CaliaLabs Logo

LISTE DES SOUS-TRAITANTS

Dernière mise à jour : 06 Février 2026

1. Politique de Sous-Traitance

Conformément au RGPD et au DPA, CaliaLabs s'engage à :

  • • Maintenir une liste à jour des sous-traitants
  • • Notifier les clients de tout ajout ou modification
  • • Imposer aux sous-traitants les mêmes obligations de sécurité
  • • Privilégier les partenaires certifiés ISO 27001, SOC 2

2. Sous-Traitants Actifs

OVHcloud

Hébergement Infrastructure

Service : Hébergement des serveurs, base de données, stockage

Localisation : France (Gravelines, Roubaix)

Certifications : ISO 27001, SOC 2 Type II, HDS

Souveraineté : 100% France, conforme RGPD

Microsoft Azure

Cloud Services

Service : Passerelle cloud pour accès aux API IA (OpenAI, Anthropic)

Localisation : France (région Azure France Central)

Certifications : ISO 27001, SOC 2 Type II, certifié SecNumCloud

Souveraineté : 100% souverain via Azure France

HashiCorp Vault

Sécurité & Gestion de Secrets

Service : Gestion centralisée des secrets, clés API, certificats

Localisation : Sur nos propres serveurs (OVHcloud France)

Certifications : Logiciel open-source audité

Souveraineté : 100% souverain (self-hosted)

OpenAI (via Azure)

Modèles d'IA GPT

Service : API GPT-4 pour analyse de conformité

Localisation : Via Azure France (données traitées en France)

Certifications : SOC 2 Type II

Garantie : Zero Data Retention (Azure France), aucun stockage hors UE

Anthropic (via Azure)

Modèles d'IA Claude

Service : API Claude pour analyse de conformité

Localisation : Via Azure France (données traitées en France)

Certifications : SOC 2 Type II

Garantie : Zero Data Retention (Azure France), aucun stockage hors UE

Mistral AI

LLM Souverain

Service : Modèles d'IA français pour analyse

Localisation : France (entreprise française)

Certifications : Conforme RGPD, souveraineté européenne

Souveraineté : 100% européen, données non transférées hors UE

GoCardless

Paiement et Facturation

Service : Traitement des prélèvements bancaires SEPA

Localisation : Irlande (UE)

Certifications : FCA regulated, ISO 27001, conforme DSP2

Données traitées : IBAN uniquement (hors scope données CEREBRO)

3. Mesures de Contrôle

  • • Audit annuel des sous-traitants critiques
  • • Vérification des certifications de sécurité
  • • DPA (Data Processing Agreement) signé avec chaque sous-traitant
  • • Minimisation des données transmises (principe du moindre privilège)
  • • Chiffrement des données en transit (TLS 1.3 minimum)

4. Notification de Changement

Tout ajout ou remplacement d'un sous-traitant critique fait l'objet d'une notification par email aux clients 30 jours avant la mise en production. Les clients peuvent s'opposer par écrit dans un délai de 15 jours.