Politique de Confidentialité
Dernière mise à jour : 28 avril 2026
Éditeur : Fabrik Service concerné : https://www.fabrik.so, https://app.fabrik.so et leurs sous-domaines Document n° : 5/10 du corpus contractuel Fabrik Version : 2.0 Date d'entrée en vigueur : 28 avril 2026 Date de dernière mise à jour : 28 avril 2026 Version française faisant foi — les traductions sont fournies à titre purement informatif.
SOMMAIRE DÉTAILLÉ
Partie I — Socle commun
Préambule
Article 1 — Définitions
Article 2 — Identité et coordonnées du responsable de traitement
Article 3 — Délégué à la protection des données (DPO)
Article 4 — Champ d'application et articulation avec les autres documents
Article 5 — Catégories de données traitées
Article 6 — Sources des données
Article 7 — Finalités des traitements et bases légales
Article 8 — Destinataires et sous-traitants
Article 9 — Transferts hors Union européenne
Article 10 — Durées de conservation
Article 11 — Mesures de sécurité
Article 12 — Violations de données à caractère personnel
Article 13 — Profilage et décisions automatisées
Article 14 — Intelligence artificielle et traitements afférents
Article 15 — Mineurs
Article 16 — Cookies et traceurs — renvoi
Article 17 — Mise à jour de la présente Politique
Partie II — Droits des personnes concernées par juridiction
Article 18 — Tableau de correspondance des droits
Article 19 — Droits au titre du RGPD (Union européenne)
Article 20 — Droits au titre du UK GDPR (Royaume-Uni)
Article 21 — Droits au titre du nFADP (Suisse)
Article 22 — Droits au titre du CCPA / CPRA (Californie)
Article 23 — Droits dans les autres États américains (Virginie, Colorado, Connecticut, Utah, Texas, Oregon, Montana, Iowa, Delaware, Tennessee, Indiana, New Jersey, New Hampshire, Minnesota, Maryland, Kentucky, Rhode Island, et autres)
Article 24 — Droits au titre du PIPEDA (Canada fédéral) et de la Loi 25 (Québec)
Article 25 — Droits au titre de la LGPD (Brésil)
Article 26 — Droits au titre de l'APPI (Japon)
Article 27 — Droits au titre du PIPL (Chine)
Article 28 — Droits au titre du DPDP Act (Inde)
Article 29 — Droits au titre du POPIA (Afrique du Sud)
Article 30 — Droits au titre du PDPA (Singapour)
Article 31 — Droits au titre du Privacy Act (Australie)
Article 32 — Droits au titre du PIPA (Corée du Sud)
Article 33 — Droits au titre du KVKK (Turquie)
Article 34 — Droits au titre du PDPA (Thaïlande)
Article 35 — Droits au titre du UAE PDPL (Émirats arabes unis)
Article 36 — Droits au titre du PDPL SDAIA (Arabie saoudite)
Partie III — Modalités d'exercice
Article 37 — Modalités d'exercice des droits
Article 38 — Réclamations auprès des autorités de contrôle
Article 39 — Contacts spécifiques par région
Annexes
Annexe A — Tableau détaillé : finalité / base légale / données / durée
Annexe B — Tableau des sous-traitants et destinataires
Annexe C — Tableau des transferts internationaux
Annexe D — Résumé lisible
PARTIE I — SOCLE COMMUN
PRÉAMBULE
Fabrik (ci-après « Fabrik », « nous », « nos » ou l'« Éditeur ») accorde la plus grande importance à la protection des données à caractère personnel de l'ensemble des personnes physiques qui utilisent le Service Fabrik, visitent son Site, entrent en relation commerciale avec elle, ou dont les données sont traitées à l'occasion de cette relation.
La présente Politique de confidentialité (ci-après la « Politique ») a pour objet d'informer, de manière concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, toute personne concernée sur les traitements de données à caractère personnel mis en œuvre par Fabrik, conformément notamment aux articles 12, 13 et 14 du Règlement (UE) 2016/679 (ci-après le « RGPD ») et, pour les personnes concernées relevant d'autres juridictions, aux dispositions équivalentes applicables.
La présente Politique est rédigée de manière à permettre à chaque personne concernée, quelle que soit sa résidence ou sa localisation, de comprendre comment Fabrik collecte, utilise, conserve, partage et protège ses données, et d'exercer en pratique ses droits.
La présente Politique couvre :
les traitements que Fabrik réalise en qualité de responsable de traitement (notamment : données des visiteurs du Site, données des Utilisateurs du Service, données des prospects et clients professionnels, données de facturation) ;
par renvoi, les traitements que Fabrik réalise en qualité de sous-traitant pour le compte de ses clients Professionnels (notamment : données à caractère personnel figurant sur les plans téléversés par le Client), qui sont régis par le Data Processing Agreement (DPA) figurant au document 7/10 du corpus Fabrik.
ARTICLE 1 — DÉFINITIONS
1.1. Les termes employés avec une majuscule dans la présente Politique ont la signification qui leur est attribuée dans les CGU, les CGV et le DPA, ou, à défaut, la signification suivante :
1.2. « Données à caractère personnel » ou « Données personnelles » : toute information se rapportant à une personne physique identifiée ou identifiable, au sens de l'article 4, point 1 du RGPD.
1.3. « Personne concernée » : la personne physique dont les Données à caractère personnel sont traitées.
1.4. « Traitement » : toute opération ou tout ensemble d'opérations effectué sur des Données à caractère personnel, au sens de l'article 4, point 2 du RGPD.
1.5. « Responsable de traitement » : la personne physique ou morale qui, seule ou conjointement avec d'autres, détermine les finalités et les moyens du traitement, au sens de l'article 4, point 7 du RGPD.
1.6. « Sous-traitant » : la personne physique ou morale qui traite des Données à caractère personnel pour le compte du responsable de traitement, au sens de l'article 4, point 8 du RGPD.
1.7. « Autorité de contrôle » : l'autorité publique indépendante compétente pour veiller à l'application du droit de la protection des données dans la juridiction concernée (CNIL en France, EDPB à l'échelle UE, ICO au Royaume-Uni, PFPDT en Suisse, CPPA/California Attorney General en Californie, etc.).
1.8. « Transfert » : toute communication, copie, consultation ou mise à disposition de Données à caractère personnel à destination d'un destinataire situé dans un pays tiers à l'Espace économique européen (EEE) ou à toute organisation internationale.
1.9. « Cookies » : voir la Politique cookies et traceurs (document 6/10 du corpus Fabrik).
ARTICLE 2 — IDENTITÉ ET COORDONNÉES DU RESPONSABLE DE TRAITEMENT
2.1. Responsable de traitement :
Dénomination : Fabrik
Forme juridique : 28 avril 2026
Capital social : 28 avril 2026
RCS : 28 avril 2026
SIRET : 28 avril 2026
Adresse du siège social : 4 rue du Four, 55500 Cousances-lès-Triconville, France
Numéro de TVA intracommunautaire : 28 avril 2026
Adresse électronique générale : contact@fabrik.so
Adresse électronique dédiée à la protection des données : legal@fabrik.so
Site internet : https://www.fabrik.so
2.2. Représentant UE. Fabrik étant établie dans l'Union européenne (France), l'obligation de désigner un représentant UE au titre de l'article 27 du RGPD ne trouve pas à s'appliquer.
2.3. Représentant UK. Fabrik n'étant pas établie au Royaume-Uni et pouvant, le cas échéant, tomber dans le champ du UK GDPR en raison de la surveillance du comportement de personnes concernées au Royaume-Uni, un représentant UK sera désigné dès lors que les seuils de l'article 27 du UK GDPR seront atteints. Les coordonnées du représentant UK figureront à l'article 39 ci-après.
