Sous-traitants ultérieurs
RGPD Article 28 — Dernière mise à jour : mai 2026
Document de travail. La liste ci-dessous est tenue à titre informatif. La version contractuellement opposable est annexée à votre DPA. Tout ajout ou remplacement est notifié au Client par email au moins 30 jours à l'avance.
Liste à jour
| Sous-traitant | Service | Localisation | Types de données | Transfert hors UE |
|---|---|---|---|---|
| Hetzner Online GmbH Hébergeur principal, ISO 27001, datacenters certifiés. Pas de transfert hors UE. | Hébergement infrastructure (VPS, stockage) | Allemagne (UE) | Ensemble des données de la plateforme (PostgreSQL, MinIO, Redis) | Non |
| Resend Inc. Encadré par SCC 2021/914 et DPA bilatéral. Domaines configurables pour acheminement EU-only. | Email transactionnel (notifications, vérification annuaire) | États-Unis / UE | Adresses email, contenu des emails transactionnels, métadonnées d'envoi | Oui — SCC + DPA |
| Anthropic, PBC Activable / désactivable par tenant. Aucun fine-tuning sur vos données. Logs Anthropic conservés 30 jours. | Fournisseur LLM (Claude) pour les fonctionnalités IA Aria | États-Unis | Prompts utilisateurs, contexte RAG (extraits de documents tenant), réponses générées | Oui — SCC + DPA |
| OpenAI, LLC Optionnel, désactivé par défaut. Compte Enterprise OpenAI avec zero-retention activé. | Fournisseur LLM (GPT) — fallback configurable | États-Unis | Prompts utilisateurs, contexte RAG, réponses générées | Oui — SCC + DPA |
| Mistral AI Recommandé pour les tenants exigeant un fournisseur LLM 100% UE. | Fournisseur LLM européen — option souveraine | France (UE) | Prompts utilisateurs, contexte RAG, réponses générées | Non |
| Cloudflare, Inc. Utilisé uniquement pour les sites publics (resiliencecore.fr, blog, landing). L'applicatif est servi en direct depuis Hetzner. | CDN, WAF, DNS (sites publics) | Réseau mondial — POP UE prioritaires | Adresses IP visiteurs, requêtes HTTP, headers, données techniques | Oui — SCC |
Garanties applicables aux transferts hors UE
Tous les transferts vers des sous-traitants établis aux États-Unis ou ailleurs hors UE sont encadrés par :
- Les Clauses Contractuelles Types de la Commission européenne (SCC 2021/914), Module 3 (responsable de traitement → sous-traitant).
- Un DPA bilatéral fixant les mesures techniques et organisationnelles minimales (chiffrement, zero-retention, journalisation).
- Une analyse d'impact des transferts (Transfer Impact Assessment, TIA) tenue à disposition du Client.
Droit d'opposition
Conformément à l'article 28.2 RGPD, le Client peut s'opposer de manière motivée à l'ajout ou au remplacement d'un sous-traitant ultérieur. À défaut d'accord dans un délai raisonnable (30 jours), le Client peut résilier le contrat principal sans pénalité.
Désactivation des LLM hors UE
Les tenants peuvent désactiver à tout moment les fournisseurs LLM américains (Anthropic, OpenAI) depuis Settings → AI → Providers. Dans ce cas, seuls Mistral AI (France) et Ollama (auto-hébergé) restent actifs, garantissant un traitement 100% européen.