Page conçue pour ton équipe sécurité ou ton DPO. Engagements RGPD, liste exhaustive des sous-traitants, DPA téléchargeables, certifications en cours. Mise à jour 3 mai 2026.
Toutes les données client (PII, contenus, logs) sont hébergées dans la zone EU (Frankfurt principalement). Aucun export systématique vers US. Les sous-traitants US (Anthropic, Stripe, Resend) ont des engagements DPA + EU data residency activés.
Données en transit : TLS 1.3 obligatoire sur tous les endpoints publics. Données au repos : AES-256 (Supabase + Vercel KV). Mots de passe : bcrypt rounds=10. Tokens session : signés JWT + rotation 14j.
Notre contrat avec Anthropic et Mistral inclut la clause no-training. Tes prompts et contenus ne servent jamais à entraîner les modèles, ni de Anthropic, ni de Mistral, ni d'aucun tiers.
Tu disposes des 6 droits RGPD : accès, rectification, effacement, limitation, portabilité, opposition. Délai de réponse : ≤ 30 jours. Demande à privacy@gapup.io avec une pièce d'identité.
Logs techniques : 30 jours. Données analytiques anonymes : 13 mois. Comptes inactifs > 24 mois : préavis 30j puis suppression. Tu peux exiger une suppression anticipée à tout moment.
Tout ajout d'un sous-traitant majeur (qui touche tes données) déclenche une notification email + un préavis de 30 jours pour t'opposer. Cette page est mise à jour à chaque changement.
Tous les tiers qui touchent à tes données. Conforme art. 28 RGPD. Notification 30j avant ajout d'un nouveau sous-traitant.
| Sous-traitant | Finalité | Région | DPA | Certifications |
|---|---|---|---|---|
| Vercel | Hébergement applicatif (edge runtime) | EU (Frankfurt) | DPA ↗ | SOC 2 Type II, ISO 27001, GDPR, CCPA |
| Supabase | Base de données Postgres + auth + storage | EU (Frankfurt) | DPA ↗ | SOC 2 Type II, HIPAA, GDPR |
| Anthropic (Claude) | LLM pour génération de rapports IA | US (zero-retention API tier) | DPA ↗ | SOC 2 Type II, ISO 27001, no training on user data |
| Mistral AI | LLM fallback pour génération de contenu | EU (France) | DPA ↗ | GDPR-native, EU-hosted |
| Stripe | Paiements + facturation | US-EU (data residency EU) | DPA ↗ | PCI-DSS Level 1, SOC 2 Type II, ISO 27001 |
| Resend | Envoi d'emails transactionnels | US-EU (Frankfurt failover) | DPA ↗ | SOC 2 Type II, GDPR |
| Cloudflare | CDN + DNS + protection DDoS | Global edge | DPA ↗ | SOC 2 Type II, ISO 27001, GDPR, FedRAMP |
Audit initial via cabinet partenaire EU. Réutilisation des certifications de nos sous-traitants.
Démarrage des contrôles dès le passage à 50+ paying clients.
Auto-évaluation continue via /admin/rgpd-checklist (interne).