2.4. Représentants hors UE/UK. Selon les juridictions dans lesquelles Fabrik traite des Données de personnes concernées (notamment Californie, Brésil, Corée du Sud, Turquie), un représentant local ou un point de contact peut être désigné ou peut devenir obligatoire en fonction des seuils applicables.
ARTICLE 3 — DÉLÉGUÉ À LA PROTECTION DES DONNÉES (DPO)
3.1. Désignation. Au jour de la rédaction de la présente Politique, la désignation d'un DPO au sens de l'article 37 du RGPD n'est pas obligatoire pour Fabrik, dont l'activité principale ne consiste pas en un traitement à grande échelle de catégories particulières de données ou en un suivi régulier et systématique à grande échelle des personnes concernées.
3.2. Point de contact dédié. Fabrik a néanmoins désigné un point de contact dédié pour toute question relative à la protection des Données à caractère personnel : legal@fabrik.so.
3.3. Désignation future. Si l'évolution du Service rend obligatoire la désignation d'un DPO, ou si Fabrik choisit volontairement d'en désigner un, la présente Politique sera mise à jour pour indiquer ses coordonnées complètes.
ARTICLE 4 — CHAMP D'APPLICATION ET ARTICULATION AVEC LES AUTRES DOCUMENTS
4.1. Champ d'application. La présente Politique s'applique à tout traitement de Données à caractère personnel mis en œuvre par Fabrik en qualité de responsable de traitement dans le cadre :
de la visite du Site et du Service par des Visiteurs ;
de la création et de la gestion d'un Compte par un Utilisateur ;
de l'utilisation des fonctionnalités du Service par un Utilisateur ;
de la souscription et de la facturation d'un Abonnement ;
de la communication avec le support, le service commercial ou le service juridique ;
de l'inscription à une newsletter ou à un canal de communication ;
de la participation à des enquêtes, à des phases bêta ou à des événements organisés par Fabrik ;
des opérations commerciales de prospection et de relation client ;
du recrutement (pour les candidats), dans les limites d'une politique distincte éventuellement applicable.
4.2. Traitements en qualité de sous-traitant. Les traitements mis en œuvre par Fabrik en qualité de sous-traitant pour le compte de ses Clients Professionnels (notamment concernant les Données à caractère personnel figurant dans les Plans ou documents téléversés par le Client) sont régis par le DPA. La présente Politique les mentionne pour information mais ne constitue pas le cadre contractuel applicable à ces traitements.
4.3. Articulation. La présente Politique se combine avec les CGU, les CGV, la Politique cookies, le DPA et la Politique de sécurité. En cas de divergence, les stipulations relatives à la protection des Données à caractère personnel figurant dans la présente Politique prévalent, sous réserve de la primauté du DPA pour les traitements mis en œuvre en qualité de sous-traitant.
ARTICLE 5 — CATÉGORIES DE DONNÉES TRAITÉES
5.1. Fabrik traite les catégories de Données à caractère personnel suivantes, selon le contexte et la nature de la relation avec la Personne concernée :
5.1.1. Données d'identification et de Compte
Nom, prénom
Adresse électronique
Mot de passe (sous forme hachée et salée, non réversible)
Identifiants de Compte, numéros d'identification interne
Langue préférée, fuseau horaire, préférences de notification
5.1.2. Données professionnelles
Dénomination sociale, forme juridique
Fonction, intitulé de poste
Adresse professionnelle
Numéro SIRET, numéro de TVA intracommunautaire, numéro NAF/APE
Secteur d'activité (ERP, entreprise de sécurité incendie, bureau d'études, etc.)
5.1.3. Données de contact
Adresse postale
Adresse électronique
Numéro de téléphone
5.1.4. Données de facturation et de paiement
Adresse de facturation
Moyens de paiement (les données de carte bancaire ne sont pas stockées par Fabrik mais par Stripe en environnement PCI-DSS)
Historique des factures, des paiements, des impayés éventuels
Historique des Abonnements
5.1.5. Données d'usage du Service
Journaux de connexion (date, heure, adresse IP, user-agent)
Pages visitées, fonctionnalités utilisées, durée des sessions
Plans créés, édités, exportés (à titre de métadonnées, sans exploitation du contenu des Plans au-delà du nécessaire au Service)
Actions réalisées dans le Service (clics, navigations, exports)
Interactions avec les fonctionnalités d'IA
5.1.6. Données techniques
Adresse IP
User-agent (navigateur, système d'exploitation, version)
Identifiants de session, tokens d'authentification
Identifiants de cookies et de traceurs
Données de télémétrie d'erreurs (via Sentry)
5.1.7. Données de communication
Contenu des courriels échangés avec le support ou les équipes Fabrik
Tickets de support, historique des échanges
Enregistrements éventuels de visioconférences (sous réserve du consentement préalable)
5.1.8. Données de prospection commerciale
Informations sur les prospects (source, date de collecte, intérêt manifesté)
Historique des interactions commerciales
5.1.9. Données contenues dans les Plans (sous-traitant)
Pour les Clients Professionnels, les Plans peuvent contenir des noms de personnel, des coordonnées d'intervenants d'urgence, des fonctions ou postes occupés, des signatures
Fabrik agit en qualité de sous-traitant pour ces données ; le responsable de traitement est le Client
Le DPA régit ces traitements
5.2. Catégories particulières (données sensibles). Fabrik ne traite, en principe, aucune catégorie particulière de Données à caractère personnel au sens de l'article 9 du RGPD (données révélant l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l'appartenance syndicale, données génétiques, biométriques, de santé, relatives à la vie sexuelle ou à l'orientation sexuelle).
5.3. Données relatives aux infractions. Fabrik ne traite pas non plus de données relatives aux condamnations pénales et aux infractions au sens de l'article 10 du RGPD, sauf dans le cadre strictement limité de la gestion d'un contentieux ou d'une enquête interne, et dans les limites du cadre légal applicable.
ARTICLE 6 — SOURCES DES DONNÉES
6.1. Fabrik collecte les Données à caractère personnel :
directement auprès de la Personne concernée, lorsqu'elle crée un Compte, souscrit un Abonnement, utilise le Service, contacte le support, s'inscrit à la newsletter, remplit un formulaire ou communique avec Fabrik par tout moyen ;
indirectement, lorsqu'elle est invitée à rejoindre un Compte organisationnel par un Administrateur (les données d'identification et de contact de la personne invitée sont alors communiquées par l'Administrateur) ;
indirectement, dans les Plans téléversés, lorsqu'un Client Professionnel téléverse un Plan contenant des Données à caractère personnel de tiers (par exemple : nom du responsable de sécurité affiché sur le Plan) — ces traitements sont alors régis par le DPA ;
auprès de tiers, lorsqu'un prospect est identifié par l'équipe commerciale via des sources légitimes (notamment LinkedIn, bases publiques de données professionnelles, annuaires sectoriels), dans le respect des dispositions applicables au prospecting et aux articles 13 et 14 du RGPD ;
auprès de nos sous-traitants techniques, notamment pour l'analytique (PostHog), la journalisation des erreurs (Sentry), et le traitement des paiements (Stripe) ;
à l'occasion de la navigation sur le Site et le Service, via des cookies, pixels, tags et autres traceurs, dans les conditions de la Politique cookies.
6.2. Lorsque les Données ne sont pas collectées directement auprès de la Personne concernée, Fabrik fournit l'information prévue à l'article 14 du RGPD dans un délai raisonnable et au plus tard dans le mois de la collecte, sauf exceptions légalement prévues.
ARTICLE 7 — FINALITÉS DES TRAITEMENTS ET BASES LÉGALES
7.1. Les finalités des traitements mis en œuvre par Fabrik en qualité de responsable de traitement, et les bases légales correspondantes au titre de l'article 6 du RGPD, sont résumées ci-après. Un tableau détaillé figure à l'Annexe A.
