En vigueur : 2026-06-01 · Version 2.1
Cette page est une traduction de courtoisie. En cas de conflit, la version anglaise prévaut.
La présente Politique de confidentialité explique comment Parhelion Software SRL ("Sydium", "nous", "notre") collecte, utilise, partage et protège vos données personnelles lorsque vous utilisez la plateforme Sydium à l'adresse sydium.com et les services associés. Nous nous engageons à une transparence en langage clair sur ce que nous faisons de vos données.
1. Qui est responsable de vos données
Le responsable du traitement des données personnelles traitées en lien avec le Service est :
Parhelion Software SRL
Siège social : România, Galați, str. Vânători nr. 35
Registre du commerce : J17/67/2013
TVA : RO31105708
Contact confidentialité : privacy@sydium.com
Délégué à la protection des données : Nous n'avons pas désigné de DPO formel au titre de l'article 37 du RGPD car notre traitement ne l'exige pas. Pour toute question relative à la protection des données, contactez privacy@sydium.com.
Représentant dans l'UE : Sans objet - Parhelion Software SRL est établie en Roumanie et donc au sein de l'UE.
2. Quelles informations nous collectons
Nous collectons des données personnelles dans les catégories ci-dessous. Lorsque vous fournissez des données directement, nous indiquons dans l'interface concernée ce qui est obligatoire et ce qui est facultatif.
- Informations de compte. Adresse e-mail, nom, hachage du mot de passe (ou jeton d'identification sociale de Google), URL de la photo de profil. Fournies par vous lors de l'inscription. Nous générons également automatiquement des identifiants techniques (identifiant utilisateur, identifiant d'équipe, identifiants de session).
- Informations de facturation. Formule d'abonnement, intervalle de facturation, statut de paiement, historique des factures. Les numéros de cartes et coordonnées bancaires sont collectés et conservés par notre prestataire de paiement (Stripe) ; nous ne recevons qu'un identifiant tokenisé et des métadonnées.
- Comptes de réseaux sociaux connectés. Lorsque vous connectez un compte social, nous stockons l'identifiant qui nous permet d'agir en votre nom (publier, lire les analyses, lire les messages) : pour la plupart des plateformes il s'agit d'un jeton d'accès OAuth et, pour Bluesky, d'un mot de passe d'application que vous générez. Nous ne stockons jamais le mot de passe principal de votre plateforme. Les données que nous lisons ensuite incluent : le contenu des publications que vous avez publiées, les métriques d'engagement, les agrégats d'audience et (pour les fonctionnalités de boîte de réception) les messages directs et commentaires sur vos comptes.
- Contenu que vous créez. Brouillons, publications planifiées, entrées de calendrier, fichiers multimédias (images, vidéos, audio), contenu généré par IA, matériel d'entraînement de Voix de Marque, et tout texte que vous saisissez dans le Service.
- Données de Voix de Marque. Documents que vous téléversez et publications que nous lisons depuis vos comptes connectés afin d'entraîner votre Voix de Marque. Nous extrayons des paramètres de style ; nous ne republions pas le matériel brut. Voir notre calendrier de conservation ci-dessous.
- Données de boîte de réception et d'engagement. Pour les fonctionnalités de boîte de réception, nous recevons des copies des messages directs et commentaires sur les comptes connectés. Ils sont stockés pour fournir l'interface de boîte de réception et calculer les fonctionnalités d'engagement.
- Communications de support. Les e-mails, messages de chat et soumissions de formulaire que vous nous envoyez, ainsi que nos réponses.
- Données d'usage et d'appareil. Pages consultées, fonctionnalités utilisées, métriques de performance, adresse IP (tronquée lorsque possible), type de navigateur, système d'exploitation, identifiants d'appareil. Collectées automatiquement par les systèmes d'analyse et de suivi des erreurs.
- Cookies et stockage similaire. Voir la Section 8 ci-dessous pour l'inventaire complet.
