Syncanix

Centre de confiance

Toute question qu’une équipe d’achats B2B, de sécurité ou de confidentialité pose habituellement au sujet d’un nouveau fournisseur d’IA — répondue ici. Des chiffres précis, des engagements actuels, sans adjectifs marketing. S’il manque quelque chose, contactez admin@syncanix.com et nous publierons la réponse pour le prochain lecteur.

En un coup d’œil

Région des données: Toutes les données stockées résident dans l’UE (Francfort). Les réponses de l’IA sont générées de manière transitoire par le fournisseur du modèle — exclues de l’entraînement selon ses conditions d’API ; les accords ZDR sont en cours de finalisation.
Chiffrement: Chiffré au repos ; TLS 1.3 en transit. BYOK pris en charge pour le niveau enterprise.
Règlement européen sur l’IA: Les obligations de transparence de l’article 50 sont respectées avant la date d’application du 2 Aug 2026. Syncanix est le fournisseur d’un système d’IA à risque limité ; les obligations relatives aux modèles d’IA à usage général (GPAI) incombent en amont.
Notification de violation: SLA de notification aux clients de 24 heures à compter d’une violation confirmée (DPA art. 33).
SLA de DSAR: Accusé de réception sous 24 heures ; traitement sous 30 jours (RGPD art. 12).
SOC 2: La collecte de preuves de Type I commence au mois 1 après le lancement ; le Type II d’ici le mois 9.

Où circulent vos données

Un tour de conversation, de bout en bout : ce qui s’exécute où, ce qui est stocké et ce qui est transitoire.

Votre utilisateur écrit un message
TransitoireUE (Francfort)
Le widget de chat l’envoie en TLS à l’API Syncanix, où chaque requête est liée à votre identité de locataire avant toute autre chose.
Stockage des conversations et du catalogue
StockéUE (Francfort)
La transcription, votre catalogue de capacités et vos paramètres sont écrits dans un stockage isolé par locataire, chiffré au repos.
Récupération de la documentation
TransitoireUE (Francfort)
Lorsque votre documentation fonde une réponse, les embeddings et le reranking s’exécutent dans la région, sur Amazon Bedrock.
Génération de la réponse de l’IA
TransitoireFournisseur du modèle (hors UE)
Le message et le contexte récupéré sont traités de manière transitoire par le fournisseur du modèle pour générer la réponse — exclus de l’entraînement selon ses conditions d’API ; un accord Zero Data Retention est en cours de finalisation.
La réponse revient en streaming
TransitoireUE (Francfort)
La réponse est diffusée via l’API Syncanix jusqu’au navigateur de votre utilisateur. Ce qui persiste ensuite, c’est la transcription stockée de l’étape 2.

Sécurité

La production s’exécute dans l’UE (Francfort) sur un compte cloud dédié et entièrement isolé. Toutes les données sont chiffrées au repos et en transit avec TLS 1.3. Accès au moindre privilège sur chaque charge de travail et chaque rôle de base de données ; authentification activée par défaut sur chaque appel d’API ; CSP / HSTS / X-Frame-Options sur chaque réponse destinée au client.

Lire l’aperçu complet de la sécurité →

État du système en direct

Une page d'état publique affiche la disponibilité en direct de l'API, de la distribution du widget, du tableau de bord et du site web — actualisée toutes les cinq minutes, avec les incidents en cours et les fenêtres de maintenance planifiées.

Voir l'état du système

Questionnaire de sécurité

Les questions de revue habituelles (domaines CAIQ-Lite, aires VSA-Core) répondues à l’avance — oui / partiel / prévu honnêtement, avec le détail derrière chacune.

Lire le questionnaire pré-rempli

Accessibilité

WCAG 2.1 AA est la barre d’ingénierie. La déclaration couvre le statut de conformité par surface, les mesures qui le soutiennent et les limites connues.

Lire la déclaration d’accessibilité

Sous-traitants ultérieurs

Syncanix s’appuie aujourd’hui sur 6 sous-traitants — les fournisseurs de modèles (Anthropic, OpenAI), la région de production AWS (qui exécute aussi les embeddings de récupération et le reranking via Amazon Bedrock, dans la région, en UE), le fournisseur d’identité (Auth0), l’analytique produit basée sur le consentement (PostHog) et la facturation (Paddle, notre revendeur officiel). Chacun traite les catégories de données explicitement requises par sa finalité, et rien de plus. Un préavis de 30 jours s’applique à tout changement substantiel (nouveau sous-traitant, nouvelle catégorie de données, changement de localisation).

