Politique de confidentialité

Le responsable du traitement des données personnelles collectées sur la plateforme Brigad-AI (accessible à l'adresse www.brigad-ai.com) est : Gaël RELIQUET et Nicolas CHAUVEAU Raison sociale : (À VENIR) Siège social : (À VENIR) Email : contact@brigad-ai.com La présente politique de confidentialité a pour objet de vous informer sur la manière dont vos données personnelles sont collectées, traitées et protégées lors de votre utilisation de la plateforme Brigad-AI, conformément au Règlement Général sur la Protection des Données (RGPD — Règlement UE 2016/679) et à la loi « Informatique et Libertés » du 6 janvier 1978 modifiée.

Nous collectons les catégories de données suivantes : Données d'identification et de compte Adresse email, nom, prénom, mot de passe (chiffré), nom de l'établissement, type d'établissement et paramètres du compte. Données de production culinaire Recettes, fiches techniques, ingrédients, quantités, unités de mesure, instructions de préparation, menus et compositions de menus. Ces données constituent le cœur de votre utilisation du service. Données économiques Prix d'achat des ingrédients, informations fournisseurs, historique des prix, coûts matière calculés, marges et indicateurs de rentabilité. Données de facturation Informations de paiement traitées par Stripe (numéro de carte, date d'expiration). Ces données sont collectées et stockées exclusivement par Stripe — Brigad-AI n'a jamais accès à vos données bancaires complètes. Données d'usage Pages consultées, fonctionnalités utilisées, durée des sessions, type d'appareil et navigateur. Ces données sont collectées de manière agrégée et anonymisée par Vercel Analytics, sans cookies ni identifiant personnel. Données de scan de factures Images de factures fournisseurs téléchargées, lignes extraites (désignation, prix, unité), correspondances avec les ingrédients de la mercuriale. Ces données sont traitées par Mistral OCR puis stockées dans votre compte.

Chaque traitement de données repose sur une base légale définie par le RGPD : Exécution du contrat (article 6.1.b du RGPD) Création et gestion de votre compte utilisateur, fourniture des fonctionnalités de la plateforme (gestion de recettes, calcul du food cost, mercuriale, génération IA), communication liée au service (notifications, emails transactionnels). Intérêt légitime (article 6.1.f du RGPD) Mesure d'audience anonymisée via Vercel Analytics pour améliorer le service, détection et prévention des anomalies techniques, amélioration continue des fonctionnalités. Obligation légale (article 6.1.c du RGPD) Conservation des données de facturation conformément aux obligations comptables et fiscales françaises. Consentement (article 6.1.a du RGPD) Envoi de communications commerciales ou newsletters (le cas échéant). Vous pouvez retirer votre consentement à tout moment.

Brigad-AI intègre des fonctionnalités d'intelligence artificielle pour le scan automatique de factures fournisseurs. Ce traitement fait l'objet d'une transparence particulière. Fournisseur IA : Mistral AI — société française basée à Paris, France. Usages : — OCR (Mistral OCR 3) : extraction structurée des lignes d'une facture (désignation, prix unitaire, unité, quantité) à partir de l'image téléchargée. — Embeddings (mistral-embed) : calcul de vecteurs de similarité sémantique pour associer automatiquement les désignations extraites aux ingrédients existants dans la mercuriale. Données transmises à Mistral AI : le contenu de l'image de facture (OCR) et les noms d'ingrédients (embeddings). Aucune donnée personnelle d'identification (email, nom, établissement) n'est transmise. Utilisation par Mistral AI : Mistral AI agit en qualité de sous-traitant au sens du RGPD. Les données transmises sont utilisées exclusivement pour produire la réponse demandée. Elles ne sont pas conservées au-delà du traitement et ne sont pas utilisées pour entraîner ou améliorer les modèles de Mistral AI.

Vos données personnelles sont accessibles uniquement aux personnes habilitées de Brigad-AI et aux sous-traitants techniques suivants, dans la stricte limite de ce qui est nécessaire à la fourniture du service : Supabase Inc. — Base de données et authentification Hébergement des données en France (AWS eu-west-3, Paris). Stockage des données de compte, de production culinaire et économiques. Gestion de l'authentification utilisateur. https://supabase.com Vercel Inc. — Hébergement web et analytics Hébergement de l'application web, déployée en France (région cdg1, AWS eu-west-3). Mesure d'audience anonymisée via Vercel Analytics (sans cookies, sans données personnelles identifiables). https://vercel.com Mistral AI — Traitement par intelligence artificielle Société française. Traitement des requêtes de génération de recettes. Aucune conservation des données au-delà du traitement. https://mistral.ai Stripe Inc. — Paiement en ligne Traitement sécurisé des paiements par carte bancaire. Stripe est certifié PCI-DSS niveau 1. Brigad-AI n'a pas accès à vos données bancaires complètes. https://stripe.com OVH / Resend — Emails transactionnels Envoi des emails liés au service (confirmation de compte, réinitialisation de mot de passe, notifications). OVH est hébergé en France. https://ovh.com Aucune donnée personnelle n'est vendue, louée ou cédée à des tiers à des fins commerciales.

