Liste des sous-traitants et destinataires
1. Sous-traitants et prestataires
| Prestataire | Rôle | Données concernées | Localisation | Garanties / encadrement | Phase |
|---|---|---|---|---|---|
| Vercel Inc. (USA) | Hébergement de l'application (web) | Données techniques de service, contenu servi | USA (société hors UE) ; représentant UE EDPO (Bruxelles) | DPA, clauses contractuelles types | 2-3 |
| Supabase (Pte. Ltd. / Inc.) | Hébergement des données serveur (base de données, fichiers) | Données de compte et de service synchronisées | Région européenne (AWS Europe) ; société hors UE | DPA, chiffrement au repos, clauses contractuelles types | 2-3 |
| Stripe | Prestataire de services de paiement | Données de facturation et de paiement (carte tokenisée) | UE / international | DPA, conformité PCI-DSS, clauses contractuelles types pour transferts | 3 |
| Enable Banking (phases 1-2) puis Powens (phase 3) | Agrégation de comptes bancaires (DSP2) | Informations de comptes et opérations bancaires | Union européenne | Agréé AISP (ACPR / équivalent UE), consentement explicite, pas de stockage des identifiants | 3 |
| Anthropic | Fournisseur du modèle d'intelligence artificielle (conseiller, extraction, matching) | Texte anonymisé strictement nécessaire (jamais de données de santé) | International (USA) | DPA, paramètres sans entraînement sur les données, clauses contractuelles types | 3 |
| Resend | Envoi des e-mails transactionnels (compte, abonnement, sécurité) | E-mail, contenu du message de service | UE / international | DPA, clauses contractuelles types si hors UE | 2-3 |
| Mesure d'audience éventuelle : Matomo / Plausible | Statistiques d'usage anonymisées | Données d'usage agrégées | Union européenne (privilégié) | Configuration conforme CNIL, anonymisation | optionnel |
2. Principes appliqués à la sous-traitance
- Chaque sous-traitant est lié par un accord de traitement des données (DPA) conforme à l'article 28 du RGPD.
- Nous privilégions le stockage des données dans l'Union européenne ; lorsqu'un prestataire est soumis à une juridiction hors UE, les transferts sont encadrés par des clauses contractuelles types.
- Les transferts hors UE sont encadrés par des garanties appropriées (clauses contractuelles types, décision d'adéquation le cas échéant).
- Principe de minimisation : chaque sous-traitant ne reçoit que les données strictement nécessaires à sa mission.
- Les données de santé ne sont transmises à aucun sous-traitant d'IA et restent locales par défaut.
- Les identifiants bancaires ne sont jamais stockés ni transmis : l'accès passe par l'agrégateur agréé via des autorisations révocables.
3. Mise à jour
Cette liste est révisée à chaque ajout, modification ou retrait d'un sous-traitant. Les utilisateurs sont informés des changements substantiels susceptibles d'affecter leurs données.
Dernière mise à jour : 25 juin 2026.