Sous-traitants & transferts
En résumé
Pour vous fournir le service Portail Élève, nous faisons appel à quelques entreprises spécialisées (hébergement, intelligence artificielle, paiement). Ces entreprises agissent comme sous-traitants au sens de l'article 28 du RGPD : elles traitent vos données uniquement sur nos instructions et pour les finalités décrites dans notre politique de confidentialité.
Cette page liste l'intégralité de ces sous-traitants, leur rôle, le lieu où vos données sont traitées et les garanties juridiques qui encadrent ces traitements. Nous la maintenons à jour pour vous permettre, à tout moment, de savoir qui accède à vos données et pourquoi.
Qu'est-ce qu'un sous-traitant ?
Un sous-traitant est une entreprise tierce qui traite des données personnelles pour notre compte. T2 Labs reste le « responsable de traitement » : c'est nous qui décidons des finalités et des moyens du traitement, et c'est à nous que vous pouvez vous adresser pour exercer vos droits.
Chaque sous-traitant est lié à T2 Labs par un contrat conforme à l'article 28.3 du RGPD (un « accord de traitement de données », ou DPA en anglais). Ce contrat impose notamment au sous-traitant :
- de ne traiter vos données que sur nos instructions documentées ;
- de garantir la confidentialité, la sécurité et l'intégrité des données ;
- de nous assister pour répondre à vos demandes d'exercice de droits (accès, effacement, portabilité…) ;
- de nous notifier sans délai toute violation de données les concernant ;
- de supprimer ou restituer les données à la fin de la prestation.
Détail par sous-traitant
Anthropic (Claude)
Anthropic édite le modèle d'intelligence artificielle Claude que nous utilisons pour générer les réponses du tuteur. Lorsque votre enfant pose une question, son message (texte) est transmis aux serveurs d'Anthropic, traité, puis renvoyé sous forme de réponse. Nous avons activé l'option Zero Data Retention (DPA en cours de signature, cf. story #37) : Anthropic ne conserve les messages au-delà du temps strictement nécessaire au traitement de la requête, ni ne les utilise pour entraîner ses modèles.
Mistral AI (synthèse vocale)
Pour la fonctionnalité optionnelle de lecture vocale, nous utilisons le service de synthèse vocale Mistral Voxtral (modèle voxtral-mini-tts-2603, voix fr_marie_neutral). Mistral AI est une société française dont l'infrastructure est hébergée en Union européenne — il n'y a donc pas de transfert hors UE pour cette fonctionnalité. Le texte envoyé ne contient ni élément d'identification ni historique de conversation. Le DPA Mistral est en cours de signature.
Groq (transcription audio)
Si votre enfant parle au tuteur, l'enregistrement audio est envoyé à Groq, qui exécute le modèle Whisper et nous renvoie la transcription textuelle. L'audio brut n'est conservé par Groq que le temps du traitement. Le DPA Groq est en cours de signature (cf. story #39) ; à ce stade, nous nous appuyons sur les Clauses Contractuelles Types (CCT) publiées par Groq.
Stripe (paiement)
Stripe gère l'encaissement de l'abonnement Premium. Les coordonnées bancaires ne transitent jamais par nos serveurs : elles sont saisies directement dans une iframe sécurisée Stripe. Nous ne recevons que des identifiants techniques (numéro de client, identifiant d'abonnement) et les métadonnées de facturation. Le contrat européen Stripe (entité Stripe Payments Europe Ltd., Irlande) s'applique. DPA en cours de signature (cf. story #40).
Vercel (hébergement)
Vercel héberge l'application Portail Élève. Nous avons forcé l'exécution dans les régions européennes Francfort (fra1) et Paris (cdg1) : vos données ne transitent par aucune autre région d'hébergement (cf. story #36). Vercel Inc. (société-mère US) peut, en application des CCT, accéder aux données pour la maintenance ; un DPA standard est signé.
Supabase (base de données et authentification)
Supabase héberge notre base de données PostgreSQL, gère l'authentification (lien magique) et stocke les fichiers éventuels. Le projet est provisionné dans la région Frankfurt (eu-central-1) : toutes vos données au repos sont stockées en Union européenne. Une analyse d'impact sur les transferts (TIA) est en cours pour encadrer l'accès résiduel par la société-mère Supabase Inc. (US, cf. story #41).
Plausible Analytics (mesure d'audience)
Plausible est notre outil d'analytics RGPD-natif, hébergé en Union européenne (cf. décision sprint 3, story #68). Il mesure l'audience agrégée du service (pages vues, activation, conversion) sans cookie et sans identifiant personnel : les données collectées sont entièrement anonymes. Aucun transfert hors UE n'est effectué. Aucune bannière de consentement cookie n'est requise pour cet outil.
Mailjet (emails transactionnels)
Mailjet (entreprise française, groupe Sinch) est notre prestataire d'envoi d'emails transactionnels (liens magiques d'authentification, digest hebdomadaires, alertes de modération — cf. décision sprint 3, story #56). Mailjet héberge ses données en France ; aucun transfert hors UE. Seule l'adresse email du parent destinataire est transmise pour chaque envoi.
