Sous-traitants techniques et localisation effective des donnees.
Liste exhaustive et a jour des sous-traitants qui interviennent dans le traitement des donnees Coffrify. Telechargez le registre signe cryptographiquement (Ed25519) pour produire une preuve verifiable a votre DPO ou a la CNIL.
| Sous-traitant | Pays societe mere | Region d'hebergement effective | Finalite | CCT |
|---|---|---|---|---|
| Scaleway SAS | France | Scaleway region fr-par (Paris, France) | Stockage des fichiers utilisateur. | Non |
| Cloudflare, Inc. | Etats-Unis | Cloudflare R2 regions WEUR / EEUR (Union europeenne) | Reseau de diffusion (CDN), protection anti-DDoS, et stockage des fichiers dans une region alternative choisie par le client (option des plans superieurs ; le stockage par defaut reste en France). | Oui |
| Supabase (Supabase, Inc. / Supabase Pte. Ltd.) | Etats-Unis (Delaware) et Singapour | AWS eu-west-3 (Paris, France) | Base de donnees et authentification des comptes. Groupe a double entite (Supabase, Inc. aux Etats-Unis et Supabase Pte. Ltd. a Singapour) : exposition theorique au CLOUD Act, encadree par les CCT. | Oui |
| Twilio SendGrid | Etats-Unis | Multi-region (Etats-Unis) | Emails transactionnels (notifications, alertes securite). | Oui |
| Vercel Inc. | Etats-Unis | Multi-region (edge + serverless, sans stockage persistant) | Hebergement applicatif et reseau de diffusion (aucun stockage de fichiers). | Oui |
| Mistral AI | France | Union europeenne (Paris, France) | Fournisseur d'IA europeen. Traduction automatique des contenus publics (blog, aide, documentation, pages legales), assistant IA des sites publics, classification optionnelle des depots Inbox (message + noms de fichiers) et suggestions d'articles d'aide (transcript de ticket). Le contenu des fichiers transferes n'est JAMAIS transmis ; donnees traitees dans l'UE et requetes non utilisees pour l'entrainement des modeles. | Non |
| Stripe, Inc. | Etats-Unis / Irlande | Union europeenne + Etats-Unis | Traitement des paiements (abonnements, facturation B2B). | Oui |
CCT = Clauses Contractuelles Types : le cadre juridique type de la Commission europeenne (decision 2021/914) qui encadre legalement les transferts de donnees vers un sous-traitant hors UE. « Oui » = le transfert vers ce sous-traitant (hors UE) est encadre par ces clauses ; « Non » = sous-traitant etabli dans l'UE (clauses non requises).
Lecture honnete : la colonne 'Pays societe mere' indique la juridiction du groupe proprietaire, qui peut differer de la region d'hebergement effective des donnees. Supabase notamment est un groupe a double entite (Supabase, Inc. aux Etats-Unis et Supabase Pte. Ltd. a Singapour) mais l'instance Coffrify est hebergee en France (AWS region eu-west-3). Les donnees sont chiffrees au repos (AES-256) et en transit (TLS 1.3) ; les transferts theoriques hors UE sont encadres par les Clauses Contractuelles Types de la Commission europeenne (decision 2021/914).
Un tableau peut etre modifie. Une signature Ed25519, non.
Le tableau ci-dessus est la presentation lisible du registre. Le PDF telecharge contient le meme contenu, mais accompagne d'une empreinte SHA-256 signee par notre cle Trust : tout DPO ou auditeur peut verifier publiquement l'authenticite du document sans dependre de notre infrastructure.
1 · Telechargez le PDF
Le registre signe est genere a la demande et mis en cache 1h. Il contient les 7 sous-traitants, la finalite, les CCT et la preuve crypto.
2 · Notez l'empreinte SHA-256
Page 3 du PDF, sous 'Empreinte SHA-256 du registre'. Cette chaine hexadecimale est unique au document : tout changement la modifie integralement.
3 · Verifiez sur trust.coffrify.com
Collez l'empreinte sur la page d'accueil de Coffrify Trust. Notre service confirmera publiquement que le document a bien ete emis par Coffrify, sans acceder a son contenu.