Politique de Confidentialité — Synq9

Comment vos données personnelles sont collectées, utilisées et protégées

Version 1.0 — En vigueur au 1^er mars 2026 — Édité par Lysia SAS

Préambule

La présente Politique de Confidentialité décrit la manière dont Synq9 (édité par Lysia SAS, société par actions simplifiée au capital de 5 000 €, immatriculée au RCS de Colmar sous le numéro 829 391 382, dont le siège social est situé 2 Rue de Bâle, 68180 Horbourg-Wihr) collecte, utilise et protège les données personnelles dans le cadre de la fourniture de son service SaaS dédié aux organismes de formation.

Synq9 s'engage à protéger la vie privée et les données personnelles des Utilisateurs conformément au Règlement Général sur la Protection des Données (RGPD) et à la loi Informatique et Libertés modifiée.

1. Qui est responsable du traitement ?

La qualification dépend du contexte :

1.1 Synq9 en qualité de sous-traitant

Lorsque Synq9 traite les données saisies par ses Clients organismes de formation (apprenants, formateurs, prospects, etc.), Synq9 agit en qualité de sous-traitant au sens de l'article 28 du RGPD.

Dans ce cas, le responsable de traitement est l'organisme de formation Client. Les apprenants, formateurs et autres personnes concernées doivent adresser leurs demandes d'exercice de droits directement à cet organisme.

Les modalités sont définies dans l'Accord de Sous-Traitance (DPA) disponible à https://synq9.com/dpa.

1.2 Synq9 en qualité de responsable de traitement

Lorsque Synq9 traite des données relatives à :

La gestion de ses propres prospects et clients (souscription, facturation, support, communication commerciale)
L'utilisation de son site web (analytics, cookies)
La gestion de ses obligations légales et fiscales

Synq9 (Lysia SAS) agit en qualité de responsable de traitement. La présente Politique décrit principalement les traitements réalisés en cette qualité.

2. Quelles données sont collectées ?

2.1 Données fournies directement

Lorsque vous visitez le site, souscrivez au service ou nous contactez, nous collectons :

Données d'identification : nom, prénom, email professionnel, numéro de téléphone
Données professionnelles : raison sociale, SIRET, fonction, taille de l'organisme
Données de facturation : adresse de facturation, données bancaires (traitées par Stripe, jamais stockées par Synq9)
Données de souscription : plan choisi, date, historique
Données de communication : messages échangés avec le support, réponses aux questionnaires de satisfaction

2.2 Données collectées automatiquement

Lors de la navigation sur synq9.com ou app.synq9.com :

Données techniques : adresse IP, type de navigateur, système d'exploitation, pages visitées, durée de visite
Cookies : cf. Politique cookies

2.3 Données introduites dans l'application

Dans le cadre de l'utilisation du service, les Clients introduisent des données concernant :

Leurs apprenants, formateurs, prospects, clients
Leurs formations, sessions, conventions, attestations
Leurs signatures électroniques et dossiers de preuve

Pour ces données, Synq9 agit en sous-traitant. Cf. §1.1.

3. À quoi servent ces données ?

3.1 Finalités principales (Synq9 responsable)

Fourniture du service : création de compte, paramétrage, facturation, support technique
Communication contractuelle : notifications de service, alertes de sécurité, mises à jour importantes
Gestion commerciale : prospection, démonstrations, devis, relances commerciales
Amélioration du service : analyses statistiques anonymisées, retours utilisateurs
Sécurité : détection de fraudes, prévention des abus, audit
Obligations légales : facturation, comptabilité, conservation fiscale

3.2 Bases légales (RGPD article 6)

Fourniture du service	Exécution du contrat (6.1.b)
Facturation	Obligation légale (6.1.c)
Communication contractuelle	Exécution du contrat (6.1.b)
Prospection commerciale B2B	Intérêt légitime (6.1.f)
Newsletter, contenus marketing	Consentement (6.1.a)
Sécurité, prévention de la fraude	Intérêt légitime (6.1.f)
Conservation comptable	Obligation légale (6.1.c)

4. Combien de temps les données sont-elles conservées ?

Compte client actif	Toute la durée du contrat + 30 jours
Données prospects (non clients)	3 ans à compter du dernier contact
Données de facturation	10 ans (obligation fiscale)
Logs de connexion et techniques	12 mois maximum
Sauvegardes	Selon la politique de sauvegarde (cf. Sécurité)
Données introduites par les Clients	Selon les instructions du Client responsable
Cookies	Cf. Politique cookies

À l'expiration des durées de conservation, les données sont supprimées ou anonymisées de manière irréversible.

