Liste des sous-traitants
Article 28 RGPD · Dernière mise à jour : 2026-05-09 · 22 sous-traitants
GELOC SAS s'appuie sur les sous-traitants ci-dessous pour fournir le service. Chaque sous-traitant a signé un accord de protection des données (DPA) avec GELOC et applique des clauses contractuelles types (SCC) lorsque le traitement implique un transfert hors UE/EEE.
Conformément à l'article 28.2 RGPD, GELOC notifie ses clients de toute modification de cette liste avec un préavis de 30 jours, leur permettant de s'opposer le cas échéant.
| Sous-traitant | Rôle | Région | Encadrement | Données traitées |
|---|---|---|---|---|
| Vercel Inc. | Hébergement application Next.js + Edge functions | États-Unis | SCC | Logs, requêtes HTTP, métriques |
| Supabase Inc. | Base de données PostgreSQL, authentification, stockage de fichiers | UE / EEE | EU/EEA | Documents juridiques, findings, comptes utilisateurs, logs audit |
| Inngest Inc. | Orchestration des pipelines (events, payloads) | États-Unis | SCC | IDs deals, métadonnées documents, snapshots agents |
| Upstash Inc. | Cache Redis (rate-limit, sessions copilote, cost-guard) | États-Unis | SCC | Compteurs anonymisés, hash sessions |
| Anthropic PBC | LLM Copilote (Claude Sonnet 4.6 / Haiku 4.5 / Opus 4.7) | États-Unis | SCC | Extraits de documents juridiques, prompts utilisateur, réponses générées (zéro rétention configurée via API)Zero data retention enabled via API (no training on customer data). |
| Google LLC (Gemini) | LLM Pipeline L0–L4 (Gemini 3.1 Pro, Flash-Lite) | États-Unis | SCC | Documents juridiques chunked, prompts agents, outputs structurésGenerative AI service tier — pas d'entraînement sur les données client. |
| Mistral AI | OCR PDF (Mistral OCR 3) + extraction fallback | UE / EEE | EU/EEA | PDFs sources des deals |
| Voyage AI | Embeddings (voyage-4 jurisprudence, voyage-law-2 deal chunks) + reranker (rerank-2.5) | États-Unis | SCC | Snippets juridiques, queries de recherche |
| DeepSeek | LLM Copilote text-pure (workflow Quick Scan) | Chine | Risk-accepted | Extraits parsés de documents juridiquesRisque assumé documenté dans `docs/legal/risk-register.md`. Kill-switch ENV `DEEPSEEK_KILL_SWITCH=1` pour fallback Flash-Lite. Désactivable en < 5 minutes en cas de demande client / contrôle CNIL. |
| Helicone Inc. | AI gateway / proxy LLM (cost tracking, observabilité) | États-Unis | SCC | Métadonnées requêtes LLM (tokens, latence) |
| Pappers | KYC dirigeants, UBO, bilans entreprises | France | EU/EEA | SIREN/SIRET, noms dirigeants, bilans financiers |
| INSEE Sirene | Données entreprises publiques | France | EU/EEA | SIREN/SIRET |
| Légifrance / PISTE / OpenLegi | Recherche jurisprudence + codes | France | EU/EEA | Queries publiques (pas de PII) |
| Firecrawl | Scraping (Pappers bilans, PLU) | États-Unis | SCC | URLs publiques, contenu scrapé |
| Mapbox | Cartes (cadastre, parcelles, ERP) | États-Unis | SCC | Coordonnées GPS adresses (pseudonymisées) |
| Immo Data | Valorisation immobilière (DVF, ML pricing) | France | EU/EEA | Adresses pseudonymisées, transactions DVF publiques |
| Postmark (ActiveCampaign) | Email intake (forwarding documents → deals) | États-Unis | SCC | Emails entrants + pièces jointes documents |
| Resend | Email transactionnel (notifications, magic links) | États-Unis | SCC | Adresses email, contenu emails sortants |
| Nylas | Email integration (boîte cabinet) | États-Unis | SCC | Métadonnées emails, contenu (selon scope OAuth) |
| Sentry (Functional Software Inc.) | Error tracking + performance | États-Unis | SCC | Stack traces (PII scrubbed via beforeSend), métriques perfbeforeSend scrubber actif (IBAN/RIB/NIR redacted). |
| Langfuse GmbH | LLM observability (traces prompts/outputs copilote) | UE / EEE | EU/EEA | Prompts + outputs LLM (zéro PII) |
| PostHog Inc. | Analytics produit (events, dashboards) | UE / EEE | EU/EEA | Events anonymisés, métriques usage (cookie banner gated)Région EU (`eu.i.posthog.com`). Chargement conditionnel au consentement utilisateur. |
Légende des mécanismes d'encadrement
- EU/EEA : traitement réalisé en UE/EEE — pas de transfert international.
- SCC : Standard Contractual Clauses (clauses contractuelles types européennes) signées avec le sous-traitant pour encadrer le transfert hors UE.
- Adequacy decision : pays bénéficiant d'une décision d'adéquation de la Commission européenne.
- Risk-accepted : transfert vers un pays sans décision d'adéquation. Risque documenté dans le registre des risques. Désactivable par kill-switch ENV.
Notification de changement
Toute modification (ajout, retrait, changement de région) est notifiée aux clients par email à l'adresse de facturation au moins 30 jours avant la prise d'effet, conformément à l'article 28.2 RGPD.
Contact RGPD
Pour toute question sur cette liste ou pour obtenir copie des SCC signées, contacter dpo@geloc.eu.