Transparence RGPD · article 28
Sous-traitants et fournisseurs de données
Conformément à l'article 28 du RGPD, voici la liste exhaustive et à jour des prestataires que Nivelo utilise pour fournir ses services.
Version provisoire — en cours de validation juridique
La liste des sous-traitants ci-dessous reflète les prestataires réellement utilisés par Nivelo. Le cadre contractuel associé (contrat de protection des données et ses annexes) est en cours de validation par un avocat spécialisé en droit du numérique et sera finalisé avant la signature du premier client payant. Les statuts « DPA signé » font référence aux conventions publiques des prestataires ; la contractualisation propre à la société Nivelo (post-immatriculation) reste à finaliser.
| Fournisseur | Finalité chez Nivelo | Hébergement | Hors UE | Base légale | Statut DPA |
|---|---|---|---|---|---|
Vercel Vercel Inc. — États-Unis | Hébergement frontend Next.js et fonctions edge. | États-Unis (siège) — diffusion via régions Union européenne (Paris, Francfort), transferts encadrés par les clauses contractuelles types | Oui USA — CCT 2021/914 + DPF | Exécution du contrat (art. 6.1.b RGPD) | Signé |
Supabase Supabase Inc. — États-Unis | Base de données PostgreSQL, authentification et stockage de fichiers. | Union européenne — Francfort (eu-central-1) | Non | Exécution du contrat (art. 6.1.b RGPD) | Signé |
Stripe Stripe Payments Europe Ltd — Irlande | Paiement par carte bancaire et facturation SaaS. | Union européenne — Irlande | Non | Exécution du contrat (art. 6.1.b RGPD) et obligation légale (art. 6.1.c) | Signé |
Brevo Sendinblue SAS — France | Envoi d'emails transactionnels et campagnes marketing opt-in. | France | Non | Consentement (marketing, art. 6.1.a) / Intérêt légitime (transactionnel, art. 6.1.f) | Signé |
Crisp Crisp IM SAS — France | Chat de support intégré au site public. | France | Non | Exécution d'une demande d'assistance pré-contractuelle ou contractuelle (art. 6.1.b RGPD) | Signé |
Twilio Twilio Ireland Ltd — Irlande | Téléphonie programmable, SMS et infrastructure voice agents. | Union européenne et États-Unis selon le service | Partiel USA pour certaines fonctionnalités — CCT 2021/914 | Exécution du contrat (art. 6.1.b RGPD) | Signé |
ElevenLabs Eleven Labs Inc. — États-Unis | Synthèse vocale et clonage de voix pour les agents téléphoniques. | États-Unis | Oui USA — CCT 2021/914 + DPF | Consentement explicite pour voix clonée (art. 6.1.a RGPD) | À signer |
Hetzner Hetzner Online GmbH — Allemagne | VPS hébergeant le routeur d'inférence et l'orchestrateur de workflows. | Union européenne — Allemagne | Non | Exécution du contrat (art. 6.1.b RGPD) | Signé |
Groq Groq Inc. — États-Unis | Inférence LLM en mode fallback gratuit (Llama 3.3 70B). | États-Unis | Oui USA — CCT 2021/914 | Exécution du contrat (art. 6.1.b RGPD) | À signer |
Cerebras Cerebras Systems Inc. — États-Unis | Inférence LLM en mode fallback gratuit (Qwen3 235B). | États-Unis | Oui USA — CCT 2021/914 | Exécution du contrat (art. 6.1.b RGPD) | À signer |
Mistral AI Mistral AI SAS — France | Inférence LLM payante prioritaire (Codestral, Mistral Large). | France | Non | Exécution du contrat (art. 6.1.b RGPD) | Signé |
Anthropic Anthropic PBC — États-Unis | Inférence LLM payante prioritaire (Claude Haiku, Claude Sonnet). | États-Unis | Oui USA — CCT 2021/914 | Exécution du contrat (art. 6.1.b RGPD) | À signer |
Vercel
Vercel Inc. — États-Unis
- Finalité
- Hébergement frontend Next.js et fonctions edge.
- Hébergement
- États-Unis (siège) — diffusion via régions Union européenne (Paris, Francfort), transferts encadrés par les clauses contractuelles types
- Hors UE :
- Oui
- Base légale
- Exécution du contrat (art. 6.1.b RGPD)
- DPA :
- Signé
USA — CCT 2021/914 + DPF
Supabase
Supabase Inc. — États-Unis
- Finalité
- Base de données PostgreSQL, authentification et stockage de fichiers.
- Hébergement
- Union européenne — Francfort (eu-central-1)
- Hors UE :
- Non
- Base légale
- Exécution du contrat (art. 6.1.b RGPD)
- DPA :
- Signé
Stripe
Stripe Payments Europe Ltd — Irlande
- Finalité
- Paiement par carte bancaire et facturation SaaS.
- Hébergement
- Union européenne — Irlande
- Hors UE :
- Non
- Base légale
- Exécution du contrat (art. 6.1.b RGPD) et obligation légale (art. 6.1.c)
- DPA :
- Signé
Brevo
Sendinblue SAS — France
- Finalité
- Envoi d'emails transactionnels et campagnes marketing opt-in.
