Retour
PrivaDocPrivaDoc

Sous-traitants

Dernière mise à jour : 21 mai 2026


Conformément à l'article 28.2 du RGPD, à la jurisprudence Schrems II et aux recommandations du Conseil National des Barreaux (Guide pratique IA générative, sept. 2024 ; Grille de lecture Intelligence Artificielle, V1.2 juin 2025 ; Guide déontologie et IA, 13 mars 2026), Privadoc publie ci-dessous la liste complète et à jour des sous-traitants ultérieurs intervenant dans la fourniture du Service.

Tout changement matériel (ajout, retrait, modification de localisation) fait l'objet d'une notification aux clients par e-mail au moins 30 jours avant son entrée en vigueur, sauf urgence dûment motivée.

1. Hébergement de la plateforme

Sous-traitantFonctionLocalisation des serveursJuridiction de l'éditeurGaranties
[Hébergeur — à compléter]Hébergement de l'application web, des bases de données PostgreSQL, du service OCR Tesseract et des sauvegardesUnion européenneSociété de droit européen non soumise à des lois extraterritoriales américaines (Cloud Act, FISA)ISO/IEC 27001, SSL côté base de données, isolation des conteneurs, sauvegardes chiffrées

2. Modèles d'intelligence artificielle (LLM)

Privadoc fait appel à un modèle de langage (LLM) pour la détection d'entités personnelles dans les documents. Aucune donnée identifiante ne quitte la plateforme à destination d'un LLM tiers : seule la version pseudonymisée du texte est, le cas échéant, soumise à un outil d'IA externe choisi par l'avocat (ChatGPT, Claude, Mistral, etc.), en dehors du périmètre du Service.

Sous-traitantFonctionLocalisationGarantiesStatut
Mistral AI SASInférence du modèle Mistral utilisé pour la détection d'entités nommées lors de la pseudonymisation (appel API depuis le serveur Privadoc)France (Mistral La Plateforme)Sous-traitant établi en France, juridiction française applicable ; engagement contractuel « no-train » ; pseudonymisation préalable côté serveur comme mesure de défense en profondeur (cf. CNB, Guide IA 2024, p. 29).Actif depuis le 22 mai 2026. Remplace OpenRouter (US), retiré le même jour. Option auto-hébergée disponible pour les cabinets exigeant zéro appel sortant (déploiement Ollama sur GPU UE).

3. Paiement

Sous-traitantFonctionLocalisationDonnées traitéesGaranties
Stripe Payments Europe Ltd.Traitement des paiements récurrents, facturation, gestion des abonnementsIrlande (UE) ; maison-mère aux États-UnisDonnées de facturation, identifiants client Stripe, historique de paiement. Aucune donnée de carte bancaire n'est stockée par Privadoc (PCI-DSS niveau 1 délégué à Stripe).Clauses contractuelles types (CCT) Commission européenne 2021/914 ; signature de webhooks (HMAC-SHA256) ; DPA Stripe.

4. Emails transactionnels

Sous-traitantFonctionLocalisationDonnées traitéesGaranties
Resend, Inc.Envoi des e-mails de vérification, de réinitialisation de mot de passe, d'invitationÉtats-Unis (option « région UE » en cours d'activation)Adresse e-mail du destinataire, contenu du message (lien d'activation avec token à usage unique et expiration courte)Clauses contractuelles types (CCT) ; DPA Resend.

5. Monitoring d'erreurs

Sous-traitantFonctionLocalisationDonnées traitéesGaranties
Functional Software, Inc. (Sentry)Capture des erreurs applicatives côté serveur et client à des fins de stabilité du ServiceÉtats-Unis (option « région UE » en cours d'activation)Stack traces, métadonnées techniques. Aucun cookie, en-tête d'authentification, en-tête de requête, e-mail, IP utilisateur, ni contenu de document n'est transmis : scrubbing systématique par beforeSend et sendDefaultPii: false.Clauses contractuelles types (CCT) ; DPA Sentry.

6. Authentification fédérée (optionnelle)

Sous-traitantFonctionLocalisationBase légale
Google LLCAuthentification fédérée OAuth 2.0 — connexion avec un compte Google, au choix de l'utilisateurÉtats-UnisConsentement explicite (Art. 6.1.a RGPD) au moment de l'activation de la connexion fédérée

7. Engagements transverses

  • Aucun fine-tuning ni entraînement sur les données client n'est effectué par Privadoc, ses sous-traitants actuels, ni les LLM tiers utilisés (clauses contractuelles).
  • Isolation par organisation (cabinet) : chaque organisation dispose d'une clé de chiffrement dédiée (AES-256-GCM). Une donnée d'un cabinet n'est jamais accessible à un autre cabinet.
  • Journalisation des accès : chaque opération sensible (déchiffrement d'une table de correspondance, connexion, action administrateur) est tracée dans un journal d'audit immuable.
  • Notification : en cas de violation de données à caractère personnel, le DPO de Privadoc notifie la CNIL dans un délai de 72 heures conformément à l'article 33 du RGPD, et informe les cabinets concernés sans délai.

8. Contact

Pour toute question relative aux sous-traitants ou pour demander une copie des DPA en vigueur, contactez notre Délégué à la Protection des Données : malik@agify.fr.

Pour les conditions générales du traitement par Privadoc en qualité de sous-traitant des cabinets utilisateurs, consultez notre Data Processing Agreement (DPA).