Lire la liste complète des sous-traitants ultérieurs →

DPA et transferts transfrontaliers

Un DPA bilatéral couvre l’article 28 du RGPD (obligations du sous-traitant) + l’article 32 (mesures de sécurité) + l’article 33 (notification de violation sous 24 heures). Les transferts transfrontaliers utilisent les CCT (SCC) Module deux (sous-traitant à sous-traitant), avec l’addendum IDTA de l’ICO du Royaume-Uni pour les transferts au Royaume-Uni et un avenant FADP suisse pour les transferts vers la Suisse. Des addenda régionaux couvrent la PDPL des EAU, la PDPL saoudienne, l’amendement 13 d’Israël, l’Égypte, le Qatar, Bahreïn, Oman et la Jordanie.

Lire la synthèse complète du DPA →

Confidentialité

Sous-traitant pour le contenu des clients, responsable du traitement pour les comptes du tableau de bord. Valeurs par défaut : conservation de 30 jours, aucun entraînement des modèles de fondation sur les données des clients, résidence dans l’UE pour toutes les données stockées. Droits du RGPD respectés par article (15 / 16 / 17 / 20 / 25 / 32 / 33) ; abstention de l’article 22 (décision automatisée) par conception — chaque action à fort impact dispose d’un commutateur d’intervention humaine. CCPA + 19 lois d’États américains couvertes par un sur-ensemble ; la pile MENA couvre la PDPL des EAU, la PDPL saoudienne et l’amendement 13 d’Israël.

Lire l’avis de confidentialité complet →

Conformité en matière d’IA

Le règlement européen sur l’IA devient applicable le 2 Aug 2026. Syncanix est le fournisseur d’un système d’IA à risque limité ; les obligations relatives aux modèles d’IA à usage général (GPAI) au titre de l’article 53 incombent en amont à Anthropic et OpenAI. La transparence de l’article 50 est respectée avant la date d’application : information de l’utilisateur final indiquant qu’il « interagit avec un système d’IA » + indicateur persistant dans l’en-tête du chat, traduits dans les 6 langues de lancement. Les fiches de modèle, la fiche du système et la méthodologie d’évaluation des biais sont publiées sur la page de conformité en matière d’IA.

Lire la synthèse complète de conformité en matière d’IA →

Certifications de conformité

Des objectifs concrets, et non « nous prévoyons de » : SOC 2 Type I au T3 2026 (Vanta, sélection de l’auditeur en cours), SOC 2 Type II au T4 2026, ISO 27001 au T4 2026, article 50 du règlement européen sur l’IA vérifié avant le 2 Aug 2026, DPA RGPD disponible dès maintenant, CCPA / CPRA disponible dès maintenant. HIPAA et FedRAMP sont explicitement hors du périmètre de la v1.

Lire l’état complet de conformité →

DSAR — demandes d’accès des personnes concernées

Les demandes font l’objet d’un accusé de réception sous 24 heures et sont traitées sous 30 jours, conformément à l’article 12 du RGPD. Les 5 types de demande pris en charge correspondent aux articles 15 (Accès), 16 (Rectification), 17 (Effacement), 20 (Portabilité) et 21 (Opposition) du RGPD.

Soumettre une DSAR →

Langues

Le produit, l’information sur l’IA et les mentions légales destinées aux clients sont traduits dans les 6 langues de lancement : anglais, espagnol, français, allemand, arabe et hébreu. L’arabe et l’hébreu sont affichés de droite à gauche de bout en bout, y compris les icônes qui ont une signification directionnelle. Une relecture par des locuteurs natifs est réalisée avant chaque version.

Contact

Achats, questionnaires fournisseurs et questions générales de confiance : admin@syncanix.com.
DSAR, escalade RGPD et questions relatives au DPA : admin@syncanix.com.
Divulgation de vulnérabilités et incidents de sécurité : admin@syncanix.com.