Sous-traitants

Liste publique des sous-traitants — Sourix

Information utilisateurs au titre de l'article 13.1.f RGPD (destinataires des données + transferts hors UE) Date de version : 2026-05-13 Source : audit code applicatif app/ — voir sourix-handoff/rgpd/AUDIT_DATA_FLOWS.md Périmètre : 14 sous-traitants ou tiers traitant des données pour le compte de Sourix DPO : Olivier Devey — [CHANGEME: dpo@sourix.fr] Statut DPA : voir colonne dédiée ci-dessous. Mise à jour à chaque ajout ou changement.

Principes

Sourix s'engage à :

1. Documenter publiquement la liste complète de ses sous-traitants conformément à l'art. 28.2 RGPD (information préalable du responsable de traitement client) et à l'art. 13.1.f (information de la personne concernée).
2. Notifier les évolutions : tout ajout / retrait de sous-traitant fait l'objet d'une mise à jour de ce document. Les clients existants en sont informés par email (changelog).
3. Privilégier les sous-traitants UE ou bénéficiant d'une décision d'adéquation. Les sous-traitants US ne sont engagés que si nécessaires fonctionnellement, avec mécanismes DPF + SCC et option d'opt-out client lorsque pertinent.

Référence souveraineté : conformément à sourix-handoff/POSITIONING.md, Mistral AI (FR) est l'infrastructure LLM de base inactivable. Les LLMs US sont opt-in (cf. décision CEO D3 du plan de conformité).

Infrastructure et hébergement

1. Scaleway SAS

• Service rendu : Hébergement applicatif (Next.js containers), base de données PostgreSQL, Object Storage, runner CI/CD GitHub Actions self-hosted
• Région hosting : 🇫🇷 PAR1 / PAR2 (Paris) — production. 🇳🇱 AMS1 (Amsterdam) ponctuellement pour le runner CI (cf. note de bas de page sourix-handoff/SOUS_TRAITANTS.md : juridiction Scaleway reste française, pas de Cloud Act)
• Données traitées : toutes les données client (DB Postgres principale)
• Sous-traitement ultérieur : Scaleway opère ses propres datacenters (DC2/DC3/DC5 Paris) — pas de sous-traitance hors-groupe Iliad
• Mécanisme légal transfert hors UE : N/A (UE direct)
• DPA signé/disponible : ✅ DPA standard Scaleway — https://www.scaleway.com/en/dpa/ — [CHANGEME: confirmer signature acceptation CGU Scaleway]
• Date dernière revue : 2026-05-12

2. Supabase (Supabase Inc, hébergé EU)

• Service rendu : Authentification utilisateurs (Supabase Auth), gestion des sessions JWT, stockage des credentials hashés
• Région hosting : 🇩🇪 Frankfurt (eu-central-1)
• Données traitées : email, mot de passe (hashé côté Supabase, jamais en clair), tokens session, métadonnées profile
• Sous-traitement ultérieur : Supabase opère sur AWS Frankfurt — DPA Supabase précise les SCC AWS pour cette infrastructure
• Mécanisme légal transfert hors UE : Supabase Inc est société US mais data hostée en UE. SCC + DPF (Supabase DPF-certifié)
• DPA signé/disponible : ✅ DPA Supabase — https://supabase.com/legal/dpa
• Date dernière revue : 2026-05-13

3. OVHcloud SA

• Service rendu : Enregistrement et hébergement DNS des domaines sourix.fr / sourix.eu / sourix.io + DNSSEC
• Région hosting : 🇫🇷 France (Roubaix / Strasbourg)
• Données traitées : aucune donnée applicative — uniquement enregistrement des noms de domaine (Whois)
• Sous-traitement ultérieur : aucun (OVHcloud opère ses propres infrastructures)
• Mécanisme légal transfert hors UE : N/A (UE direct)
• DPA signé/disponible : ✅ DPA OVH standard — https://www.ovhcloud.com/fr/personal-data-protection/
• Date dernière revue : 2026-05-12

4. Infomaniak Network SA

• Service rendu : Email professionnel pour le fondateur et l'équipe (kSuite Standard : olivier@sourix.fr, dev@sourix.fr, et alias [CHANGEME: dpo@sourix.fr] à créer)
• Région hosting : 🇨🇭 Suisse (Genève) — décision d'adéquation UE en faveur de la Suisse
• Données traitées : emails entrants/sortants équipe Sourix — peut contenir incidemment des emails d'utilisateurs ou de prospects
• Sous-traitement ultérieur : aucun
• Mécanisme légal transfert hors UE : Décision d'adéquation Commission européenne en faveur de la Suisse
• DPA signé/disponible : ✅ DPA Infomaniak — https://www.infomaniak.com/fr/dpa
• Date dernière revue : 2026-05-12

Fournisseurs LLM (intelligence artificielle)

