Sous-traitants
Conformément à l'article 28 du RGPD, voici la liste des sous-traitants intervenant dans le traitement des données personnelles dans le cadre du service readaby.ai. Tous ces sous-traitants ont signé un contrat de sous-traitance (DPA) conforme au RGPD.
Toute mise à jour substantielle de cette liste est notifiée 30 jours à l'avance aux utilisateurs actifs.
1. Hébergement et infrastructure
| Sous-traitant | Pays | Finalité | Statut |
|---|---|---|---|
| Vercel Inc. 440 N Barranca Ave #4133, Covina, CA 91723, USA | USA · Hébergement physique en Frankfurt (UE) SCC | Hébergement frontend, CDN, certificats SSL | Actif |
| GitHub Inc. 88 Colin P Kelly Jr St, San Francisco, CA 94107, USA | USA SCC | Hébergement code source (repo privé) | Actif |
| Gandi SAS 63-65 boulevard Masséna, 75013 Paris | France EU | Enregistrement et gestion DNS du domaine readaby.ai | Actif |
2. Intelligence artificielle
| Sous-traitant | Pays | Finalité | Statut |
|---|---|---|---|
| Anthropic PBC 548 Market St PMB 90375, San Francisco, CA 94104, USA | USA SCC + DPA Zero-Retention | Modèles d'IA (Claude Opus 4.7, Haiku 4.5, Vision) — analyse contractuelle, lexique. Configuré data-retention=zero, pas d'entraînement sur les données. | Actif |
| Mistral AI SAS 15 rue des Halles, 75001 Paris | France EU | Modèle souverain européen — réservé documents les plus sensibles (option future, pas en prod cycle 1) | À activer |
3. Paiement et facturation
| Sous-traitant | Pays | Finalité | Statut |
|---|---|---|---|
| Stripe Payments Europe Ltd 1 Grand Canal Street Lower, Dublin 2, Irlande | Irlande EU | Traitement des paiements en ligne. Aucune donnée bancaire conservée par l'éditeur — tout transite chez Stripe. | À activer (post-launch) |
| Lago SAS Paris, France | France EU | Facturation et gestion des abonnements (forfait + success-fee). Pattern Quitoom forké. | À activer (post-launch) |
4. Email et waitlist
| Sous-traitant | Pays | Finalité | Statut |
|---|---|---|---|
| Brevo SAS 106 boulevard Haussmann, 75008 Paris | France EU | Gestion de la waitlist beta (audience readaby-beta-100), envoi des emails transactionnels et lifecycle. | Actif |
| Resend Inc. Delaware, USA | USA SCC | Email transactionnel (à activer post-launch). Hébergement EU. | À activer (post-launch) |
5. Mesure d'audience
| Sous-traitant | Pays | Finalité | Statut |
|---|---|---|---|
| Plausible Insights OÜ Västriku tn 2, 50403 Tartu, Estonie | Estonie EU | Analytics privacy-first sans cookies. IP anonymisées. Conforme délibération CNIL n° 2020-091. | À activer |
6. Cas spécifiques (futurs cycles produits)
Les sous-traitants ci-dessous sont prévus pour les produits suivants du portfolio Modèle C V3 (litigoom.com cycle 2, refundeem.com cycle 3) et ne sont pas actifs sur readaby.ai :
| Sous-traitant | Pays | Finalité | Produit |
|---|---|---|---|
| AR24 France | France EU | Lettre Recommandée Électronique (LRAR) — envoi courriers conso | litigoom.com |
| Yousign SAS France | France EU | Signature électronique du mandat de gestion (RGPD art. 6.1.b) | refundeem.com |
| SNCF Connect / Flightaware / Uber API | FR / Multi EU | APIs publiques de données transport (consultation horaires, retards, courses) | refundeem.com |
7. Garanties contractuelles
Tous les sous-traitants listés sont liés à Archie The Geek SAS par un contrat de sous-traitance (DPA) conforme à l'article 28 RGPD, comprenant notamment :
- L'engagement à ne traiter les données que sur instruction documentée du responsable du traitement.
- La confidentialité des personnes habilitées à traiter les données.
- Les mesures de sécurité techniques et organisationnelles appropriées (art. 32 RGPD).
- L'assistance pour le respect des droits des personnes concernées et des obligations de notification.
- La restitution ou suppression des données en fin de prestation.
- Les audits annuels de conformité.
8. Transferts hors UE
Les transferts vers des sous-traitants établis hors UE (Anthropic, Vercel, GitHub, Stripe en partie, Resend) sont encadrés par les Clauses Contractuelles Types (SCC) approuvées par la Décision d'exécution (UE) 2021/914 de la Commission européenne. Pour Anthropic, un addendum spécifique « Zero-Retention » exclut toute utilisation des données client à des fins d'entraînement.
9. Modification de la liste
L'ajout d'un nouveau sous-traitant ou le remplacement d'un existant est notifié aux utilisateurs actifs au moins 30 jours à l'avance par email. L'utilisateur peut s'y opposer ; en cas d'opposition justifiée et impossibilité de trouver une alternative, le contrat peut être résilié.
10. Contact
DPO : dpo@readaby.ai
Pour toute question relative aux sous-traitants, à un transfert de données, ou pour exercer une opposition.