Dernière mise à jour : 3 juillet 2026
Politique de confidentialité
SymbiozAI (SASU, SIREN 103 609 244, siège social à Lyon 69003, site symbioz.ai) attache une grande importance à la protection des données personnelles. La présente politique décrit comment nous traitons les données personnelles dans deux situations distinctes :
- Volet A — les personnes qui visitent notre site et échangent avec nous (prospects, visiteurs) : SymbiozAI est alors responsable de traitement.
- Volet B — les personnes dont les données sont traitées via le Service par nos clients (les contacts professionnels de nos clients) : SymbiozAI agit alors comme sous-traitant, pour le compte du client.
Volet A — Visiteurs et prospects de symbioz.ai
Dans ce volet, SymbiozAI est responsable de traitement.
A.1 Données collectées : données de formulaires de contact ou de demande de démonstration, données d'inscription, données de navigation (cookies et mesures d'audience), contenu des échanges commerciaux.
A.2 Finalités : répondre aux demandes, gérer la relation prospect ou client, améliorer le site, respecter nos obligations légales.
A.3 Bases légales : consentement (cookies non essentiels), intérêt légitime (prospection B2B), exécution de mesures précontractuelles et contractuelles.
A.4 Cookies et traceurs : un bandeau de consentement conforme à la réglementation ePrivacy et aux lignes directrices de la CNIL est mis en œuvre pour les traceurs non essentiels.
A.5 Durées de conservation : les données de prospects sont conservées environ 3 ans après le dernier contact ; les autres durées sont précisées dans notre politique de conservation.
A.6 Destinataires : personnel habilité de SymbiozAI et prestataires techniques (hébergement, outils).
A.7 Vos droits : vous disposez des droits d'accès, de rectification, d'effacement, d'opposition, de limitation, de portabilité et de définition de directives post-mortem. Vous pouvez les exercer à l'adresse privacy@symbioz.ai. Vous disposez également du droit d'introduire une réclamation auprès de la CNIL.
Volet B — Personnes concernées via le Service (contacts de nos clients)
Dans ce volet, SymbiozAI agit comme sous-traitant pour le compte de ses clients.
B.1 Notre rôle. Lorsqu'une entreprise (« le Client ») utilise SymbiozAI, elle nous confie des données personnelles de ses propres contacts (prospects, clients, interlocuteurs). Pour ces données, le Client est le responsable de traitement et SymbiozAI agit comme sous-traitant, sur instruction du Client.
B.1bis Enrichissement et intelligence artificielle — rôle possiblement distinct. Par défaut, SymbiozAI agit en sous-traitant (art. 28 RGPD) pour l'ingestion, le stockage, le CRM et l'attribution des messages par intelligence artificielle. Pour l'enrichissement de données B2B (via Apollo, Hunter, BrightData, INSEE/Pappers) et pour certains traitements par intelligence artificielle, la qualification peut relever d'une relation de responsable à responsable ou d'une responsabilité conjointe, SymbiozAI déterminant alors tout ou partie des moyens et finalités. Le cas échéant, un accord de répartition au titre de l'art. 26 RGPD est établi et SymbiozAI répond de ses propres obligations (base légale, information, droits) pour la part concernée.
B.2 Où exercer vos droits. Si vous êtes un contact de l'un de nos Clients et souhaitez exercer vos droits (accès, effacement, opposition…), adressez-vous en priorité au Client qui détient la relation avec vous. Si vous nous contactez directement, nous transmettrons votre demande au Client responsable et l'assisterons pour y répondre.
B.2bis Information des personnes en copie et des fiches créées automatiquement. Pour les personnes en copie (cc) d'un email et pour les fiches créées automatiquement à partir d'un expéditeur non enregistré, le principe est l'information active de la personne — au plus tard au premier contact avec elle, ou dans le mois suivant la collecte (art. 14.3 RGPD). Cette obligation d'information incombe en premier lieu au Client responsable, que SymbiozAI outille (§B.1) et assiste.
B.3 Catégories de données traitées (selon ce que le Client importe ou connecte) : identité professionnelle, coordonnées (email, numéro, profil LinkedIn), contenu des échanges avec le Client, métadonnées, données d'enrichissement B2B. Selon le canal :
- WhatsApp / LinkedIn : un aperçu court du message (environ 200 caractères) et des éléments d'identification (numéro, profil), lorsque vous êtes déjà un contact du Client.
- Email (Gmail) : le corps du message (jusqu'à environ 5 000 caractères, avec une copie de suivi jusqu'à environ 10 000 caractères), l'objet, les en-têtes et les adresses des destinataires (y compris en copie). Si vous écrivez au Client sans être déjà enregistré, une fiche de contact peut être créée automatiquement à partir de votre email et de votre nom.
- Un extrait borné (200 caractères au plus) peut être transmis au prestataire d'intelligence artificielle pour l'analyse (voir B.5).
B.4 Source des données. Vos données proviennent : (a) de vos échanges avec le Client (messages entrants) ; (b) de l'import réalisé par le Client ; (c) de sources professionnelles B2B (enrichissement).
B.5 Traitement par intelligence artificielle. Le Service utilise des modèles de langage (Anthropic/Claude) pour analyser les échanges et proposer des messages, toujours validés par un opérateur humain du Client. Vos données ne sont pas utilisées pour entraîner ces modèles. Un extrait borné du message peut être transmis au prestataire d'intelligence artificielle pour l'analyse.
B.6 Transferts hors UE. Certains prestataires (notamment le fournisseur d'intelligence artificielle) sont établis hors de l'Union européenne (États-Unis) ; ces transferts sont encadrés par des clauses contractuelles types et des garanties appropriées (voir le DPA). L'hébergement principal est situé dans l'Union européenne.
B.7 Sous-traitants ultérieurs. La liste complète et à jour de nos sous-traitants est publiée sur une page dédiée (voir « Liste des sous-traitants »), avec notification des changements au moins 30 jours à l'avance. Les principaux sont : Unipile (UE — messagerie), Anthropic (US — intelligence artificielle), Google (Gmail/Calendar), DigitalOcean (UE — hébergement), WorkOS (authentification) et nos fournisseurs d'enrichissement (Apollo, Hunter, BrightData, INSEE/Pappers).
B.7bis Accès à votre boîte email (Google). Lorsque le Client connecte son compte Gmail, SymbiozAI accède aux emails via l'API officielle de Google en respectant la Google API Services User Data Policy (Limited Use) : les données ne sont utilisées que pour fournir le Service, jamais pour de la publicité ni pour l'entraînement de modèles génériques. Le Client peut révoquer cet accès à tout moment.
B.8 Durées de conservation. Elles sont précisées dans notre politique de conservation ; elles sont alignées sur la relation commerciale du Client et les référentiels applicables.
Mentions communes
- Responsable / éditeur : SymbiozAI SASU, SIREN 103 609 244, siège social à Lyon (69003).
- Point de contact protection des données : privacy@symbioz.ai.
- Autorité de contrôle : Commission Nationale de l'Informatique et des Libertés (CNIL), France.
Les mentions d'identification complètes de l'éditeur du site (dénomination, forme, capital, RCS, directeur de la publication, hébergeur) figurent dans le document « Mentions légales ».