Sous-traitants ultérieurs
Article 28 RGPD
Voici la liste exhaustive des sous-traitants ultérieurs auxquels Kyrionn fait appel pour traiter les données de nos clients. Chaque fournisseur est documenté avec sa finalité, sa localisation et ses certifications.
Dernière mise à jour : 22 avril 2026.
Hébergement UE privilégié
Les données applicatives sensibles (comptes, livrables, preuves) sont hébergées exclusivement en Union européenne (Supabase Frankfurt, Hetzner Falkenstein, site de secours en France).
Pour les services complémentaires hébergés hors UE (Vercel Edge, Resend, Anthropic, Stripe), nous nous appuyons sur les Clauses Contractuelles Types (SCC) validées par la Commission européenne (décision 2021/914).
Supabase
CritiqueUEBase de données et authentification
Finalité
Stockage des données applicatives (comptes utilisateurs, diagnostics, livrables, preuves techniques). Gestion de l'authentification OAuth et MFA.
Données transmises
- Email, nom, organisation
- Réponses aux diagnostics
- Livrables générés (PSSI, AIPD, etc.)
- Tokens OAuth intégrations (chiffrés)
Localisation
Frankfurt, Allemagne (région AWS eu-central-1)
Certifications
Hetzner
CritiqueUEInfrastructure FastAPI et VPS
Finalité
Hébergement du backend Python FastAPI pour les traitements asynchrones, scans de sécurité automatisés et agents internes.
Données transmises
- Logs applicatifs anonymisés
- Données techniques (IP, user-agent)
- Fichiers temporaires de génération de livrables
Localisation
Falkenstein, Allemagne — et site de secours en France
Certifications
Vercel
CritiqueUS + SCCHébergement Next.js et CDN Edge
Finalité
Diffusion de la plateforme web Kyrionn via Edge Network global. Vercel Analytics et Speed Insights (anonymisés).
Données transmises
- Requêtes HTTP (IP anonymisée)
- Métriques de performance (Core Web Vitals)
- Pas de stockage persistant d'informations personnelles
Localisation
Edge global (US pour le plan control, Europe pour le serving)
Certifications
Resend
US + SCCEnvoi des emails transactionnels
Finalité
Expédition des emails de bienvenue, confirmations de bêta, notifications de livrables, emails MFA, récapitulatifs.
Données transmises
- Adresse email destinataire
- Nom du destinataire
- Contenu des emails transactionnels
Localisation
États-Unis (avec clauses contractuelles types EU)
Certifications
Anthropic
US + SCCIA générative (modèle Claude)
Finalité
Génération des livrables Kyrionn (politiques de sécurité, analyses d'impact, plans d'actions) à partir des réponses au diagnostic.
Données transmises
- Prompts construits à partir des réponses diagnostic
- Aucun identifiant personnel n'est transmis
- Zéro stockage permanent côté Anthropic (politique zero-retention API)
Localisation
États-Unis (avec clauses contractuelles types EU)
Certifications
Stripe
UEPaiement et facturation
Finalité
Gestion des abonnements, paiements ponctuels du catalogue, génération des factures, portail client.
Données transmises
- Nom et email du client
- Données de facturation (pas les numéros de carte — traités directement par Stripe en PCI DSS)
- Historique des transactions
Localisation
Irlande (Stripe Payments Europe) pour les clients européens
Certifications
Notification des changements de sous-traitants
Conformément à l'article 28.2 du RGPD, nous vous informons de toute modification de notre liste de sous-traitants ultérieurs (ajout, suppression, changement de localisation) dans un délai minimum de 30 jours avant mise en application.
Les modifications sont communiquées :
- Par email aux comptes administrateurs des organisations clientes
- Par mise à jour de cette page (avec historique sur /changelog)
- Par annonce in-app lors de la prochaine connexion au dashboard
Vous disposez d'un droit d'opposition documenté dans notre politique de confidentialité.
Questions sur nos sous-traitants ?
Votre DPO ou votre juriste a besoin d'un DPA Kyrionn personnalisé ? D'un audit de notre chaîne de sous-traitance ? Nous répondons en moins de 48h.