7.1.1. Fourniture du Service
Finalité : création et gestion des Comptes, accès aux fonctionnalités, support technique
Base légale : exécution d'un contrat (art. 6, 1, b du RGPD)
7.1.2. Facturation et gestion comptable
Finalité : émission des factures, encaissement des paiements, recouvrement éventuel, obligations comptables
Bases légales : exécution d'un contrat (art. 6, 1, b) et respect d'obligations légales (art. 6, 1, c — notamment tenue de la comptabilité, obligations fiscales)
7.1.3. Respect des obligations légales et réglementaires
Finalité : réponse aux réquisitions judiciaires et administratives, obligations en matière de LCB-FT, de sanctions internationales, de comptabilité
Base légale : respect d'obligations légales (art. 6, 1, c)
7.1.4. Relations commerciales et prospection
Finalité : démarchage commercial, newsletter, communications promotionnelles
Bases légales : intérêt légitime (art. 6, 1, f) pour la prospection B2B à destination de professionnels, dans le respect des règles de l'article L. 34-5 du Code des postes et communications électroniques ; consentement (art. 6, 1, a) lorsque requis (notamment pour la prospection B2C ou pour certains canaux comme le SMS)
7.1.5. Amélioration du Service et mesure d'audience
Finalité : analyses statistiques, détection d'usages, amélioration des fonctionnalités
Bases légales : intérêt légitime (art. 6, 1, f) pour les statistiques agrégées ; consentement (art. 6, 1, a) pour la mesure d'audience fine via PostHog, dans les conditions de la Politique cookies
7.1.6. Sécurité et lutte contre la fraude
Finalité : détection des comportements suspects, prévention des usurpations de compte, des fraudes au paiement et des attaques informatiques
Base légale : intérêt légitime (art. 6, 1, f), cet intérêt étant qualifié conformément au considérant 49 du RGPD
7.1.7. Gestion des réclamations, contentieux et exercice des droits
Finalité : traitement des réclamations, défense en justice, archivage probatoire
Bases légales : exécution d'un contrat (art. 6, 1, b), intérêt légitime (art. 6, 1, f), obligations légales (art. 6, 1, c)
7.1.8. Gestion de la relation avec les prospects et candidats
Finalité : entretiens, échanges, processus de recrutement
Base légale : intérêt légitime (art. 6, 1, f) ou mesures précontractuelles (art. 6, 1, b)
7.1.9. Traitement des demandes relatives aux droits des Personnes concernées
Finalité : instruction et réponse aux demandes (accès, rectification, effacement, portabilité, opposition, limitation)
Base légale : respect d'obligations légales (art. 6, 1, c)
7.1.10. Cookies et traceurs
Finalité : voir Politique cookies
Bases légales : consentement (art. 6, 1, a) pour les cookies non strictement nécessaires ; intérêt légitime / exécution du service (art. 6, 1, b et f) pour les cookies strictement nécessaires
ARTICLE 8 — DESTINATAIRES ET SOUS-TRAITANTS
8.1. Destinataires internes. Les Données à caractère personnel sont accessibles, dans la limite du besoin d'en connaître, aux membres du personnel, prestataires indépendants et consultants de Fabrik intervenant dans le cadre de leurs missions (équipes produit, ingénierie, support, commerce, finance, juridique, sécurité).
8.2. Sous-traitants techniques. Fabrik recourt à des sous-traitants techniques pour la fourniture du Service et la gestion de son activité. La liste des principaux sous-traitants figure à l'Annexe B et est également accessible dans le DPA. Les principaux sont :
Vercel Inc. (États-Unis) — hébergement applicatif (frontend, runtime serverless, edge network). Garanties : Data Processing Addendum de Vercel, Clauses contractuelles types de la Commission européenne (CCT), certification DPF (Data Privacy Framework).
Supabase (États-Unis, avec hébergement en région UE — Francfort privilégié) — hébergement de la base de données et des fichiers. Garanties : DPA Supabase, CCT, mesures supplémentaires contractuelles et techniques.
Stripe Inc. (États-Unis) et Stripe Payments Europe, Ltd (Irlande) — traitement des paiements. Garanties : Stripe est certifié PCI-DSS Level 1, DPA Stripe, CCT pour les transferts vers Stripe US, certification DPF.
Resend (États-Unis) — envoi des e-mails transactionnels. Garanties : DPA Resend, CCT, mesures techniques.
Sentry (États-Unis) — journalisation des erreurs et télémétrie. Garanties : DPA Sentry, CCT, DPF.
— (Google Analytics retiré du Service)
PostHog — analytique produit, session replay, feature flags avec consentement. Garanties : DPA PostHog, CCT, option de déploiement en région UE privilégiée lorsque disponible.
Tous autres sous-traitants listés dans l'Annexe B et dans la dernière version du DPA.
8.3. Autres destinataires. Peuvent également être destinataires, dans les strictes limites des finalités poursuivies et du Droit applicable :
les conseils juridiques, comptables, fiscaux et auditeurs externes de Fabrik, dans le cadre de leurs missions respectives ;
les juridictions et autorités compétentes, sur réquisition régulière ;
les cessionnaires ou acquéreurs éventuels, dans le cadre d'une cession d'activité ou d'une opération de restructuration (l'information des Personnes concernées étant alors assurée dans les conditions légales) ;
les partenaires ou prestataires tiers expressément autorisés par la Personne concernée ou par le Client dans le cadre du DPA.
8.4. Absence de vente des données. Fabrik ne vend pas les Données à caractère personnel à des tiers. Fabrik ne transfère pas les Données à caractère personnel à des tiers à des fins commerciales ou publicitaires pour le compte de ces tiers, sauf accord exprès, préalable et éclairé de la Personne concernée.
ARTICLE 9 — TRANSFERTS HORS UNION EUROPÉENNE
9.1. Principe. Certains sous-traitants visés à l'article 8 étant établis en dehors de l'Espace économique européen (EEE), des Données à caractère personnel peuvent être transférées vers des pays tiers, notamment les États-Unis.
9.2. Cadre juridique des transferts. Fabrik encadre ces transferts au moyen de l'un ou plusieurs des instruments suivants, prévus au chapitre V du RGPD :
Décisions d'adéquation (art. 45 RGPD), lorsque le pays destinataire bénéficie d'une décision d'adéquation de la Commission européenne (par exemple : décision d'adéquation UE-USA Data Privacy Framework (« DPF ») du 10 juillet 2023 pour les sous-traitants américains certifiés DPF ; décisions d'adéquation pour le Royaume-Uni, la Suisse, le Canada, le Japon, la Corée du Sud, Israël, Argentine, Nouvelle-Zélande, Uruguay, Guernesey, Jersey, Île de Man, Îles Féroé, Andorre) ;
Clauses contractuelles types (CCT) adoptées par la Commission européenne par décision d'exécution (UE) 2021/914 du 4 juin 2021 (art. 46, 2, c et d RGPD), dans leur configuration modulaire pertinente (Module 1 contrôleur-contrôleur, Module 2 contrôleur-sous-traitant, Module 3 sous-traitant-sous-traitant, Module 4 sous-traitant-contrôleur), complétées le cas échéant par :
pour les transferts vers le Royaume-Uni : addendum IDTA (International Data Transfer Addendum) ou IDTA autonome selon la configuration ;
pour les transferts vers la Suisse : addendum suisse du PFPDT/FDPIC ;
pour les transferts vers la Chine (si applicable) : Standard Contract de la CAC ;
Règles d'entreprise contraignantes (BCR), le cas échéant (art. 47 RGPD) ;
Dérogations pour situations particulières (art. 49 RGPD), à titre exceptionnel et dans les strictes conditions prévues par ledit article (notamment consentement explicite, exécution du contrat conclu avec la Personne concernée, motifs importants d'intérêt public, constatation de droits en justice).
