Déclaration de confidentialité

Date d'entrée en vigueur: 15 juin 2026 · Dernière mise à jour: 15 juin 2026

La présente Déclaration de confidentialité explique comment OSYNK AI S.R.L. (« Osynk », « nous ») collecte, utilise, partage et protège les données à caractère personnel lorsque vous visitez notre site web, utilisez nos produits ou interagissez autrement avec nous. La date de « Dernière mise à jour » indiquée ci-dessus reflète la révision la plus récente de la présente déclaration.

Notre service est commercialisé strictement d'entreprise à entreprise (business-to-business). Nous agissons en qualité de responsable du traitement pour les données à caractère personnel des visiteurs de notre site web ainsi que des administrateurs et des utilisateurs des comptes clients, et pour les données dont nous avons besoin pour exploiter, sécuriser et facturer le Service. Nous agissons en qualité de sous-traitant, selon les instructions documentées de chaque client dans le cadre d'un accord de traitement des données au titre de l'article 28, pour les données à caractère personnel qu'un client téléverse sur la plateforme ou que nous collectons pour le compte du client au sujet de ses propres utilisateurs, employés et contacts.

1. Qui nous sommes

Osynk exploite une plateforme d'entreprise multi-tenant destinée aux équipes de revenus et d'opérations, comprenant l'assistant IA Anya ainsi que les produits Sales Intelligence et ERP & Supply Chain. L'entité juridique est OSYNK AI S.R.L., une société constituée selon le droit roumain. Les coordonnées complètes d'immatriculation de notre société (numéro au registre du commerce, CUI, siège social) sont publiées dans le pied de page de ce site. Si vous avez des questions concernant la présente déclaration ou si vous souhaitez exercer un droit prévu par la législation applicable en matière de protection des données, contactez-nous à l'adresse contact@osynk.ai.

2. Nos rôles : responsable du traitement, sous-traitant et relations de responsabilité conjointe

La plupart des données à caractère personnel présentes dans l'espace de travail d'un client sont des données que le client contrôle. Pour ces données, nous sommes sous-traitant : nous ne les traitons que selon les instructions documentées du client, dans le cadre d'un accord de traitement des données au titre de l'article 28. Le client est le responsable du traitement et détermine les finalités et les moyens du traitement.

Lorsqu'un client intègre le pixel de suivi de Meta ou notre intégration Conversions API sur son propre site web ou ses propres formulaires, le client est, pour cette collecte et cette transmission, responsable conjoint du traitement avec Meta. Le rôle d'Osynk dans cet arrangement est d'agir en tant que sous-traitant du client, en exploitant le pixel et les outils de conversion selon les instructions documentées du client, dans le cadre de notre accord de traitement des données au titre de l'article 28. Osynk ne détermine pas les finalités de cette collecte et ne décide pas de déployer un pixel ; c'est le client qui le fait. Meta n'est pas un sous-traitant ultérieur d'Osynk pour ces données.

Nous sommes responsable du traitement pour les données à caractère personnel dont nous avons besoin pour exploiter notre propre activité : les données des visiteurs du site web, l'administration des comptes, la journalisation de sécurité et d'audit, ainsi que nos propres relations avec les clients.

3. Les données à caractère personnel que nous traitons

3.1 Données de compte & d'identité

Lorsque vous créez un compte ou que vous êtes invité à en rejoindre un, nous collectons votre prénom, votre nom, votre adresse e-mail, votre mot de passe haché, votre rôle, votre préférence linguistique et le ou les tenants auxquels vous appartenez. Les clients peuvent également stocker des champs de profil concernant leurs propres employés au sein de la plateforme.

3.2 Contenu téléversé par le client (CRM et données d'entreprise)

Les clients téléversent du contenu d'entreprise dans la plateforme : enregistrements CRM, contacts, prospects, opportunités, entrées de calendrier et de rendez-vous, fichiers de base de connaissances et autres documents. Une partie de ce contenu comporte des données à caractère personnel concernant les propres utilisateurs, employés et contacts du client. Nous traitons ce contenu strictement selon les instructions du client, en qualité de sous-traitant.

3.3 Données de conversation Anya

Lorsqu'un visiteur ou un utilisateur interagit avec l'assistant IA Anya, nous traitons la conversation : les messages échangés et l'état conversationnel nécessaire au maintien de la continuité au sein d'une session. Lorsque Anya est intégrée sur le site d'un client, ces données de conversation appartiennent à l'espace de travail du client et sont traitées selon les instructions du client.

