Sous-processeurs
Liste à jour des sous-processeurs utilisés par Stodeo SASU dans le cadre du Service Voaxys, en application de l'article 28 du RGPD.
Dernière mise à jour : À compléter à la mise en ligne
Version 1.0
La présente page recense les sous-processeurs auxquels Stodeo SASU recourt pour la fourniture du Service Voaxys, conformément à l'article 28 du Règlement (UE) 2016/679 (RGPD) et à notre Accord de Traitement de Données (DPA). Toute évolution substantielle de cette liste fait l'objet d'une notification au Client avec un préavis minimal de trente (30) jours.
1. Sous-processeurs actifs par défaut
Ces fournisseurs sont activés pour l'ensemble des Clients et participent à l'exécution opérationnelle du Service.
| Sous-processeur | Service | Localisation | Cadre de transfert |
|---|---|---|---|
| Hetzner Online GmbH | Hébergement d'infrastructure et stockage applicatif | Allemagne / Finlande (UE) | UE — pas de transfert |
| Supabase Inc. | Base de données managée (Postgres) et authentification | UE (région à confirmer) | UE / CCT si nécessaire |
| Twilio Inc. | Téléphonie, attribution de numéros, SMS | UE / États-Unis | DPF + CCT (Décision UE 2021/914) |
| Deepgram Inc. | Transcription vocale (Speech-to-Text) — actif par défaut | États-Unis | DPF + CCT |
| Groq Inc. | Inférence LLM — actif par défaut | États-Unis | CCT |
| ElevenLabs Inc. | Synthèse vocale (Text-to-Speech) — actif par défaut | États-Unis | DPF + CCT |
| LiveKit Inc. | Infrastructure WebRTC pour les appels temps réel | Selon configuration | CCT |
| Stancer / Lyra Network | Traitement des paiements | France (UE) | UE — pas de transfert |
| Pennylane | Facturation et comptabilité | France (UE) | UE — pas de transfert |
2. Modèles tiers en mode BYOK (Bring Your Own Key)
Sur les plans qui le permettent, le Client peut connecter au Service ses propres clés API d'éditeurs d'intelligence artificielle tiers. Aucun de ces éditeurs n'est sous-processeur de Stodeo : lorsque le Client active un modèle BYOK, l'éditeur concerné agit comme sous-processeur ultérieur du Client, qui assume directement la relation contractuelle (acceptation du DPA fournisseur, options Zero Data Retention, évaluation des transferts).
| Éditeur | Catégorie | Localisation |
|---|---|---|
| Anthropic | LLM | États-Unis |
| OpenAI | LLM | États-Unis |
| Google Gemini | LLM | États-Unis |
| Cartesia | TTS | États-Unis |
| Gladia | STT | France / UE |
| Speechmatics | STT | Royaume-Uni |
Stodeo agit comme simple relais technique des requêtes BYOK et n'engage aucune responsabilité quant au comportement, à la disponibilité ou à la conformité de l'éditeur retenu par le Client.
3. Garanties contractuelles imposées aux sous-processeurs
Conformément à l'article 28(4) RGPD, Stodeo impose contractuellement à chaque sous-processeur les mêmes obligations de protection des données que celles prévues à notre DPA, et notamment :
- signature d'un DPA et de Clauses Contractuelles Types (Décision (UE) 2021/914) ;
- activation des options « Zero Data Retention » ou équivalentes lorsqu'elles sont disponibles ;
- chiffrement en transit et au repos, gestion des accès, journalisation ;
- notification rapide en cas de violation de données.
Stodeo s'engage à ce qu'aucune Donnée Client(audio, transcriptions, prompts) ne soit utilisée par Stodeo ou ses sous-processeurs pour l'entraînement, l'amélioration ou le fine-tuning de modèles d'IA, sauf accord écrit exprès du Client.
4. Notification des changements
Tout ajout ou remplacement d'un sous-processeur fait l'objet d'une notification au Responsable de Traitement, par e-mail à l'adresse renseignée dans le Compte et par alerte in-app, avec un préavis minimal de trente (30) joursavant la prise d'effet.
Le Responsable de Traitement dispose d'un délai de trente (30) jours pour s'opposer, par écrit motivé, au recours à un nouveau sous-processeur. Les modalités de discussion et, le cas échéant, de résiliation sont précisées à l'article 5 du DPA.
5. Transferts hors UE / EEE
Lorsque la fourniture du Service implique un transfert vers un pays situé hors de l'EEE, Stodeo met en œuvre les garanties prévues au chapitre V du RGPD : décisions d'adéquation (notamment EU-US Data Privacy Framework lorsque l'importateur y est certifié), Clauses Contractuelles Types modules 2 ou 3, et mesures supplémentaires (chiffrement, pseudonymisation).
En cas d'invalidation, suspension ou non-renouvellement du DPF, les transferts concernés se poursuivent sur le seul fondement des CCT, conclues à titre subsidiaire avec chaque sous-processeur américain.
Pour les demandes d'accès gouvernementales (notamment au titre du US CLOUD Act), voir l'article 6.3 du DPA.
6. Contact
Pour toute question relative aux sous-processeurs ou pour demander la documentation associée (CCT, TIA, attestations) : privacy@voaxys.fr.