Sécurité — Synq9

Mesures techniques et organisationnelles de protection des données de Synq9

Version 1.0 — En vigueur au 1er mars 2026

Synq9 est un SaaS dédié aux organismes de formation. La sécurité des données de nos clients et de leurs apprenants est au cœur de notre conception. Cette page décrit en toute transparence les mesures techniques et organisationnelles que nous mettons en œuvre.

Hébergement et localisation des données

Les données structurées de Synq9 (base de données, fichiers, sauvegardes) sont hébergées exclusivement en Union Européenne.

  • Application web : Vercel — région Europe (Francfort)
  • Base de données et stockage des fichiers : Supabase — région Europe (Francfort)
  • Sauvegardes externes : Cloudflare R2 — région Europe

Certains traitements techniques limités peuvent impliquer des sous-traitants situés aux États-Unis :

  • Envoi d'emails transactionnels (SendGrid) : adresses email des destinataires et contenu des emails de service
  • Paiement (Stripe) : données de facturation

Ces transferts hors UE sont encadrés par les Clauses Contractuelles Types de la Commission européenne et, le cas échéant, par l'adhésion des prestataires au Data Privacy Framework UE-États-Unis.

Aucune donnée pédagogique, document de formation, ou donnée d'apprenant n'est transférée hors de l'Union Européenne.

Chiffrement

  • En transit : toutes les communications utilisent TLS 1.3 (HTTPS obligatoire, redirections automatiques)
  • Au repos : les bases de données et les fichiers sont chiffrés par les infrastructures sous-jacentes (AES-256)
  • Mots de passe : hachés avec bcrypt, jamais stockés en clair
  • Sauvegardes : chiffrées au repos sur Cloudflare R2

Authentification et contrôle d'accès

  • Authentification sécurisée gérée par Supabase Auth
  • Sessions limitées dans le temps avec renouvellement automatique
  • Cloisonnement strict par organisme : aucun utilisateur ne peut accéder aux données d'un autre organisme de formation
  • Politiques de sécurité au niveau base de données (Row Level Security PostgreSQL) appliquées sur l'ensemble des tables sensibles
  • URLs signées à durée limitée pour tous les téléchargements de documents (jamais de fichier accessible publiquement)

Sauvegardes et continuité

Notre stratégie de sauvegarde combine plusieurs niveaux de protection :

Base de données (snapshot)Quotidienne — 7 jours — Supabase EU
Base de données (export)Quotidienne — 30 jours — Cloudflare R2 EU
Fichiers et documentsHebdomadaire — 90 jours — Cloudflare R2 EU

Objectif de point de reprise (RPO) : 24 heures maximum

Objectif de délai de reprise (RTO) : 4 heures sur incident majeur

Nos procédures de restauration sont testées au moins une fois par an.

Important : ces sauvegardes assurent la continuité du service en cas d'incident technique. Elles ne remplacent pas vos propres exports au titre de vos obligations légales (Qualiopi, comptable, RGPD). Synq9 met à votre disposition des fonctions d'export que nous vous recommandons d'utiliser régulièrement.

Disponibilité du service

Synq9 vise une disponibilité de 99 % en moyenne mensuelle, hors maintenances planifiées et cas de force majeure.

Les maintenances planifiées sont annoncées au minimum 48 heures à l'avance par email ou via l'interface du service.

Signature électronique

Synq9 dispose d'un système de signature électronique intégré permettant la signature des documents (conventions, contrats, devis).

Niveau de signature : signature électronique simple au sens du Règlement eIDAS. Adaptée à la majorité des documents de l'activité de formation professionnelle.

Garanties techniques :

  • Authentification du signataire avant signature
  • Horodatage serveur en UTC
  • Empreinte cryptographique SHA-256 du document
  • Capture des métadonnées de session (IP, navigateur)
  • Génération automatique d'un dossier de preuve PDF
  • Stockage immuable des signatures et dossiers de preuve
  • Document scellé après signature (toute modification détectable)
  • Signature renforcée par code à usage unique (OTP) email selon le plan d'abonnement

Pour les actes nécessitant un niveau supérieur (signature avancée ou qualifiée eIDAS), nous recommandons l'usage d'un prestataire qualifié externe. Notre solution intégrée n'est pas adaptée à ces cas d'usage.

Conformité RGPD

Synq9 intervient en qualité de sous-traitant au sens de l'article 28 du RGPD pour le compte de ses clients organismes de formation, qui sont responsables de traitement des données de leurs apprenants et formateurs.