Tableau récapitulatif
| Nom | Service | Finalité | Données concernées | Localisation | Transfert (art. 44-49) | Conservation | DPA | Politique |
|---|---|---|---|---|---|---|---|---|
| Anthropic | Inférence LLM (Claude Haiku/Sonnet) — texte et image (Vision) | Génération des réponses du tuteur IA (texte + analyse de photos pédagogiques) | Texte des messages élève + photos prises (base64 inline, transitoire) | US | DPF + SCC + Zero Data Retention (cf. #37) | Zero Data Retention (≤ durée de la requête) | En cours de signature | Voir |
| Mistral AI | Synthèse vocale (Voxtral) | Transformation du texte du tuteur en audio | Texte à vocaliser | FR (UE) | RGPD natif (responsable UE) | ≤ 30 j (logs techniques) | En cours de signature | Voir |
| Groq | Transcription audio (Whisper) | Transcription de la voix de l'élève en texte | Audio de l'élève (transitoire) | US | SCC | ≤ 24 h (transitoire) | En cours de signature | Voir |
| Stripe | Paiement | Gestion abonnement Premium | Email + ID abonnement + métadonnées facturation | US/IE | DPF + SCC (entité IE pour clients UE) | Durée légale comptable (10 ans) | En cours de signature | Voir |
| Vercel | Hébergement Next.js | Exécution des fonctions serveur (region fra1/cdg1) | Logs requêtes (IP tronquée) | EU (forcé via preferredRegion, cf. #36) | DPF + SCC | 30 j | Signé | Voir |
| Supabase | Base de données / Auth / Storage | Persistance EU des données utilisateur | Données applicatives complètes | EU (Frankfurt) | SCC (entité mère US — TIA léger, cf. #41) | Durée du compte + 1 an | Signé | Voir |
| Plausible | Analytics (mesure d'audience) | Mesurer activation, conversion et rétention — sans cookie (cf. #68) | Données agrégées d'audience (sans identifiant personnel) | EU | Hébergement EU — aucun transfert hors UE | Données agrégées sans expiration personnelle | Standard fournisseur | Voir |
| Mailjet | Envoi d'emails transactionnels | Envoi de liens magiques, digests hebdos et alertes modération (cf. #56) | Adresse email du parent (destinataire) | EU (France) | Hébergement FR (groupe Sinch) — aucun transfert hors UE | Logs d'envoi ≤ 30 j | Standard fournisseur | Voir |
Transferts hors Union européenne
Cinq de nos sous-traitants (Anthropic, Groq, Stripe et, pour la maintenance, Vercel et Supabase) sont susceptibles de traiter des données depuis les États-Unis. La réglementation européenne autorise ces transferts uniquement si des garanties appropriées sont mises en place (articles 44 à 49 du RGPD). Voici celles que nous appliquons :
- Data Privacy Framework (DPF) UE–États-Unis — décision d'adéquation de la Commission européenne du 10 juillet 2023 (art. 45 RGPD). Nos sous-traitants Anthropic, Stripe et Vercel y sont certifiés.
- Clauses Contractuelles Types (CCT) de la Commission européenne du 4 juin 2021 (art. 46.2.c RGPD), en complément ou en substitution du DPF, signées avec chaque sous-traitant.
- Mesures supplémentaires : chiffrement en transit (TLS 1.2+), chiffrement au repos, option Zero Data Retention chez Anthropic, hébergement forcé en région UE pour Vercel et Supabase, et minimisation des données envoyées.
- Analyses d'impact des transferts (TIA) en cours pour les sous-traitants à risque résiduel élevé (cf. story #41).
Plausible et Mailjet hébergent leurs données en Union européenne (UE) ; aucun transfert hors UE n'est effectué pour ces services.
Vous pouvez nous demander une copie de ces garanties (CCT, DPA) en écrivant à contact.t2labs+dpo@gmail.com.
Évolution de cette liste
Cette liste peut évoluer si nous changeons de prestataire ou si nous en ajoutons un nouveau. Conformément à l'article 28.2 du RGPD, nous vous informerons de tout ajout, retrait ou remplacement au moins 30 jours avant qu'il ne devienne effectif :
- par un email envoyé à l'adresse du parent titulaire du compte ;
- en mettant à jour cette page (date et numéro de version ci-dessus).
Si une modification ne vous convient pas, vous pouvez vous opposer au nouveau sous-traitant en nous écrivant. Selon la nature du sous-traitant concerné, cette opposition peut impliquer la résiliation de votre abonnement (sans pénalité, avec remboursement au prorata).
Une question ? Contactez notre DPO
Pour toute question relative à cette liste, à un transfert, ou pour exercer vos droits (accès, rectification, effacement, portabilité, opposition, limitation — articles 15 à 22 du RGPD), vous pouvez écrire à notre Délégué à la Protection des Données :
Vous disposez également du droit d'introduire une réclamation auprès de la CNIL.