BLOCKTRUST™

Politique de confidentialité

Dernière mise à jour : 27/05/2026

La présente politique décrit comment BRNB TECH SAS traite vos données personnelles dans le cadre du service BLOCKTRUST™ (blocktrust.tech), conformément au Règlement général sur la protection des données (RGPD).

1. Identité du responsable de traitement

BRNB TECH SAS
Adresse : 17 bis Avenue Franklin Roosevelt, 94300 Vincennes, France
Responsable de traitement : Olivier Bernabé

Référent à la protection des données personnelles
Email : privacy@blocktrust.tech

2. Données personnelles collectées

Selon votre utilisation de BLOCKTRUST™, nous pouvons traiter les catégories suivantes :

  • Données d'identification : nom, prénom, adresse e-mail, identifiants de compte.
  • Données de connexion : journaux techniques, adresses IP hashées, horodatages, identifiants de session.
  • Données de vérification: statut de certification, périmètre certifié (e-mails, domaines, téléphones), dates d'émission et d'expiration.
  • Données de facturation et de paiement : abonnement, historique de facturation (les données de carte bancaire sont traitées par Stripe, pas par BLOCKTRUST™).
  • Données biométriques: uniquement dans le cadre de la vérification d'identité via Stripe Identity — voir section 4.
  • Données extension Chrome TrustScan: adresse e-mail de l'expéditeur Gmail transmise pour vérification — non stockée côté serveur au-delà du traitement immédiat (voir section 5).
  • Données organisationnelles (B2B): nom d'organisation, rôle, entrées de coffre équipe (BLOCKTRUST™ Vault).

Blockchain :aucune donnée personnelle n'est stockée sur la blockchain. Seuls des certificats cryptographiques non identifiants (empreintes / hashes) sont ancrés on-chain sur Polygon Mainnet.

3. Finalités et bases légales

FinalitéBase légale (RGPD)
Création et gestion du compte utilisateurExécution du contrat (art. 6.1.b)
Authentification et sécurité du compteExécution du contrat (art. 6.1.b)
Émission, vérification et révocation de certificatsExécution du contrat (art. 6.1.b)
Vérification d'identitéObligation légale LCB-FT + contrat (art. 6.1.c et b)
TrustScore et signaux de confianceIntérêt légitime — sécurité et prévention de la fraude (art. 6.1.f)
Trust Circle et réseau de confianceExécution du contrat (art. 6.1.b)
Facturation et comptabilitéExécution du contrat + obligation légale (art. 6.1.b et c)
Extension Chrome TrustScanConsentement (art. 6.1.a)
Logs de sécurité, anti-fraude et surveillanceIntérêt légitime (art. 6.1.f)
Support client et gestion des demandesIntérêt légitime (art. 6.1.f)
Cookies analytiques (Vercel Analytics)Consentement (art. 6.1.a)

Lorsque le traitement repose sur l'intérêt légitime, vous pouvez vous y opposer (voir section 10). Le TrustScore est indicatif et non décisionnel ; vous pouvez le contester depuis votre tableau de bord.

4. Données biométriques

La vérification d'identité via Stripe Identity peut impliquer un contrôle de vivacité (liveness) et la comparaison de traits biométriques. Ces données sont des données sensiblesau sens de l'article 9 du RGPD.

  • Le traitement biométrique est soumis à votre consentement explicite et séparé, distinct de l'acceptation des CGU.
  • Les données biométriques sont collectées et traitées par Stripe Identityen qualité de sous-traitant ; BLOCKTRUST™ n'en conserve pas de copie sur ses propres serveurs.
  • Finalité : vérifier que vous êtes bien la personne déclarée, lutter contre l'usurpation d'identité et respecter nos obligations LCB-FT.
  • Vous pouvez refuser la vérification biométrique ; certains services (certification avancée) pourront alors rester indisponibles.
  • Durée de conservation : 5 ans à compter de la fin de la relation contractuelle (obligations LCB-FT).

5. Extension Chrome TrustScan

L'extension BLOCKTRUST TrustScan pour Google Chrome fonctionne de manière limitée et transparente :

  • L'extension lit uniquement l'adresse e-mail de l'expéditeur affichée dans Gmail.
  • Aucun contenu d'e-mail(objet, corps, pièces jointes) n'est lu, analysé ni stocké.
  • L'adresse e-mail de l'expéditeur est transmise à l'API BLOCKTRUST™ pour vérification contre vos contacts certifiés.
  • Un cache local temporaire (maximum 5 minutes) peut être utilisé pour limiter les appels réseau.
  • Base légale : consentement, matérialisé par l'installation volontaire de l'extension et la saisie de votre clé API.
  • Vous pouvez retirer votre consentement à tout moment en désinstallant l'extension et en révoquant votre clé API depuis les paramètres de votre compte.

