Le Service repose sur les sous-traitants ci-dessous. Tout ajout ou changement fait l'objet d'une notification par email aux clients au moins 30 jours avant prise d'effet, conformément à l'article 28(2) RGPD.
| Sous-traitant | Rôle | Données traitées | Localisation | Garanties |
|---|---|---|---|---|
| OVH SAS DPA |
Hébergement applicatif (VPS) | Logs d'accès, fichiers temporaires (< 1h) | France EU | RGPD natif, ISO 27001, HDS |
| Google Ireland Ltd (Firebase Auth + Firestore) DPA |
Authentification + base de données | Email, mot de passe haché, métadonnées compte, logs d'audit | europe-west EU | SCC + DPF, ISO 27001/27017/27018, SOC 2 |
| Google LLC (Gemini API) Terms |
Transcription (Speech-to-Text) | Audio en transit (non persisté côté Google sur API B2B payante) | USA DPF | Data Privacy Framework, SCC, no-training clause sur API payante |
| Functional Software Inc. (Sentry) DPA |
Monitoring d'erreurs | Stack traces, métadonnées requête (URL, user-agent, uid) | Allemagne (region de) EU |
SCC, ISO 27001, SOC 2 |
| Resend Inc. (SMTP) DPA |
Envoi d'emails transactionnels (welcome, feedback) | Email destinataire, contenu transactionnel | USA DPF | SCC, DPF |
Les fichiers audio/vidéo uploadés par les utilisateurs sont stockés temporairement sur le VPS OVH (France) le temps du traitement, puis transmis par flux chiffré (HTTPS) à l'API Gemini. La rétention est inférieure à 1 heure et un job de nettoyage automatique purge tout fichier orphelin (cron interne, toutes les 15 minutes).
L'usage est fait via l'API payante Gemini. Selon les conditions Google, les données envoyées à l'API payante ne sont pas utilisées pour entraîner les modèles et ne sont pas conservées au-delà du temps de traitement nécessaire à la requête.
Les sous-traitants américains (Google LLC, Resend) sont couverts par le EU-US Data Privacy Framework et/ou les clauses contractuelles types de la Commission européenne. Aucune donnée n'est transférée vers un pays sans décision d'adéquation ou garantie appropriée.
En cas de violation de données personnelles concernant des données du client, notification sera faite au client dans les 72 heures suivant la prise de connaissance, conformément à l'article 33 RGPD.
Le client peut solliciter une fois par an, sur préavis raisonnable, un audit documentaire (réponse à questionnaire sécurité, fourniture des certifications et DPA des sous-traitants ci-dessus).