3. Pourquoi nous traitons vos données, et sur quelle base légale
En vertu du RGPD, chaque activité de traitement nécessite une base légale. Voici la nôtre, par finalité :
| Finalité | Base légale |
|---|---|
| Fournir le Service - servir l'application, stocker et planifier votre contenu, exécuter les fonctionnalités d'IA, publier vers les plateformes connectées, fournir les analyses | Contrat (Art. 6(1)(b)) - exécution de nos Conditions d'utilisation avec vous |
| Création de compte, authentification, réinitialisation de mot de passe, sécurité | Contrat (Art. 6(1)(b)) et intérêt légitime (Art. 6(1)(f)) pour la sécurité et la prévention de la fraude |
| Facturation et fiscalité | Contrat (Art. 6(1)(b)) et obligation légale (Art. 6(1)(c)) - droit comptable/fiscal |
| E-mails transactionnels (vérification, réinitialisation de mot de passe, notifications de facturation, mises à jour importantes du service) | Contrat (Art. 6(1)(b)) et obligation légale, le cas échéant |
| Analyses produit et enregistrement de sessions (PostHog) | Intérêt légitime (Art. 6(1)(f)) pour les visiteurs hors UE/Royaume-Uni ; consentement (Art. 6(1)(a)) pour les visiteurs UE/Royaume-Uni via le bandeau cookies |
| Analyses du site marketing (Google Analytics) | Consentement (Art. 6(1)(a)) pour les visiteurs UE/Royaume-Uni ; intérêt légitime avec opt-out ailleurs |
| Newsletter produit ou e-mails marketing facultatifs | Consentement (Art. 6(1)(a)) - opt-in uniquement, retirable à tout moment via le lien de désinscription |
| Suivi des erreurs et surveillance des performances (Sentry) | Intérêt légitime (Art. 6(1)(f)) - maintenir le Service fiable et sécurisé |
| Support client | Contrat et intérêt légitime |
| Conformité aux demandes légales, défense de réclamations juridiques, application de nos Conditions | Obligation légale (Art. 6(1)(c)) et intérêt légitime (Art. 6(1)(f)) |
4. Comment nous utilisons vos informations (résumé)
- Pour fournir et maintenir la plateforme Sydium
- Pour planifier et publier du contenu sur vos comptes de réseaux sociaux connectés en votre nom
- Pour générer du contenu assisté par IA (y compris dans votre Voix de Marque)
- Pour calculer et afficher les analyses de votre performance sur les réseaux sociaux
- Pour envoyer des messages de service importants (sécurité, facturation, compte)
- Pour améliorer les fonctionnalités et l'expérience utilisateur
- Pour détecter, prévenir et traiter les problèmes de sécurité et de fraude
- Pour respecter les obligations légales
5. Sous-traitants et partage de données
Nous ne vendons pas vos données personnelles. Nous ne les partageons pas à des fins de publicité comportementale inter-contextes. Nous partageons les données uniquement avec les catégories de destinataires listées ci-dessous, et uniquement dans la mesure nécessaire à la fourniture du Service. Tous les sous-traitants sont liés par des accords écrits de traitement des données conformes aux exigences de l'article 28 du RGPD.
Catégories de destinataires
- Plateformes de réseaux sociaux que vous connectez. Nous envoyons et recevons des données via leurs API officielles (OAuth 2.0) pour publier du contenu et lire les analyses/messages en votre nom.
- Fournisseurs d'IA. OpenAI (génération de texte et transcription audio pour les sous-titres), Anthropic (génération de texte) et fal.ai (génération d'images et de vidéo). Nous n'envoyons que les prompts, médias et contexte nécessaires à la génération ; nous ne partageons pas de données de compte ou de facturation. Les fournisseurs actuels n'utilisent pas par défaut les entrées des clients professionnels/API pour entraîner leurs modèles.
- Fournisseurs d'infrastructure. Google Cloud / Firebase (base de données, stockage, authentification, hébergement) et Cloudflare (CDN edge, Workers, stockage d'objets, sécurité).
- Prestataire de paiement. Stripe gère la facturation des abonnements et la fiscalité. Nous ne voyons jamais vos coordonnées bancaires ou de carte complètes.
- Fournisseur d'e-mails transactionnels. Brevo (UE) envoie en notre nom les e-mails de vérification, de réinitialisation de mot de passe, de facturation et de notification.
- Observabilité. Sentry (erreurs), PostHog (analyses produit, enregistrement de sessions, instance UE).
