1. Engagement de notification
Toute modification de la liste ci-dessous (ajout ou retrait d'un sous-traitant) fait l'objet d'une notification par email aux clients B2B titulaires d'un DPA au moins 30 jours avant la mise en servicedu nouveau sous-traitant. Vous disposez d'un droit d'opposition motivé conformément au DPA. Un changelog public (RSS) est prévu — flag pour une release ultérieure.
2. Table des sous-traitants
| Sous-traitant | Rôle | Pays / Région | Données traitées | Base transfert | DPA |
|---|---|---|---|---|---|
| Fly.io Inc. | Hébergement applicatif | USA (instances Paris) | Toutes données serveur | DPF | Lien |
| Neon Inc. | Base de données | USA (région EU Francfort) | Données structurées | SCC (DPF à confirmer) | Lien |
| Cloudflare Inc. (R2) | Stockage objet | USA (région EU) | Documents uploadés, exports | DPF + SCC | Lien |
| Stripe Payments Europe Ltd | Paiement | Irlande | Paiement, facturation | Intra-UE | Lien |
| OpenAI, L.L.C. | LLM (gpt-4.1-nano/mini) | USA | Prompts internes (classification, rewriting) | DPF | Lien |
| Anthropic, PBC | LLM (Claude Sonnet 4.6) | USA | Prompts utilisateur | DPF + SCC en backup | Lien |
| Google LLC | LLM (Gemini 3 Flash Preview) | USA | Prompts utilisateur | DPF | Lien |
| OpenRouter Inc. | Passerelle LLM | USA | Prompts utilisateur (transit) | SCC | Lien |
| Cohere Inc. | Reranking (fallback) | CA/USA | Extraits documents + requêtes | SCC | Lien |
| ZeroEntropy | Reranking (primary) | USA | Extraits documents + requêtes | SCC (à confirmer vendor) | — |
| Resend Inc. | Email transactionnel | USA | Email destinataires, contenu emails | DPF | Lien |
| Langfuse GmbH | Observabilité LLM | Allemagne | Métadonnées traces, messages (avec consentement) | UE | Lien |
| Trigger.dev Inc. | Tâches asynchrones (workflows) | USA | Payloads workflows | SCC | Lien |
| Functional Software, Inc. (Sentry) | Monitoring d'erreurs | USA | Stack traces + contexte (PII scrubbée) | DPF | Lien |
| Tavily Inc. | Recherche web (opt-in via fonctionnalités) | USA | Requêtes de recherche | DPF (à confirmer) | — |
3. Vérification DPF
Le statut Data Privacy Framework est vérifié sur dataprivacyframework.gov/list. Pour les sous-traitants dont le statut est noté « à confirmer », le contrat de sous-traitance comporte les Clauses Contractuelles Types 2021/914 (modules Controller-to-Processor et Processor-to-Processor selon le cas) en couverture juridique.
4. S'abonner aux changements
Pour être notifié des évolutions de cette liste, envoyez un email à dpo@quaesis.com avec pour objet « Abonnement changelog sous-traitants ». Un flux RSS public sera ajouté ultérieurement (/sous-traitants/changelog.xml, planifié).