LISTE DES SOUS-TRAITANTS — Kaliopia
Dernière mise à jour : 1er mai 2026
Conformément à l'article 28 du RGPD et à notre Accord sur le Traitement des Données (DPA), ATLANTICOM informe les Responsables du Traitement de l'identité de tous les sous-traitants auxquels elle fait appel pour opérer le service Kaliopia.
Ces prestataires ont été sélectionnés pour leur conformité RGPD et leurs engagements en matière de sécurité des données. Tous ont signé un accord de traitement des données avec ATLANTICOM.
1. HÉBERGEMENT ET INFRASTRUCTURE
Supabase Inc.
- Rôle : Base de données PostgreSQL, authentification, stockage de fichiers (documents PDF, enregistrements audio)
- Siège social : 970 Toa Payoh North, #07-04, Singapore 318992
- Région des données Kaliopia : eu-west-1 (Irlande, Union Européenne)
- Transfert hors UE : Non — données hébergées dans l'UE
- Certifications : SOC 2 Type II, chiffrement AES-256
- DPA Supabase : supabase.com/privacy
Vercel Inc.
- Rôle : Hébergement et déploiement de l'application web Kaliopia (Next.js)
- Siège social : 440 N Barranca Avenue #4133, Covina, CA 91723, États-Unis
- Région des données : CDN global, Edge Network (présence européenne)
- Transfert hors UE : Oui — encadré par SCC (décision 2021/914)
- Certifications : SOC 2 Type II
- DPA Vercel : vercel.com/legal/privacy-policy
2. PAIEMENT
Stripe Inc.
- Rôle : Traitement des paiements par carte bancaire et gestion des abonnements
- Siège social : 510 Townsend Street, San Francisco, CA 94103, États-Unis
- Entité UE : Stripe Payments Europe Limited (Irlande)
- Transfert hors UE : Oui — SCC + PCI-DSS niveau 1
- Données transmises : aucune donnée de carte bancaire ne transite par nos serveurs — traitement direct Stripe
- DPA Stripe : stripe.com/fr/privacy
3. INTELLIGENCE ARTIFICIELLE
OpenRouter AI
- Rôle : Routage des requêtes vers les modèles d'intelligence artificielle (proxy API)
- Siège social : San Francisco, CA, États-Unis
- Transfert hors UE : Oui — SCC
- Garantie clé : mode zéro rétention activé — les données transmises dans les requêtes ne sont pas conservées ni utilisées pour l'entraînement des modèles
- Politique de confidentialité : openrouter.ai/privacy
Anthropic PBC
- Rôle : Modèle d'intelligence artificielle (Claude) utilisé pour l'extraction de données et la génération de documents
- Siège social : 548 Market St, San Francisco, CA 94104, États-Unis
- Transfert hors UE : Oui — SCC
- Garantie clé : API en mode zéro rétention — aucune utilisation des données pour l'entraînement des modèles via l'API commerciale
- Politique de confidentialité : anthropic.com/privacy
4. TRANSCRIPTION AUDIO
Groq Inc.
- Rôle : Transcription des enregistrements audio (modèle Whisper Large v3) — uniquement si la fonctionnalité est utilisée par l'Organisme de Formation
- Siège social : 300 S Grand Ave, Los Angeles, CA 90071, États-Unis
- Transfert hors UE : Oui — SCC
- Garantie clé : zéro rétention des données audio — les fichiers audio sont transmis pour transcription et immédiatement supprimés des serveurs Groq
- Politique de confidentialité : groq.com/privacy-policy
5. COMMUNICATION
Resend Inc.
- Rôle : Envoi des emails transactionnels (liens de connexion OTP, notifications, alertes)
- Siège social : San Francisco, CA, États-Unis
- Transfert hors UE : Oui — SCC
- Données transmises : adresse email de l'utilisateur uniquement
- DPA Resend : resend.com/legal/privacy-policy
6. DONNÉES ENTREPRISES
Pappers SAS
- Rôle : Enrichissement des données entreprises à partir du numéro SIRET (raison sociale, adresse, forme juridique, dirigeants)
- Siège social : France (Union Européenne)
- Transfert hors UE : Non
- Garantie clé : données issues de sources publiques officielles (INPI, INSEE, BODACC) — données d'entreprises, non de personnes physiques au sens strict
- Politique de confidentialité : pappers.fr/confidentialite
7. GÉNÉRATION DE DOCUMENTS
PDFShift SAS
- Rôle : Conversion des documents HTML en PDF (devis, programme, convention, convocation, attestation)
- Siège social : France (Union Européenne)
- Transfert hors UE : Non
- Garantie clé : zéro rétention après conversion — le contenu HTML est traité en mémoire et immédiatement supprimé après génération du PDF
- Politique de confidentialité : pdfshift.io/privacy
TABLEAU RÉCAPITULATIF
| Prestataire | Rôle | Pays | Hors UE | Garantie |
|---|---|---|---|---|
| Supabase Inc. | Base de données, stockage | Irlande (UE) | Non | SOC 2, AES-256 |
| Vercel Inc. | Hébergement application | USA / CDN | Oui | SCC, SOC 2 |
| Stripe Inc. | Paiement | USA | Oui | SCC, PCI-DSS |
| Groq Inc. | Transcription audio | USA | Oui | SCC, zero-data |
| OpenRouter AI | Routage requêtes IA | USA | Oui | SCC, zero-data |
| Anthropic PBC | Modèle IA (Claude) | USA | Oui | SCC, zero-data API |
| Resend Inc. | Emails transactionnels | USA | Oui | SCC |
| Pappers SAS | Enrichissement SIRET | France (UE) | Non | RGPD natif |
| PDFShift SAS | Génération PDF | France (UE) | Non | Zero-data, RGPD natif |
Cette liste est mise à jour lors de tout changement de prestataire. Toute modification substantielle fait l'objet d'une notification par email avec 30 jours de préavis.
Pour toute question : contact@atlanticom.fr