3.4 Invites IA (prompts), réponses et fichiers téléversés

Lorsque des fonctionnalités d'IA sont utilisées, les invites (prompts) envoyées et les réponses générées sont traitées par le fournisseur du modèle d'IA décrit à la section 5 ci-dessous. Les invites et les fichiers soumis au traitement par l'IA (par exemple, des documents téléversés à des fins d'extraction ou d'analyse) peuvent contenir des données à caractère personnel. La manière dont ces données sont traitées par le fournisseur du modèle est exposée à la section 5.

3.5 Données du connecteur de messagerie

Lorsqu'un client active un connecteur de messagerie ou de productivité (Microsoft 365 ou Google), nous accédons aux périmètres de boîte aux lettres, de calendrier ou de fichiers que le client autorise explicitement, aussi longtemps que la connexion reste active, afin de fournir la fonctionnalité demandée. Nous stockons les jetons d'intégration chiffrés au repos. Un connecteur peut être déconnecté à tout moment depuis les paramètres du compte, après quoi nous n'accédons plus au compte connecté.

3.6 Données de mise en correspondance d'événements Meta

Sur les sites des clients qui activent un Meta Pixel, les données utilisées pour faire correspondre les événements de conversion aux comptes Meta peuvent inclure des identifiants hachés (tels qu'une adresse e-mail ou un numéro de téléphone haché), un identifiant externe, l'adresse IP, l'agent utilisateur (user agent), les cookies de navigateur Meta _fbc et _fbp, ainsi que des données d'événement. Ces données sont traitées aux fins d'attribution des conversions du client, comme décrit à la section 2 et à la section 9 ci-dessous.

3.7 Données d'utilisation, techniques et d'audit

Nous journalisons les informations générées par les interactions avec le Service : adresse IP, type de navigateur, identifiants de l'appareil et du système d'exploitation, pages visitées, fonctionnalités utilisées, horodatages des requêtes, traces d'erreur et télémétrie de performance. Nous conservons également des journaux d'audit des actions administratives et des modifications de données. Nous utilisons ces données pour exploiter, sécuriser et améliorer le Service, et pour enquêter sur les abus.

3.8 Cookies et technologies similaires

Nous utilisons des cookies et le stockage du navigateur, comme résumé à la section 9 ci-dessous.

4. Pourquoi nous traitons les données à caractère personnel

Nous traitons les données à caractère personnel aux finalités suivantes et sur les bases juridiques suivantes (article 6 du RGPD) :

• Fourniture et sécurisation du Service. Exécution du contrat (art. 6(1)(b)) et notre intérêt légitime à exploiter une plateforme sécurisée (art. 6(1)(f)).
• Traitement des données du client selon ses instructions. Exécution de notre accord de traitement des données avec ce client (art. 28) ; le client est le responsable du traitement et détermine la base juridique du traitement sous-jacent.
• Administration des comptes et communications avec les clients. Exécution du contrat et notre intérêt légitime à entretenir les relations avec les clients.
• Conformité juridique et comptable. Respect d'une obligation légale (art. 6(1)(c)), y compris la conservation des documents comptables et fiscaux exigée par le droit roumain.
• Amélioration du produit. Notre intérêt légitime à comprendre l'utilisation à un niveau agrégé et anonymisé.
• Marketing auprès des contacts professionnels. Votre consentement lorsqu'il est requis (art. 6(1)(a)), ou notre intérêt légitime à promouvoir nos produits auprès des contacts professionnels. Vous pouvez vous y opposer à tout moment.
• Conformité juridique, résolution des litiges, prévention de la fraude et des abus. Intérêt légitime et obligation légale.

5. Intelligence artificielle

Vous interagissez avec un système d'intelligence artificielle. L'assistant Anya est un système d'intelligence artificielle. Lorsque vous engagez une conversation avec Anya, vous communiquez avec un assistant IA automatisé, et non avec un être humain. Les données de conversation sont utilisées pour générer des réponses, maintenir la continuité de votre session et fournir les fonctionnalités d'assistant que le client a configurées.

Les fonctionnalités d'IA reposent sur un fournisseur de modèle tiers qui traite les invites (prompts), le contexte de la conversation, les fichiers soumis et les complétions (completions) afin de générer des réponses. Le fournisseur traite ces données dans le cadre de clauses contractuelles de confidentialité et de protection des données, et n'utilise pas les données des clients pour entraîner ses modèles de fondation. Les résultats de l'IA peuvent être examinés par une personne avant qu'il n'y soit donné suite. Nous ne prenons pas de décisions automatisées produisant des effets juridiques ou des effets similaires significatifs sur les personnes sans intervention humaine. Par exemple, l'évaluation des prospects par l'IA ne rejette ni n'écarte jamais une personne de manière automatique ; une personne procède à un examen avant toute action ayant des conséquences.

