)
- Neon — base de données PostgreSQL (UE)
- Stripe— paiements et vérification d'identité (Stripe Identity)
- Resend— envoi d'e-mails transactionnels
- Upstash — rate limiting et files de messages (QStash)
- Alchemy — accès réseau Polygon (ancrage)
- Sentry— monitoring d'erreurs (production uniquement, données minimisées)
- Anthropic — veille cyber (articles publics, sans données personnelles utilisateur)
- Google — authentification OAuth (si vous choisissez cette méthode de connexion)
BLOCKTRUST™ ne vend pas vos données personnelles à des tiers.
8. Transferts hors Union européenne
Certains sous-traitants (notamment Vercel et Stripe) peuvent traiter des données aux États-Unis ou dans d'autres pays tiers.
Ces transferts sont encadrés par les Clauses Contractuelles Types (CCT) de la Commission européenne et/ou le Data Privacy Framework (DPF) lorsque applicable, ainsi que par des mesures techniques complémentaires (chiffrement, minimisation).
Vous pouvez obtenir une copie des garanties appropriées en contactant privacy@blocktrust.tech.
9. Cookies et traceurs
BLOCKTRUST™ utilise les catégories de cookies suivantes :
- Cookies strictement nécessaires: session d'authentification, sécurité CSRF — base légale : intérêt légitime / exécution du contrat ; pas de consentement requis.
- Cookies de consentement : mémorisation de votre choix cookie — durée 12 mois.
- Cookies analytiques(Vercel Analytics, Speed Insights) : mesure d'audience anonymisée — soumis à votre consentement via la bannière cookies.
Vous pouvez à tout moment modifier vos préférences via la bannière cookies ou les paramètres de votre navigateur. Le refus des cookies analytiques n'affecte pas l'accès au service.
10. Vos droits
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants sur vos données personnelles :
- Droit d'accès et de rectification
- Droit à l'effacement(« droit à l'oubli »)
- Droit à la limitation du traitement
- Droit à la portabilité (export JSON depuis les paramètres du compte)
- Droit d'oppositionaux traitements fondés sur l'intérêt légitime
- Droit de retirer votre consentement à tout moment (sans affecter la licéité du traitement antérieur)
- Droit de ne pas faire l'objet d'une décision automatisée produisant des effets juridiques (le TrustScore reste contestable)
Pour exercer vos droits, contactez notre DPO : privacy@blocktrust.tech. Nous répondons sous un mois (prolongeable de deux mois si la demande est complexe).
Vous pouvez également supprimer votre compte depuis Paramètres.
11. Sécurité et réclamations
BLOCKTRUST™ met en œuvre des mesures techniques et organisationnelles appropriées : chiffrement TLS, hachage des adresses IP, authentification sécurisée, contrôle d'accès (IDOR), rate limiting, signatures cryptographiques ES256, surveillance des anomalies.
En cas de violation de données susceptible d'engendrer un risque pour vos droits, nous notifierons la CNIL et, le cas échéant, les personnes concernées conformément à l'article 33 du RGPD.
Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la CNIL (Commission nationale de l'informatique et des libertés).
Pour toute question relative à cette politique : privacy@blocktrust.tech