Politique de Confidentialité
Cette politique est conforme au RGPD (Règlement UE 2016/679) et à la loi Informatique et Libertés modifiée.
🏢1. Qui sommes-nous ?
Le Responsable de traitement est :
SynkView SAS — éditeur de SynkView
SIRET : [À COMPLÉTER]
Siège social : [ADRESSE À COMPLÉTER]
Email : privacy@reviewsense.fr
SynkView est un service SaaS B2B permettant aux commerçants et professionnels d'analyser leurs avis Google My Business grâce à l'intelligence artificielle.
📊2. Données que nous collectons
Nous collectons uniquement les données strictement nécessaires à la fourniture du service.
2.1 Données de compte
| Donnée | Source | Obligatoire | Durée de conservation |
|---|---|---|---|
| Nom / prénom | Vous (inscription) | Oui | Durée de l'abonnement + 30 jours |
| Adresse email | Vous (inscription via Clerk) | Oui | Durée de l'abonnement + 30 jours |
| Photo de profil | OAuth Google / optionnel | Non | Durée de l'abonnement + 30 jours |
| Langue / fuseau horaire | Détecté automatiquement | Non | Durée de l'abonnement |
2.2 Données de votre commerce
| Donnée | Source | Obligatoire | Durée de conservation |
|---|---|---|---|
| Nom de l'établissement | Vous (onboarding) | Oui | Durée de l'abonnement + 30 jours |
| Ville | Vous (onboarding) | Oui | Durée de l'abonnement + 30 jours |
| URL Google Maps | Vous (onboarding) | Oui | Durée de l'abonnement + 30 jours |
| Secteur d'activité | Vous (onboarding) | Oui | Durée de l'abonnement + 30 jours |
| Avis Google (texte) | Vous (copié-collé) | Oui | Durée de l'abonnement + 30 jours |
2.3 Données de paiement
Nous ne stockons aucune donnée bancaire. Les paiements sont intégralement gérés par Stripe Payments Europe Ltd. (certifié PCI-DSS Level 1). Seul un identifiant de client Stripe (customer_id) est conservé dans notre base pour lier votre abonnement à votre compte.
2.4 Données techniques
| Donnée | Source | Finalité | Durée |
|---|---|---|---|
| Adresse IP | Automatique | Sécurité, anti-fraude, rate limiting | 90 jours |
| User-Agent / navigateur | Automatique | Débogage, compatibilité | 90 jours |
| Logs d'accès | Automatique | Sécurité, diagnostic | 90 jours |
| Identifiants de session | Clerk (cookie) | Authentification | Session ou 1 an |
2.5 Données d'utilisation (analytics)
Avec votre consentement, nous collectons des données anonymisées sur votre usage via PostHog (hébergé en UE) : pages visitées, fonctionnalités utilisées, durée de session. Ces données ne contiennent aucune information personnellement identifiable.
⚖️3. Finalités et bases légales
| Finalité | Base légale RGPD | Détail |
|---|---|---|
| Fourniture du service (analyse IA, rapports, réponses) | Exécution du contrat (Art. 6.1.b) | Nécessaire à l'exécution de votre abonnement |
| Gestion des abonnements et facturation | Exécution du contrat (Art. 6.1.b) | Gestion Stripe, émission de factures |
| Authentification et sécurité du compte | Intérêt légitime (Art. 6.1.f) | Protection contre les accès non autorisés |
| Envoi d'emails transactionnels (factures, alertes) | Exécution du contrat (Art. 6.1.b) | Notifications liées au service souscrit |
| Amélioration du service (analytics anonymisés) | Consentement (Art. 6.1.a) | Via cookie PostHog — révocable à tout moment |
| Prévention de la fraude et sécurité | Intérêt légitime (Art. 6.1.f) | Rate limiting, détection d'abus |
| Obligations légales (conservation comptable) | Obligation légale (Art. 6.1.c) | Factures conservées 10 ans (Code de commerce) |
| Emails marketing (avec opt-in) | Consentement (Art. 6.1.a) | Uniquement si vous vous y êtes inscrit — révocable |
🤖4. Traitement de vos données par l'IA
4.1 Quelles données sont transmises à l'IA ?
Seul le contenu textuel des avis Google que vous collez dans SynkView est transmis au modèle d'IA (Claude d'Anthropic). Ces textes sont des données publiques, déjà accessibles sur Google Maps.
Ne sont jamais transmis à l'IA : votre email, nom, données de paiement, identifiant Stripe, ou toute donnée permettant de vous identifier directement.
4.2 Pour quoi faire ?
- Analyse de sentiment (positif / négatif / neutre)
- Identification des thèmes récurrents (propreté, service, prix…)
- Génération de plans d'action priorisés
- Rédaction de suggestions de réponses aux avis
4.3 Engagements d'Anthropic
SynkView SAS a conclu un Data Processing Agreement (DPA) avec Anthropic PBC. Dans ce cadre, Anthropic s'engage contractuellement à :
- Ne pas utiliser vos données pour entraîner ses modèles sans consentement explicite
- Ne pas conserver les données de requêtes au-delà des besoins opérationnels
- Traiter les données uniquement pour la fourniture du service API
4.4 Votre droit d'opposition
Vous pouvez demander à désactiver l'ensemble des fonctionnalités IA à tout moment, sans que cela affecte votre accès aux autres fonctionnalités du service. Contactez-nous à privacy@reviewsense.fr avec l'objet « Opposition traitement IA ».