Le traitement par l'IA est effectué via Amazon Bedrock, l'inférence des modèles étant maintenue à l'intérieur de la frontière géographique de l'UE. Les invites sont traitées au sein de l'infrastructure AWS plutôt que de parvenir aux fournisseurs de modèles sous-jacents, lesquels ne reçoivent pas les invites des clients. Le fournisseur d'IA est Amazon Web Services (Amazon Bedrock), qui traite les données à l'intérieur de la frontière géographique de l'UE, au titre de l'AWS GDPR Data Processing Addendum, qui intègre les clauses contractuelles types de l'UE.

6. Comment nous partageons les données à caractère personnel

Nous ne vendons pas de données à caractère personnel. Nous ne partageons les données à caractère personnel que comme décrit ci-dessous :

• Au sein de votre tenant. Les données à caractère personnel présentes dans le tenant d'un client sont accessibles aux utilisateurs et aux administrateurs de ce tenant, conformément aux rôles et aux autorisations configurés par le propriétaire du tenant.
• Sous-traitants ultérieurs. Nous faisons appel à des prestataires soigneusement sélectionnés pour héberger, sécuriser et exploiter le Service. Ils traitent les données à caractère personnel pour notre compte, dans le cadre de contrats écrits au titre de l'article 28 imposant des protections équivalentes.
• Divulgations légales. Nous pouvons divulguer des données à caractère personnel lorsque la loi l'exige, en vertu d'une décision de justice contraignante ou d'une autre demande légale, ou pour protéger les droits, les biens ou la sécurité d'Osynk, de nos clients ou d'autrui.
• Opérations sur la société. Si nous sommes impliqués dans une fusion, une acquisition, un financement, une réorganisation ou une cession d'actifs, les données à caractère personnel peuvent être transférées sous réserve des protections de confidentialité standard et de la présente déclaration (ou d'une déclaration substantiellement équivalente).

7. Transferts internationaux

Les données de notre application, la base de données, le stockage des fichiers et les sauvegardes sont hébergés au sein de l'Union européenne. Certains sous-traitants ultérieurs (par exemple, certaines intégrations d'IA, de distribution d'e-mails et Meta) peuvent traiter des données à caractère personnel en dehors de l'Espace économique européen.

Lorsque nous transférons des données à caractère personnel en dehors de l'Espace économique européen, nous nous appuyons sur les Clauses contractuelles types de la Commission européenne (décision 2021/914) comme mécanisme de transfert opérationnel, intégrées à l'accord de traitement des données de chaque destinataire, et nous nous appuyons en complément sur le cadre de protection des données UE-États-Unis (Data Privacy Framework) lorsque le destinataire y est certifié. Nous ne nous appuyons pas uniquement sur le Data Privacy Framework. Nous réalisons des analyses d'impact des transferts et appliquons des mesures supplémentaires lorsque cela est nécessaire.

Pour les transferts en provenance du Royaume-Uni, nous nous appuyons sur l'extension au Royaume-Uni du Data Privacy Framework (le pont de données UK-États-Unis) et sur l'Accord international de transfert de données du Royaume-Uni ou son addendum, selon le cas. Pour les transferts en provenance de Suisse, nous nous appuyons sur le cadre de protection des données Suisse-États-Unis (Swiss-US Data Privacy Framework). Pour les flux impliquant le Canada, la décision d'adéquation de la Commission européenne pour les organisations commerciales canadiennes soumises à la LPRPDE (PIPEDA) s'applique. Une copie du mécanisme de transfert pertinent est disponible sur demande à l'adresse contact@osynk.ai.

8. Comment nous enregistrons le consentement aux événements de suivi et de conversion

Lorsqu'un client recueille un consentement au moyen d'un formulaire Osynk (par exemple, une case à cocher de consentement marketing), le fait de cocher le bloc de consentement crée un enregistrement de consentement dans notre registre des consentements. Chaque enregistrement se compose d'un octroi assorti d'événements de preuve en mode ajout seul (append-only) qui consignent l'objet du consentement, le moment où il est survenu, la source (par exemple, un formulaire public), ainsi que l'adresse IP et l'agent utilisateur du navigateur qui a procédé à la soumission. Ce registre constitue la surface de preuve sur laquelle nous-mêmes et nos clients nous appuyons pour démontrer le consentement (article 7(1) du RGPD).