5. Avec qui sont partagées les données ?

5.1 Sous-traitants techniques

Les données peuvent être traitées par les sous-traitants techniques de Synq9, sélectionnés pour leur niveau de sécurité :

Vercel Inc.	Hébergement applicatif — Europe (Francfort)
Supabase Inc.	Base de données, stockage, auth — Europe (Francfort)
Cloudflare Inc.	Sauvegardes, CDN — Europe
Stripe	Paiement — Europe / États-Unis
Twilio SendGrid	Envoi d'emails — États-Unis

La liste à jour est disponible à https://synq9.com/sous-traitants.

5.2 Transferts hors Union Européenne

Les données structurées (BDD, fichiers) sont hébergées exclusivement en Union Européenne.

Certains sous-traitants techniques (Stripe, SendGrid) traitent des données aux États-Unis. Ces transferts sont encadrés par :

Les Clauses Contractuelles Types (CCT) de la Commission européenne
L'adhésion au Data Privacy Framework (DPF) UE-États-Unis pour les prestataires concernés

5.3 Autorités

Les données peuvent être communiquées aux autorités compétentes en cas de demande légale (juge, administration fiscale, autorité de contrôle CNIL), dans le strict cadre prévu par la loi.

5.4 Pas de revente

Synq9 ne vend, ne loue, ni ne cède les données personnelles à des tiers à des fins commerciales ou publicitaires.

5.5 Connecteurs LMS externes (Synq9 uniquement)

Lorsque vous activez un connecteur LMS optionnel, Synq9 récupère depuis votre LMS externe (Moodle, 360Learning, Rise Up, etc.) les données nécessaires à la mise à jour de votre suivi pédagogique et administratif.

Cette récupération est unidirectionnelle. Synq9 n'envoie aucune donnée vers le LMS externe.

Le LMS externe est un outil que vous choisissez et que vous configurez librement. Synq9 n'est pas affilié à ces plateformes et ne saurait être tenu responsable de leur fonctionnement. Cf. l'article 13 bis des CGV et l'DPA — Annexe 3 pour le détail des responsabilités.

6. Comment les données sont-elles protégées ?

Synq9 met en œuvre des mesures techniques et organisationnelles adaptées au risque, détaillées dans la page Sécurité (https://synq9.com/securite), notamment :

Chiffrement TLS 1.3 en transit, AES-256 au repos
Authentification forte, mots de passe hachés bcrypt
Cloisonnement des données via Row Level Security PostgreSQL
Sauvegardes quotidiennes et hebdomadaires sur infrastructure redondante
Signature électronique avec preuve probante (SHA-256, OTP)
Hébergement chez des prestataires certifiés ISO 27001 / SOC 2
Audit régulier des dépendances et des accès
Procédure documentée de gestion des violations

7. Quels sont vos droits ?

Conformément au RGPD et à la loi Informatique et Libertés, vous disposez des droits suivants :

7.1 Droit d'accès (article 15 RGPD)

Vous pouvez obtenir confirmation que des données vous concernant sont traitées et en obtenir une copie.

7.2 Droit de rectification (article 16)

Vous pouvez demander la correction de données inexactes ou incomplètes.

7.3 Droit à l'effacement (article 17)

Vous pouvez demander la suppression de vos données dans certaines conditions (données plus nécessaires, retrait du consentement, opposition…).

