Sous-traitants
Les sociétés qui hébergent ou traitent des données pour le compte d'Inkally.
Last updated · 2026-05-24
Conformément à l'art. 28 RGPD et à notre Politique de confidentialité, Inkally fait appel aux sous-traitants suivants pour héberger ou traiter les données de ses utilisateurs. Cette liste est tenue à jour ; toute modification significative est notifiée par email aux studios abonnés avec un préavis de 30 jours.
Liste des sous-traitants au 20/06/2026
| Sous-traitant | Rôle | Lieu d'hébergement | Encadrement légal |
|---|---|---|---|
| Supabase Inc. | Base de données + authentification | Frankfurt (Allemagne) | SCCs + EU-US DPF + DPA |
| Cloudflare Inc. | Stockage R2 (photos, PDF) + CDN | UE | SCCs + EU-US DPF + DPA |
| Vercel Inc. | Hébergement applicatif Next.js | Frankfurt (Allemagne) | SCCs + EU-US DPF + DPA |
| Resend Inc. | Emails transactionnels | UE | SCCs + DPA |
| Stripe Payments Europe Ltd. | Paiements (abonnements + acomptes RDV) | Dublin (Irlande) | DPA Stripe + PCI-DSS L1 |
| Functional Software Inc. (Sentry) | Monitoring erreurs (opt-in cookies) | UE (région EU activée) | SCCs + DPA + consentement utilisateur |
| PostHog Inc. | Analytics produit (opt-in cookies) | UE (région EU activée) | SCCs + DPA + consentement utilisateur |
Données concernées et mitigations
- Données de santé (questionnaires médicaux) : chiffrées en bout-en-bout (ECIES NIST P-256 + AES-GCM) avant transit. La clé privée est dans ton navigateur (IndexedDB) — aucun sous-traitant ne peut les lire.
- Données personnelles clients (nom, contact) : transit en TLS 1.3, stockage AES-256, accès limité par RLS multi-tenant.
- Données de paiement (CB) : jamais stockées par Inkally ni Supabase. Tokenisation 100% côté Stripe.
Transferts internationaux et US Cloud Act
Vercel, Supabase, Cloudflare, Stripe et Resend sont des sociétés incorporées aux États-Unis. Bien que les données soient physiquement hébergées en UE, ces sociétés restent soumises au US CLOUD Act. Le transfert est encadré par les Clauses Contractuelles Types de la Commission européenne (décision 2021/914) et le EU-US Data Privacy Framework(décision d'adéquation 2023/1795 du 10 juillet 2023). Pour les données les plus sensibles (santé), le chiffrement bout-en-bout zero-knowledge garantit qu'aucun sous-traitant contraint par une autorité étrangère ne peut accéder au contenu en clair.
Modifications
Toute ajout, retrait ou modification significative d'un sous-traitant est notifié par email aux studios abonnés au moins 30 jours avant son entrée en vigueur, sauf urgence sécuritaire.
Contact
Pour toute question sur cette liste : rgpd@inkally.app.