Liste des sous-traitants ultérieurs
Version : v1.0 — Dernière mise à jour : 1er mai 2026
La présente liste recense les sous-traitants ultérieurs auxquels DECALAB EURL fait appel dans le cadre de la fourniture du Service Elron, exploité sur le domaine elron.ai. Elle constitue l’Annexe 3 du DPA et est tenue à jour. Toute modification fait l’objet d’une notification préalable au Client conformément à l’article 9 du DPA.
1. Hébergement et infrastructure
| Sous-traitant | Finalité | Catégories de données | Localisation | Garanties / encadrement |
|---|---|---|---|---|
| Google Cloud EMEA Limited (Google Cloud Platform) | Hébergement de l'application, base de données, stockage de fichiers, traitement des agents IA | Toutes catégories de Données | Union européenne | DPA Google Cloud, certifications ISO 27001 / 27017 / 27018, SOC 1/2/3, PCI-DSS |
2. Connecteurs de messagerie
| Sous-traitant | Finalité | Catégories de données | Localisation | Garanties / encadrement |
|---|---|---|---|---|
| Google LLC (Gmail API, Google OAuth 2.0) | Lecture, modification et envoi d'emails sur les comptes Gmail connectés par les utilisateurs ; authentification OAuth | Tokens OAuth, métadonnées et corps de messages email, pièces jointes | UE / États-Unis | OAuth utilisateur, scopes consentis ; DPA Google ; CCT en vigueur ; EU-US DPF |
| Microsoft Ireland Operations Limited (Microsoft Graph) — si activé | Lecture, modification et envoi d'emails sur les comptes Microsoft 365 / Outlook connectés par les utilisateurs | Tokens OAuth, métadonnées et corps de messages email, pièces jointes | UE / États-Unis | OAuth utilisateur ; DPA Microsoft (DPA Online Services) ; CCT en vigueur ; EU-US DPF |
3. Intelligence artificielle
Decalab utilise plusieurs fournisseurs d’IA et peut router une requête vers l’un ou l’autre selon les fonctionnalités, la disponibilité ou la qualité observée. Seul le contexte minimum nécessaire est transmis. Tous sont contractuellement engagés à ne pas réutiliser les Données du Client pour entraîner leurs modèles.
| Sous-traitant | Finalité | Catégories de données | Localisation | Garanties / encadrement |
|---|---|---|---|---|
| Mistral AI | Traitement des requêtes IA (génération, classification, extraction) | Extraits de communications, contexte minimum nécessaire | France | DPA Mistral ; engagement de non-réutilisation pour entraînement |
| Google LLC / Google Cloud EMEA Limited (Vertex AI — Gemini) | Idem | Idem | Union européenne | DPA Google Cloud Vertex AI ; engagement de non-réutilisation |
| Anthropic, PBC (Claude) | Idem | Idem | UE / États-Unis | DPA Anthropic ; engagement zéro rétention API ; CCT ; EU-US DPF |
| OpenAI Ireland Ltd. / OpenAI, L.L.C. (GPT) | Idem | Idem | UE / États-Unis | DPA OpenAI ; engagement de non-réutilisation API ; CCT ; EU-US DPF |
4. Paiement et facturation
| Sous-traitant | Finalité | Catégories de données | Localisation | Garanties / encadrement |
|---|---|---|---|---|
| Stripe Payments Europe Ltd. | Traitement des paiements, gestion de l'abonnement, génération des factures | Identité du Client, adresse de facturation, numéro de TVA, identifiants de paiement, historique facturation | UE (Irlande), États-Unis (groupe Stripe) | DPA Stripe ; CCT ; PCI-DSS niveau 1 ; EU-US DPF (Stripe Inc.) |
5. Email transactionnel
| Sous-traitant | Finalité | Catégories de données | Localisation | Garanties / encadrement |
|---|---|---|---|---|
| Resend, Inc. | Envoi des emails transactionnels du Service (confirmations, réinitialisation de mot de passe, notifications produit) | Email du destinataire, contenu transactionnel | États-Unis (avec serveurs UE selon plan) | DPA Resend ; CCT ; EU-US DPF |
6. Support client
| Sous-traitant | Finalité | Catégories de données | Localisation | Garanties / encadrement |
|---|---|---|---|---|
| Intercom Inc. | Messagerie de support in-app et email, suivi des conversations clients | Email, nom, identifiant utilisateur, historique des conversations | États-Unis (option régionale UE selon abonnement) | DPA Intercom ; CCT ; SOC 2 Type II ; EU-US DPF |
7. Mesure d’audience et amélioration produit
| Sous-traitant | Finalité | Catégories de données | Localisation | Garanties / encadrement |
|---|---|---|---|---|
| PostHog Inc. | Analyse anonymisée de l'usage du Service, identification des points de friction, A/B testing | Identifiant utilisateur pseudonymisé, événements d'interface, métadonnées techniques | UE (instance EU privilégiée) ou États-Unis | DPA PostHog ; CCT ; ISO 27001 ; EU-US DPF |
8. Observabilité et supervision
| Sous-traitant | Finalité | Catégories de données | Localisation | Garanties / encadrement |
|---|---|---|---|---|
| Sentry (Functional Software, Inc.) | Détection et diagnostic des erreurs applicatives | Stack traces, identifiants techniques de session, IP, user-agent | États-Unis | DPA Sentry ; CCT ; EU-US DPF |
| Langfuse GmbH | Observabilité des agents IA, traces d'exécution | Prompts et réponses agents, avec caviardage des données personnelles | UE (Allemagne) ou États-Unis selon plan | DPA Langfuse ; CCT |
9. Intégrations tierces du Client (informatif — non sous-traitants Decalab)
Lorsque le Client active une intégration entre Elron et un service tiers qu’il utilise déjà (notamment outils de gestion de la relation client, logiciels de gestion locative ou de syndic, suites collaboratives, calendriers), ce service tiers n’est pas un sous-traitant ultérieur de Decalab : il est fourni directement au Client par son éditeur, en vertu d’une relation contractuelle distincte. Decalab traite simplement les Données qui transitent via l’intégration pour fournir la fonctionnalité demandée par le Client (voir l’article 13 bis du DPA).
La liste à jour des intégrations effectivement supportées est communiquée au Client au moment de la souscription ou disponible sur demande à privacy@elron.ai. Pour ces services, le Client est responsable de la conformité RGPD de la relation qu’il entretient directement avec leurs éditeurs respectifs (information, consentement, base légale, transferts internationaux).
Notification d’évolution
Toute modification de la présente liste (ajout, remplacement ou retrait d’un sous-traitant ultérieur) sera notifiée par email à l’adresse de contact du Client et / ou par notification in-app au moins 15 jours avant sa prise d’effet. Le Client dispose d’un droit d’opposition motivée dans les conditions de l’article 9 du DPA.
Contact
Pour toute question relative à la liste : privacy@elron.ai
DECALAB EURL — 149 avenue du Maine, 75014 Paris, France