Liste publique des sous-traitants

DEZVOLTA, éditeur de RECOVMAX™ et RECOV™, recourt à un nombre limité de sous-traitants techniques pour assurer le service. Cette page liste l'ensemble des sous-traitants impliqués dans le traitement des données personnelles, conformément à l'article 28-2 du RGPD et au DPA RECOVMAX. Elle est mise à jour à chaque ajout ou retrait.

📅 Dernière mise à jour : 8 mai 2026 — aucun changement depuis le 16 avril 2026.

Sous-traitants actuels

Sous-traitant	Finalité	Hébergement	Données traitées · garanties
Supabase Inc. PostgreSQL managé · Auth · Storage	Base de données principale · authentification · stockage fichiers (logos, exports).	UE — Francfort	Toutes données utilisateurs (clients, créances, débiteurs, événements). Chiffrement au repos AES-256, en transit TLS 1.3. Region eu-central-1 forcée. RLS PostgreSQL natif (cloisonnement multi-tenant). DPA Supabase — supabase.com/dpa
Vercel Inc. Hébergement web · serverless functions	Hébergement de l'interface utilisateur et des endpoints API (relances, admin, IA).	UE — Francfort	Logs de requêtes (anonymisés sous 30 j). Aucune donnée utilisateur stockée durablement chez Vercel. Region fra1 forcée pour les fonctions sensibles. DPA Vercel — vercel.com/legal/dpa
Stripe Payments Europe Ltd Paiement abonnements	Encaissement des abonnements RECOV / RECOVMAX. Gestion Customer Portal (annulation, MAJ moyens de paiement).	UE — Irlande	Email, nom, adresse de facturation. Aucune donnée carte ne transite chez DEZVOLTA (PCI DSS Level 1). DPA Stripe — stripe.com/legal/dpa
Anthropic PBC API Claude · assistant Recovo	Suggestions in-app (assistant Recovo). Génération de scripts de relance et synthèses.	USA — Clauses contractuelles types	Données contextuelles minimales (montants, statuts, score santé) — jamais les données nominatives des débiteurs ni les emails clients. Zero data retention : aucune conservation des prompts par Anthropic, pas d'entraînement. DPA Anthropic — anthropic.com/legal/dpa · Clauses CCT 2021/914 UE
Resend Inc. Mail transactionnel	Envoi des emails transactionnels (confirmations, relances système, notifications). Activé en juin 2026.	UE — Frankfurt	Adresses email destinataires + contenu des messages. Pas de tracking pixel par défaut. DKIM/SPF/DMARC configurés. DPA Resend — resend.com/legal/dpa
PostHog Inc. Analytics produit (anonymisé)	Mesure d'usage des fonctionnalités (clics, parcours). Activé en juin 2026.	UE — Frankfurt	Identifiants anonymisés (UUID utilisateur), événements d'usage, pas de PII. IP anonymisée, opt-out disponible dans les paramètres compte. DPA PostHog — posthog.com/dpa
Cloudflare Inc. CDN · DNS · protection DDoS	Distribution des ressources statiques (HTML, JS, images). DNS du domaine recov.pro.	UE — POP Paris/Frankfurt	Logs d'accès anonymisés (durée 24h). Aucune donnée utilisateur applicative. DPA Cloudflare — cloudflare.com/dpa

Lecture : tous nos sous-traitants critiques (base de données, hébergement, paiement, mail) sont hébergés en Union européenne. Le seul sous-traitant hors UE est Anthropic (API Claude pour l'assistant Recovo) — encadré par les Clauses Contractuelles Types européennes 2021/914 et un mode Zero Data Retention qui interdit toute conservation des données après réponse.

Sous-traitants envisagés (non encore activés)

Sous-traitant	Finalité prévue	Hébergement	Activation prévue
Maileva (Docaposte) Lettre recommandée API	Envoi de lettres recommandées avec accusé de réception (LRAR) en un clic depuis l'application.	France	Q3 2026 — Sprint P1
Pappers Enrichment SIREN / SIRET	Auto-complétion des informations légales des débiteurs (forme juridique, dirigeant, statut).	France	Q3 2026 — Sprint P1
DocuSeal (self-hosted) E-signature mandat client	Signature électronique du mandat de gestion entre le pro et son client TPE.	UE — auto-hébergé Vercel	Q2 2026 — Sprint P0
Aircall ou Ringover Téléphonie loggée	Loggage des appels passés depuis l'application (preuve de relance amiable).	France	Q1 2027 — Sprint P2

Vos droits sur cette liste

Conformément à l'article 28-2 du RGPD, vous avez le droit de :

Être informé de tout ajout ou retrait de sous-traitant — cette page constitue notre canal d'information principal.
Vous opposer à un changement de sous-traitant, dans un délai de 30 jours suivant la notification.
Demander la cessation du recours à un sous-traitant spécifique (si l'opposition est fondée et impacte significativement vos données).

Pour exercer ces droits, écrivez à rgpd@dezvolta.org.

Notification des changements

Comment vous prévenons-nous d'un changement ?

• Mise à jour de cette page (date en tête modifiée).
• Email à l'adresse de contact du compte si le changement est structurant (ajout d'un nouveau pays d'hébergement, changement de fournisseur principal, transfert hors UE).
• Notification in-app pour les utilisateurs actifs (lors de la prochaine connexion).

Le délai d'opposition court à partir de la première de ces notifications.

Sous-traitants non utilisés (engagement de transparence)

Pour lever toute ambiguïté, voici les services que nous n'utilisons PAS dans RECOVMAX/RECOV à ce jour :

❌ Google Analytics / Google Tag Manager	Pas de tracking publicitaire. PostHog en alternative privacy-first.
❌ Meta Pixel / Facebook Ads	Aucun tracking sur les pages.
❌ Microsoft Clarity / Hotjar	Pas d'enregistrement de session utilisateur.
❌ Mailchimp / SendGrid (US)	Resend (UE) privilégié.
❌ Intercom / Zendesk (US)	Support direct par email pedro.berbel@dezvolta.org.
❌ AWS / Azure / GCP en direct	Stack 100% européenne (Supabase + Vercel UE).

Liens documents juridiques

CGU RECOVMAX → Conditions générales d'utilisation · 14 articles DPA RECOVMAX → Accord de traitement de données · 15 articles Politique confidentialité → Cookies, données collectées, droits