Sous-traitants ultérieurs

Dernière mise à jour : 8 mai 2026

Conformément à l'article 28 du Règlement Général sur la Protection des Données (RGPD), nous publions la liste exhaustive des sous-traitants ultérieurs (« subprocessors ») auxquels nous faisons appel pour fournir le Service. Pour chaque sous-traitant nous indiquons sa raison sociale, sa localisation, la finalité du traitement et la nature des données transmises.

Les transferts vers des pays hors Espace Économique Européen sont encadrés par les clauses contractuelles types adoptées par la Commission européenne (décision d'exécution 2021/914), garantissant un niveau de protection équivalent à celui exigé par le RGPD.

Notification d'un nouveau sous-traitant

Lorsque nous ajoutons un nouveau sous-traitant susceptible de traiter vos données personnelles, nous mettons cette page à jour au moins 30 jours avant que le sous-traitant ne commence à traiter les données. Si vous souhaitez recevoir cette notification par email, écrivez à dpo@pilotcrew.io avec l'objet « subscribe subprocessors ».

Liste des sous-traitants au 8 mai 2026

Sous-traitant	Finalité	Localisation	Données	EEE
Vercel Inc.	Hébergement applicatif (frontend + serverless functions)	États-Unis, hébergement EU (fra1)	Toutes données du Service (chiffrées en transit)	CCT
Supabase Inc.	Base de données PostgreSQL + Auth + Storage	Région eu-central-1 (Francfort, Allemagne)	Données de compte, contenus, audit logs	EEE ✓
Upstash Inc.	Cache Redis + index vectoriel + queue QStash	EU (eu-west-1)	Cache de réponses IA, files de tâches	EEE ✓
Cloudflare R2	Stockage objet (assets, exports)	EU automatique	Fichiers uploadés, exports RGPD	EEE ✓
Anthropic PBC	Modèles IA Claude (Sonnet / Opus) pour génération de contenu	États-Unis	Prompts (briefs anonymisés), pas de données personnelles directement identifiantes	CCT
OpenAI, L.L.C.	Modèles GPT pour traitement texte de fallback	États-Unis	Prompts (briefs anonymisés)	CCT
Google LLC	Modèles Gemini Pro / Flash pour recherche groundée et batch	États-Unis (région UE possible)	Prompts (briefs anonymisés)	CCT
Fal.ai	Génération d’images (FLUX, Recraft, Ideogram)	États-Unis	Prompts image, pas de données personnelles	CCT
Resend, Inc.	Envoi d’emails transactionnels (welcome, alerts, outreach)	États-Unis	Adresses email destinataires + contenu email	CCT
Stripe Payments Europe Ltd.	Traitement des paiements + facturation	Irlande	Email facturation, données carte (tokenisées par Stripe — nous ne les voyons pas)	EEE ✓
Sentry (Functional Software, Inc.)	Monitoring d’erreurs applicatives	États-Unis (région UE)	Stack traces, métadonnées de requête (PII scrubée côté serveur)	CCT
Langfuse GmbH	Observabilité des appels IA (latence, coûts, qualité)	Allemagne	Métadonnées de prompts (pas de contenu utilisateur)	EEE ✓
Apollo.io	Enrichissement B2B de prospects (cold outreach)	États-Unis	Domaines + intitulés de poste pour matching	CCT
Unipile SAS	API LinkedIn (DM + invitations) — alternative au programme partenaire LinkedIn	France	Identifiants LinkedIn du compte autorisé	EEE ✓
Vapi.ai	Voice agent (conversations téléphoniques sortantes opt-in)	États-Unis	Numéros de téléphone, transcriptions vocales (donnée biométrique au sens RGPD Art. 9)	CCT
ElevenLabs Inc.	Synthèse vocale (TTS) pour le voice agent (Charlie-fr et voix françaises)	États-Unis	Texte à synthétiser (pas de données client). La voix synthétique est artificielle, ne contient pas de biométrie de client.	CCT
Google LLC (Analytics 4 + Tag Manager)	Analytics web + déclencheurs marketing	États-Unis	Adresse IP anonymisée, événements de navigation (consentement requis)	CCT
Trustpilot A/S	Recueil et affichage d’avis clients	Danemark	Email destinataire de l’invitation à laisser un avis	EEE ✓
Telnyx LLC	Carrier PSTN (numéros français +33) derrière l’agent vocal et la messagerie SMS récap	Pays-Bas / EU	Numéros de téléphone, métadonnées d’appel (CDR), contenu SMS récap post-call	EEE ✓

