RGPD — Article 28

Liste des sous-traitants

Conformément à l'article 28 du RGPD, voici la liste exhaustive des sous-traitants (data processors) auxquels DEVORIA fait appel pour traiter tes données personnelles. Tu peux à tout moment exporter ou supprimer tes données depuis ton tableau de bord.

Dernière mise à jour : 27 avril 2026

Vercel Inc.

Hébergement de l'application web (frontend + API)

Données traitées: Logs serveur
Adresses IP (analytics)
Métadonnées de requêtes
Localisation: USA + EU (régions Frankfurt/Paris)
Certifications: SOC 2 Type II
ISO 27001
DPF (Data Privacy Framework)

Supabase Inc.

Base de données PostgreSQL + authentification

Données traitées: Email, nom, mot de passe hashé
Données utilisateur (conversations, agents, abonnements)
Tokens de session
Localisation: EU (région Frankfurt)
Certifications: SOC 2 Type II
GDPR
HIPAA

Anthropic PBC

Modèles IA (Claude) pour les agents conversationnels

Données traitées: Messages utilisateur envoyés aux agents
Contexte conversationnel
Localisation: USA
Certifications: SOC 2 Type II
DPF
Zero data retention API (no training, no storage)

Stripe, Inc.

Paiements et gestion des abonnements

Données traitées: Email
Données de facturation (CB, adresse)
Historique des transactions
Localisation: USA + EU (Irlande)
Certifications: PCI DSS Level 1
SOC 2 Type II
ISO 27001
DPF

Resend, Inc.

Envoi d'emails transactionnels

Données traitées: Email destinataire
Contenu des emails
Logs de délivrabilité
Localisation: USA + EU
Certifications: SOC 2 Type II
GDPR-compliant
Headers List-Unsubscribe

Cloudflare, Inc.

DNS, CDN, protection DDoS, R2 storage (assets + backups)

Données traitées: Adresses IP
Logs de requêtes (anonymisés)
Fichiers uploadés
Localisation: Mondial (anycast EU prioritaire)
Certifications: SOC 2 Type II
ISO 27001
DPF
PCI DSS

Sentry (Functional Software, Inc.)

Monitoring d'erreurs et session replay

Données traitées: Logs d'erreurs
Session replay (textes masqués + médias bloqués par défaut)
User agent
Localisation: USA + EU
Certifications: SOC 2 Type II
ISO 27001
GDPR-compliant

Better Stack, s.r.o.

Uptime monitoring & status page

Données traitées: URLs des endpoints monitorés
Logs de health check
Localisation: EU (Tchéquie)
Certifications: GDPR-compliant

Google LLC

Google Analytics 4 (statistiques anonymisées avec Consent Mode v2)

Données traitées: Pages visitées
Référents
User agent (anonymisé sans consent)
Localisation: USA + EU
Certifications: SOC 2 Type II
ISO 27001
DPF

Microsoft Corporation

Microsoft Clarity (heatmaps & session recording)

Données traitées: Mouvements de souris
Clics
Pages visitées
Localisation: USA + EU
Certifications: SOC 2
ISO 27001
DPF

Meta Platforms, Inc.

Meta Pixel (conversion tracking — uniquement avec consent explicite)

Données traitées: Événements de conversion (signup, checkout)
Localisation: USA
Certifications: DPF
GDPR Standard Contractual Clauses