Sous-traitants (Art. 28 RGPD)

Dernière mise à jour : 23 avril 2026

Conformément à l'article 28.2 du RGPD, Axonc publie la liste exhaustive des sous-traitants ultérieurs intervenant dans le traitement des données du Client. Toute modification fait l'objet d'une notification avec préavis de 30 jours (voir CGV § 10.4).

🔐 Engagement Axonc : Axonc sélectionne ses sous-traitants avec exigence — chacun est tenu contractuellement aux obligations de l'article 28 RGPD (confidentialité, sécurité, assistance à l'exercice des droits, notification de violation sous 72h).

1. Sous-traitants actifs

Hostinger International Ltd Actif

Hébergement & infrastructure

Service fourni: Hébergement VPS KVM (serveur Ubuntu 24.04), emails SMTP, DNS
Localisation données: France (Paris) — Datacenter UE
Transfert hors UE: Aucun pour les données stockées
Siège social: 61 Lordou Vironos Street, 6023 Larnaca, Chypre
Certifications: ISO 27001, ISO 27017, ISO 27018, PCI-DSS
Contrat: Contrat fournisseur Hostinger (inclut DPA RGPD)
Site web: www.hostinger.fr

Données concernées : toutes les données stockées sur l'infrastructure (base MariaDB, uploads hors public_html, logs système). Isolation multi-tenant garantie côté applicatif par Axonc.

Google LLC (Gemini API) Actif

Assistance IA générative

Service fourni: API Gemini 2.5 Flash — suggestions matrices de risques, recherche réglementaire, rédaction assistée
Localisation données: États-Unis (Google Cloud) — traitement en mémoire, pas de stockage prolongé selon Google DPA
Transfert hors UE: Oui, vers États-Unis
Mécanisme de transfert: Standard Contractual Clauses (SCC 2021/914) de la Commission européenne + Certification EU-US Data Privacy Framework (DPF) active depuis juillet 2023 + Google Cloud Data Processing Addendum
Siège social: 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA
Représentant UE: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irlande
Contrat DPA: Google Cloud Data Processing Addendum
Certification DPF: Vérifier sur dataprivacyframework.gov

Données concernées : contenu textuel des prompts IA uniquement (descriptions de risques, contexte HSE, mémoire entreprise configurée par le Client). Aucune donnée de santé sensible au sens Art. 9 RGPD n'est transmise à Gemini (filtrage strict des prompts côté Axonc).

Désactivation possible : le Client peut désactiver totalement l'assistance IA depuis les paramètres de son espace (quota IA à 0).

Anthropic, Inc. (Claude API) Actif depuis le 3 mai 2026

Support client assisté par IA

Service fourni: API Claude Haiku 4.5 — assistant chat de support client (widget bas-gauche du portail Axonc), tool use pour escalation automatique vers ticket humain
Localisation données: États-Unis (Anthropic API) — traitement éphémère, aucun stockage à long terme côté Anthropic selon Trust Center policy (conservation 30 jours pour audit puis suppression)
Transfert hors UE: Oui, vers États-Unis
Mécanisme de transfert: Standard Contractual Clauses (SCC 2021/914) de la Commission européenne + Certification EU-US Data Privacy Framework (DPF) active depuis octobre 2023 + Anthropic DPA signé le 2026-05-03 (PDF archivé chez Axonc)
Siège social: 548 Market Street PMB 90375, San Francisco, CA 94104, USA
Contrat DPA: Anthropic Data Processing Agreement
Politique de confidentialité: Anthropic Privacy Policy
Trust Center: trust.anthropic.com
Site web: www.anthropic.com

Données concernées : contenu textuel des conversations support du Client avec l'assistant IA (questions / réponses), email du Client (snapshot), nom (snapshot), rôle dans l'entreprise (owner/admin/manager/agent), contexte tenant (nom entreprise + mémoire IA configurée si renseignée). Aucune donnée de santé sensible au sens Art. 9 RGPD n'est transmise à Anthropic — l'IA support refuse tout partage de ce type (mots de passe, IBAN, données médicales) et déclenche une escalation immédiate sans transmission.