5. Mistral AI (Mistral SAS, FR)

• Service rendu : Inférence LLM mistral-small-latest — exécution des scans + analyse de sentiment. Infrastructure de base inactivable (engagement souveraineté Sourix)
• Région hosting : 🇫🇷 France (Mistral La Plateforme)
• Données traitées : prompts métier (noms de marques, domaines, questions de marché) — pas de PII client (minimisation vérifiée lib/grader/prompts.ts)
• Sous-traitement ultérieur : infrastructure GPU Mistral, partenaires GPU EU non publiés (politique Mistral 2025)
• Mécanisme légal transfert hors UE : N/A (UE direct)
• DPA signé/disponible : ✅ Engagement Mistral RGPD-natif — https://mistral.ai/security — [CHANGEME: signer DPA formel Mistral entreprise]
• Note politique : pas d'entraînement sur prompts API payants (engagement Mistral 2025)
• Date dernière revue : 2026-05-13

6. Anthropic PBC (US)

• Service rendu : Inférence LLM Claude — exécution des scans (opt-in client uniquement)
• Région hosting : 🇺🇸 USA (Anthropic infrastructure cloud)
• Données traitées : prompts métier (idem Mistral) — opt-out granulaire client via table LlmOptOut
• Sous-traitement ultérieur : AWS (US) pour l'infrastructure Anthropic
• Mécanisme légal transfert hors UE : DPF (EU-US Data Privacy Framework) + SCC fallback
• DPA signé/disponible : ⚠️ À signer — Anthropic Commercial Terms https://www.anthropic.com/legal/commercial-terms — Business DPA à demander spécifiquement. Cf. R4 audit V1B
• Mesure technique anti-training : header API à activer disable_training: true — à implémenter avant publication politique
• Date dernière revue : 2026-05-13

7. OpenAI LLC (US)

• Service rendu : Inférence LLM GPT-4o-mini par défaut — exécution des scans (opt-in client uniquement)
• Région hosting : 🇺🇸 USA
• Données traitées : prompts métier — opt-out granulaire client
• Sous-traitement ultérieur : Microsoft Azure (US) pour partie de l'infrastructure
• Mécanisme légal transfert hors UE : DPF (OpenAI DPF-certifié) + SCC
• DPA signé/disponible : ⚠️ À signer — OpenAI Data Processing Addendum https://openai.com/policies/data-processing-addendum — Cf. R4 audit V1B
• Mesure technique anti-training : paramètre API store: false à activer — à implémenter avant publication politique
• Date dernière revue : 2026-05-13

8. Perplexity AI Inc (US)

• Service rendu : Inférence LLM Perplexity (Sonar) — exécution des scans grader 3-LLMs (opt-in)
• Région hosting : 🇺🇸 USA
• Données traitées : prompts métier — opt-out client
• Sous-traitement ultérieur : AWS (US)
• Mécanisme légal transfert hors UE : SCC explicites (Perplexity n'est PAS DPF-certifié au 2026-05). À renégocier
• DPA signé/disponible : ⚠️ À signer — https://www.perplexity.ai/hub/legal/dpa — Cf. R4 audit V1B
• Date dernière revue : 2026-05-13

9. Google LLC (Gemini API, US)

• Service rendu : Inférence LLM Gemini Flash — exécution des scans + scan-quick (opt-in)
• Région hosting : 🇺🇸 USA via endpoint generativelanguage.googleapis.com (AI Studio). Migration recommandée vers Vertex AI EU (cf. R4 audit V1B et § 6.3)
• Données traitées : prompts métier — opt-out client
• Sous-traitement ultérieur : infrastructure Google Cloud Platform
• Mécanisme légal transfert hors UE : DPF (Google DPF-certifié) + SCC
• DPA signé/disponible : ⚠️ À signer — DPA Google Cloud Customer requis (pas seulement les CGU AI Studio consumer) — Cf. R4 audit V1B
• Mesure technique : migration vers Vertex AI EU pour garantir opt-out training + hosting EU — à planifier
• Date dernière revue : 2026-05-13

Paiement

10. Stripe Payments Europe Ltd (IE) + Stripe Inc (US)

• Service rendu : Encaissement des paiements par carte bancaire, gestion des abonnements, facturation, Customer Portal
• Région hosting : 🇮🇪 Irlande (entité contractante européenne) + 🇺🇸 USA (Stripe Inc, sous-sous-traitant pour certains services globaux)
• Données traitées : email, nom, adresse de facturation, numéro de carte (tokenisé PCI-DSS L1 — jamais exposé à Sourix), webhooks d'événements
• Sous-traitement ultérieur : Stripe Inc (US) pour certaines opérations globales ; AWS / GCP pour l'infrastructure
• Mécanisme légal transfert hors UE : SCC Stripe (Stripe IE → Stripe Inc) + DPF (Stripe DPF-certifié)
• DPA signé/disponible : ✅ DPA Stripe disponible standard — https://stripe.com/legal/dpa — [CHANGEME: signer formellement avant 1er paiement encaissé]
• Date dernière revue : 2026-05-13