Les événements de conversion relatifs aux soumissions de formulaires ne sont envoyés à Meta que lorsqu'il existe un enregistrement de consentement positif ; en l'absence d'un tel enregistrement, l'événement n'est pas envoyé. Dans des cas limités, un opérateur autorisé du compte du client peut enregistrer une décision de consentement pour le compte du client (par exemple, lorsque le consentement a été recueilli en dehors d'Osynk). Un tel enregistrement doit joindre la preuve originale du consentement (un export de formulaire, une référence à un document signé ou une capture d'écran), l'identifiant de la personne concernée, la date à laquelle le consentement original a été donné, l'identité de l'opérateur et le motif indiqué. Les enregistrements ne respectant pas cette norme de preuve minimale sont signalés, et Osynk se réserve le droit de suspendre l'envoi d'événements via la Conversions API pour tout enregistrement de consentement qui n'y satisfait pas. Le client, en tant que responsable du traitement, supporte la charge de démontrer la validité du consentement au titre de l'article 7(1) du RGPD pour tout consentement importé par ce mécanisme.

Pour les données qui parviennent à Osynk par d'autres canaux configurés par le client (tels que les prises de rendez-vous ou les webhooks entrants provenant des propres systèmes du client), il incombe au client d'avoir recueilli un consentement valable avant que les données ne parviennent à Osynk.

9. Cookies et technologies similaires

Nous utilisons un petit nombre de cookies strictement nécessaires pour vous maintenir connecté, mémoriser le contexte de votre tenant et vous protéger contre la falsification de requête intersites (cross-site request forgery). Nous n'effectuons pas de suivi publicitaire sur osynk.ai lui-même.

Lorsqu'un client active un Osynk Meta Pixel dédié et propre à ce client sur un site web ou un formulaire qu'il exploite, le chargeur Osynk peut écrire les cookies Meta _fbc et _fbp, charger le fichier fbevents.js de Meta et envoyer un événement de conversion à la fois depuis le navigateur et depuis nos serveurs (la Conversions API) en utilisant un event_id partagé, afin que Meta déduplique les copies navigateur et serveur de l'événement. Les données de mise en correspondance envoyées à Meta utilisent des identifiants hachés. Le chargeur ne déclenche pas automatiquement de PageView, et aucun élément lié à Meta ne se charge tant que la page hôte n'a pas signalé le consentement.

10. Combien de temps nous conservons les données à caractère personnel

Nous ne conservons les données à caractère personnel que le temps nécessaire aux finalités pour lesquelles elles ont été collectées. Nos durées de conservation par défaut sont les suivantes :

• Enregistrements CRM et contenu du client. Jusqu'à ce que le client les supprime ou que le compte soit clôturé. Les enregistrements supprimés font d'abord l'objet d'une suppression réversible (soft delete), puis sont purgés ; les fichiers placés dans la corbeille du CRM sont purgés après 30 jours.
• Journaux d'audit et historique des modifications. 24 mois par défaut.
• Journaux des e-mails sortants. 365 jours par défaut. Le corps des messages n'est jamais stocké ; nous ne conservons que des empreintes (hashes) d'intégrité et des métadonnées.
• Sessions de connexion. Environ 120 minutes d'inactivité.
• Événements de prospects et de webhooks entrants. 6 mois, puis élagués.
• Données de mise en correspondance d'événements Meta. Les identifiants bruts sont expurgés après 7 jours par défaut ; les lignes d'événements persistent sans les identifiants bruts.
• Téléversements temporaires des formulaires publics. 24 heures si le formulaire est abandonné.
• Sauvegardes. 30 jours sur une base glissante.

La suppression de données dans l'application les marque comme supprimées immédiatement et les masque ; les purges définitives suivent selon les calendriers ci-dessus. Les copies présentes dans les sauvegardes chiffrées persistent jusqu'à l'achèvement de la rotation des sauvegardes (jusqu'à 30 jours), après quoi les données supprimées sont irrécupérables.

Lorsque le droit comptable et fiscal roumain nous impose de conserver des documents (tels que les pièces comptables justificatives), nous conservons ces documents pendant la durée prescrite par la loi applicable. Par ailleurs, lorsque nous devons conserver des documents pour constater, exercer ou défendre un droit en justice au titre de l'article 17(3)(e) du RGPD, nous limitons cette conservation aux documents raisonnablement nécessaires à des procédures identifiées ou raisonnablement anticipées, et nous évaluons chaque catégorie individuellement plutôt que de conserver les données de manière générale. La position détaillée concernant la suppression de compte et la conservation légale est exposée sur notre page Suppression des données.