Pourquoi Claude pour le support et Gemini pour l'application QHSE ? Anthropic Claude est reconnu pour sa qualité supérieure sur le support client critique (Constitutional AI, hallucinations moindres, préférence pour répondre « je ne sais pas » plutôt qu'inventer). C'est le moment de fidélisation client le plus critique : on n'y prend pas de risque. Pour les modules QHSE haut volume (jusqu'à 5000 questions/mois par tenant), Gemini 2.5 Flash offre un excellent rapport qualité/coût. Architecture évolutive : préparation migration souveraineté FR/EU (Mistral) sous 2 ans via abstraction core/AiProvider.php.

Désactivation possible : le Client peut ne pas utiliser l'assistant chat (le bouton FAB bas-gauche du portail Axonc est optionnel, l'utilisateur peut toujours utiliser le bouton « Demander un humain » qui n'utilise pas l'IA — création directe de ticket BDD + email à fabien.casemajor2@gmail.com).

Stripe Payments Europe Ltd À activer (Phase commerciale)

Paiement et facturation SaaS

Service fourni: Encaissement des abonnements SaaS par carte bancaire, gestion récurrente, émission de factures
Localisation données: Irlande (UE) — réplication partielle vers États-Unis
Transfert hors UE: Oui, partiel (fallback et analytics Stripe)
Mécanisme de transfert: SCC 2021/914 + Stripe DPA standard
Siège UE: The One Building, 1 Grand Canal Street Lower, Dublin 2, Irlande
Certifications: PCI-DSS Level 1 (norme la plus exigeante industrie paiement), SOC 1 & 2, ISO 27001
Contrat DPA: Stripe Data Processing Agreement
Site web: stripe.com/fr

Données concernées : email, nom, adresse de facturation, identifiant client (stripe_customer_id). Aucune donnée de carte bancaire n'est stockée chez Axonc (tokenisation intégrale par Stripe Checkout).

2. Notification des changements

Toute adjonction, suppression ou remplacement d'un sous-traitant fera l'objet d'une notification par email adressée au Client (à l'adresse email associée au compte propriétaire) avec un préavis de 30 jours.

Pendant ce délai, le Client peut s'opposer au changement par email à contact@axonc.tech. Si l'opposition ne peut être résolue (ex : remplacement imposé par la fin de contrat d'un sous-traitant), le Client pourra résilier son abonnement sans frais au prorata.

3. Audit des sous-traitants

Conformément à l'article 28.3.h RGPD, le Client dispose d'un droit d'audit sur les mesures de sécurité mises en œuvre par les sous-traitants. Axonc relaie les demandes d'audit ou de questionnaire de sécurité au sous-traitant concerné dans un délai raisonnable.

Pour exercer ce droit, adresser une demande formelle à contact@axonc.tech en précisant le sous-traitant concerné et la portée souhaitée de l'audit.

4. Sous-traitants non-UE — Mesures supplémentaires

Pour les sous-traitants impliquant un transfert hors UE (Google, Stripe fallback US), Axonc applique les mesures supplémentaires conformes aux lignes directrices EDPB 04/2021 :

Mesures techniques : minimisation des données envoyées (prompts IA ne contiennent aucune donnée sensible Art. 9), chiffrement transit TLS 1.3, chiffrement repos côté sous-traitant.
Mesures contractuelles : SCC 2021/914 + DPA spécifiques + garanties équivalentes.
Mesures organisationnelles : transparence utilisateur (cette page + disclaimers AI Act), possibilité de désactivation par le Client, plan de contingence en cas d'invalidation des SCC (ex: migration Mistral FR pour Gemini).

Une analyse d'impact sur les transferts (AIPA) a été réalisée pour Gemini (voir document interne DPIA §4.4 — disponible sur demande).

5. Contact

Pour toute question relative aux sous-traitants ou aux transferts de données :

Email : contact@axonc.tech
DPO (auto-DPO) : Fabien CASEMAJOR — même adresse
Courrier : 5 Rue Georges Bizet, Villa 111, 13960 Sausset-les-Pins, France