Communication

11. Brevo SAS (ex-Sendinblue, FR)

• Service rendu : Envoi des emails transactionnels (signup, reset password, notifications, cold emails CRM) — à venir Phase 2 (non câblé en V1 sauf formulaire contact)
• Région hosting : 🇫🇷 France (siège Paris, datacenters France)
• Données traitées : email destinataire, nom, contenu HTML du message, métadonnées delivery
• Sous-traitement ultérieur : infrastructure interne Brevo
• Mécanisme légal transfert hors UE : N/A (UE direct)
• DPA signé/disponible : ✅ DPA Brevo — https://www.brevo.com/legal/termsofuse/ — [CHANGEME: signer avant câblage Brevo en V1.1]
• Date dernière revue : 2026-05-13

Sécurité applicative

12. Cloudflare Inc (Turnstile, US)

• Service rendu : CAPTCHA anti-bot Turnstile pour le formulaire /grader et /contact
• Région hosting : 🇺🇸 Cloudflare CDN global (proxy edge UE possible, mais société et siège US)
• Données traitées : IP du visiteur, cookies de challenge Turnstile, fingerprint navigateur
• Sous-traitement ultérieur : aucun (Cloudflare opère ses propres edges)
• Mécanisme légal transfert hors UE : DPF (Cloudflare DPF-certifié) + SCC
• DPA signé/disponible : ⚠️ À signer — https://www.cloudflare.com/cloudflare-customer-dpa/ — Alternative envisagée : migration vers hCaptcha EU si tension RGPD
• Date dernière revue : 2026-05-13

13. Upstash Inc (Redis, US + data EU)

• Service rendu : Rate-limit distribué via Redis (limitation requêtes par IP)
• Région hosting : société 🇺🇸 (Berkeley CA), data hostée 🇩🇪 Frankfurt (région eu-west-1) — à vérifier au provisioning prod
• Données traitées : adresse IP en clé Redis (compteur + TTL), aucune donnée applicative
• Sous-traitement ultérieur : AWS Frankfurt (eu-west-1)
• Mécanisme légal transfert hors UE : Société US mais data EU. À documenter dans DPA. Migration future envisagée vers Scaleway Managed Redis (Palier 2)
• DPA signé/disponible : ⚠️ À signer — https://upstash.com/trust/dpa.pdf — Cf. recommandation #11 audit V1B
• Date dernière revue : 2026-05-13

Observabilité (responsabilité directe — pas de sous-traitant tiers)

14. GlitchTip self-hosted

• Service rendu : Monitoring des erreurs applicatives, agrégation des stack traces
• Région hosting : 🇫🇷 Scaleway PAR1 (self-host sur l'infrastructure Sourix)
• Données traitées : stack traces sanitisées (PII retirée par sanitizeSentryEvent), URLs, user-agents, profile_id pseudonyme
• Sous-traitement ultérieur : AUCUN — Sourix opère directement cette stack
• Mécanisme légal transfert hors UE : N/A
• DPA signé/disponible : N/A (responsabilité directe Sourix, pas de sous-traitant tiers)
• Note : GlitchTip est un fork open-source de Sentry, déployé sur l'infrastructure Sourix. Le SDK Sentry npm utilisé pour envoyer les events est une bibliothèque open-source, pas un sous-traitant
• Date dernière revue : 2026-05-13

Synthèse transferts hors UE

Résumé :

• 5 sous-traitants UE / adéquation Suisse — pas de transfert
• 6 sous-traitants US avec data US — DPF + SCC requis
• 2 sous-traitants en zone grise (Supabase, Upstash : société US mais data EU) — SCC applicables
• 1 stack en self-hosting (GlitchTip)

Droit d'opposition aux transferts hors UE

Conformément aux engagements Sourix (cf. politique de confidentialité) :

• Mistral AI (FR) est l'infrastructure LLM de base inactivable — garantie souveraineté
• Les autres LLMs (OpenAI, Anthropic, Perplexity, Gemini) sont désactivables par opt-out granulaire via /app/compte (toggle par fournisseur)
• Cloudflare Turnstile : alternative hCaptcha EU envisagée si demande client formelle
• Stripe : pas d'alternative crédible court terme pour le paiement — couvert par SCC + DPF

Procédure de changement de sous-traitant

1. Étude d'alternative EU prioritaire (cf. check /sov-check)
2. Mise à jour du présent document
3. Mise à jour de app/legal/REGISTRE_TRAITEMENTS.md
4. Notification email aux clients existants (changelog 30 jours d'avance pour sous-traitants critiques)
5. Possibilité d'opposition client : si refus motivé d'un changement substantiel, résiliation du contrat avec remboursement prorata

Document conforme aux articles 13, 14, 28 du RGPD. Publié sur sourix.fr/legal/sous-traitants.