Vie privée & RGPD

Politique de confidentialité

Comment Sylen collecte, traite et protège vos données personnelles, conformément au Règlement Général sur la Protection des Données.

Dernière mise à jour : 20 avril 2026

Préambule

SYLEN SAS (ci-après « Sylen », « nous » ou « notre ») accorde la plus grande importance à la protection de vos données personnelles. La présente Politique de confidentialité (ci-après « PC ») décrit de manière transparente comment nous collectons, utilisons, partageons et conservons vos données dans le cadre du site sylen.ai et de l'application app.sylen.ai.

Elle s'applique à trois catégories de personnes :

  • les clients professionnels souscrivant aux services Sylen et leurs utilisateurs ;
  • les visiteurs du site sylen.ai ;
  • les appelants dont les communications sont traitées par l'agent IA configuré par un client Sylen.
Engagement principal

Sylen ne conserve aucun enregistrement audio des appels. Seuls la transcription textuelle et les métadonnées techniques sont conservées. Les transcriptions sont automatiquement supprimées après 12 mois.

01Responsable du traitement

Le responsable du traitement des données collectées via le site sylen.ai et l'application app.sylen.ai est :

Raison sociale
SYLEN SAS
RCS
Nancy 999 064 215
Siège social
31 rue de Turique, 54000 Nancy, France
Point de contact RGPD
contact@sylen.ai
Email
contact@sylen.ai
Téléphone
+33 6 80 67 73 78

SYLEN SAS n'est pas soumise à l'obligation de désigner un Délégué à la Protection des Données au sens de l'article 37 du RGPD. Les questions RGPD sont traitées par un point de contact dédié (contact@sylen.ai). SYLEN SAS réévaluera la nécessité de désigner un DPO indépendant en cas d'évolution de son activité susceptible de la rendre obligatoire au titre de l'article 37.1.b du RGPD.

02Qualification des rôles

Selon la nature des données concernées, Sylen agit alternativement comme responsable du traitement ou sous-traitant :

Données concernéesRôle de SylenRôle du Client
Compte Client (représentant, facturation, configuration)Responsable du traitementPersonne concernée
Visiteurs du site sylen.ai (cookies, analytics)Responsable du traitement
Appelants (transcriptions, métadonnées d'appel)Sous-traitant (art. 28 RGPD)Responsable du traitement

Pour les données traitées au titre de la sous-traitance, les conditions sont régies par le Data Processing Agreement (DPA), faisant partie intégrante des CGV et accepté par le Client à la souscription.

Information préalable des appelants (art. 13-14 RGPD)

Lorsque Sylen agit en qualité de sous-traitant des appels, c'est le Client qui, en sa qualité de responsable du traitement, doit informer ses appelants du traitement de leurs données et de leurs droits, conformément aux articles 13 et 14 du RGPD et à l'article 50 de l'AI Act. Sylen met à disposition du Client un greeting par défaut conforme, qui annonce la nature artificielle de l'agent dès la prise d'appel.

03Données collectées

3.1 Données du Compte Client

  • Identité : nom, prénom, fonction
  • Coordonnées professionnelles : email, numéro de téléphone
  • Informations entreprise : raison sociale, adresse, SIRET, TVA
  • Données de facturation : adresse de facturation, identifiant Stripe Customer (les données bancaires complètes ne sont jamais accessibles à Sylen, elles sont gérées par Stripe)
  • Identifiants de connexion : email, mot de passe haché, jeton 2FA
  • Logs techniques : adresse IP, date/heure de connexion, navigateur, journal d'activité

3.2 Données liées au service

  • Configuration de l'agent : prompt système, voix sélectionnée, plages horaires, règles métier, intégrations
  • Numéros de téléphone attribués au Client
  • Calendrier (si intégration activée) : événements et créneaux de disponibilité

3.3 Données liées aux appels

  • Métadonnées : numéro de l'appelant, horodatage, durée, statut (répondu/manqué/transféré)
  • Transcription textuelle de la conversation (échanges entre l'IA et l'appelant)
  • Résumé automatique et intention détectée (ex : prise de RDV, demande d'information)
  • Nom de l'appelant tel que communiqué oralement, et coordonnées le cas échéant
  • Rendez-vous créés par l'agent
Aucun enregistrement audio

L'audio des appels n'est pas enregistré et n'est pas conservé. Seules les données ci-dessus (texte + métadonnées) sont stockées.