- Analyses du site marketing. Google Analytics (GA4) pour la mesure agrégée. Il ne s'exécute que sur le site marketing public, est soumis au consentement pour les visiteurs UE/Royaume-Uni et n'est pas actif lorsque vous êtes connecté à l'application.
- Conseillers professionnels, autorités et successeurs. Nos avocats, comptables et auditeurs, sous obligation de confidentialité. Les autorités gouvernementales ou tribunaux lorsque la loi l'exige. Une entité successeur dans le cadre d'une fusion, acquisition ou vente de la quasi-totalité de nos actifs (avec protection continue au titre de la présente Politique).
Voici la liste complète actuelle des sous-traitants. Nous mettrons cette liste à jour avant d'ajouter un nouveau sous-traitant ayant accès à vos données personnelles. Vous pouvez vous abonner aux mises à jour des sous-traitants en écrivant à privacy@sydium.com.
| Sous-traitant | Finalité | Localisation | Mécanisme de transfert |
|---|---|---|---|
| Google Cloud Platform (Firebase) | Authentication, database (Firestore), file storage, push messaging, app hosting | United States | Standard Contractual Clauses |
| Cloudflare, Inc. | Edge CDN, Workers compute, R2 object storage, DNS, WAF / AI Crawl Control | Global edge / United States | Standard Contractual Clauses |
| OpenAI, L.L.C. | Text generation and audio transcription for captions (prompts, media, and outputs only; no account data) | United States | Standard Contractual Clauses + OpenAI DPA |
| Anthropic, PBC | Text generation (prompts and outputs only; no account data) | United States | Standard Contractual Clauses + Anthropic DPA |
| fal.ai (Features and Labels, Inc.) | AI image and video generation | United States | Standard Contractual Clauses |
| Brevo (Sendinblue SAS) | Transactional email (verification, password reset, notifications) | European Union (France) | EU-resident processor |
| Stripe Payments Europe, Ltd. | Subscription billing, invoicing, tax (Stripe Tax) | Ireland (EU) + United States | Standard Contractual Clauses |
| Sentry (Functional Software, Inc.) | Error tracking and performance monitoring | United States | Standard Contractual Clauses |
| PostHog Inc. | Product analytics, session recording (EU-hosted instance) | European Union (Germany) | EU-resident processor |
| Google Analytics (Google Ireland Ltd.) | Aggregate marketing-site analytics (consent-gated for EU/UK visitors) | Ireland (EU) + United States | Standard Contractual Clauses |
| Meta Platforms, Inc. | Publishing to Facebook and Instagram; reading audience analytics via Graph API | United States / Ireland (EU) | Standard Contractual Clauses + Meta DPA |
| Google LLC (YouTube) | Publishing to YouTube; reading analytics via YouTube Data API | United States | Standard Contractual Clauses |
| TikTok Information Technologies UK Ltd. | Publishing to TikTok; reading analytics via Content Posting API | Ireland (EU) + United States | Standard Contractual Clauses + TikTok DPA |
| LinkedIn Ireland Unlimited Company | Publishing to LinkedIn; reading analytics via Marketing Developer Platform | Ireland (EU) + United States | Standard Contractual Clauses |
| X Corp. (Twitter) | Publishing to X; reading analytics via X API | United States | Standard Contractual Clauses |
| Pinterest Europe Ltd. | Publishing to Pinterest; reading analytics via Pinterest API | Ireland (EU) | EU-resident processor |
| Bluesky PBC | Publishing to Bluesky via AT Protocol | United States | Standard Contractual Clauses |
| Mastodon gGmbH (and federated instances) | Publishing to Mastodon instances the user connects | Instance-dependent | Per-instance terms |
6. Transferts internationaux de données
Certains de nos sous-traitants sont situés en dehors de l'Espace économique européen, principalement aux États-Unis.
Pour les transferts de données personnelles vers des pays hors EEE n'ayant pas été jugés adéquats par la Commission européenne, nous nous appuyons sur les clauses contractuelles types adoptées par la décision d'exécution (UE) 2021/914 de la Commission (les "CCT 2021"), complétées le cas échéant par des mesures techniques et organisationnelles supplémentaires (chiffrement en transit et au repos, contrôles d'accès, obligations des sous-traitants).