6. Durées de conservation

Type de donnéesDurée
Compte utilisateur actifDurée de la relation contractuelle + 3 ans (prescription)
Sessions et tokens d'authentification30 jours maximum
Magic link et reset mot de passe24 h / 1 h respectivement
Historique des vérifications12 mois, puis anonymisation
Logs de sécurité et anti-fraude6 mois
Données de vérification d'identité / biométriques (Stripe Identity)5 ans (obligations LCB-FT)
Données de facturation10 ans (obligations comptables)
Ancrage blockchainPermanent (empreinte non identifiante, immuable par nature)
Cache extension TrustScan5 minutes maximum (local, appareil utilisateur)

À l'expiration des délais, les données sont supprimées ou anonymisées de manière irréversible, sauf obligation légale contraire.

7. Destinataires et sous-traitants

Vos données peuvent être communiquées aux sous-traitants suivants, strictement dans la limite de leurs missions et dans le cadre de contrats conformes à l'article 28 du RGPD :

  • Vercel — hébergement applicatif (États-Unis / UE)
  • Neon — base de données PostgreSQL (UE)
  • Stripe— paiements et vérification d'identité (Stripe Identity)
  • Resend— envoi d'e-mails transactionnels
  • Upstash — rate limiting et files de messages (QStash)
  • Alchemy — accès réseau Polygon (ancrage)
  • Sentry— monitoring d'erreurs (production uniquement, données minimisées)
  • Anthropic — veille cyber (articles publics, sans données personnelles utilisateur)
  • Google — authentification OAuth (si vous choisissez cette méthode de connexion)

BLOCKTRUST™ ne vend pas vos données personnelles à des tiers.

8. Transferts hors Union européenne

Certains sous-traitants (notamment Vercel et Stripe) peuvent traiter des données aux États-Unis ou dans d'autres pays tiers.

Ces transferts sont encadrés par les Clauses Contractuelles Types (CCT) de la Commission européenne et/ou le Data Privacy Framework (DPF) lorsque applicable, ainsi que par des mesures techniques complémentaires (chiffrement, minimisation).

Vous pouvez obtenir une copie des garanties appropriées en contactant privacy@blocktrust.tech.

9. Cookies et traceurs

BLOCKTRUST™ utilise les catégories de cookies suivantes :

  • Cookies strictement nécessaires: session d'authentification, sécurité CSRF — base légale : intérêt légitime / exécution du contrat ; pas de consentement requis.
  • Cookies de consentement : mémorisation de votre choix cookie — durée 12 mois.
  • Cookies analytiques(Vercel Analytics, Speed Insights) : mesure d'audience anonymisée — soumis à votre consentement via la bannière cookies.

Vous pouvez à tout moment modifier vos préférences via la bannière cookies ou les paramètres de votre navigateur. Le refus des cookies analytiques n'affecte pas l'accès au service.

10. Vos droits

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants sur vos données personnelles :

  • Droit d'accès et de rectification
  • Droit à l'effacement(« droit à l'oubli »)
  • Droit à la limitation du traitement
  • Droit à la portabilité (export JSON depuis les paramètres du compte)
  • Droit d'oppositionaux traitements fondés sur l'intérêt légitime
  • Droit de retirer votre consentement à tout moment (sans affecter la licéité du traitement antérieur)
  • Droit de ne pas faire l'objet d'une décision automatisée produisant des effets juridiques (le TrustScore reste contestable)

Pour exercer vos droits, contactez notre DPO : privacy@blocktrust.tech. Nous répondons sous un mois (prolongeable de deux mois si la demande est complexe).

Vous pouvez également supprimer votre compte depuis Paramètres.

11. Sécurité et réclamations

BLOCKTRUST™ met en œuvre des mesures techniques et organisationnelles appropriées : chiffrement TLS, hachage des adresses IP, authentification sécurisée, contrôle d'accès (IDOR), rate limiting, signatures cryptographiques ES256, surveillance des anomalies.

En cas de violation de données susceptible d'engendrer un risque pour vos droits, nous notifierons la CNIL et, le cas échéant, les personnes concernées conformément à l'article 33 du RGPD.

Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la CNIL (Commission nationale de l'informatique et des libertés).

Pour toute question relative à cette politique : privacy@blocktrust.tech