3.4 Données de navigation (site sylen.ai)

  • Adresse IP, type de navigateur, système d'exploitation, pages consultées, durée de visite
  • Données de cookies et traceurs (voir Politique de cookies)

3.5 Catégories de données particulières

Sylen ne collecte ni ne traite intentionnellement aucune donnée sensible au sens de l'article 9 du RGPD (santé, opinions, religion, vie sexuelle, etc.). Le Client est contractuellement tenu, en application des CGV, de ne pas configurer son agent pour collecter ce type de données auprès des appelants.

04Finalités et bases légales

FinalitéBase légaleDurée
Création et gestion du Compte ClientExécution du contrat (art. 6.1.b)Durée du contrat + 3 ans
Fourniture du Service (traitement des appels, transcription, prise de RDV)Exécution du contrat (art. 6.1.b)12 mois (transcripts, messages)
Facturation et comptabilitéObligation légale (art. 6.1.c)10 ans (Code de commerce)
Sécurité, lutte anti-fraude (logs, 2FA, détection abus)Intérêt légitime (art. 6.1.f)12 mois
Mesure d'audience anonymisée du site sylen.aiConsentement (art. 6.1.a)13 mois (cookies) / 25 mois (stats)
Communications transactionnelles (factures, alertes, support)Exécution du contratDurée du contrat
Communications commerciales (newsletter, emails marketing)Consentement (art. 6.1.a)Jusqu'à désinscription, max 3 ans
Référence commerciale (citation nom + logo Client)Intérêt légitime — opt-out (art. 6.1.f + CGV)Durée d'exploitation
Contentieux et défense en justiceIntérêt légitime (art. 6.1.f)Prescription applicable (5 ans)

05Sous-traitants techniques

Sylen fait appel à des sous-traitants techniques pour la fourniture du Service. Chaque sous-traitant est encadré par un contrat de sous-traitance conforme à l'article 28 du RGPD.

Sous-traitantRôlePaysGaranties
Vercel Inc.Hébergement du site et de l'application🇺🇸 États-UnisClauses contractuelles types UE
Supabase Inc.Base de données + authentification🇪🇺 Hébergement UE (région Europe) — maison-mère États-UnisClauses contractuelles types UE
Twilio Inc.Infrastructure télécom (numéros + flux audio)🇺🇸 États-UnisDPA + clauses contractuelles types UE
OpenAI, L.L.C.Modèle d'IA conversationnelle (transcription temps réel)🇺🇸 États-UnisDPA + clauses contractuelles types UE — voir §6.2
Railway Corp.Serveur WebSocket temps réel (passerelle audio)🇺🇸 États-UnisClauses contractuelles types UE
Stripe Payments Europe Ltd.Traitement des paiements + données de carte bancaire🇮🇪 IrlandeUE — agréée Banque Centrale d'Irlande
Resend Inc.Envoi d'emails transactionnels🇺🇸 États-UnisDPA + clauses contractuelles types UE
Google Ireland Ltd.OAuth + intégration Google Calendar (sur option)🇮🇪 IrlandeUE
Microsoft Ireland Ltd.OAuth + intégration Outlook Calendar (sur option)🇮🇪 IrlandeUE

La liste à jour des sous-traitants est tenue à disposition à contact@sylen.ai. Toute modification substantielle (ajout d'un nouveau sous-traitant traitant des données du Client) est notifiée aux clients par email avec un préavis raisonnable.