Nous avons mené des analyses d'impact des transferts pour nos principaux sous-traitants américains, conformément aux Recommandations 01/2020 du CEPD (post-Schrems II). La décision d'adéquation du Cadre de Protection des Données UE-États-Unis de 2023 fournit une garantie supplémentaire lorsque le sous-traitant y est auto-certifié.
Vous pouvez demander une copie des CCT ou un résumé de notre analyse d'impact des transferts en écrivant à privacy@sydium.com.
7. Comment nous protégeons vos données
- Chiffrement en transit (TLS 1.2+) sur toutes les connexions vers et depuis le Service
- Chiffrement au repos (AES-256) pour les données stockées dans Google Cloud et Cloudflare R2
- Jetons OAuth émis par la plateforme pour les connexions sociales (ou, pour Bluesky, un mot de passe d'application que vous générez) - nous ne recevons ni ne stockons jamais le mot de passe principal de vos réseaux sociaux
- Cookies de session signés et de courte durée (JWT, HS256, TTL glissant de 14 jours) avec registre de révocation de session
- Contrôles d'accès limitant l'accès aux données de production au personnel qui en a besoin, avec journalisation d'audit
- Surveillance de sécurité de routine via Sentry et Cloudflare WAF
- Examen périodique des pratiques de sécurité et des sous-traitants
Aucun système n'est parfaitement sécurisé. Bien que nous travaillions dur pour protéger vos données, nous ne pouvons pas garantir une sécurité absolue. Vous êtes responsable de garder confidentiels vos identifiants de compte et de nous informer rapidement de toute utilisation non autorisée présumée.
8. Cookies, technologies similaires et consentement
Nous utilisons des cookies et le stockage local du navigateur pour : (a) vous maintenir connecté (essentiel) ; et (b) mesurer l'utilisation du Service afin de l'améliorer (analyses, soumis au consentement pour l'UE/Royaume-Uni).
Si vous visitez notre site marketing ou notre application depuis l'UE, l'EEE ou le Royaume-Uni, les cookies et traceurs non essentiels sont bloqués jusqu'à ce que vous les acceptiez via le bandeau de consentement. Vous pouvez modifier votre décision à tout moment :
- Sur le site marketing (sydium.com) : utilisez le lien "Préférences de cookies" dans le pied de page.
- Dans l'application : ouvrez les paramètres de votre compte et cliquez sur "Gérer les préférences" dans la carte Préférences de cookies.
Le retrait du consentement n'affecte pas la licéité du traitement effectué avant le retrait.
Nous respectons les signaux Global Privacy Control (GPC) au niveau du navigateur lorsque cela est techniquement possible, en les traitant comme une demande de refus des cookies non essentiels.
| Cookie / stockage | Finalité | Catégorie | Conservation |
|---|---|---|---|
__sydium_session | Authenticated session (HS256 JWT) | Essentiel | 14 days (sliding) |
__sydium_oauth | OAuth state during Google sign-in flow | Essentiel | 10 minutes |
sydium_geo_eu | Records whether visitor is EU/EEA/UK for consent gating | Essentiel | 1 day |
sydium_cookie_consent (localStorage) | Stores your consent choices | Essentiel | Until you clear browser storage or revoke |
sydium_active_team_id (localStorage) | Remembers the team you were last viewing | Essentiel | Until you clear browser storage or switch teams |
ph_phc_*_posthog (localStorage + cookie) | PostHog product analytics and session recording | Analyses | 1 year |
_ga, _ga_* | Google Analytics (GA4) aggregate measurement | Analyses | 2 years |
Pour certains traceurs d'analyse, des opt-outs supplémentaires sont disponibles du côté du fournisseur : l'opt-out de PostHog s'applique automatiquement lorsque vous refusez les analyses ; Google Analytics peut être désactivé via https://tools.google.com/dlpage/gaoptout/.
