CaliaLabs Logo

LISTE DES SOUS-TRAITANTS

Dernière mise à jour : 02 Décembre 2025

1. Politique de Sous-Traitance

Conformément au RGPD et au DPA, CaliaLabs s'engage à :

  • • Maintenir une liste à jour des sous-traitants
  • • Notifier les clients de tout ajout ou modification
  • • Imposer aux sous-traitants les mêmes obligations de sécurité
  • • Privilégier les partenaires certifiés ISO 27001, SOC 2

2. Sous-Traitants Actifs

OVHcloud

Hébergement Infrastructure

Service : Hébergement des serveurs, base de données, stockage

Localisation : France (Gravelines, Roubaix)

Certifications : ISO 27001, SOC 2 Type II, HDS

Souveraineté : 100% France, conforme RGPD

Microsoft Azure

Cloud Services

Service : Passerelle cloud pour accès aux API IA (OpenAI, Anthropic)

Localisation : France (région Azure France Central)

Certifications : ISO 27001, SOC 2 Type II, certifié SecNumCloud

Souveraineté : 100% souverain via Azure France

HashiCorp Vault

Sécurité & Gestion de Secrets

Service : Gestion centralisée des secrets, clés API, certificats

Localisation : Sur nos propres serveurs (OVHcloud France)

Certifications : Logiciel open-source audité

Souveraineté : 100% souverain (self-hosted)

OpenAI (via Azure)

Modèles d'IA GPT

Service : API GPT-4 pour analyse de conformité

Localisation : Via Azure France (données traitées en France)

Certifications : SOC 2 Type II

Garantie : Zero Data Retention (Azure France), aucun stockage hors UE

Anthropic (via Azure)

Modèles d'IA Claude

Service : API Claude pour analyse de conformité

Localisation : Via Azure France (données traitées en France)

Certifications : SOC 2 Type II

Garantie : Zero Data Retention (Azure France), aucun stockage hors UE

Mistral AI

LLM Souverain

Service : Modèles d'IA français pour analyse

Localisation : France (entreprise française)

Certifications : Conforme RGPD, souveraineté européenne

Souveraineté : 100% européen, données non transférées hors UE

GoCardless

Paiement et Facturation

Service : Traitement des prélèvements bancaires SEPA

Localisation : Irlande (UE)

Certifications : FCA regulated, ISO 27001, conforme DSP2

Données traitées : IBAN uniquement (hors scope données CEREBRO)

3. Mesures de Contrôle

  • • Audit annuel des sous-traitants critiques
  • • Vérification des certifications de sécurité
  • • DPA (Data Processing Agreement) signé avec chaque sous-traitant
  • • Minimisation des données transmises (principe du moindre privilège)
  • • Chiffrement des données en transit (TLS 1.3 minimum)

4. Notification de Changement

Tout ajout ou remplacement d'un sous-traitant critique fait l'objet d'une notification par email aux clients 30 jours avant la mise en production. Les clients peuvent s'opposer par écrit dans un délai de 15 jours.

Liste des Sous-Traitants | CaliaLabs