Engagements de Synq9

  • Traitement des données uniquement sur instructions documentées du client
  • Confidentialité des personnes habilitées à traiter les données
  • Mesures techniques et organisationnelles adaptées au risque
  • Assistance aux clients pour répondre aux demandes des personnes concernées
  • Notification au client de toute violation de données dans un délai maximal de 48 heures après en avoir eu connaissance
  • Suppression ou restitution des données en fin de contrat

Données traitées

Synq9 traite uniquement les données strictement nécessaires à la fourniture du service :

  • Données d'identification (nom, prénom, email)
  • Données professionnelles (organisme, fonction)
  • Données de formation (parcours, attestations, émargements)
  • Données techniques (logs de connexion, à des fins de sécurité)

Aucune donnée sensible au sens de l'article 9 du RGPD n'est traitée sans base légale appropriée.

Durées de conservation

  • Données du compte client : pendant toute la durée du contrat + 30 jours
  • Données des apprenants : selon les durées définies par le client responsable de traitement
  • Sauvegardes : selon le tableau ci-dessus
  • Logs techniques : 12 mois maximum
  • Données de facturation : 10 ans (obligation légale)

Exercer vos droits

Les apprenants doivent adresser leurs demandes à leur organisme de formation, responsable de traitement. Synq9 assiste l'organisme dans le traitement des demandes.

Pour toute question : dpo@synq9.com

Sous-traitants

Synq9 fait appel aux sous-traitants suivants dans le cadre de la fourniture du service. La liste détaillée et à jour est consultable sur la page https://synq9.com/sous-traitants.

Vercel Inc.Hébergement applicatif — Europe (Francfort)
Supabase Inc.Base de données, stockage, auth — Europe (Francfort)
Cloudflare Inc.Sauvegardes, CDN — Europe
StripePaiement — Europe / États-Unis (CCT + DPF)
Twilio SendGridEnvoi d'emails — États-Unis (CCT + DPF)

Tout ajout ou changement de sous-traitant fait l'objet d'une information préalable aux clients avec un délai de 30 jours pour s'y opposer en résiliant sans frais.

Sécurité du développement

  • Code source versionné et accès limité aux personnes habilitées
  • Dépendances tierces auditées et mises à jour régulièrement
  • Authentification à deux facteurs (2FA) obligatoire pour tous les accès aux infrastructures de production
  • Variables d'environnement et secrets chiffrés, jamais commités
  • Revue de code systématique avant déploiement
  • Environnements de développement, test et production strictement séparés

Gestion des incidents

En cas d'incident de sécurité ou de violation de données :

  1. Détection : monitoring continu des infrastructures
  2. Confinement : actions immédiates pour limiter l'impact
  3. Notification : information des clients concernés sous 48h maximum
  4. Notification CNIL : sous 72h si violation susceptible de créer un risque pour les personnes (article 33 RGPD)
  5. Analyse post-incident : rapport et mesures correctives

Pour signaler une vulnérabilité : security@synq9.com

Certifications et conformité

  • Hébergement chez des prestataires certifiés ISO 27001 et SOC 2
  • Conformité RGPD documentée
  • Registre des traitements maintenu à jour
  • DPA (Data Processing Agreement) disponible publiquement à https://synq9.com/dpa

Note : Synq9 n'est pas encore certifié HDS (Hébergeur de Données de Santé) ni SOC 2 en propre. Si vos formations traitent de données de santé, nous vous invitons à nous contacter pour évaluer ensemble la pertinence de notre solution.

Connecteurs vers des LMS externes

Lorsqu'un connecteur LMS est activé (Moodle, 360Learning, Rise Up, etc.) :

  • L'authentification au LMS externe utilise des clés API ou jetons OAuth fournis par le Client, stockés chiffrés dans Synq9
  • La synchronisation est unidirectionnelle (LMS → Synq9)
  • Seules les données strictement nécessaires sont récupérées (heures, résultats, certifications)
  • Les communications avec l'API du LMS externe sont en HTTPS/TLS 1.2 minimum
  • Aucune donnée n'est transmise depuis Synq9 vers le LMS externe

Le Client demeure responsable de la sécurité de son LMS externe et de la configuration des autorisations qu'il accorde à Synq9.

Vos responsabilités en tant que client

La sécurité est une responsabilité partagée. En tant que client de Synq9, vous vous engagez à :

  • Utiliser des mots de passe forts et uniques
  • Activer l'authentification à deux facteurs si proposée
  • Ne pas partager vos identifiants
  • Gérer rigoureusement les droits d'accès de votre équipe
  • Effectuer des exports réguliers de vos données pour vos archives légales
  • Nous signaler immédiatement toute activité suspecte

Nous contacter

Nous nous engageons à répondre sous 72 heures ouvrées.

Version 1.0 — En vigueur au 1er mars 2026

Sécurité — Synq9 | Synq9