9. Combien de temps nous conservons vos données
Nous ne conservons les données personnelles que le temps nécessaire à la finalité pour laquelle elles ont été collectées, ainsi que toute durée requise par la loi.
| Catégorie de données | Conservation |
|---|---|
| Enregistrement de compte (e-mail, profil) | Tant que votre Compte est actif. Supprimé dans les 30 jours suivant la demande de suppression du Compte, à l'exception des sauvegardes (purgées selon la rotation standard des sauvegardes, max. 90 jours). |
| Contenu (brouillons, publications planifiées, médias, calendrier) | Tant que votre Compte est actif. Supprimé avec le Compte, selon le même calendrier que ci-dessus. |
| Matériel brut d'entraînement de Voix de Marque | Tant que la Voix de Marque existe. Supprimé dans les 30 jours lorsque vous supprimez la Voix de Marque ou le Compte. Les paramètres de style dérivés sont supprimés avec la Voix de Marque elle-même. |
| Messages et commentaires de boîte de réception | Conservés tant que le compte social connecté est lié, jusqu'à 12 mois. Les messages plus anciens sont automatiquement expirés. |
| Jetons d'accès aux plateformes sociales connectées | Jusqu'à ce que vous déconnectiez la plateforme ou supprimiez le Compte. Révoqués lors de la déconnexion. |
| Documents de facturation et factures | 10 ans à compter de l'émission, comme requis par la loi roumaine 82/1991 (comptabilité). |
| E-mails et chat de support | 3 ans à compter de la dernière interaction, sauf si un litige nécessite une durée plus longue. |
| Enregistrements de session (sessions actives, registre JTI) | Session active : 14 jours glissants. Sessions révoquées : 90 jours pour audit. |
| Journaux d'accès serveur (avec IP tronquées) | 30 jours. |
| Analyses produit (PostHog) | Par défaut 1 an (conservation de l'instance UE de PostHog). |
| Suivi des erreurs (Sentry) | 90 jours pour les événements individuels ; métriques agrégées plus longtemps. |
| Analyses marketing (GA4) | 14 mois (valeur par défaut de Google Analytics pour notre propriété). |
| Sauvegardes | Rotation standard, maximum 90 jours. Au-delà, les copies de sauvegarde sont écrasées. |
10. Vos droits
Si vous êtes dans l'UE, l'EEE ou le Royaume-Uni, le RGPD (et le UK GDPR) vous confère les droits suivants :
- Accès. Une copie des données personnelles que nous détenons à votre sujet (Art. 15).
- Rectification. Correction des données inexactes ou incomplètes (Art. 16).
- Effacement. Suppression de vos données, sous réserve de limitations (Art. 17).
- Limitation. Limitation du traitement dans certaines situations (Art. 18).
- Portabilité. Réception de vos données dans un format structuré et lisible par machine, et droit de les transmettre à un autre responsable du traitement (Art. 20).
- Opposition. Opposition au traitement fondé sur l'intérêt légitime, y compris la prospection directe (Art. 21).
- Retrait du consentement. Lorsque le traitement est fondé sur le consentement, vous pouvez le retirer à tout moment sans affecter la licéité du traitement antérieur (Art. 7(3)).
- Décision automatisée. Droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé produisant des effets juridiques ou similairement significatifs. Nous ne prenons pas actuellement de telles décisions.
- Réclamation auprès d'une autorité de contrôle. Droit de déposer une réclamation auprès de votre autorité locale de protection des données. En Roumanie, il s'agit de l'Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), https://www.dataprotection.ro.
Si vous êtes résident de Californie, le CCPA (tel que modifié par le CPRA) vous confère des droits supplémentaires :
- Droit de savoir. Quelles informations personnelles nous collectons, les sources, les finalités et les catégories de destinataires.
- Droit à la suppression. Suppression des informations personnelles collectées auprès de vous, sous réserve des exceptions légales.
- Droit de correction. Correction des informations personnelles inexactes.
- Droit de refuser la vente ou le partage. Nous ne vendons pas d'informations personnelles et nous ne les partageons pas à des fins de publicité comportementale inter-contextes, donc aucun opt-out n'est requis - mais si vous transmettez un signal GPC, nous le traiterons comme un opt-out de confirmation.
- Droit de limiter l'utilisation des informations personnelles sensibles. Nous n'utilisons pas d'informations personnelles sensibles à des fins qui déclencheraient ce droit.