Ce droit est limité lorsque le traitement est nécessaire au respect d'une obligation légale (par exemple conservation des factures pendant 10 ans) ou à la constatation, l'exercice ou la défense de droits en justice (par exemple dossier de preuve de signature électronique).

7.4 Droit à la limitation (article 18)

Vous pouvez demander le gel temporaire d'un traitement, par exemple en cas de contestation de l'exactitude des données.

7.5 Droit d'opposition (article 21)

Vous pouvez vous opposer au traitement de vos données fondé sur l'intérêt légitime, pour des raisons tenant à votre situation particulière.

Vous pouvez vous opposer à tout moment et sans motif à la prospection commerciale.

7.6 Droit à la portabilité (article 20)

Vous pouvez recevoir vos données dans un format structuré et couramment utilisé, et les transmettre à un autre responsable de traitement.

7.7 Droit de retirer son consentement

Lorsque le traitement repose sur votre consentement (newsletter, cookies non essentiels), vous pouvez le retirer à tout moment, sans que cela n'affecte la licéité des traitements effectués auparavant.

7.8 Droit de définir des directives post-mortem

Vous pouvez définir des directives sur le sort de vos données après votre décès, conformément à l'article 85 de la loi Informatique et Libertés.

8. Cas particulier de la signature électronique

Lorsque vous signez un document via Synq9, des données spécifiques sont collectées pour constituer un dossier de preuve probant :

Authentification du signataire
Horodatage UTC, adresse IP, user-agent
Empreinte cryptographique SHA-256 du document
Code à usage unique (OTP) email (selon le plan d'abonnement)

Ces données sont conservées dans une table d'audit immuable pendant toute la durée de conservation légale du document signé (typiquement 4 ans minimum pour une convention de formation, 10 ans pour les pièces comptables).

Limitation des droits : pour préserver la valeur probatoire de la signature et respecter les obligations légales de conservation, les droits à l'effacement et à la portabilité sont restreints sur le dossier de preuve pendant cette durée. À l'expiration, les données sont supprimées automatiquement.

9. Prospection commerciale B2B

Synq9 peut contacter par email des organismes de formation référencés publiquement, à des fins de présentation de notre solution logicielle (finalité légitime article 6.1.f RGPD).

Vous pouvez vous opposer à ces communications via le lien présent dans chaque email ou en écrivant à dpo@synq9.com.

Sources des données utilisées :

Annuaires publics d'organismes de formation
Sites web professionnels des organismes
Outils légaux de prospection B2B

10. Comment exercer vos droits ?

10.1 Vous êtes apprenant, formateur ou personne dont les données ont été saisies par un organisme de formation client

Adressez votre demande en priorité à cet organisme, qui est le responsable de traitement de vos données. Synq9, en qualité de sous-traitant technique, transmettra toute demande qui lui serait adressée directement.

10.2 Vous êtes client ou prospect de Synq9

Adressez votre demande à : dpo@synq9.com

Précisez :

Votre identité (avec une pièce d'identité en cas de doute raisonnable)
Le droit que vous souhaitez exercer
Toute information utile pour traiter votre demande

10.3 Délais de réponse

Synq9 répond à votre demande dans un délai maximal de 1 mois, extensible à 3 mois pour les demandes complexes (avec information préalable).

10.4 Réclamation auprès de la CNIL

Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la CNIL :

En ligne : www.cnil.fr/fr/plaintes
Par courrier : CNIL, 3 Place de Fontenoy, TSA 80715, 75334 PARIS CEDEX 07

11. Modifications de la Politique

La présente Politique peut être modifiée pour tenir compte d'évolutions législatives, réglementaires, organisationnelles ou techniques.

Toute modification substantielle sera notifiée aux utilisateurs par email ou via l'interface du service, et entrera en vigueur au minimum 30 jours après la notification.

12. Contact

Données personnelles, RGPD : dpo@synq9.com
Sécurité, violation de données : security@synq9.com
Question générale : contact@synq9.com

Lysia SAS — 2 Rue de Bâle, 68180 Horbourg-Wihr, France — SIREN : 829 391 382

Version 1.0 — En vigueur au 1^er mars 2026