Politique de confidentialité
SYNAPTIIK SAS attache une importance particulière à la protection des données personnelles. La présente politique détaille les traitements effectués, les bases légales mobilisées, les sous-traitants associés et les droits que vous pouvez exercer, conformément au Règlement UE 2016/679 (RGPD) et à la loi Informatique et Libertés modifiée.
1. Responsable de traitement
Le responsable de traitement est SYNAPTIIK SAS, 5 place des Dombes, 01141 Thoissey, France, représentée par son président Franck FROMONT.
Pour les données traitées pour le compte de clients professionnels (tenants de la plateforme), SYNAPTIIK agit en qualité de sous-traitant au sens de l'article 28 RGPD dans les conditions définies au Data Processing Agreement.
DPO : dpo@synaptiik.fr.
2. Données collectées et finalités
| Traitement | Finalité | Base légale | Durée |
|---|---|---|---|
| Compte professionnel | Création, authentification, accès plateforme | Art. 6.1.b (contrat) | Durée abonnement + 90 j |
| Facturation | Émission factures, recouvrement, comptabilité | Art. 6.1.c (obligation légale) | 10 ans (L. 123-22 C. com.) |
| Support client | Assistance, suivi tickets | Art. 6.1.b (contrat) | Abonnement + 3 ans |
| Leeza Niveau 1 (mémoire compte) | Assistant IA — mémoire contextuelle interne au compte | Art. 6.1.f (intérêt légitime) | Abonnement + 90 j |
| Leeza Niveau 2 (apprentissage anonymisé) | Amélioration continue — sortie anonymisée avec k-anonymité ≥ 5 | Art. 6.1.a (consentement opt-in) | Retrait consentement à tout moment |
| Marketing (newsletter) | Prospection pertinence produit | Art. 6.1.a (consentement) | Retrait à tout moment |
| Analytics produit | Mesure usage, amélioration UX | Art. 6.1.a (consentement) | 13 mois (CNIL) |
| Journaux sécurité | Détection incidents, obligation art. 6 LCEN | Art. 6.1.f + 6.1.c | 12 mois |
3. Leeza — assistant IA et transparence
La plateforme intègre Leeza, un assistant IA structuré en deux niveaux de traitement :
- Niveau 1 — mémoire contextuelle interne au compte utilisateur, sans partage externe pour entraînement. Base légale : intérêt légitime (art. 6.1.f). Les données transitent vers Anthropic (Claude) et sa filiale Voyage AI (embeddings RAG) pour inférence uniquement, sous garantie contractuelle d'absence d'usage pour entraînement amont.
- Niveau 2 — apprentissage anonymisé opt-in : les interactions sont agrégées, anonymisées et soumises à une règle de k-anonymité ≥ 5 avant toute exploitation pour amélioration produit. Activation explicite requise dans les paramètres ; retrait à tout moment sans pénalité.
Détail complet des modèles utilisés, du marquage des outputs et de la gouvernance IA : page Transparence IA.
4. Sous-traitants
SYNAPTIIK recourt à des sous-traitants encadrés par un accord art. 28 RGPD. Les principaux à la date de publication :
| Sous-traitant | Service | Région | Cadre transfert |
|---|---|---|---|
| Vercel Inc. | Hébergement web / edge compute | US (pops UE) | CCT + DPF |
| Supabase Inc. | BDD, auth, storage | EU (AWS Irlande / Paris) | Hébergement UE |
| Stripe Payments Europe, Ltd | Paiements, facturation, Connect | IE (traitement) / US (archive) | CCT + DPF |
| Backblaze Inc. | Stockage objets médias | EU (Amsterdam) / US | CCT + DPF |
| Anthropic PBC | Modèles Claude (Leeza inférence) | US | CCT + DPF (zero retention) |
| Voyage AI (filiale Anthropic) | Embeddings vectoriels recherche RAG | US | CCT + DPF (zero retention) |
| Resend Inc. | Envoi emails transactionnels | US | CCT + DPF |
| PostHog Inc. | Analytics produit | EU Cloud (Francfort) | Hébergement UE |
| PostHog Inc. | Error monitoring (captureException) | EU Cloud (Francfort) | Hébergement UE |
| Better Stack | Logs & uptime monitoring | EU (Francfort) | Hébergement UE |
| Yousign SAS | Signature électronique (eIDAS) | FR | Hébergement UE |
| Brevo (ex-Sendinblue) | Marketing emails | FR | Hébergement UE |
| Cloudflare Inc. | Anti-DDoS, CDN et Turnstile | Global (pops UE) | CCT + DPF |
| Google Workspace | Email interne / productivité | US | CCT + DPF |
| hCaptcha / reCAPTCHA | Anti-bot formulaires publics | US | CCT + DPF |
Toute évolution substantielle fait l'objet d'une mise à jour de la présente page et, pour les clients Agence, d'une notification préalable conformément à l'article 5 du DPA.
5. Transferts hors Union européenne
Certains sous-traitants opèrent depuis les États-Unis. Les transferts afférents sont encadrés par les clauses contractuelles types de la Commission européenne (décision 2021/914) et, lorsque le sous-traitant est certifié, par le Data Privacy Framework UE-US (décision 2023/1795).
Mesures supplémentaires systématiques : chiffrement en transit (TLS 1.2 minimum) et au repos, pseudonymisation des identifiants, limitation du périmètre de données transférées à ce qui est strictement nécessaire à la prestation.
6. Vos droits
Vous disposez des droits suivants, exerçables depuis /dashboard/settings/privacy ou sur demande à dpo@synaptiik.fr:
- Accès (art. 15) — copie intégrale des données vous concernant.
- Rectification (art. 16) — édition directe ou sur demande.
- Effacement (art. 17) — suppression du compte avec délai de 90 jours (annulable) avant purge définitive, sous réserve des obligations légales de conservation (factures).
- Limitation (art. 18) — suspension de certains traitements (Leeza, marketing).
- Portabilité (art. 20) — export structuré (ZIP contenant JSON + CSV + médias binaires) via
/api/legal/export-rgpd. - Opposition (art. 21) — opt-out marketing, opt-out Leeza Niveau 2, opt-out profilage.
- Retrait du consentement (art. 7.3) — à tout moment, sans effet rétroactif.
- Directives post-mortem — conformément à l'art. 85 loi Informatique et Libertés.
Réponse sous 1 mois maximum, prolongeable de 2 mois avec notification motivée en cas de complexité particulière.
Recours : CNIL — 3 place de Fontenoy, 75334 Paris Cedex 07 — www.cnil.fr/fr/plaintes.
7. Sécurité
SYNAPTIIK met en œuvre des mesures techniques et organisationnelles appropriées : chiffrement TLS 1.2+ en transit, AES-256 au repos (BDD, storage, backups), authentification forte (MFA optionnelle Solo/Studio, obligatoire Agence), contrôle d'accès basé sur les rôles (RBAC), Row-Level Security (RLS) sur l'ensemble des tables tenant-scoped, journalisation des accès admin, tests d'intrusion périodiques.
En cas de violation de données affectant un risque pour les droits et libertés des personnes, notification à la CNIL dans les 72 heures (art. 33 RGPD) et, si nécessaire, aux personnes concernées (art. 34). Registre interne des incidents tenu à jour.
9. Évolutions de la présente politique
Toute modification substantielle est notifiée par email au moins 30 jours avant entrée en vigueur, avec possibilité de s'y opposer via les canaux de droits d'opposition prévus au paragraphe 6. Historique versionné disponible sur demande.