Données utilisées pour entraîner des modèles IA

Vos données ne sont jamais utilisées pour entraîner les modèles IAde nos sous-traitants. Nous activons spécifiquement les options « Zero Data Retention » et « no-training » disponibles chez Anthropic, OpenAI, Google et Fal.ai. Les prompts envoyés à ces fournisseurs ne sont conservés qu'à des fins d'observabilité technique chez Langfuse (métadonnées uniquement), pendant 30 jours maximum.

Voir aussi

Sous-traitants ultérieurs

Dernière mise à jour : 8 mai 2026

Notification d'un nouveau sous-traitant

Liste des sous-traitants au 8 mai 2026

Sous-traitant	Finalité	Localisation	Données	EEE
Vercel Inc.	Hébergement applicatif (frontend + serverless functions)	États-Unis, hébergement EU (fra1)	Toutes données du Service (chiffrées en transit)	CCT
Supabase Inc.	Base de données PostgreSQL + Auth + Storage	Région eu-central-1 (Francfort, Allemagne)	Données de compte, contenus, audit logs	EEE ✓
Upstash Inc.	Cache Redis + index vectoriel + queue QStash	EU (eu-west-1)	Cache de réponses IA, files de tâches	EEE ✓
Cloudflare R2	Stockage objet (assets, exports)	EU automatique	Fichiers uploadés, exports RGPD	EEE ✓
Anthropic PBC	Modèles IA Claude (Sonnet / Opus) pour génération de contenu	États-Unis	Prompts (briefs anonymisés), pas de données personnelles directement identifiantes	CCT
OpenAI, L.L.C.	Modèles GPT pour traitement texte de fallback	États-Unis	Prompts (briefs anonymisés)	CCT
Google LLC	Modèles Gemini Pro / Flash pour recherche groundée et batch	États-Unis (région UE possible)	Prompts (briefs anonymisés)	CCT
Fal.ai	Génération d’images (FLUX, Recraft, Ideogram)	États-Unis	Prompts image, pas de données personnelles	CCT
Resend, Inc.	Envoi d’emails transactionnels (welcome, alerts, outreach)	États-Unis	Adresses email destinataires + contenu email	CCT
Stripe Payments Europe Ltd.	Traitement des paiements + facturation	Irlande	Email facturation, données carte (tokenisées par Stripe — nous ne les voyons pas)	EEE ✓
Sentry (Functional Software, Inc.)	Monitoring d’erreurs applicatives	États-Unis (région UE)	Stack traces, métadonnées de requête (PII scrubée côté serveur)	CCT
Langfuse GmbH	Observabilité des appels IA (latence, coûts, qualité)	Allemagne	Métadonnées de prompts (pas de contenu utilisateur)	EEE ✓
Apollo.io	Enrichissement B2B de prospects (cold outreach)	États-Unis	Domaines + intitulés de poste pour matching	CCT
Unipile SAS	API LinkedIn (DM + invitations) — alternative au programme partenaire LinkedIn	France	Identifiants LinkedIn du compte autorisé	EEE ✓
Vapi.ai	Voice agent (conversations téléphoniques sortantes opt-in)	États-Unis	Numéros de téléphone, transcriptions vocales (donnée biométrique au sens RGPD Art. 9)	CCT
ElevenLabs Inc.	Synthèse vocale (TTS) pour le voice agent (Charlie-fr et voix françaises)	États-Unis	Texte à synthétiser (pas de données client). La voix synthétique est artificielle, ne contient pas de biométrie de client.	CCT
Google LLC (Analytics 4 + Tag Manager)	Analytics web + déclencheurs marketing	États-Unis	Adresse IP anonymisée, événements de navigation (consentement requis)	CCT
Trustpilot A/S	Recueil et affichage d’avis clients	Danemark	Email destinataire de l’invitation à laisser un avis	EEE ✓
Telnyx LLC	Carrier PSTN (numéros français +33) derrière l’agent vocal et la messagerie SMS récap	Pays-Bas / EU	Numéros de téléphone, métadonnées d’appel (CDR), contenu SMS récap post-call	EEE ✓

Données utilisées pour entraîner des modèles IA