1. Engagement de notification
Toute modification de la liste ci-dessous (ajout ou retrait d'un sous-traitant) fait l'objet d'une notification par email aux clients B2B titulaires d'un DPA au moins 30 jours avant la mise en servicedu nouveau sous-traitant. Vous disposez d'un droit d'opposition motivé conformément au DPA. Un changelog public (RSS) est prévu, flag pour une release ultérieure.
2. Table des sous-traitants
| Sous-traitant | Rôle | Pays / Région | Données traitées | Base transfert | DPA |
|---|---|---|---|---|---|
| Hébergeur applicatif (UE) | Hébergement applicatif | USA (instances Paris) | Toutes données serveur | DPF | Sur demande |
| Base de données managée (région UE) | Base de données | USA (région EU Francfort) | Données structurées | SCC (DPF à confirmer) | Sur demande |
| Stockage objet (région UE) | Stockage objet | USA (région EU) | Documents uploadés, exports | DPF + SCC | Sur demande |
| Stripe Payments Europe Ltd | Paiement | Irlande | Paiement, facturation | Intra-UE | Sur demande |
| Fournisseur de modèle d'IA | LLM (classification, rewriting interne) | USA | Prompts internes (classification, rewriting) | DPF | Sur demande |
| Fournisseur de modèle d'IA | LLM (mode approfondi) | USA | Prompts utilisateur | DPF + SCC en backup | Sur demande |
| Fournisseur de modèle d'IA | LLM (mode Pro) | USA | Prompts utilisateur | DPF | Sur demande |
| Passerelle de modèles d'IA | Passerelle LLM | USA | Prompts utilisateur (transit) | SCC | Sur demande |
| Fournisseur de traitement IA (reranking) | Reranking (fallback) | CA/USA | Extraits documents + requêtes | SCC | Sur demande |
| Fournisseur de traitement IA (reranking) | Reranking (primary) | USA | Extraits documents + requêtes | SCC (à confirmer vendor) | — |
| Fournisseur d'email transactionnel | Email transactionnel | USA | Email destinataires, contenu emails | DPF | Sur demande |
| Observabilité (UE) | Observabilité LLM | Allemagne | Métadonnées traces, messages (avec consentement) | UE | Sur demande |
| Orchestrateur de tâches asynchrones | Tâches asynchrones (workflows) | USA | Payloads workflows | SCC | Sur demande |
| Monitoring d'erreurs | Monitoring d'erreurs | USA | Stack traces + contexte (PII scrubbée) | DPF | Sur demande |
| Fournisseur de recherche web | Recherche web (opt-in via fonctionnalités) | USA | Requêtes de recherche | DPF (à confirmer) | — |
3. Vérification DPF
Le statut Data Privacy Framework est vérifié sur dataprivacyframework.gov/list. Pour les sous-traitants dont le statut est noté « à confirmer », le contrat de sous-traitance comporte les Clauses Contractuelles Types 2021/914 (modules Controller-to-Processor et Processor-to-Processor selon le cas) en couverture juridique.
4. S'abonner aux changements
Pour être notifié des évolutions de cette liste, envoyez un email à dpo@quaesis.com avec pour objet « Abonnement changelog sous-traitants ». Un flux RSS public sera ajouté ultérieurement (/sous-traitants/changelog.xml, planifié).