Document juridique officiel
Sous-traitants ultérieurs
Il s’agit du document juridique officiel publié par Voice2Evolve.
Avis de traduction : cette version traduite est fournie à titre de commodité. La version anglaise prévaut en cas de divergence.
Date d'entrée en vigueur
2026-03-02
Version juridique
2026-04-27
Dernière mise à jour
2026-04-27
Entité juridique
voice2evolve UG (haftungsbeschränkt)
Registre du commerce
Amtsgericht Stuttgart, HRB 803557
Avis : Cette version française est fournie à titre informatif. En cas de divergence, la version anglaise fait foi.
Dernière mise à jour : 27 avril 2026
Voice2Evolve UG (haftungsbeschränkt) (« Voice2Evolve ») fait appel aux sous-traitants tiers suivants pour fournir les Services Voice2Evolve. Tous les sous-traitants sont liés par des accords de traitement des données imposant des obligations équivalentes à celles énoncées dans le Contrat de traitement des données principal (MDPA).
Cette liste est tenue conformément à l'article 28, paragraphe 2, du RGPD. Voice2Evolve fournira un préavis raisonnable en cas de nouveaux sous-traitants ou de modifications. Pour recevoir des notifications, contactez help@voice2evolve.com.
Sous-traitants actuels
| Fournisseur | Rôle | Localisation des données | Garanties juridiques |
|---|---|---|---|
| Supabase Inc. | Base de données, Authentification | UE (Stockholm, Suède, hébergement principal) ; transferts ultérieurs vers des sous-traitants aux États-Unis / Singapour | DPA Supabase + CCT + mesures de sécurité supplémentaires documentées dans l'EIV Supabase |
| OpenAI, L.L.C. | Inférence IA / API vocale | États-Unis | CCT + Conformité CPRA |
| Stripe Payments Europe Ltd. | Traitement des paiements | UE / États-Unis | DPA RGPD + CCT |
| Vercel Inc. | Hébergement frontend (CDN) | UE / États-Unis (AWS + Microsoft Azure + GCP ; régions périphériques UE : Paris, Francfort, Suède) | CCT (Module 2, C2P) + IDTA Royaume-Uni |
| Railway Corp. (railway.com) | Infrastructure backend | États-Unis / déploiement en région UE (infrastructure sous-jacente : GCP) | DPA exécuté + CCT UE (Module 2, C2P) + DPF |
| Cloudflare, Inc. | Résolution DNS, Relais TURN WebRTC | UE / États-Unis | DPA RGPD + CCT |
| Sentry, Inc. | Surveillance des erreurs | UE / États-Unis | DPA RGPD (DocuSign exécuté le 27/04/2026) + DPF (primaire) + CCT (Module 2/3) + IDTA Royaume-Uni |
| Rybbit | Analyse du site web et du produit | UE (EEE — Hetzner ; Cloudflare Object Storage) | DPA RGPD (accepté par utilisation) + CCT |
| Plus Five Five, Inc. (Resend) | E-mail transactionnel | États-Unis | DPA RGPD (accepté par utilisation) + DPF (primaire) + CCT (Module 2) + IDTA Royaume-Uni |
| Anthropic PBC | Inférence IA (LLM) | États-Unis | DPA RGPD + CCT |
| Haufe-Lexware GmbH & Co. KG (Lexware) | Synchronisation des factures et de la comptabilité | UE (Allemagne) | DPA RGPD (AVV) |
Notes
- Supabase héberge le projet principal Voice2Evolve à Stockholm, en Suède, selon le tableau de bord Supabase, mais les documents DPA/EIV de Supabase documentent des transferts ultérieurs vers des sous-traitants aux États-Unis et à Singapour à des fins d'assistance, d'observabilité et d'outillage auxiliaire. Si l'assistant du tableau de bord Supabase est activé, Voice2Evolve le limite aux métadonnées du schéma et aux journaux uniquement ; l'accès aux données de contenu/tables reste désactivé. Les journaux sont traités comme potentiellement porteurs de données personnelles et doivent rester minimisés.