9.3. Mesures supplémentaires post-Schrems II. Conformément à l'arrêt Schrems II de la Cour de justice de l'Union européenne (CJUE, 16 juillet 2020, C-311/18), Fabrik procède, pour chaque transfert vers un pays tiers ne faisant pas l'objet d'une décision d'adéquation, à une analyse d'impact du transfert (TIA — Transfer Impact Assessment) visant à vérifier que le pays de destination offre un niveau de protection substantiellement équivalent à celui de l'UE. Lorsque cette analyse identifie un risque, Fabrik met en œuvre des mesures supplémentaires techniques, organisationnelles et/ou contractuelles, conformément aux recommandations 01/2020 du Comité européen de la protection des données (EDPB), notamment :
Mesures techniques : chiffrement en transit (TLS 1.2 minimum, 1.3 recommandé) et au repos (AES-256), minimisation des données transférées, pseudonymisation, configuration de rétention minimale, cloisonnement logique, tokenization des données sensibles ;
Mesures organisationnelles : politique de gestion des accès, authentification forte, traçabilité des accès, formation du personnel, procédures de réponse aux demandes d'autorités étrangères ;
Mesures contractuelles : stipulations supplémentaires aux CCT, clauses de transparence sur les demandes gouvernementales, clauses de défi juridique (challenge legal grounds), clauses de notification, engagements de résistance aux demandes excessives, notamment au regard de la Section 702 FISA et de l'Executive Order 12333 pour les transferts vers les États-Unis.
9.4. Tableau des transferts. Un tableau résumant les principaux transferts (pays de destination, sous-traitant concerné, finalité, instrument de transfert) figure à l'Annexe C.
9.5. Information complémentaire. Toute Personne concernée peut obtenir, sur demande écrite adressée à legal@fabrik.so, une copie des garanties mises en œuvre ou une indication du lieu où elles peuvent être consultées, conformément à l'article 46, 1 du RGPD.
ARTICLE 10 — DURÉES DE CONSERVATION
10.1. Les Données à caractère personnel ne sont conservées que pour la durée strictement nécessaire à l'accomplissement des finalités pour lesquelles elles ont été collectées, sous réserve des durées légales d'archivage et de prescription.
10.2. Tableau indicatif des durées de conservation. Les durées ci-après sont indicatives et susceptibles d'ajustement selon la finalité spécifique.
Catégorie de données / finalité
Durée active
Durée d'archivage
Compte actif (Utilisateur)
Durée de la relation contractuelle
3 ans à compter de la dernière activité, puis suppression
Compte inactif (aucune connexion)
3 ans d'inactivité, avec notification préalable de suppression
Suppression après 3 ans
Données de facturation
Durée de la relation
10 ans (art. L. 123-22 Code de commerce)
Factures
Émission
10 ans (art. L. 123-22 Code de commerce, art. L. 102 B LPF)
Données de paiement (Stripe, tokens)
Durée de la relation
Selon politique Stripe (PCI-DSS)
Prospects B2B (non Utilisateurs)
3 ans à compter du dernier contact actif
Suppression
Newsletters (abonnés)
Jusqu'au retrait du consentement
Suppression immédiate au retrait
Cookies et traceurs
Voir Politique cookies
Max 13 mois pour les cookies de mesure d'audience, sauf consentement renouvelé
Journaux de connexion et logs techniques
12 mois glissants
Anonymisation ou suppression
Journaux de sécurité et d'accès
12 mois glissants ; 6 ans en cas d'incident avéré
Selon finalité
Tickets de support
Durée de la relation
3 ans après clôture
Contentieux et réclamations
Durée de la procédure
5 ans après issue définitive (prescription quinquennale de droit commun)
Candidatures non retenues
2 ans à compter de la dernière interaction
Suppression
Réquisitions judiciaires
Durée nécessaire à la réponse
Selon cadre légal
Données contenues dans les Plans (sous-traitant)
Selon instructions du Client et durée du Contrat
90 jours post-résiliation pour portabilité, puis suppression ; sauvegardes max 180 jours
10.3. Critères utilisés pour déterminer la durée. Les critères utilisés pour déterminer la durée de conservation incluent : la finalité du traitement, la nature et la sensibilité des données, les risques potentiels d'un traitement non autorisé, les obligations légales d'archivage, les délais de prescription applicables à d'éventuels contentieux.
10.4. Archivage intermédiaire. À l'issue de la durée active, les Données peuvent être archivées en base d'archivage intermédiaire à accès restreint, pour les seuls besoins de la preuve et des obligations légales, avant suppression définitive ou anonymisation.
ARTICLE 11 — MESURES DE SÉCURITÉ
11.1. Conformément aux articles 5, 1, f et 32 du RGPD, Fabrik met en œuvre les mesures techniques et organisationnelles appropriées au regard de la nature, de l'étendue, du contexte et des finalités des traitements, ainsi que des risques pour les droits et libertés des Personnes concernées.
11.2. Mesures principales (liste non-exhaustive, détaillée dans la Politique de sécurité — document 10/10) :
chiffrement des Données en transit via TLS 1.2 / 1.3 ;
chiffrement des Données au repos via AES-256 (niveau base de données et stockage d'objets) ;
contrôle d'accès strict, avec principe du moindre privilège ;
authentification forte pour les équipes disposant d'accès aux systèmes de production ;
journalisation et traçabilité des accès ;
segmentation des environnements (production, pré-production, développement) ;
sauvegardes régulières, testées, stockées de manière séparée et sécurisée ;
procédures de gestion des vulnérabilités et des correctifs ;
tests réguliers (scan de vulnérabilités, pentests selon maturité) ;
sensibilisation et formation du personnel ;
politiques de sécurité documentées ;
procédure de gestion des violations (notification dans les 72 heures à l'Autorité de contrôle, information aux Personnes concernées lorsque requis).
11.3. Sous-traitants. Fabrik sélectionne ses sous-traitants sur la base de garanties suffisantes en matière de sécurité et les encadre contractuellement par un DPA conforme à l'article 28 du RGPD.
ARTICLE 12 — VIOLATIONS DE DONNÉES À CARACTÈRE PERSONNEL
12.1. Détection et qualification. Fabrik dispose d'une procédure interne de gestion des violations permettant leur détection, leur qualification et leur traitement.
12.2. Notification à l'Autorité de contrôle. En cas de violation susceptible d'engendrer un risque pour les droits et libertés des Personnes concernées, Fabrik notifie la violation à la CNIL (ou à l'Autorité de contrôle compétente) dans un délai de 72 heures à compter de sa connaissance, conformément à l'article 33 du RGPD.
12.3. Information des Personnes concernées. Lorsque la violation est susceptible d'engendrer un risque élevé, Fabrik informe les Personnes concernées dans les meilleurs délais, conformément à l'article 34 du RGPD, sauf si les conditions de dérogation sont remplies (notamment mise en œuvre de mesures rendant les données incompréhensibles pour les tiers, adoption de mesures ultérieures écartant le risque).
12.4. Registre des violations. Fabrik tient un registre interne des violations, conformément à l'article 33, 5 du RGPD.
ARTICLE 13 — PROFILAGE ET DÉCISIONS AUTOMATISÉES
13.1. Absence de décision automatisée significative. Fabrik ne met pas en œuvre de décisions fondées exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques concernant la Personne concernée ou l'affectant de manière significative de façon similaire, au sens de l'article 22 du RGPD.
13.2. Traitements automatisés sans effet significatif. Le Service peut mettre en œuvre des traitements automatisés sans effet significatif au sens de l'article 22, notamment :
détection automatisée de comportements frauduleux (login suspect, usage anormal) aboutissant à une révision humaine ;
personnalisation de contenu dans l'interface du Service ;
suggestions algorithmiques d'amélioration des Plans par l'IA, sans décision se substituant à la validation humaine.
13.3. Droits associés. Si Fabrik venait à mettre en œuvre une décision automatisée au sens de l'article 22, la Personne concernée disposerait des droits associés (droit d'obtenir une intervention humaine, d'exprimer son point de vue, de contester la décision).