06Transferts hors Union européenne

6.1 Les données du Service sont hébergées dans l'Union européenne (Supabase région Europe, Vercel région Europe). Certains sous-traitants sont néanmoins établis hors de l'EEE, principalement aux États-Unis (Twilio, OpenAI, Railway, Resend, maisons-mères de Vercel et Supabase).

6.2 Ces transferts sont encadrés par les garanties prévues aux articles 44 à 49 du RGPD, à savoir :

  • les Clauses Contractuelles Types (CCT) approuvées par la Commission européenne (décision 2021/914) ;
  • le Data Privacy Framework UE-États-Unis lorsque le sous-traitant est certifié ;
  • des mesures techniques et organisationnelles complémentaires (chiffrement TLS en transit, chiffrement au repos, contrôles d'accès stricts).
À propos d'OpenAI

Les transcriptions textuelles générées en temps réel transitent par OpenAI (États-Unis). Conformément aux conditions standards de l'API OpenAI, ces données peuvent être conservées par OpenAI jusqu'à 30 jours à des fins de modération anti-abus, puis sont supprimées. OpenAI ne les utilise pas pour entraîner ses modèles (politique « API data not used for training »).

07Durées de conservation

Sylen applique une politique de rétention différenciée selon la nature des données. Un cron quotidien automatise les suppressions et anonymisations.

Catégorie de donnéesDurée activeAction en fin de durée
Compte Client (profil, configuration)Durée du contrat + 3 ansSuppression
Transcriptions d'appels12 moisSuppression complète
Messages laissés via l'agent12 moisSuppression complète
Métadonnées d'appel (numéro, durée)12 moisAnonymisation (statistiques agrégées conservées)
Données de facturation et factures10 ansSuppression (obligation légale comptable)
Logs techniques de connexion12 moisSuppression
Cookies et traceurs13 moisRenouvellement du consentement
Données de navigation agrégées25 moisSuppression
Données nécessaires à la défense en justice5 ans (prescription)Suppression

7.1 Suppression post-résiliation

Après résiliation effective du Contrat :

  • 30 jours : période d'export à disposition du Client (téléchargement complet des données depuis l'espace personnel) ;
  • au-delà : suppression automatique des transcriptions, messages, paramètres et anonymisation des appels ;
  • les données de facturation et obligations légales sont conservées le temps requis par la loi.

08Sécurité des données

Sylen met en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données contre tout accès non autorisé, altération ou destruction :

  • Chiffrement en transit (TLS 1.2+) sur l'ensemble des communications site, application et API ;
  • Chiffrement au repos des données stockées en base ;
  • Authentification renforcée : mots de passe hachés (bcrypt), double authentification (2FA) disponible sur tous les comptes ;
  • Contrôles d'accès stricts avec Row Level Security (RLS) au niveau de la base de données ;
  • Tokens HMAC pour l'authentification des connexions WebSocket temps réel ;
  • Headers de sécurité : HSTS, X-Frame-Options, X-Content-Type-Options, Content-Security-Policy ;
  • Limitation de débit (rate limiting) sur les endpoints sensibles ;
  • Sauvegardes automatiques quotidiennes de la base de données ;
  • Surveillance et journalisation des accès administrateurs ;
  • Sensibilisation interne à la protection des données.

8.1 Notification de violation

En cas de violation de données susceptible d'engendrer un risque pour les droits et libertés des personnes concernées, Sylen s'engage à :

  • notifier la CNIL dans les 72 heures conformément à l'article 33 du RGPD ;
  • informer les personnes concernées dans les meilleurs délais lorsque le risque est élevé (article 34 RGPD).

