Liste publique des sous-traitants

DEZVOLTA, éditeur de RECOVMAX™ et RECOV™, recourt à un nombre limité de sous-traitants techniques pour assurer le service. Cette page liste l'ensemble des sous-traitants impliqués dans le traitement des données personnelles, conformément à l'article 28-2 du RGPD et au DPA RECOVMAX. Elle est mise à jour à chaque ajout ou retrait.

📅 Dernière mise à jour : 8 mai 2026 — aucun changement depuis le 16 avril 2026.

Sous-traitants actuels

Sous-traitant	Finalité	Hébergement	Données traitées · garanties
Supabase Inc. PostgreSQL managé · Auth · Storage	Base de données principale · authentification · stockage fichiers (logos, exports).	UE — Francfort	Toutes données utilisateurs (clients, créances, débiteurs, événements). Chiffrement au repos AES-256, en transit TLS 1.3. Region eu-central-1 forcée. RLS PostgreSQL natif (cloisonnement multi-tenant). DPA Supabase — supabase.com/dpa
Vercel Inc. Hébergement web · serverless functions	Hébergement de l'interface utilisateur et des endpoints API (relances, admin, IA).	UE — Francfort	Logs de requêtes (anonymisés sous 30 j). Aucune donnée utilisateur stockée durablement chez Vercel. Region fra1 forcée pour les fonctions sensibles. DPA Vercel — vercel.com/legal/dpa
Stripe Payments Europe Ltd Paiement abonnements	Encaissement des abonnements RECOV / RECOVMAX. Gestion Customer Portal (annulation, MAJ moyens de paiement).	UE — Irlande	Email, nom, adresse de facturation. Aucune donnée carte ne transite chez DEZVOLTA (PCI DSS Level 1). DPA Stripe — stripe.com/legal/dpa
Anthropic PBC API Claude · assistant Recovo	Suggestions in-app (assistant Recovo). Génération de scripts de relance et synthèses.	USA — Clauses contractuelles types	Données de dossier limitées au strict nécessaire pour produire la réponse (montants, statuts, échéances, éléments du débiteur concerné). Pseudonymisation des identifiants débiteurs en cours de déploiement (V2). Pas d'entraînement sur les données envoyées (opt-out commercial activé) ; conservation limitée selon la politique d'Anthropic, puis suppression. DPA Anthropic — anthropic.com/legal/dpa · Clauses CCT 2021/914 UE
Resend Inc. Mail transactionnel	Envoi des emails transactionnels (confirmations, relances système, notifications). Actif.	UE — Frankfurt	Adresses email destinataires + contenu des messages. Pas de tracking pixel par défaut. DKIM/SPF/DMARC configurés. DPA Resend — resend.com/legal/dpa
PostHog Inc. Analytics produit (anonymisé)	Mesure d'usage des fonctionnalités (clics, parcours). Non activé à ce jour — mesure d'usage désactivée par défaut, aucune donnée collectée.	UE — Frankfurt	Identifiants anonymisés (UUID utilisateur), événements d'usage, pas de PII. IP anonymisée, opt-out disponible dans les paramètres compte. DPA PostHog — posthog.com/dpa
Cloudflare Inc. CDN · DNS · protection DDoS	Distribution des ressources statiques (HTML, JS, images). DNS du domaine recov.pro.	UE — POP Paris/Frankfurt	Logs d'accès anonymisés (durée 24h). Aucune donnée utilisateur applicative. DPA Cloudflare — cloudflare.com/dpa

Lecture : tous nos sous-traitants critiques (base de données, hébergement, paiement, mail) sont hébergés en Union européenne. Le seul sous-traitant hors UE est Anthropic (API Claude pour l'assistant Recovo) — encadré par les Clauses Contractuelles Types européennes 2021/914 avec un opt-out d'entraînement (les données envoyées ne servent pas à entraîner les modèles) et une conservation limitée selon la politique d'Anthropic.

Sous-traitants envisagés (non encore activés)

Sous-traitant	Finalité prévue	Hébergement	Activation prévue
Maileva (Docaposte) Lettre recommandée API	Envoi de lettres recommandées avec accusé de réception (LRAR) en un clic depuis l'application.	France	Q3 2026 — Sprint P1
Pappers Enrichment SIREN / SIRET	Auto-complétion des informations légales des débiteurs (forme juridique, dirigeant, statut).	France	Q3 2026 — Sprint P1
DocuSeal (self-hosted) E-signature mandat client	Signature électronique du mandat de gestion entre le pro et son client TPE.	UE — auto-hébergé Vercel	Q2 2026 — Sprint P0
Aircall ou Ringover Téléphonie loggée	Loggage des appels passés depuis l'application (preuve de relance amiable).	France	Q1 2027 — Sprint P2

Vos droits sur cette liste

Conformément à l'article 28-2 du RGPD, vous avez le droit de :

Être informé de tout ajout ou retrait de sous-traitant — cette page constitue notre canal d'information principal.
Vous opposer à un changement de sous-traitant, dans un délai de 30 jours suivant la notification.
Demander la cessation du recours à un sous-traitant spécifique (si l'opposition est fondée et impacte significativement vos données).

Pour exercer ces droits, écrivez à pedro.berbel@dezvolta.org.

Notification des changements

Comment vous prévenons-nous d'un changement ?

• Mise à jour de cette page (date en tête modifiée).
• Email à l'adresse de contact du compte si le changement est structurant (ajout d'un nouveau pays d'hébergement, changement de fournisseur principal, transfert hors UE).
• Notification in-app pour les utilisateurs actifs (lors de la prochaine connexion).

Le délai d'opposition court à partir de la première de ces notifications.

Sous-traitants non utilisés (engagement de transparence)

Pour lever toute ambiguïté, voici les services que nous n'utilisons PAS dans RECOVMAX/RECOV à ce jour :

❌ Google Analytics / Google Tag Manager	Pas de tracking publicitaire. PostHog en alternative privacy-first.
❌ Meta Pixel / Facebook Ads	Aucun tracking sur les pages.
❌ Microsoft Clarity / Hotjar	Pas d'enregistrement de session utilisateur.
❌ Mailchimp / SendGrid (US)	Resend (UE) privilégié.
❌ Intercom / Zendesk (US)	Support direct par email pedro.berbel@dezvolta.org.
❌ AWS / Azure / GCP en direct	Stack 100% européenne (Supabase + Vercel UE).

Liens documents juridiques

CGU RECOVMAX → Conditions générales d'utilisation · 14 articles DPA RECOVMAX → Accord de traitement de données · 15 articles Politique confidentialité → Cookies, données collectées, droits