Légal
Accord de Traitement des Données
Le présent Accord de Traitement des Données (ci-après « DPA ») est conclu entre Syvel (ci-après « le Sous-traitant ») et le Client ayant créé un compte sur syvel.io (ci-après « le Responsable de traitement »), conformément à l'article 28 du RGPD (Règlement UE 2016/679).
1. Objet et durée
Le présent DPA définit les conditions dans lesquelles Syvel traite, en qualité de sous-traitant, les données à caractère personnel pour le compte du Client, dans le cadre de la fourniture du Service d'API de validation d'emails. Il entre en vigueur à la date d'acceptation lors de la création du compte et reste en vigueur pendant toute la durée de la relation contractuelle.
2. Nature, finalité et type de données traitées
2.1 Nature du traitement
Collecte, analyse, hachage cryptographique, mise en cache des résultats et suppression des données soumises via l'API.
2.2 Finalité
Validation en temps réel d'adresses email : détection des emails jetables, analyse d'infrastructure DNS (MX, SPF, DMARC), calcul du score de risque.
2.3 Types de données personnelles
- Adresses email soumises à l'API (traitées de manière éphémère — voir article 3).
- Nom de domaine de l'adresse email.
2.4 Catégories de personnes concernées
Les utilisateurs finaux dont le Client soumet l'adresse email pour validation.
3. Architecture de traitement et protection des données
3.1 Traitement éphémère en mémoire vive (RAM)
L'adresse email en clair n'est jamais persistée sur le disque ou en base de données. Lors du traitement d'une requête, l'adresse email est chargée exclusivement en mémoire vive (RAM) le temps de l'analyse, soit typiquement quelques millisecondes. Une fois la réponse renvoyée, l'adresse est immédiatement éliminée de la mémoire.
3.2 Stockage en base de données : hash cryptographique uniquement
En base de données, Syvel ne stocke jamais l'adresse email en clair. Le seul élément persisté est :
- Un hash SHA-256 irréversible de la partie locale (avant le @), utilisé pour la mise en cache des résultats.
- Le nom de domaine de l'adresse email (ex : gmail.com), stocké séparément pour l'analyse d'infrastructure DNS.
Ces deux éléments, stockés séparément, ne permettent pas à eux seuls de reconstituer une adresse email complète. Le hash SHA-256 est cryptographiquement irréversible.
4. Durées de conservation des logs
Les logs d'utilisation de l'API sont conservés selon les durées suivantes, définies par le plan souscrit par le Client. Passé ce délai, les logs sont purgés automatiquement dans un délai maximum de 4 heures par un cron job interne, de manière irréversible.
- Plan Free : 24 heures.
- Plan Starter : 30 jours.
- Plan Pro : 60 jours.
- Plan Business : 90 jours.
Ces durées sont implémentées directement dans le code de production de Syvel (paramètre PLAN_LOG_RETENTION_DAYS). La purge est automatique et irréversible.
5. Hébergement — Infrastructure 100 % France
L'intégralité de l'infrastructure Syvel est hébergée en France. Aucune donnée n'est transférée en dehors de la France.
- Serveurs d'application : hébergés chez Scaleway SAS (France).
- Base de données PostgreSQL : hébergée chez Scaleway SAS (France).
- Cache Redis : hébergé chez Scaleway (France).
Cette architecture garantit une immunité complète contre le CLOUD Act américain : aucun fournisseur américain n'ayant juridiction sur nos serveurs de traitement des données API, aucune autorité américaine ne peut contraindre Syvel à communiquer ces données.
6. Sous-traitance ultérieure
Syvel fait appel aux sous-traitants ultérieurs suivants :
- Scaleway SAS (France) — hébergement serveurs, base de données PostgreSQL et cache Redis. DPA en place. Aucun transfert hors France.
- Stripe, Inc. (USA) — traitement des paiements. SCCs UE en place. Stripe ne traite aucune donnée soumise à l'API de validation.
- Resend, Inc. (USA) — envoi d'emails transactionnels (réinitialisation de mot de passe). SCCs UE en place. Resend ne reçoit que l'adresse email du titulaire du compte.
7. Obligations de Syvel (Sous-traitant)
- Ne traiter les données qu'aux fins définies dans le présent DPA.
- Garantir la confidentialité des données traitées.
- Mettre en œuvre les mesures de sécurité techniques et organisationnelles appropriées (RGPD art. 32).
- Notifier le Responsable de traitement dans les 72 heures de toute violation de données à caractère personnel.
- Aider le Responsable de traitement à répondre aux demandes d'exercice des droits des personnes concernées.
- Supprimer ou restituer les données à l'issue du contrat.
8. Obligations du Responsable de traitement (Client)
- Disposer d'une base légale valide pour le traitement des données soumises à l'API.
- Informer les personnes concernées du traitement de leurs données, y compris par Syvel en qualité de sous-traitant.
- Sécuriser ses clés API conformément aux CGU Syvel.
9. Mesures de sécurité
- Chiffrement des communications en transit (TLS 1.3 minimum).
- Chiffrement des données au repos.
- Accès aux systèmes de production limités par authentification à deux facteurs et principe du moindre privilège.
- Journalisation des accès aux données.
- Tests de sécurité réguliers.
- Architecture éphémère : les adresses email ne sont jamais persistées sur disque.
10. Audits
Le Client peut demander à Syvel, au maximum une fois par an et sur préavis raisonnable, de lui fournir les informations nécessaires pour démontrer la conformité au présent DPA (documentation, politiques, certifications disponibles).
11. Versionnage et acceptation
Le présent DPA porte le numéro de version 1.0 et est entré en vigueur le 15 mars 2026.
À chaque création de compte, la date d'acceptation du DPA et son numéro de version sont enregistrés en base de données et associés au compte du Client. Ces informations constituent la preuve d'acceptation du présent accord au sens du RGPD art. 7.
En cas de mise à jour substantielle du DPA, les Clients existants seront notifiés par email et devront accepter la nouvelle version pour continuer à utiliser le Service.