Registre des sous-traitants

Dernière mise à jour : 2026-05-20

Conformément à l'article 28 du Règlement (UE) 2016/679 (RGPD), le présent registre liste les sous-traitants ultérieurs auxquels voxcommande fait appel pour la fourniture du Service, leurs localisations, les catégories de données qu'ils traitent, et le cadre juridique encadrant ces traitements (DPA, Clauses Contractuelles Types, Data Privacy Framework).

Toute modification substantielle de cette liste sera communiquée aux Souscripteurs avec un préavis raisonnable, leur ouvrant un droit d'opposition motivé conformément à l'article 28.2 RGPD.

Liste des sous-traitants

Service	Société	Localisation	Données traitées	Conformité
Base de données + Auth + Realtime	Supabase Inc.	Paris (eu-west-3) — UE	Données applicatives, comptes utilisateurs, sessions, catalogues, commandes, transcriptions	DPA signé · données stockées en UE
Hébergement app + worker vocal	Fly.io, Inc.	CDG Paris — UE (siège US)	Compute applicatif et agent vocal, journaux d'exécution	DPA signé · CCT pour relation contractuelle US
Infrastructure WebRTC / téléphonie temps réel	LiveKit, Inc.	Germany 2 — UE (siège US)	Flux audio temps réel (non persisté), métadonnées de salle	DPA signé · CCT pour relation contractuelle US
LLM agent vocal (Gemini Live)	Google LLC	Multi-régions (UE + US)	Audio temps réel et texte de conversation pour inférence (pas d'entraînement sur les données)	DPA via Google Cloud / Vertex AI · CCT + Data Privacy Framework
STT / TTS (formules Premium et Signature)	OpenAI, LLC	États-Unis	Audio et transcription pour inférence (zero data retention activé)	DPA signé · CCT · Data Privacy Framework
Proxy LLM de secours	OpenRouter, Inc.	États-Unis	Texte conversationnel uniquement, en cas de bascule de fournisseur	CCT en place
Synthèse vocale + clonage vocal (Signature)	ElevenLabs, Inc.	États-Unis	Empreinte vocale du gérant (donnée biométrique, art. 9 RGPD) — consentement explicite requis · texte à synthétiser	CCT · suppression sur demande sous 30 jours
DNS, CDN, stockage objet R2 (enregistrements)	Cloudflare, Inc.	Global · R2 région EU	Routage HTTP/HTTPS, enregistrements audio optionnels (option recording)	DPA signé · CCT · Data Privacy Framework
Paiement (à venir)	Stripe Payments Europe, Ltd.	Dublin — Irlande, UE	Coordonnées de facturation, transactions (aucun PAN carte stocké côté Prestataire)	DPA signé · CCT pour relation groupe US

Supabase Inc.

Base de données + Auth + Realtime

Localisation :: Paris (eu-west-3) — UE
Données :: Données applicatives, comptes utilisateurs, sessions, catalogues, commandes, transcriptions
Conformité :: DPA signé · données stockées en UE

Fly.io, Inc.

Hébergement app + worker vocal

Localisation :: CDG Paris — UE (siège US)
Données :: Compute applicatif et agent vocal, journaux d'exécution
Conformité :: DPA signé · CCT pour relation contractuelle US

LiveKit, Inc.

Infrastructure WebRTC / téléphonie temps réel

Localisation :: Germany 2 — UE (siège US)
Données :: Flux audio temps réel (non persisté), métadonnées de salle
Conformité :: DPA signé · CCT pour relation contractuelle US

Google LLC

LLM agent vocal (Gemini Live)

Localisation :: Multi-régions (UE + US)
Données :: Audio temps réel et texte de conversation pour inférence (pas d'entraînement sur les données)
Conformité :: DPA via Google Cloud / Vertex AI · CCT + Data Privacy Framework

OpenAI, LLC

STT / TTS (formules Premium et Signature)

Localisation :: États-Unis
Données :: Audio et transcription pour inférence (zero data retention activé)
Conformité :: DPA signé · CCT · Data Privacy Framework

OpenRouter, Inc.

Proxy LLM de secours

Localisation :: États-Unis
Données :: Texte conversationnel uniquement, en cas de bascule de fournisseur
Conformité :: CCT en place

ElevenLabs, Inc.

Synthèse vocale + clonage vocal (Signature)

Localisation :: États-Unis
Données :: Empreinte vocale du gérant (donnée biométrique, art. 9 RGPD) — consentement explicite requis · texte à synthétiser
Conformité :: CCT · suppression sur demande sous 30 jours

Cloudflare, Inc.

DNS, CDN, stockage objet R2 (enregistrements)

Localisation :: Global · R2 région EU
Données :: Routage HTTP/HTTPS, enregistrements audio optionnels (option recording)
Conformité :: DPA signé · CCT · Data Privacy Framework

Stripe Payments Europe, Ltd.

Paiement (à venir)

Localisation :: Dublin — Irlande, UE
Données :: Coordonnées de facturation, transactions (aucun PAN carte stocké côté Prestataire)
Conformité :: DPA signé · CCT pour relation groupe US

Transferts hors UE

Les sous-traitants dont le siège social est situé hors de l'Union européenne (Fly.io, LiveKit, OpenAI, OpenRouter, ElevenLabs, Cloudflare) traitent des données dans le cadre de relations contractuelles encadrées par les Clauses Contractuelles Types (CCT) adoptées par la Commission européenne (décision 2021/914 du 4 juin 2021), et le cas échéant par leur adhésion au EU-U.S. Data Privacy Framework.

Lorsqu'une infrastructure UE est disponible, elle est systématiquement privilégiée (Supabase eu-west-3, Fly.io CDG, LiveKit Germany 2, Cloudflare R2 EU).

Contact

Pour toute question relative à ce registre ou à un sous-traitant spécifique : suleyman.yilmaz87@gmail.com.