Sous-traitants
Dernière mise à jour : 21 mai 2026
Conformément à l'article 28.2 du RGPD, à la jurisprudence Schrems II et aux recommandations du Conseil National des Barreaux (Guide pratique IA générative, sept. 2024 ; Grille de lecture Intelligence Artificielle, V1.2 juin 2025 ; Guide déontologie et IA, 13 mars 2026), Privadoc publie ci-dessous la liste complète et à jour des sous-traitants ultérieurs intervenant dans la fourniture du Service.
Tout changement matériel (ajout, retrait, modification de localisation) fait l'objet d'une notification aux clients par e-mail au moins 30 jours avant son entrée en vigueur, sauf urgence dûment motivée.
1. Hébergement de la plateforme
| Sous-traitant | Fonction | Localisation des serveurs | Juridiction de l'éditeur | Garanties |
|---|---|---|---|---|
| [Hébergeur — à compléter] | Hébergement de l'application web, des bases de données PostgreSQL, du service OCR Tesseract et des sauvegardes | Union européenne | Société de droit européen non soumise à des lois extraterritoriales américaines (Cloud Act, FISA) | ISO/IEC 27001, SSL côté base de données, isolation des conteneurs, sauvegardes chiffrées |
2. Modèles d'intelligence artificielle (LLM)
Privadoc fait appel à un modèle de langage (LLM) pour la détection d'entités personnelles dans les documents. Aucune donnée identifiante ne quitte la plateforme à destination d'un LLM tiers : seule la version pseudonymisée du texte est, le cas échéant, soumise à un outil d'IA externe choisi par l'avocat (ChatGPT, Claude, Mistral, etc.), en dehors du périmètre du Service.
| Sous-traitant | Fonction | Localisation | Garanties | Statut |
|---|---|---|---|---|
| Mistral AI SAS | Inférence du modèle Mistral utilisé pour la détection d'entités nommées lors de la pseudonymisation (appel API depuis le serveur Privadoc) | France (Mistral La Plateforme) | Sous-traitant établi en France, juridiction française applicable ; engagement contractuel « no-train » ; pseudonymisation préalable côté serveur comme mesure de défense en profondeur (cf. CNB, Guide IA 2024, p. 29). | Actif depuis le 22 mai 2026. Remplace OpenRouter (US), retiré le même jour. Option auto-hébergée disponible pour les cabinets exigeant zéro appel sortant (déploiement Ollama sur GPU UE). |
3. Paiement
| Sous-traitant | Fonction | Localisation | Données traitées | Garanties |
|---|---|---|---|---|
| Stripe Payments Europe Ltd. | Traitement des paiements récurrents, facturation, gestion des abonnements | Irlande (UE) ; maison-mère aux États-Unis | Données de facturation, identifiants client Stripe, historique de paiement. Aucune donnée de carte bancaire n'est stockée par Privadoc (PCI-DSS niveau 1 délégué à Stripe). | Clauses contractuelles types (CCT) Commission européenne 2021/914 ; signature de webhooks (HMAC-SHA256) ; DPA Stripe. |
4. Emails transactionnels
| Sous-traitant | Fonction | Localisation | Données traitées | Garanties |
|---|---|---|---|---|
| Resend, Inc. | Envoi des e-mails de vérification, de réinitialisation de mot de passe, d'invitation | États-Unis (option « région UE » en cours d'activation) | Adresse e-mail du destinataire, contenu du message (lien d'activation avec token à usage unique et expiration courte) | Clauses contractuelles types (CCT) ; DPA Resend. |
5. Monitoring d'erreurs
| Sous-traitant | Fonction | Localisation | Données traitées | Garanties |
|---|---|---|---|---|
| Functional Software, Inc. (Sentry) | Capture des erreurs applicatives côté serveur et client à des fins de stabilité du Service | États-Unis (option « région UE » en cours d'activation) | Stack traces, métadonnées techniques. Aucun cookie, en-tête d'authentification, en-tête de requête, e-mail, IP utilisateur, ni contenu de document n'est transmis : scrubbing systématique par beforeSend et sendDefaultPii: false. | Clauses contractuelles types (CCT) ; DPA Sentry. |
6. Authentification fédérée (optionnelle)
| Sous-traitant | Fonction | Localisation | Base légale |
|---|---|---|---|
| Google LLC | Authentification fédérée OAuth 2.0 — connexion avec un compte Google, au choix de l'utilisateur | États-Unis | Consentement explicite (Art. 6.1.a RGPD) au moment de l'activation de la connexion fédérée |
7. Engagements transverses
- Aucun fine-tuning ni entraînement sur les données client n'est effectué par Privadoc, ses sous-traitants actuels, ni les LLM tiers utilisés (clauses contractuelles).
- Isolation par organisation (cabinet) : chaque organisation dispose d'une clé de chiffrement dédiée (AES-256-GCM). Une donnée d'un cabinet n'est jamais accessible à un autre cabinet.
- Journalisation des accès : chaque opération sensible (déchiffrement d'une table de correspondance, connexion, action administrateur) est tracée dans un journal d'audit immuable.
- Notification : en cas de violation de données à caractère personnel, le DPO de Privadoc notifie la CNIL dans un délai de 72 heures conformément à l'article 33 du RGPD, et informe les cabinets concernés sans délai.
8. Contact
Pour toute question relative aux sous-traitants ou pour demander une copie des DPA en vigueur, contactez notre Délégué à la Protection des Données : malik@agify.fr.
Pour les conditions générales du traitement par Privadoc en qualité de sous-traitant des cabinets utilisateurs, consultez notre Data Processing Agreement (DPA).