🔗5. Sous-traitants et destinataires
Nous faisons appel aux sous-traitants suivants, tous couverts par un DPA conforme au RGPD :
| Sous-traitant | Pays | Rôle | Garanties RGPD |
|---|---|---|---|
| Vercel Inc. | USA 🇺🇸 / Edge UE 🇪🇺 | Hébergement de l'application | SCCs + DPA — données EU sur edge UE |
| Supabase (The Supabase Company) | USA 🇺🇸 / AWS eu-west-1 🇮🇪 | Base de données PostgreSQL | SCCs + DPA — données hébergées en Irlande |
| Stripe Payments Europe Ltd. | Irlande 🇮🇪 | Paiements et facturation | Entité européenne — conformité RGPD native |
| Clerk Inc. | USA 🇺🇸 / UE 🇪🇺 | Authentification | SCCs + DPA — région EU sélectionnée |
| Anthropic PBC | USA 🇺🇸 | Modèle IA (API Claude) | SCCs + DPA — données non réutilisées pour entraînement |
| Resend Inc. | USA 🇺🇸 / UE 🇪🇺 | Emails transactionnels | SCCs + DPA |
| PostHog Inc. | USA 🇺🇸 / UE 🇪🇺 | Analytics (avec consentement) | DPA — instance hébergée en UE |
SCCs = Clauses Contractuelles Types (décision UE 2021/914) · DPA = Data Processing Agreement
🌍6. Transferts hors Union Européenne
Certains de nos sous-traitants (Anthropic, Vercel, Clerk, Resend, PostHog) sont établis aux États-Unis. Ces transferts sont encadrés par les Clauses Contractuelles Types (SCCs) adoptées par la Commission européenne (décision d'exécution 2021/914) et des DPA spécifiques.
🔐7. Vos droits RGPD
Conformément au RGPD (Art. 15 à 22), vous disposez des droits suivants sur vos données :
| Droit | Ce que vous pouvez faire | Délai de réponse |
|---|---|---|
| Accès (Art. 15) | Obtenir une copie de toutes vos données | 1 mois |
| Rectification (Art. 16) | Corriger des données inexactes | 1 mois |
| Effacement (Art. 17) | Demander la suppression de vos données | 1 mois |
| Limitation (Art. 18) | Geler le traitement en cas de contestation | 1 mois |
| Portabilité (Art. 20) | Recevoir vos données dans un format structuré | 1 mois |
| Opposition (Art. 21) | Vous opposer au traitement fondé sur intérêt légitime | Immédiat |
| Retrait du consentement | Révoquer un consentement donné (analytics, marketing) | Immédiat |
| Décisions automatisées (Art. 22) | Obtenir une révision humaine de décisions IA | 1 mois |
7.1 Comment exercer vos droits
Envoyez votre demande à privacy@reviewsense.fr avec l'objet « Exercice de droit RGPD — [type de droit] » et une pièce d'identité si nécessaire pour vérifier votre identité.
Vous pouvez également exercer la plupart de ces droits directement depuis votre tableau de bord (Paramètres → Compte → Données personnelles).
7.2 Réclamation auprès de la CNIL
Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés) : cnil.fr
🛡️8. Sécurité des données
SynkView SAS met en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données :
- Chiffrement des communications (HTTPS/TLS 1.3)
- Chiffrement des données au repos (AES-256 via Supabase)
- Authentification sécurisée déléguée à Clerk (MFA disponible)
- Accès aux données de production limité aux équipes essentielles
- Sauvegardes automatiques quotidiennes avec rétention 7 jours
- Notifications de violation de données dans les 72h (Art. 33 RGPD)
- Revue de sécurité annuelle
📬9. Contact et Délégué à la Protection des Données
9.1 Délégué à la Protection des Données (DPO)
SynkView SAS n'est pas légalement tenu de désigner un DPO (entreprise de moins de 250 salariés sans traitement à grande échelle). Néanmoins, toute demande relative à la protection des données est traitée par notre responsable conformité RGPD :
Email : privacy@reviewsense.fr
Délai de réponse : 48h ouvrées
9.2 Modifications de cette politique
Toute modification substantielle sera notifiée par email avec un préavis de 30 jours. La version en vigueur est toujours accessible à reviewsense.fr/legal/confidentialite.
📊10. Analyse concurrentielle — données tierces
Les données utilisées pour la fonctionnalité d'analyse concurrentielle proviennent exclusivement d'avis publics accessibles sur Google Maps. SynkView n'accède à aucune donnée privée d'établissements tiers et n'accède à aucun compte Google Business Profile autre que celui de l'utilisateur connecté.
10.1 Source des données
- Les avis analysés pour les établissements concurrents sont publics et accessibles à tout internaute sur Google Maps, sans authentification.
- SynkView ne collecte pas, ne stocke pas et ne redistribue pas les données personnelles des auteurs d'avis (noms, photos de profil, historiques).
- Seule l'analyse agrégée (note moyenne, thèmes récurrents, sentiment global) est conservée dans votre espace utilisateur, liée à votre compte.
10.2 Base légale
Le traitement de données publiques à des fins d'analyse comparative est fondé sur l'intérêt légitime (Art. 6.1.f RGPD) de l'utilisateur à comprendre son positionnement concurrentiel, sans porter atteinte aux droits fondamentaux des personnes concernées. Les données traitées sont déjà publiques et ne font l'objet d'aucun croisement avec des données privées.
10.3 Limitations de la fonctionnalité
- Maximum 3 établissements concurrents analysés simultanément (plan Pro)
- Les données ne sont pas revendues ni partagées avec des tiers
- Aucune donnée d'identification des reviewers n'est stockée