ARTICLE 14 — INTELLIGENCE ARTIFICIELLE ET TRAITEMENTS AFFÉRENTS
14.1. Fonctionnalités d'IA du Service. Le Service intègre des fonctionnalités d'IA pour certaines tâches (notamment reconnaissance de dispositifs de sécurité sur un plan d'architecte, suggestion de placement de pictogrammes, détection d'incohérences).
14.2. Traitements mis en œuvre. Ces fonctionnalités peuvent impliquer le traitement de Contenus Utilisateurs, qui peuvent, pour les Clients Professionnels, contenir des Données à caractère personnel de tiers (noms figurant sur les plans). Ces traitements sont encadrés par le DPA lorsque Fabrik agit en qualité de sous-traitant.
14.3. Prestataires tiers d'IA. Fabrik peut avoir recours à des prestataires tiers d'IA (API de modèles de langage, API de vision, etc.). Lorsque ces prestataires traitent des Données à caractère personnel pour le compte de Fabrik ou de ses Clients, ils sont intégrés à la liste des sous-traitants et encadrés par un DPA.
14.4. Non-utilisation pour entraînement sans accord. Fabrik s'interdit d'utiliser les Contenus Utilisateurs de ses Clients pour entraîner des modèles d'IA utilisés pour d'autres clients, sans accord exprès. Des traitements anonymisés et agrégés peuvent être réalisés à des fins d'amélioration du Service, de détection de fraude et de sécurité.
14.5. Règlement (UE) 2024/1689 — AI Act. Fabrik s'engage à respecter, dans les délais d'entrée en application progressive (de février 2025 à août 2027 selon les dispositions), les obligations de l'AI Act qui lui sont applicables, notamment en qualité de fournisseur ou déployeur de systèmes d'IA, selon la qualification qui sera retenue.
14.6. Transparence. Fabrik s'efforce de fournir à l'Utilisateur une information claire sur les traitements impliquant l'IA, leurs finalités et leurs limites, notamment la nécessité d'une vérification humaine des résultats produits.
ARTICLE 15 — MINEURS
15.1. Le Service n'est pas destiné aux mineurs. Fabrik n'accepte pas, sciemment, la création de Compte par une personne âgée de moins de seize (16) ans (seuil abaissé à quinze (15) ans pour la France en application de l'article 7-1 de la loi Informatique et Libertés ; seuils variables dans d'autres juridictions — 13 ans pour le COPPA américain, notamment).
15.2. Si Fabrik venait à constater qu'un Compte a été créé par un mineur en méconnaissance des présentes, les Données seraient supprimées dans les meilleurs délais, sauf obligation légale de conservation. Les titulaires de l'autorité parentale peuvent adresser une demande en ce sens à legal@fabrik.so.
ARTICLE 16 — COOKIES ET TRACEURS — RENVOI
16.1. L'utilisation de cookies et traceurs sur le Site et le Service est régie par la Politique cookies et traceurs (document 6/10 du corpus Fabrik), à laquelle il est expressément renvoyé pour une information détaillée.
ARTICLE 17 — MISE À JOUR DE LA PRÉSENTE POLITIQUE
17.1. Fabrik se réserve le droit de modifier la présente Politique pour tenir compte de l'évolution législative, jurisprudentielle, technique ou organisationnelle.
17.2. Toute modification substantielle fait l'objet d'une information aux Personnes concernées (notification par e-mail pour les Utilisateurs, mise en avant sur le Site pour les Visiteurs), avec une date d'entrée en vigueur respectant un préavis raisonnable.
17.3. La version applicable à un moment donné est celle publiée sur le Site à cette date, avec mention de la date de dernière mise à jour.
PARTIE II — DROITS DES PERSONNES CONCERNÉES PAR JURIDICTION
ARTICLE 18 — TABLEAU DE CORRESPONDANCE DES DROITS
18.1. Le tableau ci-après résume, à titre d'orientation, les principaux droits reconnus selon les juridictions. Les modalités d'exercice et les exceptions varient selon le texte applicable ; les articles 19 et suivants en précisent les spécificités.
Droit
RGPD (UE)
UK GDPR
nFADP CH
CCPA/CPRA (CA)
PIPEDA (Canada)
LGPD (BR)
APPI (JP)
PIPL (CN)
DPDP (IN)
POPIA (ZA)
PDPA (SG)
Privacy Act (AU)
PIPA (KR)
KVKK (TR)
PDPA (TH)
UAE PDPL
PDPL KSA
Accès
✓
✓
✓
✓
✓
✓
✓
✓
✓
✓
✓
✓
✓
✓
✓
✓
✓
Rectification
✓
✓
✓
✓
✓
✓
✓
✓
✓
✓
✓
✓
✓
✓
✓
✓
✓
Effacement
✓
✓
✓
✓
○
✓
✓
✓
✓
✓
○
○
✓
✓
✓
✓
✓
Limitation
✓
✓
✓
—
—
○
○
✓
○
✓
—
—
○
○
✓
✓
✓
Portabilité
✓
✓
✓
✓
—
✓
○
✓
○
—
—
—
✓
○
✓
✓
✓
Opposition
✓
✓
✓
✓ (opt-out ventes/partage)
✓
✓
✓
✓
○
✓
✓
○
✓
✓
✓
✓
✓
Retrait consentement
✓
✓
✓
✓ (sensitive)
✓
✓
✓
✓
✓
✓
✓
✓
✓
✓
✓
✓
✓
Non-discrimination
—
—
—
✓
—
—
—
—
○
—
—
—
—
—
—
—
—
Automatisation
✓
✓
✓
✓
—
✓
○
✓
—
✓
—
—
✓
✓
✓
✓
✓
Recours Autorité
✓
✓
✓
✓
✓
✓
✓
✓
✓
✓
✓
✓
✓
✓
✓
✓
✓
Légende : ✓ expressément prévu ; ○ partiellement ou contextuellement ; — non explicitement prévu ou limité
ARTICLE 19 — DROITS AU TITRE DU RGPD (UNION EUROPÉENNE)
19.1. Toute Personne concernée résidant dans l'Union européenne, ou dont les Données sont traitées par Fabrik dans le champ territorial du RGPD, dispose des droits suivants, dans les conditions et limites fixées par le RGPD et la loi Informatique et Libertés (loi n° 78-17 du 6 janvier 1978 modifiée) :
19.1.1. Droit d'accès (art. 15 RGPD) Obtenir la confirmation que des Données la concernant sont ou non traitées et, le cas échéant, obtenir communication de ces Données, des finalités du traitement, des catégories de Données, des destinataires, de la durée de conservation, des droits associés, de l'origine des Données et, le cas échéant, d'informations relatives aux décisions automatisées et aux transferts.
19.1.2. Droit de rectification (art. 16 RGPD) Obtenir la rectification des Données inexactes et le complément des Données incomplètes, y compris par une déclaration complémentaire.
19.1.3. Droit à l'effacement / droit à l'oubli (art. 17 RGPD) Obtenir l'effacement des Données la concernant dans les cas prévus par l'article 17, notamment lorsque les Données ne sont plus nécessaires, lorsque le consentement est retiré et qu'il n'existe pas d'autre fondement juridique, en cas d'opposition, en cas de traitement illicite, ou en application d'une obligation légale. Des exceptions s'appliquent, notamment pour l'exercice de la liberté d'expression et d'information, le respect d'une obligation légale, des motifs d'intérêt public, ou la constatation de droits en justice.
19.1.4. Droit à la limitation du traitement (art. 18 RGPD) Obtenir la limitation du traitement dans les cas de contestation de l'exactitude, de traitement illicite avec opposition à l'effacement, de nécessité des Données pour constater des droits en justice, ou d'opposition en cours d'examen.
