Passer au contenu
Récupérer ma clef API

RGPD

Voir en Markdown

Syvel a été conçu avec la conformité RGPD comme principe fondateur. L’API valide les adresses email en temps réel sans conserver aucune donnée personnelle au-delà du traitement de chaque requête individuelle.

Données traitées

Lors d’un appel à l’API Syvel pour vérifier une adresse email, nous traitons :

  • L’adresse email soumise dans la requête API
  • Les métadonnées de la requête (horodatage, identifiant de clé API, statut de la réponse) à des fins de limitation de débit et de facturation

Nous ne collectons, ne stockons et n’enrichissons aucune autre donnée personnelle. Les adresses email ne sont jamais associées à des noms, adresses IP, identifiants d’appareils ou toute autre information identifiante.

Localisation des données

L’infrastructure de Syvel est entièrement hébergée au sein de l’Union européenne. Aucune donnée n’est transférée vers des serveurs hors UE lors du traitement de vos requêtes. Vos appels API — et les adresses email qu’ils contiennent — ne quittent jamais la juridiction européenne.

Syvel constitue ainsi une alternative conforme aux services de validation d’emails hébergés aux États-Unis, pour lesquels chaque appel API constitue un transfert transfrontalier de données soumis à des exigences RGPD supplémentaires (Clauses Contractuelles Types, Analyse d’Impact sur le Transfert, etc.).

Politique de conservation

Syvel ne conserve aucune donnée personnelle (adresses email) après avoir renvoyé la réponse API. Les adresses email sont traitées en mémoire et immédiatement supprimées à la fin de la vérification — rien n’est écrit sur disque ou en stockage persistant.

Les métadonnées de requête (identifiant de clé API, horodatage, code de réponse HTTP) sont conservées uniquement à des fins de facturation et de limitation de débit, conformément aux conditions de votre abonnement. Ces enregistrements ne contiennent pas d’adresses email.

Base légale du traitement

En tant que responsable du traitement, vous êtes tenu d’établir la base légale de la validation des adresses email de vos utilisateurs au titre de l’article 6 du RGPD. Les bases légales courantes incluent :

  • Intérêt légitime (Art. 6(1)(f)) : prévention des inscriptions frauduleuses et protection de la qualité de votre base de contacts
  • Exécution d’un contrat (Art. 6(1)(b)) : vérification d’une adresse email valide lors de la création d’un compte
  • Consentement (Art. 6(1)(a)) : lorsque l’utilisateur a explicitement accepté et que la validation d’email fait partie des conditions du service

En tant que sous-traitant, Syvel traite les données personnelles exclusivement selon vos instructions (l’appel API) et ne les utilise à aucune autre fin.

Droits des personnes concernées

Conformément aux articles 15 à 22 du RGPD, vos utilisateurs disposent des droits d’accès, de rectification, d’effacement, de limitation, et de portabilité de leurs données personnelles. Syvel ne conservant aucune adresse email après le traitement, aucune donnée personnelle détenue par Syvel n’est soumise à ces droits.

Pour les données personnelles stockées dans vos propres systèmes (CRM, base de données, plateforme marketing), vous restez responsable du traitement et devez répondre aux demandes d’exercice des droits.

Accord de traitement des données (DPA)

Les organisations nécessitant un Accord de Traitement des Données (Data Processing Agreement) dans le cadre de leur programme de conformité RGPD peuvent en faire la demande en nous contactant. Le DPA documente :

  • Les rôles et responsabilités du responsable du traitement et du sous-traitant
  • L’objet, la nature et la finalité du traitement
  • Le type de données personnelles et les catégories de personnes concernées
  • Les mesures techniques et organisationnelles de sécurité en vigueur
  • Les sous-traitants ultérieurs et leurs obligations

Mesures de sécurité

Syvel met en œuvre les mesures techniques et organisationnelles (MTO) suivantes :

  • Chiffrement de toutes les communications API en transit (TLS 1.2+)
  • Clés API jamais stockées en clair
  • Accès à l’infrastructure de production restreint au personnel autorisé, protégé par authentification multifacteur
  • Aucune adresse email écrite sur disque ou en stockage persistant à aucun moment du traitement
  • Revues de sécurité et audits de dépendances réguliers

Sous-traitants ultérieurs

Syvel fait appel à un ensemble minimal de sous-traitants ultérieurs, tous basés dans l’Union européenne, pour opérer son infrastructure. La liste actualisée des sous-traitants est disponible sur demande à l’adresse ci-dessous.

Contact

Pour toute question relative à la vie privée, une demande de DPA ou une documentation de conformité RGPD, contactez-nous à dpo@syvel.io.

Dernière mise à jour :