Liste des sous-traitants
Dernière mise à jour : 21 avril 2026 — Version 1.0 · Page vivante conforme Art. 28.2 RGPD
La présente page liste l'ensemble des sous-traitants auxquels Conformitiel recourt pour l'exécution du service, conformément à l'Art. 28.2 du RGPD.
Procédure d'information: tout ajout, changement ou remplacement d'un sous-traitant fait l'objet d'une information préalable du Client par email avec un délai d'opposition de 30 jours. En cas d'opposition motivée, les parties coopèrent pour trouver une solution. À défaut, le Client peut résilier sans frais (voir CGU Art. 7 et DPA Art. 6).
Garanties générales: tous les sous-traitants sont engagés par un contrat comportant des clauses RGPD compatibles avec l'Art. 28 (clauses de confidentialité, de sécurité, de notification d'incident, d'audit). Les transferts hors UE font l'objet de Clauses Contractuelles Types UE 2021/914 ou d'une certification au Data Privacy Framework.
Infrastructure
OVH SAS
Rôle : Hébergement applicatif et base de données
Localisation : France — Datacenters de Strasbourg (UE)
Données traitées : Intégralité des données stockées par le service
Garanties : Hébergement intégralement en France, aucun transfert hors UE par l'hébergeur, certification ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018, SecNumCloud (datacenters Strasbourg éligibles), HDS (agrément Hébergeur de Données de Santé)
Documentation : https://www.ovhcloud.com/fr/support/legal/dpa/
Paiement
Stripe Payments Europe Ltd
Rôle : Prestataire de services de paiement et de facturation
Localisation : Dublin, Irlande (UE) — transferts vers Stripe Inc. (USA) encadrés
Données traitées : Email, nom de l'organisation, SIREN, données de carte bancaire (tokenisées), historique de facturation
Garanties : DPA Stripe, Clauses Contractuelles Types UE 2021/914, certification Stripe Inc. au Data Privacy Framework, conformité PCI-DSS Level 1
Documentation : https://stripe.com/legal/dpa
Resend Inc.
Rôle : Envoi d'emails transactionnels (bienvenue, alertes, notifications)
Localisation : Siège : Californie (USA) — Serveurs UE sélectionnables
Données traitées : Email destinataire, sujet et contenu HTML de l'email, métadonnées (organizationId, userId, emailKey, timestamp)
Garanties : Clauses Contractuelles Types UE 2021/914, certification au Data Privacy Framework, durée de conservation des logs limitée à 6 mois
Documentation : https://resend.com/legal/dpa
IA optionnelle
Anthropic PBC
Rôle : Analyse IA optionnelle (synthèse d'audits, brouillon de déclaration de soupçon) — opt-in Client avec sa propre clé API
Localisation : San Francisco (USA) — API UE (Irlande)
Données traitées : Contenu des prompts soumis par le Client uniquement, pas de stockage côté Anthropic, pas d'entraînement sur les données Client (opt-out par défaut)
Garanties : Clauses Contractuelles Types UE 2021/914, certification au Data Privacy Framework, Commercial Zero Data Retention activable en plan Entreprise Anthropic
Documentation : https://www.anthropic.com/legal/dpa
OpenAI OpCo LLC
Rôle : Analyse IA optionnelle (génération de procédures, synthèses) — opt-in Client avec sa propre clé API
Localisation : San Francisco (USA) — API Dublin (Irlande)
Données traitées : Contenu des prompts soumis par le Client uniquement, opt-out d'entraînement activé par défaut
Garanties : Clauses Contractuelles Types UE 2021/914, certification au Data Privacy Framework, Data Processing Addendum OpenAI, zéro rétention en plan API Enterprise
Documentation : https://openai.com/policies/data-processing-addendum
Horodatage
FreeTSA.org
Rôle : Horodatage qualifié RFC 3161 pour les rapports d'audit
Localisation : Autriche (UE)
Données traitées : Empreinte SHA-256 du document uniquement. Aucune donnée personnelle ni contenu du document n'est transmis.
Garanties : Transfert intra-UE (pas de garantie transferts hors UE nécessaire). Jeton RFC 3161 signé avec certificat X.509 qualifié.