19.1.5. Droit à la portabilité (art. 20 RGPD) Recevoir les Données fournies par la Personne concernée, dans un format structuré, couramment utilisé et lisible par machine, et les transmettre à un autre responsable de traitement, lorsque le traitement est fondé sur le consentement ou le contrat et effectué par des procédés automatisés.
19.1.6. Droit d'opposition (art. 21 RGPD) S'opposer, à tout moment, pour des raisons tenant à la situation particulière de la Personne concernée, à un traitement fondé sur l'intérêt légitime ou l'intérêt public. S'opposer sans motif au traitement à des fins de prospection commerciale, y compris au profilage associé.
19.1.7. Droit de retirer le consentement (art. 7, 3 RGPD) Retirer, à tout moment, le consentement donné, sans que ce retrait ne remette en cause la licéité du traitement antérieur.
19.1.8. Droit de ne pas faire l'objet d'une décision automatisée (art. 22 RGPD) Voir article 13.
19.1.9. Droit de définir des directives post-mortem (art. 85 LIL) Définir, à tout moment, des directives relatives au sort des Données après son décès, conformément à l'article 85 de la loi Informatique et Libertés.
19.1.10. Droit d'introduire une réclamation auprès d'une Autorité de contrôle (art. 77 RGPD) Introduire une réclamation auprès de la CNIL (en France) ou de toute autre Autorité de contrôle compétente dans l'UE. En France : CNIL, 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07, www.cnil.fr, tél. 01 53 73 22 22.
19.2. Modalités. Voir article 37.
ARTICLE 20 — DROITS AU TITRE DU UK GDPR (ROYAUME-UNI)
20.1. Les Personnes concernées résidant au Royaume-Uni ou dont les Données sont traitées dans le champ du UK GDPR (post-Brexit) disposent de droits substantiellement équivalents à ceux du RGPD, tels que repris par le UK GDPR et le Data Protection Act 2018 (tel que modifié par le Data Protection and Digital Information Act 2025 ou la législation équivalente alors en vigueur).
20.2. Réclamation auprès de l'ICO. Toute Personne concernée peut adresser une réclamation à l'Information Commissioner's Office (ICO), Wycliffe House, Water Lane, Wilmslow, Cheshire, SK9 5AF, United Kingdom, www.ico.org.uk.
20.3. Représentant UK : voir article 2.3 (désignation lorsque les seuils sont atteints).
ARTICLE 21 — DROITS AU TITRE DU NFADP (SUISSE)
21.1. Les Personnes concernées résidant en Suisse disposent des droits prévus par la Loi fédérale révisée sur la protection des données (nFADP), entrée en vigueur le 1er septembre 2023, et son ordonnance d'exécution (OPDo), notamment :
droit d'information (art. 25 nFADP) ;
droit d'accès (art. 25-26 nFADP) ;
droit de rectification (art. 32, 1 nFADP) ;
droit à l'effacement et à l'opposition (art. 32, 2 nFADP) ;
droit à la portabilité (art. 28-29 nFADP) ;
droit en cas de décision individuelle automatisée (art. 21 nFADP).
21.2. Réclamation auprès du PFPDT. Les Personnes concernées peuvent adresser une communication au Préposé fédéral à la protection des données et à la transparence (PFPDT), Feldeggweg 1, 3003 Berne, Suisse, www.edoeb.admin.ch.
ARTICLE 22 — DROITS AU TITRE DU CCPA / CPRA (CALIFORNIE)
22.1. Les résidents de Californie disposent, au titre du California Consumer Privacy Act (CCPA), tel que modifié par le California Privacy Rights Act (CPRA) et ses règlements d'application par la California Privacy Protection Agency (CPPA), des droits suivants :
Right to Know / Access : connaître les catégories et éléments spécifiques de Personal Information (PI) collectés, les sources, les finalités commerciales, les catégories de tiers à qui la PI est divulguée, et les catégories de PI vendues ou partagées au cours des 12 derniers mois.
Right to Delete : demander la suppression de sa PI, sous réserve d'exceptions légales.
Right to Correct : corriger les PI inexactes.
Right to Opt-Out of Sale / Sharing : refuser la « vente » et le « partage » de sa PI, notamment pour la publicité ciblée cross-context. Fabrik met à disposition un mécanisme « Do Not Sell or Share My Personal Information » et honore le Global Privacy Control (GPC).
Right to Limit Use and Disclosure of Sensitive Personal Information (SPI) : limiter l'usage des Sensitive PI à des finalités strictement nécessaires.
Right to Non-Discrimination : ne pas faire l'objet de discrimination (refus de service, tarif différent, niveau de service dégradé) pour avoir exercé ses droits.
Right to Data Portability : recevoir sa PI dans un format portable.
Right Regarding Automated Decision-Making Technology : droits spécifiques liés aux décisions automatisées significatives, dans les conditions précisées par les règlements de la CPPA.
22.2. Vérification. Fabrik procède à une vérification raisonnable de l'identité du demandeur avant de répondre.
22.3. Délai. Réponse dans un délai de 45 jours, prorogeable une fois pour des motifs raisonnables.
22.4. Mineurs de moins de 16 ans. Opt-in requis pour la « vente » ou le « partage » (opt-in parental pour les moins de 13 ans).
22.5. Déclaration d'absence de vente. Fabrik ne « vend » pas la PI au sens du CCPA à des fins monétaires. Certaines activités analytiques ou publicitaires pourraient toutefois être qualifiées de « partage » pour publicité ciblée cross-context ; dans ce cas, Fabrik fournit un mécanisme d'opt-out conforme et honore le signal GPC.
22.6. Réclamation. California Privacy Protection Agency (CPPA), 2101 Arena Boulevard, Sacramento, CA 95834, cppa.ca.gov. California Attorney General, oag.ca.gov/privacy.
ARTICLE 23 — DROITS DANS LES AUTRES ÉTATS AMÉRICAINS
23.1. États concernés et textes applicables (liste évolutive) :
Virginie — Virginia Consumer Data Protection Act (VCDPA), entré en vigueur le 1er janvier 2023 ;
Colorado — Colorado Privacy Act (CPA), 1er juillet 2023 ;
Connecticut — Connecticut Data Privacy Act (CTDPA), 1er juillet 2023 ;
Utah — Utah Consumer Privacy Act (UCPA), 31 décembre 2023 ;
Texas — Texas Data Privacy and Security Act (TDPSA), 1er juillet 2024 ;
Oregon — Oregon Consumer Privacy Act (OCPA), 1er juillet 2024 ;
Montana — Montana Consumer Data Privacy Act (MCDPA), 1er octobre 2024 ;
Iowa — Iowa Consumer Data Protection Act (ICDPA), 1er janvier 2025 ;
Delaware — Delaware Personal Data Privacy Act, 1er janvier 2025 ;
Tennessee — Tennessee Information Protection Act (TIPA), 1er juillet 2025 ;
Indiana — Indiana Consumer Data Protection Act, 1er janvier 2026 ;
New Jersey — New Jersey Data Privacy Act, 15 janvier 2025 ;
New Hampshire — New Hampshire Data Privacy Act, 1er janvier 2025 ;
Minnesota — Minnesota Consumer Data Privacy Act, 31 juillet 2025 ;
Maryland — Maryland Online Data Privacy Act, 1er octobre 2025 ;
Kentucky — Kentucky Consumer Data Protection Act, 1er janvier 2026 ;
Rhode Island — Rhode Island Data Transparency and Privacy Protection Act, 1er janvier 2026 ;
et tout autre État qui adopterait ou ferait entrer en vigueur une législation équivalente postérieurement à la rédaction des présentes.