09Vos droits

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants sur vos données personnelles :

  • Droit d'accès (art. 15) : obtenir la confirmation que des données vous concernant sont traitées et en obtenir une copie
  • Droit de rectification (art. 16) : corriger des données inexactes ou incomplètes
  • Droit à l'effacement / « droit à l'oubli » (art. 17) : demander la suppression de vos données dans les conditions prévues par la loi
  • Droit à la limitation du traitement (art. 18) : suspendre temporairement le traitement
  • Droit à la portabilité (art. 20) : recevoir vos données dans un format structuré, couramment utilisé et lisible par machine, et les transmettre à un autre responsable de traitement
  • Droit d'opposition (art. 21) : vous opposer au traitement pour des motifs tenant à votre situation particulière, notamment en matière de prospection commerciale
  • Droit de retirer votre consentement à tout moment, lorsque le traitement repose sur le consentement
  • Droit de définir des directives post-mortem relatives au sort de vos données après votre décès

L'exercice de ces droits est gratuit. Sylen pourra demander une preuve d'identité en cas de doute raisonnable sur l'identité du demandeur, conformément à l'article 12 du RGPD.

10Comment exercer vos droits

Pour exercer vos droits, plusieurs canaux sont à votre disposition :

  • Depuis votre espace client app.sylen.ai :
    • Modification de vos informations personnelles via la page Profil
    • Export complet de vos données via la fonction Exporter mes données dans votre espace client (format ZIP, droit à la portabilité — article 20 du RGPD)
    • Suppression de votre compte via la page Profil → Supprimer mon compte
  • Par email : contact@sylen.ai en précisant l'objet de votre demande
  • Par courrier postal : SYLEN SAS — Référent RGPD — 31 rue de Turique, 54000 Nancy, France
Délai de réponse

Sylen s'engage à répondre à votre demande dans un délai maximum de 1 mois à compter de sa réception (article 12 RGPD). Ce délai peut être prolongé de 2 mois en cas de demande complexe, sur notification motivée.

10.1 Spécificité — droits des appelants

Pour les appelants dont les conversations ont été traitées par un agent IA d'un Client Sylen, l'exercice des droits doit être adressé en priorité au Client qui les a collectées (le responsable du traitement). Sylen, en qualité de sous-traitant, transmettra toute demande reçue au Client concerné dans les meilleurs délais et l'assistera dans la mise en œuvre.

11Cookies et traceurs

L'utilisation de cookies et traceurs sur sylen.ai et app.sylen.ai est décrite en détail dans la Politique de cookies.

Vous pouvez à tout moment modifier vos préférences via le lien « Gérer les cookies » en pied de page.

12Réclamation auprès de la CNIL

Si vous estimez que vos droits ne sont pas respectés, vous disposez du droit d'introduire une réclamation auprès de l'autorité de contrôle française :

Autorité
Commission Nationale de l'Informatique et des Libertés (CNIL)
Adresse
3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
Téléphone
+33 1 53 73 22 22
Site web
www.cnil.fr

Nous vous encourageons à nous contacter en premier lieu à contact@sylen.ai, ce qui nous permettra de répondre à vos préoccupations avant tout recours.

13Mineurs

Sylen est un service strictement professionnel (B2B). Il n'est pas destiné aux mineurs de moins de 18 ans, qui ne peuvent souscrire un contrat. Si vous constatez qu'un mineur a fourni des données personnelles à Sylen, merci de nous contacter à contact@sylen.ai afin que nous puissions procéder à leur suppression.

14Modifications de la politique

Sylen se réserve le droit de modifier la présente Politique de confidentialité à tout moment, notamment pour se conformer à une évolution légale, réglementaire ou technique.

Toute modification substantielle est notifiée :

  • aux clients par courriel adressé à l'adresse renseignée dans leur Compte Client, avec un préavis de 30 jours avant prise d'effet ;
  • aux visiteurs et appelants par publication de la nouvelle version sur cette page, avec mise à jour de la date.

L'utilisation continue des services après publication des modifications vaut acceptation tacite de la nouvelle version.

15Contact

Pour toute question relative à la présente Politique de confidentialité ou au traitement de vos données personnelles :

Email (recommandé)
contact@sylen.ai
Courrier postal
SYLEN SAS
Référent RGPD
31 rue de Turique
54000 Nancy, France
SYLEN SAS Dernière mise à jour : 20 avril 2026
contact@sylen.ai · +33 6 80 67 73 78