11. Sécurité

Nous maintenons des garanties administratives, techniques et physiques conçues pour protéger les données à caractère personnel, notamment le chiffrement des données en transit (HTTPS / TLS), une isolation stricte des tenants au niveau de la base de données, des contrôles d'accès fondés sur les rôles avec attribution selon le principe du moindre privilège, le chiffrement au repos des identifiants d'intégration, la journalisation d'audit des actions administratives et des garanties contractuelles avec nos sous-traitants ultérieurs.

Aucun système n'est parfaitement sécurisé. Si vous pensez que votre compte a été compromis, veuillez contacter immédiatement contact@osynk.ai.

12. Vos droits

Sous réserve de la législation applicable, vous disposez du droit d'accéder à vos données à caractère personnel, de les rectifier, de les supprimer, d'en limiter le traitement ou de vous y opposer, ainsi que du droit à la portabilité des données. Lorsque nous nous appuyons sur votre consentement, vous pouvez le retirer à tout moment. Vous avez également le droit d'introduire une réclamation auprès d'une autorité de contrôle. Dans l'Union européenne, il s'agit de l'autorité de protection des données de votre État membre ; en Roumanie, l'Autorité nationale de surveillance du traitement des données à caractère personnel (ANSPDCP).

Si vous êtes un utilisateur de l'espace de travail d'un client, ce client est le responsable du traitement de ces données. Veuillez adresser votre demande en priorité à ce client ; lorsque nous recevons une telle demande, nous la transmettons au client concerné. Pour exercer vos droits directement à l'encontre d'Osynk, ou pour demander une suppression, consultez notre page Suppression des données ou écrivez à contact@osynk.ai. Nous répondons dans les délais imposés par la législation applicable. Au titre du RGPD, il s'agit normalement d'un délai d'un mois à compter de la réception, que nous pouvons prolonger de deux mois supplémentaires au maximum pour les demandes complexes ou nombreuses, en vous informant d'une telle prolongation et de ses motifs au cours du premier mois.

13. Contact en matière de confidentialité

Notre contact en matière de confidentialité reçoit et oriente les demandes relatives à la confidentialité et aux personnes concernées. Vous pouvez joindre ce contact à l'adresse contact@osynk.ai. Cette personne n'occupe pas le rôle de délégué à la protection des données au titre de l'article 37 du RGPD.

Sur la base de notre évaluation actuelle, Osynk ne remplit pas les critères de l'article 37(1) du RGPD qui rendraient obligatoire la désignation d'un délégué à la protection des données. Nous réexaminons cette évaluation périodiquement à mesure que nos activités de traitement évoluent.

14. Québec : personne responsable de la protection des renseignements personnels

En vertu de la Loi 25 du Québec, Osynk désigne une personne responsable de la protection des renseignements personnels. Ce rôle est assumé par l'Administrateur, qui peut être joint à l'adresse contact@osynk.ai.

15. Canada (LPRPDE / PIPEDA)

Pour les personnes situées au Canada, les données à caractère personnel sont traitées hors du Canada, en Roumanie et ailleurs dans l'Union européenne, par Osynk et ses sous-traitants ultérieurs. Nous maintenons une protection comparable pour ces données au moyen de garanties contractuelles avec les parties qui les traitent. Vous pouvez demander l'accès à vos données à caractère personnel et adresser une plainte concernant notre traitement de celles-ci au contact en matière de confidentialité indiqué à la section 13 ; vous pouvez également porter plainte auprès du Commissariat à la protection de la vie privée du Canada, et les résidents du Québec peuvent porter plainte auprès de la Commission d'accès à l'information.

16. Enfants

Le Service est destiné à un usage professionnel et ne s'adresse pas aux enfants de moins de 16 ans. Nous ne collectons pas sciemment de données à caractère personnel auprès d'enfants. Si vous pensez qu'un enfant nous a communiqué des données à caractère personnel, veuillez nous contacter afin que nous puissions les supprimer.

17. Modifications de la présente déclaration

Nous pouvons mettre à jour la présente Déclaration de confidentialité de temps à autre. La date de « Dernière mise à jour » en haut de la page reflète la révision la plus récente. Si nous apportons des modifications substantielles, nous fournirons un avis supplémentaire (par exemple, par e-mail ou au moyen d'une bannière dans l'application) avant que les modifications ne prennent effet.

18. Contact

Questions relatives à la confidentialité, demandes d'exercice de droits et toute autre correspondance : contact@osynk.ai. Les coordonnées complètes d'immatriculation et les informations légales de notre société figurent dans le pied de page du site.