23.2. Droits communs. Sous réserve des spécificités de chaque texte et des seuils d'applicabilité (chiffre d'affaires, nombre de consommateurs traités, etc.), les résidents de ces États disposent de droits généralement équivalents, variant selon les textes, incluant :
droit d'accès / de confirmation ;
droit de correction (sauf Utah et Iowa — non requis) ;
droit de suppression ;
droit à la portabilité ;
droit d'opt-out de la vente, du ciblage publicitaire et du profilage produisant des effets juridiques ou significativement similaires ;
droit d'appel en cas de refus.
23.3. Universal Opt-Out Mechanisms (UOOM). Dans les États le prévoyant (Colorado, Connecticut, Texas, Oregon, etc.), Fabrik honore les signaux universels d'opt-out (notamment Global Privacy Control — GPC).
23.4. Mineurs. Les règles protectrices des mineurs (notamment le Florida Digital Bill of Rights, et plus généralement le consentement parental pour les moins de 13 ans en application du COPPA fédéral) sont appliquées lorsque pertinentes.
23.5. Réclamations. Les réclamations sont à adresser au procureur général de l'État concerné ou à l'autorité compétente dédiée.
ARTICLE 24 — DROITS AU TITRE DU PIPEDA (CANADA FÉDÉRAL) ET DE LA LOI 25 (QUÉBEC)
24.1. PIPEDA (Personal Information Protection and Electronic Documents Act). Les Personnes concernées au Canada disposent de droits d'accès, de rectification, d'opposition, de retrait du consentement, et de réclamation auprès du Commissariat à la protection de la vie privée du Canada (CPVP), www.priv.gc.ca.
24.2. Loi 25 (Québec) — Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, entrée en vigueur progressivement de 2022 à 2024. Droits spécifiques : droit à l'accès, à la rectification, à la désindexation, à la portabilité (depuis septembre 2024), à la cessation de diffusion, à l'information sur l'usage de décisions automatisées. Réclamation : Commission d'accès à l'information du Québec (CAI), www.cai.gouv.qc.ca.
24.3. Notification de fuite. Fabrik notifie les violations de confidentialité à la CAI et aux Personnes concernées dans les conditions prévues par la Loi 25.
ARTICLE 25 — DROITS AU TITRE DE LA LGPD (BRÉSIL)
25.1. La Lei Geral de Proteção de Dados Pessoais (LGPD, loi n° 13.709/2018) reconnaît aux titulaires de données (titulares) les droits suivants (art. 18 LGPD) : confirmation de l'existence du traitement ; accès ; correction ; anonymisation, blocage ou suppression des données inutiles ou excessives ; portabilité ; effacement des données traitées sur la base du consentement ; information sur les partages ; information sur la possibilité de refuser le consentement ; révocation du consentement ; révision des décisions automatisées.
25.2. Réclamation : Autoridade Nacional de Proteção de Dados (ANPD), www.gov.br/anpd.
25.3. Représentant au Brésil. Fabrik évalue la nécessité d'un représentant local selon les seuils applicables.
ARTICLE 26 — DROITS AU TITRE DE L'APPI (JAPON)
26.1. L'Act on the Protection of Personal Information (APPI) reconnaît des droits d'accès, de rectification, de suspension de l'utilisation, de suppression et de divulgation des registres de transferts à des tiers.
26.2. Réclamation : Personal Information Protection Commission (PPC), www.ppc.go.jp.
ARTICLE 27 — DROITS AU TITRE DU PIPL (CHINE)
27.1. La Personal Information Protection Law (PIPL), entrée en vigueur le 1er novembre 2021, reconnaît aux Personnes concernées : droit à l'information et au consentement ; droit d'accès et de copie ; droit de rectification ; droit de suppression ; droit de portabilité ; droit de restriction ; droit de retrait du consentement ; droit de recours.
27.2. Transferts hors Chine. Soumis à une évaluation de sécurité, à une certification ou à l'utilisation du Standard Contract de la CAC (Cyberspace Administration of China), selon les seuils et la nature des données.
27.3. Réclamation : CAC, www.cac.gov.cn.
ARTICLE 28 — DROITS AU TITRE DU DPDP ACT (INDE)
28.1. Le Digital Personal Data Protection Act (DPDP Act) de 2023, dont les règles d'application (DPDP Rules) ont été finalisées en 2025, reconnaît aux Data Principals : droit d'accès à l'information sur les données et leur traitement ; droit de correction, complétude, mise à jour et effacement ; droit de nomination (désigner une personne pour exercer les droits en cas d'incapacité ou de décès) ; droit de recours.
28.2. Réclamation : Data Protection Board of India.
ARTICLE 29 — DROITS AU TITRE DU POPIA (AFRIQUE DU SUD)
29.1. Le Protection of Personal Information Act (POPIA) reconnaît les droits d'accès, de correction ou de suppression, d'opposition au traitement, de refus des communications électroniques non sollicitées, de refus des décisions automatisées, et de réclamation auprès de l'Information Regulator (www.inforegulator.org.za).
ARTICLE 30 — DROITS AU TITRE DU PDPA (SINGAPOUR)
30.1. Le Personal Data Protection Act 2012 (PDPA) reconnaît les droits d'accès, de correction, de retrait du consentement, de portabilité (effectif sous réserve d'entrée en vigueur des dispositions correspondantes) et de réclamation auprès de la PDPC (www.pdpc.gov.sg).
ARTICLE 31 — DROITS AU TITRE DU PRIVACY ACT (AUSTRALIE)
31.1. Le Privacy Act 1988 (Cth), tel que modifié, et les Australian Privacy Principles (APPs), reconnaissent des droits d'accès, de correction, d'opposition au marketing direct, et de plainte auprès de l'OAIC (Office of the Australian Information Commissioner), www.oaic.gov.au.
ARTICLE 32 — DROITS AU TITRE DU PIPA (CORÉE DU SUD)
32.1. Le Personal Information Protection Act (PIPA) reconnaît les droits d'accès, de correction, de suppression, de suspension du traitement, de portabilité, de transparence sur les décisions automatisées, de retrait du consentement, et de réclamation auprès de la PIPC (Personal Information Protection Commission).
ARTICLE 33 — DROITS AU TITRE DU KVKK (TURQUIE)
33.1. Le Kişisel Verileri Koruma Kanunu (loi n° 6698) reconnaît les droits d'information, d'accès, de correction, de suppression, d'opposition, de réparation et de réclamation auprès de la KVKK (Kişisel Verileri Koruma Kurumu), www.kvkk.gov.tr.
33.2. Registre VERBIS. Fabrik évalue l'obligation éventuelle d'inscription au registre VERBIS selon les seuils applicables aux responsables de traitement étrangers.
ARTICLE 34 — DROITS AU TITRE DU PDPA (THAÏLANDE)
34.1. Le Personal Data Protection Act (PDPA) B.E. 2562 (2019) reconnaît les droits d'accès, de rectification, de suppression, de portabilité, d'opposition, de limitation, de retrait du consentement, et de réclamation auprès du PDPC thaïlandais.
ARTICLE 35 — DROITS AU TITRE DU UAE PDPL (ÉMIRATS ARABES UNIS)
35.1. La Federal Decree-Law No. 45 of 2021 on the Protection of Personal Data (UAE PDPL) reconnaît les droits d'accès, de rectification, de suppression, de limitation, de portabilité, d'opposition, de refus des décisions automatisées, et de réclamation auprès de la UAE Data Office.
ARTICLE 36 — DROITS AU TITRE DU PDPL SDAIA (ARABIE SAOUDITE)
36.1. Le Personal Data Protection Law (PDPL) saoudien, sous l'autorité de la SDAIA (Saudi Data & AI Authority), reconnaît les droits d'information, d'accès, de demande de correction, de demande de destruction, et de réclamation auprès de la SDAIA.
PARTIE III — MODALITÉS D'EXERCICE
ARTICLE 37 — MODALITÉS D'EXERCICE DES DROITS
37.1. Canal d'exercice. Toute demande d'exercice des droits peut être adressée à :
Adresse électronique : legal@fabrik.so ;
Adresse postale : Fabrik — Protection des données, 4 rue du Four, 55500 Cousances-lès-Triconville, France.
