Légal

Politique de confidentialité

Version 1.0 — Dernière mise à jour : 15 mars 2026

1. Identité du responsable de traitement

La présente politique de confidentialité s'applique au service Syvel.io, API de validation et de détection d'emails jetables.

Responsable du traitement : RCQD Labs, micro-entreprise — France
SIRET : 10225373900019 — SIREN : 102 253 739
Nom commercial : Syvel.io
Contact : [email protected]

2. Données collectées et finalités

2.1 Données des utilisateurs du service (comptes)

Lors de la création d'un compte, nous collectons :

  • Adresse email — pour l'authentification, la communication et la facturation.
  • Mot de passe — stocké sous forme de hash bcrypt (jamais en clair).
  • Pays — code ISO 2 lettres (ex : FR), collecté via Stripe lors du paiement. Utilisé pour le calcul de la TVA applicable.
  • Informations de facturation — traitées directement par Stripe ; Syvel ne stocke aucune donnée de carte bancaire.
  • Version et date d'acceptation du DPA et des CGU — horodatées côté serveur à chaque inscription pour des raisons de conformité légale (RGPD art. 7).
  • Logs d'utilisation de l'API — durée de rétention variable selon le plan (voir section 4).

2.2 Données traitées via l'API (adresses email validées)

  • L'adresse email en clair n'est jamais stockée sur nos serveurs.
  • Elle est conservée uniquement en mémoire vive (RAM) pendant la durée de la requête (quelques millisecondes), puis immédiatement effacée.
  • En base de données, nous ne conservons qu'un hash cryptographique SHA-256 irréversible de la partie locale (avant le @) et le nom de domaine séparément, à des fins de mise en cache des résultats.

2.3 Statistiques d'usage agrégées

Syvel maintient une table de popularité des domaines qui agrège le nombre de fois où chaque nom de domaine email a été soumis à l'API (ex : gmail.com → 1 452 vérifications). Ces données sont entièrement anonymisées et ne permettent pas d'identifier un utilisateur ou une adresse email individuelle.

2.4 Données de navigation

  • Adresse IP (anonymisée après traitement).
  • Données techniques : type de navigateur, OS, pages visitées — à des fins d'analytics agrégés uniquement.

3. Base légale des traitements

  • Exécution du contrat (Art. 6.1.b RGPD) — fourniture du service et gestion du compte.
  • Obligation légale (Art. 6.1.c RGPD) — conservation des preuves d'acceptation des conditions légales et obligations comptables.
  • Intérêt légitime (Art. 6.1.f RGPD) — sécurité du service, prévention des fraudes, analytics agrégés.
  • Consentement (Art. 6.1.a RGPD) — communications marketing (si applicable).

4. Durées de conservation

  • Logs d'API (plan Free) : 24 heures — purgés automatiquement dans un délai maximum de 4 heures après expiration.
  • Logs d'API (plan Starter) : 30 jours — purgés automatiquement dans un délai maximum de 4 heures après expiration.
  • Logs d'API (plan Pro) : 60 jours — purgés automatiquement dans un délai maximum de 4 heures après expiration.
  • Logs d'API (plan Business) : 90 jours — purgés automatiquement dans un délai maximum de 4 heures après expiration.
  • Données de compte : durée de la relation contractuelle + 3 ans après résiliation.
  • Données de facturation : 10 ans (obligation légale comptable).
  • Preuves d'acceptation DPA/CGU : durée de la relation contractuelle + 5 ans.

5. Destinataires et sous-traitants

Vos données peuvent être partagées avec les sous-traitants suivants :

  • Scaleway SAS (France) — hébergement des serveurs d'application, base de données PostgreSQL et cache Redis. DPA en place. Aucun transfert hors France.
  • Stripe, Inc. (USA) — traitement des paiements. Clauses contractuelles types UE (SCCs) en place. Stripe ne traite aucune donnée soumise à l'API de validation d'emails.
  • Resend, Inc. (USA) — envoi des emails transactionnels en production (réinitialisation de mot de passe). Clauses contractuelles types UE en place. Resend ne reçoit que l'adresse email du titulaire du compte pour l'envoi du lien de réinitialisation.

L'intégralité de l'infrastructure de traitement des données API est hébergée en France. Aucun transfert de données hors de France pour le traitement API.

6. Vos droits

Conformément au RGPD, vous disposez des droits d'accès, de rectification, d'effacement, à la portabilité, d'opposition et à la limitation du traitement.

Pour exercer vos droits : [email protected] — réponse sous 30 jours.
Vous pouvez également déposer une réclamation auprès de la CNIL (www.cnil.fr).

7. Sécurité

Chiffrement en transit (TLS 1.3), chiffrement au repos, accès restreint par rôle et authentification à deux facteurs, journalisation des accès, architecture éphémère (adresses email jamais écrites sur disque), tests de sécurité réguliers.

8. Cookies et traceurs

8.1 Outils utilisés

Le site syvel.io utilise les outils d'analyse suivants :

  • Google Tag Manager (GTM) — Conteneur de scripts tiers permettant de déployer et de gérer les traceurs sans modification du code source. GTM lui-même ne collecte pas de données personnelles, mais charge les outils listés ci-dessous.
  • Google Analytics 4 (GA4) — Outil d'analyse d'audience de Google LLC (USA). GA4 collecte des données de navigation (pages visitées, durée de session, source de trafic, type d'appareil, pays) via des cookies et l'empreinte de l'appareil. L'adresse IP est anonymisée avant stockage. Les données peuvent être transférées vers des serveurs Google aux États-Unis dans le cadre des clauses contractuelles types UE (SCCs). Durée de conservation des cookies : 13 mois.
  • PostHog — Outil d'analyse produit et d'enregistrement de sessions (PostHog, Inc. ou instance auto-hébergée). PostHog collecte les interactions utilisateur (clics, navigation, events produit) afin d'améliorer l'expérience du service. Les données sont pseudonymisées. En cas d'instance cloud, un DPA est en place avec PostHog.

8.2 Base légale

Le dépôt de cookies et traceurs à des fins d'analyse est soumis à votre consentement préalable (Art. 6.1.a RGPD), sauf pour les cookies strictement nécessaires au fonctionnement du service.

8.3 Gestion de vos préférences

Vous pouvez refuser ou retirer votre consentement à tout moment via le bandeau de gestion des cookies présent sur le site. Vous pouvez également désactiver Google Analytics via l'extension de désactivation Google Analytics.

9. Modifications

Toute modification significative sera notifiée par email et nécessitera une nouvelle acceptation si elle affecte le traitement de vos données personnelles.

10. Contact

[email protected]