- Rybbit Analytics est limité au site marketing et à certaines zones de l'application. Le suivi est entièrement désactivé dans les zones sensibles (traitement des sessions, résultats d'analyse, gestion des comptes et de la facturation, authentification et administration). Les sessions vocales actives, les flux de configuration/planification et les flux d'invitation sont mesurés avec anonymisation du chemin URL (visites comptabilisées ; identifiants et jetons non transmis en clair). Le DPA de Rybbit (accepté par utilisation, 10 décembre 2025) documente le replay de session comme capacité de la plateforme ; Voice2Evolve n'utilise pas cette fonctionnalité — vérifié dans le code (aucun attribut de replay de session configuré). Les propres sous-traitants de Rybbit sont Hetzner (hébergement principal, UE), Cloudflare (stockage d'objets/sécurité), Stripe et Resend (facturation/notifications opérationnelles de Rybbit), et ipapi.is (géolocalisation IP, adresses IP non stockées).
- Sentry traite les événements d'erreurs d'application (traces de la pile, métadonnées de requêtes) à des fins de surveillance et d'alerte des erreurs. Aucune transcription vocale, contenu de session, catégorie spéciale de données personnelles ni identifiant d'authentification ne peut être transmis à Sentry (interdiction de la Section 2.2.2 du DPA sur les données sensibles). La suppression des données personnelles est appliquée avant toute transmission d'événement. Région de stockage des données UE (Francfort, Allemagne) configurée pour l'organisation Sentry de production de Voice2Evolve. DPA exécuté par DocuSign (enveloppe C7F6263F-7067-4494-BBAC-E776A503A59A, 27/04/2026) ; mécanisme de transfert : DPF UE-États-Unis primaire + CCT Module 2/3 de substitution, droit irlandais applicable, Commissaire irlandais à la protection des données.
- Resend (Plus Five Five, Inc.) traite les adresses e-mail, le contenu des messages et les métadonnées de livraison pour les flux d'e-mails transactionnels (liens magiques, invitations, livraison de factures, rappels de paiement). Resend agit en tant que responsable du traitement indépendant pour les données de compte et les données d'utilisation en vertu de sa propre politique de confidentialité (Section 9 du DPA) ; ce flux de responsable du traitement n'implique pas le contenu des e-mails des utilisateurs finaux de Voice2Evolve ni les données des destinataires. Préavis de changement de sous-traitant : 14 jours (plus court que la fenêtre de 30 jours de V2E — surveiller resend.com/legal/subprocessors). DPA accepté par utilisation (31 décembre 2025) ; mécanisme de transfert : DPF UE-États-Unis primaire + CCT Module 2 de substitution, droit irlandais.
- OpenAI et Anthropic traitent les données de prompt pour l'analyse des sessions vocales. La minimisation des données est appliquée ; la rétention zéro des données (ZDR) est active pour les points de terminaison de l'API en temps réel d'OpenAI. Pour l'évaluation de la qualité interne, Voice2Evolve utilise l'API Batch d'OpenAI ; les fichiers en entrée de l'API Batch sont hors du champ d'application de la ZDR et peuvent être conservés chez OpenAI pendant 30 jours maximum conformément à l'Avenant ZDR (Section 7). La pseudonymisation des données personnelles (adresses e-mail, numéros de téléphone, numéros IBAN) est appliquée avant la soumission à l'API Batch. Les données personnelles structurelles (noms, noms d'entreprise) constituent un risque résiduel accepté documenté dans le ROPA.
- Stripe agit en tant que prestataire de paiement et est soumis de manière indépendante à la conformité PCI DSS Niveau 1. À des fins de prévention de la fraude et de vérification de carte, Stripe peut collecter le nom du titulaire de la carte, l'adresse de facturation (y compris le code postal) et l'adresse IP lors du paiement. Stripe définit également des cookies d'identification de l'appareil (
__stripe_mid,__stripe_sid) via sa bibliothèque JavaScript. Stripe agit en tant que responsable du traitement indépendant pour les données de fraude et de risque en vertu de sa propre politique de confidentialité (stripe.com/privacy). - Lexware (Haufe-Lexware GmbH & Co. KG) est une entité allemande directement soumise au RGPD et au BDSG ; aucun mécanisme de transfert de données transfrontalier n'est requis. Lexware traite les enregistrements de factures, les notes de crédit et les données de reconnaissance des revenus à des fins de comptabilité et de déclaration de TVA. Les données transmises se limitent aux enregistrements financiers/de facturation (montants des factures, postes, dates d'échéance, références de paiement, raison sociale de facturation, numéro de TVA). Aucune donnée vocale, de session ou d'authentification des utilisateurs finaux n'est transmise à Lexware. La conservation légale de 10 ans des enregistrements comptables s'applique en vertu du §147 AO / HGB.
Contact
Pour recevoir un préavis de changements de sous-traitants ou pour soumettre une objection en vertu de l'article 28, paragraphe 2, du RGPD, contactez :