37.2. Informations à fournir. Afin de permettre l'instruction de la demande, la Personne concernée indique :
nature de la demande (accès, rectification, effacement, etc.) ;
identité (nom, prénom, adresse électronique du Compte) ;
éléments permettant de vérifier l'identité (en cas de doute, un justificatif pourra être demandé) ;
en cas de représentation par un tiers, mandat écrit ou procuration.
37.3. Délai. Fabrik s'engage à répondre dans un délai d'un (1) mois à compter de la réception de la demande, prorogeable de deux mois en cas de complexité ou de multiplicité de demandes, conformément à l'article 12, 3 du RGPD et aux dispositions équivalentes des autres textes. La Personne concernée en est informée.
37.4. Gratuité. L'exercice des droits est en principe gratuit. Toutefois, en cas de demandes manifestement infondées ou excessives (en particulier par leur caractère répétitif), Fabrik peut exiger le paiement de frais raisonnables ou refuser de donner suite, conformément à l'article 12, 5 du RGPD.
37.5. Refus motivé. Tout refus est motivé et indique les voies de recours disponibles, notamment le droit d'introduire une réclamation auprès de l'Autorité de contrôle.
37.6. Suivi. La Personne concernée reçoit un accusé de réception dans les meilleurs délais et un suivi du traitement de sa demande.
ARTICLE 38 — RÉCLAMATIONS AUPRÈS DES AUTORITÉS DE CONTRÔLE
38.1. Sans préjudice de tout autre recours, la Personne concernée peut introduire une réclamation auprès de l'Autorité de contrôle compétente dans sa juridiction. Les principales autorités sont rappelées aux articles 19 à 36.
38.2. Guichet unique UE. Pour les personnes concernées résidant dans l'UE, le principe du guichet unique (one-stop-shop) peut permettre d'adresser la réclamation à l'autorité chef de file ou à l'autorité du lieu de résidence.
ARTICLE 39 — CONTACTS SPÉCIFIQUES PAR RÉGION
Région
Contact Fabrik
Autorité de contrôle
UE / France
CNIL — www.cnil.fr
UE / autres États membres
Autorité nationale ou chef de file
Royaume-Uni
ICO — www.ico.org.uk
Suisse
PFPDT — www.edoeb.admin.ch
Californie
CPPA — cppa.ca.gov
Autres États US
Procureur général de l'État
Canada (PIPEDA)
CPVP — www.priv.gc.ca
Québec
CAI — www.cai.gouv.qc.ca
Brésil
ANPD — www.gov.br/anpd
Japon
PPC — www.ppc.go.jp
Chine
CAC — www.cac.gov.cn
Inde
Data Protection Board of India
Afrique du Sud
Information Regulator
Singapour
PDPC — www.pdpc.gov.sg
Australie
OAIC — www.oaic.gov.au
Corée du Sud
PIPC
Turquie
KVKK — www.kvkk.gov.tr
Thaïlande
PDPC (Thaïlande)
Émirats arabes unis
UAE Data Office
Arabie saoudite
SDAIA
ANNEXE A — TABLEAU DÉTAILLÉ : FINALITÉ / BASE LÉGALE / DONNÉES / DURÉE
Finalité
Base légale
Catégories de données
Durée de conservation
Gestion des Comptes
Exécution du contrat
Identification, contact, Compte
Durée de la relation + 3 ans
Fourniture du Service
Exécution du contrat
Identification, usage, technique
Durée de la relation
Facturation
Exécution du contrat + obligation légale
Identification, facturation, paiement
10 ans
Prospection B2B
Intérêt légitime
Identification professionnelle, contact
3 ans dernier contact
Prospection B2C
Consentement
Identification, contact
Jusqu'au retrait
Newsletter
Consentement
Adresse e-mail
Jusqu'au retrait
— (retiré)
Consentement
Identifiants cookies, IP, usage
13 mois max
Analytique produit (PostHog)
Consentement
Identifiants cookies, usage
13 mois max
Sécurité / anti-fraude
Intérêt légitime
Logs, technique
12 mois + 6 ans si incident
Gestion réclamations
Exécution / obligation / intérêt légitime
Communication, identification
5 ans
Contentieux
Intérêt légitime
Selon dossier
5 ans après issue
Obligations LCB-FT (le cas échéant)
Obligation légale
Identification
5 ans
ANNEXE B — TABLEAU DES SOUS-TRAITANTS ET DESTINATAIRES
Sous-traitant
Finalité
Localisation du traitement
Instrument de transfert
Vercel Inc.
Hébergement applicatif
États-Unis + edge global
CCT + mesures supplémentaires + DPF (si certifié)
Supabase
Base de données + stockage
Région UE (Francfort) privilégiée, fallback possible
DPA + CCT
Stripe
Paiement
États-Unis / Irlande
CCT + DPF
Resend
E-mails transactionnels
États-Unis
CCT + DPF
Sentry
Journalisation erreurs
États-Unis
CCT + DPF
— (retiré)
— (retiré)
— (retiré)
— (retiré)
PostHog
Analytique produit
UE privilégiée selon offre
CCT si hors UE
—
28 avril 2026
28 avril 2026
28 avril 2026
ANNEXE C — TABLEAU DES TRANSFERTS INTERNATIONAUX
Pays de destination
Sous-traitant
Données concernées
Instrument de transfert
Mesures supplémentaires
États-Unis
Vercel, Stripe, Resend, Sentry, Google
Identification, usage, technique
CCT 2021 + DPF (si certifié)
Chiffrement transit/repos, minimisation, TIA
Irlande
Stripe Payments Europe
Paiement
UE/EEE, pas de transfert
N/A
Allemagne
Supabase (région Francfort)
BDD + stockage
UE/EEE, pas de transfert
N/A
Autres régions (fallback)
Supabase
BDD + stockage
CCT 2021 selon région
Chiffrement, TIA
ANNEXE D — RÉSUMÉ LISIBLE
Qui traite vos données ? Fabrik, 4 rue du Four, 55500 Cousances-lès-Triconville.
Quelles données ? Votre identifiant de compte, votre email, les infos liées à votre abonnement, des logs techniques, et ce que vous mettez dans le Service. Pas de données sensibles (santé, religion, etc.) en principe.
Pourquoi ? Pour vous fournir le Service, vous facturer, vous répondre, améliorer Fabrik, nous protéger contre la fraude, et respecter nos obligations légales.
Chez qui ça transite ? Des sous-traitants comme Vercel (hébergement), Supabase (base de données, en UE), Stripe (paiement), Resend (emails), Sentry (erreurs) et PostHog (analytique, avec votre consentement).
Est-ce que ça part aux USA ? Oui, pour certains sous-traitants. On l'encadre avec les Clauses Contractuelles Types de la Commission européenne, le Data Privacy Framework quand c'est applicable, plus des mesures techniques (chiffrement, minimisation) et une analyse de risque (TIA) post-Schrems II.
Combien de temps on garde ? Tant que vous êtes client, plus 3 ans en général. 10 ans pour la compta. Voir le tableau à l'Annexe A.
Quels droits ? Accès, rectification, effacement, portabilité, opposition, retrait du consentement. Par email à [legal@fabrik.so]. Réponse sous 1 mois.
Si on vous vend à des tiers ? Non. Fabrik ne vend pas vos données.
Vous êtes hors UE ? Vous avez aussi des droits (CCPA en Californie, LGPD au Brésil, APPI au Japon, etc. — voir Partie II).
Pas content ? Vous pouvez saisir votre autorité de contrôle (CNIL pour la France).
Fin du Document 5/10 — Politique de confidentialité — Fabrik
Corpus juridique Fabrik — Version 2.0 — 28 avril 2026