Documentation : https://freetsa.org
Sources de données LCB-FT
OpenSanctions (auto-hébergé)
Rôle : Base consolidée de sanctions internationales, personnes politiquement exposées (PPE) et profils à risque, utilisée en complément des listes officielles téléchargées localement
Localisation : Auto-hébergé sur l'infrastructure OVH Strasbourg (France, UE) — yente + Elasticsearch
Données traitées : Aucune donnée transmise à OpenSanctions gGmbH : les requêtes de criblage sont traitées en interne sur les serveurs OVH. Seule la base de données publique (dump officiel) est téléchargée périodiquement.
Garanties : Pas de transfert de données personnelles sortant. L'auto-hébergement garantit que les noms, prénoms et dates de naissance des personnes criblées ne quittent pas l'infrastructure Conformitiel. La base publique est téléchargée sous licence CC-BY 4.0.
Documentation : https://www.opensanctions.org/docs/self-hosted/
API Recherche Entreprises (gouv.fr)
Rôle : Consultation en lecture seule des données publiques d'identification d'entreprises
Localisation : France
Données traitées : SIREN interrogé. Aucune donnée personnelle du Client ou de l'Utilisateur transmise.
Garanties : Source publique officielle, pas de qualification de sous-traitance
Documentation : https://api.gouv.fr/documentation/api-recherche-entreprises
INPI / Registre National des Bénéficiaires Effectifs
Rôle : Consultation en lecture seule des données publiques INPI (dirigeants, bénéficiaires effectifs)
Localisation : France
Données traitées : SIREN interrogé. Aucune donnée personnelle du Client transmise.
Garanties : Source publique officielle (autorité publique), pas de qualification de sous-traitance
Documentation : https://data.inpi.fr
BODACC (DILA)
Rôle : Consultation en lecture seule des annonces légales
Localisation : France
Données traitées : SIREN interrogé
Garanties : Source publique officielle
Documentation : https://www.bodacc.fr
DG Trésor — Registre des gels des avoirs
Rôle : Consultation de la liste française des gels d'avoirs
Localisation : France
Données traitées : Téléchargement et comparaison locale de la liste consolidée. Aucune requête nominative transmise.
Garanties : Source publique officielle
Documentation : https://gels-avoirs.dgtresor.gouv.fr
Commission européenne — Sanctions UE
Rôle : Liste consolidée des sanctions financières européennes
Localisation : Bruxelles (UE)
Données traitées : Téléchargement et comparaison locale de la liste consolidée. Aucune requête nominative transmise.
Garanties : Source publique officielle
Documentation : https://data.europa.eu/data/datasets/consolidated-list-of-persons-groups-and-entities-subject-to-eu-financial-sanctions
Organisation des Nations Unies — Comité des sanctions
Rôle : Liste consolidée des sanctions ONU
Localisation : New York (USA) — mais téléchargement de la liste uniquement
Données traitées : Téléchargement et comparaison locale de la liste consolidée. Aucune requête nominative transmise.
Garanties : Pas de transfert de données personnelles hors UE car la modalité est un téléchargement de liste, pas une requête API nominative
Documentation : https://main.un.org/securitycouncil/en/content/un-sc-consolidated-list
OFAC (Office of Foreign Assets Control, US Treasury)
Rôle : Liste consolidée des sanctions américaines SDN (Specially Designated Nationals)
Localisation : Washington DC (USA) — mais téléchargement de la liste uniquement
Données traitées : Téléchargement et comparaison locale de la liste SDN. Aucune requête nominative transmise à l'OFAC.
Garanties : Cette modalité technique écarte la qualification de transfert hors UE au sens des Articles 44 et suivants du RGPD. Elle respecte l'obligation légale de criblage imposée par le CMF (Art. 49.1.g RGPD en cas de qualification différente)
Documentation : https://ofac.treasury.gov
HATVP (Haute Autorité pour la Transparence de la Vie Publique)
Rôle : Liste des Personnes Politiquement Exposées (PPE) françaises
Localisation : France
Données traitées : Téléchargement et comparaison locale de la liste. Aucune requête nominative transmise.
Garanties : Source publique officielle
Documentation : https://www.hatvp.fr
Vos questions
Pour toute question concernant cette liste, le traitement de vos données ou l'opposition à un sous-traitant, contactez : dpo@conformitiel.fr