Sous-traitants et transferts de données

En application de l'article 28 du RGPD, Komplio publie ici la liste exhaustive et actualisée des sous-traitants qui interviennent dans le traitement de vos données personnelles, avec leur finalité, leur localisation, les garanties de transfert international et les durées de conservation applicables.

Qu'est-ce qu'un sous-traitant ?

Au sens de l'article 4.8 du RGPD, un sous-traitant est toute entité qui traite des données à caractère personnel pour le compte de Komplio (responsable du traitement). Chaque sous-traitant est encadré par un accord de traitement des données (DPA)conforme à l'article 28.3 RGPD, imposant notamment : la confidentialité, la sécurité technique et organisationnelle, l'assistance en cas de demande d'exercice de droit, la notification rapide en cas de violation, et la suppression ou restitution des données en fin de contrat.

Transferts de données hors Union européenne

Certains sous-traitants sont établis hors de l'Union européenne, principalement aux États-Unis. Ces transferts sont encadrés par les garanties prévues par le chapitre V du RGPD :

Data Privacy Framework (DPF) — décision d'adéquation de la Commission européenne du 10 juillet 2023 pour les entreprises américaines certifiées.
Clauses Contractuelles Types (CCT) — modules 2 (responsable → sous-traitant) et 3 (sous-traitant → sous-traitant) de la décision 2021/914 de la Commission.
Mesures supplémentaires — chiffrement en transit (TLS 1.2+) et au repos, pseudonymisation lorsque possible.

Liste des sous-traitants

Supabase

Finalité: Hébergement de la base de données, authentification, stockage des avatars
Données traitées: Identité, coordonnées, données de compte, diagnostics, documents générés, avatars
Localisation: France (Paris, région AWS eu-west-3)
Garanties transfert: Traitement réalisé en France — aucun transfert hors UE pour le stockage
Conservation: Durée de la relation contractuelle puis 3 ans après suppression du compte
Documents: DPA ↗Politique de confidentialité ↗

Vercel Inc.

Finalité: Hébergement du site et exécution des fonctions serverless
Données traitées: Journaux techniques (adresse IP, user-agent), requêtes HTTP anonymisées
Localisation: États-Unis (siège) — serveurs mondiaux
Garanties transfert: Data Privacy Framework (DPF) + Clauses Contractuelles Types (CCT)
Conservation: Journaux conservés 30 jours maximum
Documents: DPA ↗Politique de confidentialité ↗

Anthropic PBC

Finalité: Traitement par intelligence artificielle (API Claude) — assistant conversationnel et génération de documents
Données traitées: Prompts utilisateur, contenu des documents générés, données d'entreprise saisies
Localisation: États-Unis
Garanties transfert: Clauses Contractuelles Types (CCT) de la Commission européenne
Conservation: Données non utilisées pour l'entraînement du modèle. Supprimées dans les 30 jours par Anthropic (zero data retention activé côté API)
Documents: DPA ↗Politique de confidentialité ↗

Stripe Payments Europe Ltd. / Stripe Inc.

Finalité: Traitement des paiements par carte bancaire et facturation
Données traitées: Identité, email, montant, détails de facturation, empreinte de carte (tokenisée)
Localisation: Irlande (Stripe Payments Europe) + États-Unis (Stripe Inc.)
Garanties transfert: Data Privacy Framework (DPF) + Clauses Contractuelles Types (CCT)
Conservation: 10 ans (obligation légale française L.123-22 Code de commerce)
Documents: DPA ↗Politique de confidentialité ↗

Resend

Finalité: Envoi d'emails transactionnels (confirmation d'inscription, réinitialisation de mot de passe, alertes réglementaires)
Données traitées: Email, prénom, objet et contenu du message, journaux d'envoi
Localisation: Irlande (région eu-west-1)
Garanties transfert: Traitement réalisé dans l'UE. Maison-mère aux États-Unis sous DPF + CCT
Conservation: Journaux d'envoi conservés 30 jours
Documents: DPA ↗Politique de confidentialité ↗

Modifications de la liste

Conformément à l'article 28.2 du RGPD, Komplio vous informe préalablement de tout changement envisagé concernant l'ajout ou le remplacement d'un sous-traitant, de manière à vous permettre d'émettre des objections raisonnables. Cette information est publiée sur la présente page et, lorsque la modification est substantielle, envoyée par email à l'adresse associée à votre compte.

Vos droits

Vous disposez à tout moment d'un droit d'accès, de rectification, d'effacement, de limitation, d'opposition et de portabilité sur vos données personnelles, y compris lorsqu'elles sont traitées par un sous-traitant. Les modalités d'exercice de ces droits sont détaillées dans notre politique de confidentialité. Vous pouvez également nous contacter directement à contact@komplio.fr.

Dernière mise à jour : avril 2026