- Droit à la non-discrimination. Nous ne refuserons pas, ne facturerons pas des prix différents ni ne fournirons un niveau de service différent en raison de l'exercice de vos droits CCPA.
Pour exercer l'un de ces droits, écrivez à privacy@sydium.com. Nous répondrons sous 30 jours (prolongeables de 60 jours supplémentaires pour les demandes complexes, avec notification). Nous ne facturons pas les demandes raisonnables ; nous pouvons refuser les demandes manifestement infondées ou excessives, en motivant notre refus. Nous vérifierons votre identité avant de donner suite à une demande (généralement en confirmant le contrôle de l'adresse e-mail figurant sur votre Compte).
Lorsque la loi le permet, vous pouvez recourir à un mandataire autorisé pour formuler une demande en votre nom. Nous exigerons une preuve d'autorisation.
11. Enfants
Le Service n'est pas destiné à, et nous ne collectons pas sciemment de données personnelles auprès de, toute personne de moins de 16 ans (ou de l'âge supérieur du consentement numérique dans votre pays, le cas échéant). Si vous pensez qu'un enfant de moins de 16 ans nous a fourni des données personnelles, veuillez contacter privacy@sydium.com et nous les supprimerons.
Nous n'utilisons pas actuellement de technologie de vérification d'âge ; nous nous appuyons sur la déclaration sur l'honneur lors de l'inscription et pouvons prendre des mesures supplémentaires si nous sommes alertés au sujet d'un utilisateur plus jeune.
12. Notification de violation de données
Si nous prenons connaissance d'une violation de données personnelles susceptible d'entraîner un risque élevé pour vos droits et libertés, nous vous le notifierons sans retard injustifié et en tout état de cause conformément à nos obligations au titre de l'article 34 du RGPD. La notification décrira la nature de la violation, les catégories et le nombre approximatif d'enregistrements concernés, les conséquences probables, les mesures que nous avons prises ou envisageons de prendre, ainsi qu'un point de contact pour de plus amples informations.
13. Décision automatisée et IA
Nous utilisons l'IA pour vous aider à créer du contenu (textes, images, idées). Ces fonctionnalités d'IA génèrent des suggestions ; vous décidez de les publier, modifier ou écarter. Nous n'utilisons pas l'IA pour prendre à votre sujet des décisions produisant des effets juridiques ou vous affectant de manière similairement significative (par exemple, nous n'utilisons pas l'IA pour la notation de crédit, le blocage automatisé pour fraude sans révision humaine, ou les décisions de modération de contenu qui résilient votre Compte).
14. Modifications de la présente politique
Nous pouvons mettre à jour la présente Politique de confidentialité de temps à autre. Pour les changements substantiels (tout ce qui affecte de manière significative la façon dont nous traitons vos données personnelles), nous vous enverrons un e-mail à l'adresse figurant sur votre Compte au moins 30 jours avant la prise d'effet du changement et nous afficherons une notification dans le produit. La date "En vigueur" en haut de la page reflète toujours la version la plus récente.
15. Contact
Pour toute question, demande ou réclamation en matière de confidentialité, contactez notre équipe confidentialité à l'adresse privacy@sydium.com. Par courrier :
Parhelion Software SRL - Confidentialité
Adresse : România, Galați, str. Vânători nr. 35
16. Historique des versions
- v2.1 - 2026-06-01 - Suppression de RB2B (désanonymisation des visiteurs B2B) en tant que sous-traitant et de la catégorie de cookies marketing ; clarification du stockage des identifiants (mots de passe d'application Bluesky) ; divulgation de la transcription audio (OpenAI Whisper) et de la génération de vidéo (fal.ai) ; mise à jour de la liste des sous-traitants et des informations sur les cookies.
- v2.0 - 2026-05-27 - Réécriture substantielle : coordonnées du responsable du traitement, liste complète des sous-traitants, tableau des bases légales, calendrier de conservation, tableau des cookies, section CCPA, notification de violation, décision automatisée.
- v1.0 - 2026-03-20 - Version initiale.
En utilisant Sydium, vous reconnaissez avoir lu et compris la présente Politique de confidentialité.