1. Principe
Pour exploiter le Service Édifice, Triadica fait appel à un nombre limité de sous-traitants, sélectionnés pour leur conformité au RGPD et, dans la mesure du possible, pour leur localisation européenne ou française.
Conformément à l'article 28 du RGPD, chaque sous-traitant est lié à Triadica par un accord de sous-traitance (DPA) imposant des garanties suffisantes en matière de sécurité et de confidentialité.
La liste ci-dessous reflète l'état du Service à la date d'entrée en vigueur. Toute évolution sera publiée sur cette page. Les Clients seront notifiés par email lors de l'ajout d'un nouveau sous-traitant disposant d'un accès à des données candidat, avec un préavis raisonnable permettant l'exercice du droit d'opposition.
2. Sous-traitants principaux
| Sous-traitant | Rôle | Localisation | Encadrement |
|---|---|---|---|
| Scaleway | Stockage objet S3-compatible des pièces candidat. | France (Paris, fr-par) | DPA RGPD. Hébergeur français, données restant sur le sol français. |
| Neon | Base de données PostgreSQL managée (auth, dossiers, biens, logs). | UE (Frankfurt) | DPA RGPD. Données stockées et traitées en UE. |
| Vercel | Hébergement applicatif (Next.js), distribution edge. | UE (Frankfurt) + edge Europe | DPA RGPD. Région d'exécution UE configurée. |
| Better Auth | Bibliothèque open-source d'authentification embarquée dans Édifice (auto-hébergée). Pas de transfert vers un tiers. | Exécution sur Vercel (UE) | N/A - composant logiciel, aucun fournisseur externe. |
| Google (OAuth) | Authentification sociale via Google Sign-In, à l'initiative de l'utilisateur. | UE (data centers EMEA) | DPA RGPD + CCT. Échange limité aux identifiants OAuth (email, nom). |
| Google Calendar | Synchronisation optionnelle des créneaux de visite avec l'agenda de l'agent (sur opt-in explicite). | UE (data centers EMEA) | DPA RGPD + CCT. Activable / désactivable par l'utilisateur. |
| Resend | Envoi d'emails transactionnels (liens magiques, notifications, quittances). | UE | DPA RGPD. Région d'envoi UE. |
| Stripe | Paiements et facturation (abonnements agence et bailleur particulier). | UE (Stripe Payments Europe Ltd, Irlande) | DPA RGPD + CCT pour les flux US. Édifice ne stocke aucun numéro de carte. |
| Mistral AI | OCR des pièces, extraction structurée et scoring IA des dossiers (seul modèle d'IA utilisé). | France | DPA RGPD. Souverain français. |
| Vercel AI Gateway | Routage des appels au modèle Mistral. | UE (région Vercel) | DPA RGPD. Pass-through, pas de conservation. |
3. Transferts hors UE
Les éventuels transferts vers des sous-traitants hors UE (notamment Stripe pour ses flux US) sont encadrés par les clauses contractuelles types (CCT) adoptées par la décision d'exécution (UE) 2021/914 de la Commission européenne du 4 juin 2021. Le scoring IA est réalisé exclusivement par Mistral AI, en France.
Lorsque cela est techniquement possible, Édifice met en place des mesures complémentaires : pseudonymisation des contenus envoyés aux modèles, chiffrement en transit, minimisation des champs transmis (envoi de la pièce, pas du dossier complet).
4. Sous-traitants candidats (en évaluation)
Les outils suivants sont en cours d'évaluation. Aucun n'a accès à des données candidat à la date d'entrée en vigueur. La présente liste sera mise à jour avant tout déploiement.
- Outil d'observabilité technique (Sentry ou alternatives européennes).
- Service de signature électronique (Yousign, DocuSign EU).
- Solution de paiement complémentaire SEPA / virement (Mangopay, Lemonway).
5. Droits du Client et du candidat
Conformément à l'article 28 § 2 du RGPD, le Client (agence ou bailleur) peut s'opposer à l'ajout d'un nouveau sous-traitant avant son entrée en vigueur effective. L'opposition doit être motivée et adressée à privacy@triadica.es.
Le candidat peut également exercer ses droits RGPD (accès, opposition, suppression) à tout moment depuis le lien magique reçu par email ou directement auprès du DPO Triadica.
6. Vérifications et audits
Triadica s'engage à maintenir une revue annuelle de la conformité de ses sous-traitants (mise à jour des DPA, vérification des certifications ISO/SOC, suivi des notifications de violation). Un compte-rendu peut être communiqué sur demande écrite des Clients à privacy@triadica.es.
7. Historique des modifications
La présente liste est versionnée. Un historique des modifications (ajout, retrait, changement de localisation) est tenu à jour interne. Pour obtenir un extrait, écrire à privacy@triadica.es.
8. Pour aller plus loin
Voir aussi :
- Politique de confidentialité - responsable, finalités, droits.
- CGU Agence - rôle RGPD des parties.
Avis Cette liste est tenue à jour au mieux. Si vous identifiez un sous-traitant manquant ou une information incorrecte, écrivez à privacy@triadica.es - nous corrigeons sous 7 jours.