L'ensemble de vos données de production (recettes, ingrédients, prix) et de votre base de données est hébergé en France, au sein de l'Union européenne. Certains sous-traitants techniques (Vercel, Supabase, Stripe) sont des sociétés américaines. Des transferts de données vers les États-Unis peuvent avoir lieu dans le cadre de la fourniture de leurs services. Ces transferts sont encadrés par : — Le EU-US Data Privacy Framework (DPF), pour les entreprises certifiées. — Les clauses contractuelles types (CCT) adoptées par la Commission européenne, garantissant un niveau de protection équivalent au RGPD. Mistral AI étant une société française, les données traitées par l'intelligence artificielle ne font l'objet d'aucun transfert hors de l'Union européenne.

Brigad-AI utilise exclusivement des cookies strictement nécessaires au fonctionnement du service : — Cookies d'authentification : maintien de votre session utilisateur après connexion. — Cookies de sécurité : protection contre les attaques CSRF et validation des requêtes. Ces cookies sont indispensables au fonctionnement de la plateforme et ne nécessitent pas votre consentement conformément à l'article 82 de la loi Informatique et Libertés. Vercel Analytics, utilisé pour la mesure d'audience, fonctionne sans cookies et sans collecte de données personnelles identifiables. Les données d'audience sont agrégées et anonymisées. Ce traitement ne nécessite pas de consentement. Aucun cookie publicitaire, cookie de traçage tiers, ni pixel de suivi n'est utilisé sur la plateforme.

Les données sont conservées selon les durées suivantes : Données de compte et de production culinaire : pendant toute la durée de votre utilisation du service. En cas de suppression de votre compte, ces données sont supprimées dans un délai de 30 jours. Données de facturation : conservées pendant 10 ans à compter de la clôture de l'exercice comptable concerné, conformément aux obligations légales françaises (article L123-22 du Code de commerce). Données d'usage (Vercel Analytics) : agrégées et anonymisées, elles ne constituent pas des données personnelles et ne sont pas soumises à une durée de conservation limitée. Données de scan de factures : les images et lignes extraites sont conservées dans votre compte pendant la durée d'utilisation du service. Les données transmises à Mistral AI (image OCR, noms d'ingrédients) ne sont pas conservées par Mistral AI au-delà du traitement.

Brigad-AI met en œuvre les mesures techniques et organisationnelles suivantes pour protéger vos données : — Chiffrement des données en transit (TLS/HTTPS sur l'ensemble de la plateforme). — Chiffrement des mots de passe (hachage irréversible via les mécanismes natifs de Supabase Auth). — Authentification sécurisée avec gestion des sessions et tokens. — Isolation des données entre utilisateurs au niveau de la base de données (Row Level Security via Supabase). — Sauvegardes automatiques de la base de données avec restauration point-in-time. — Hébergement sur des infrastructures certifiées (AWS eu-west-3, certifications SOC 2, ISO 27001). — Accès restreint aux données de production, limité aux seuls administrateurs habilités. En cas de violation de données personnelles susceptible d'engendrer un risque pour vos droits et libertés, nous nous engageons à notifier la CNIL dans un délai de 72 heures et à vous informer dans les meilleurs délais, conformément aux articles 33 et 34 du RGPD.

Conformément au RGPD et à la loi Informatique et Libertés, vous disposez des droits suivants sur vos données personnelles : Droit d'accès : obtenir la confirmation que des données vous concernant sont traitées et en recevoir une copie. Droit de rectification : faire corriger des données inexactes ou compléter des données incomplètes. Droit de suppression : demander l'effacement de vos données, sous réserve des obligations légales de conservation. Droit à la limitation du traitement : demander la suspension du traitement de vos données dans certains cas prévus par le RGPD. Droit d'opposition : vous opposer au traitement de vos données fondé sur l'intérêt légitime. Droit à la portabilité : recevoir vos données dans un format structuré, couramment utilisé et lisible par machine, ou demander leur transmission à un autre responsable de traitement. Droit de retirer votre consentement : lorsque le traitement est fondé sur le consentement, vous pouvez le retirer à tout moment sans affecter la licéité du traitement antérieur. Pour exercer ces droits, adressez votre demande à : contact@brigad-ai.com Nous nous engageons à répondre dans un délai d'un mois à compter de la réception de votre demande. Ce délai peut être prolongé de deux mois en cas de complexité ou de nombre élevé de demandes. Si vous estimez que le traitement de vos données ne respecte pas la réglementation, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) : www.cnil.fr

La présente politique de confidentialité peut être mise à jour pour refléter les évolutions du service, de la réglementation ou de nos pratiques. En cas de modification substantielle, vous serez informé par email ou par notification dans l'application. La date de dernière mise à jour est indiquée en haut de cette page. Nous vous invitons à la consulter régulièrement.

Pour toute question relative à la protection de vos données personnelles ou pour exercer vos droits : Email : contact@brigad-ai.com Adresse postale : (À VENIR)