- Hébergement
- France
- Hors UE :
- Non
- Base légale
- Consentement (marketing, art. 6.1.a) / Intérêt légitime (transactionnel, art. 6.1.f)
- DPA :
- Signé
Crisp
Crisp IM SAS — France
- Finalité
- Chat de support intégré au site public.
- Hébergement
- France
- Hors UE :
- Non
- Base légale
- Exécution d'une demande d'assistance pré-contractuelle ou contractuelle (art. 6.1.b RGPD)
- DPA :
- Signé
Twilio
Twilio Ireland Ltd — Irlande
- Finalité
- Téléphonie programmable, SMS et infrastructure voice agents.
- Hébergement
- Union européenne et États-Unis selon le service
- Hors UE :
- Partiel
- Base légale
- Exécution du contrat (art. 6.1.b RGPD)
- DPA :
- Signé
USA pour certaines fonctionnalités — CCT 2021/914
ElevenLabs
Eleven Labs Inc. — États-Unis
- Finalité
- Synthèse vocale et clonage de voix pour les agents téléphoniques.
- Hébergement
- États-Unis
- Hors UE :
- Oui
- Base légale
- Consentement explicite pour voix clonée (art. 6.1.a RGPD)
- DPA :
- À signer
USA — CCT 2021/914 + DPF
Hetzner
Hetzner Online GmbH — Allemagne
- Finalité
- VPS hébergeant le routeur d'inférence et l'orchestrateur de workflows.
- Hébergement
- Union européenne — Allemagne
- Hors UE :
- Non
- Base légale
- Exécution du contrat (art. 6.1.b RGPD)
- DPA :
- Signé
Groq
Groq Inc. — États-Unis
- Finalité
- Inférence LLM en mode fallback gratuit (Llama 3.3 70B).
- Hébergement
- États-Unis
- Hors UE :
- Oui
- Base légale
- Exécution du contrat (art. 6.1.b RGPD)
- DPA :
- À signer
USA — CCT 2021/914
Cerebras
Cerebras Systems Inc. — États-Unis
- Finalité
- Inférence LLM en mode fallback gratuit (Qwen3 235B).
- Hébergement
- États-Unis
- Hors UE :
- Oui
- Base légale
- Exécution du contrat (art. 6.1.b RGPD)
- DPA :
- À signer
USA — CCT 2021/914
Mistral AI
Mistral AI SAS — France
- Finalité
- Inférence LLM payante prioritaire (Codestral, Mistral Large).
- Hébergement
- France
- Hors UE :
- Non
- Base légale
- Exécution du contrat (art. 6.1.b RGPD)
- DPA :
- Signé
Anthropic
Anthropic PBC — États-Unis
- Finalité
- Inférence LLM payante prioritaire (Claude Haiku, Claude Sonnet).
- Hébergement
- États-Unis
- Hors UE :
- Oui
- Base légale
- Exécution du contrat (art. 6.1.b RGPD)
- DPA :
- À signer
USA — CCT 2021/914
Transferts hors Union européenne
Pour les transferts de données vers les pays situés hors de l'Union européenne (Vercel, Twilio partiellement, ElevenLabs, Groq, Cerebras et Anthropic), Nivelo s'appuie sur les Clauses Contractuelles Types (CCT) de la Commission européenne édition 2021/914 ainsi que, le cas échéant, sur les certifications du EU-US Data Privacy Framework. Chaque sous-traitant concerné est engagé contractuellement à respecter un niveau de protection équivalent à celui imposé par le RGPD.
Les données sensibles(factures, contrats, données métier des utilisateurs finaux) restent prioritairement chez nos fournisseurs basés en Union européenne : Supabase pour la base de données (datacenter Francfort, Allemagne), Mistral AI pour l'inférence IA prioritaire (France) et Hetzner Online pour l'infrastructure de calcul (Allemagne). Les transferts hors UE concernent principalement l'hébergement du site public, l'inférence IA en mode fallback et la synthèse vocale optionnelle.
L'ensemble des échanges entre Nivelo et ses sous-traitants est chiffré en transit via le protocole TLS 1.2 minimum, et toutes les données au repos sont chiffrées chez chaque prestataire selon les standards de l'industrie (AES-256 ou équivalent). Aucune donnée client ne transite en clair sur les réseaux publics.
En cas d'incident de sécurité affectant des données personnelles, Nivelo notifie la Commission Nationale de l'Informatique et des Libertés (CNIL) dans un délai maximum de 72 heuresconformément à l'article 33 du RGPD, et informe les personnes concernées sans délai injustifié lorsque la violation est susceptible d'engendrer un risque élevé pour leurs droits et libertés (article 34 RGPD).
Vos droits RGPD
Conformément aux articles 15 à 22 du RGPD, vous disposez d'un droit d'accès, de rectification, d'effacement (« droit à l'oubli »), de limitation du traitement, de portabilité de vos données vers un autre prestataire, ainsi que d'un droit d'opposition au traitement fondé sur l'intérêt légitime. Lorsque le traitement repose sur votre consentement, vous pouvez le retirer à tout moment sans avoir à justifier de motif.
Pour exercer ces droits, deux options : connectez-vous à votre espace mon compte > mes données pour accéder, exporter ou supprimer vos données directement, ou écrivez à contact@nivelo.fr avec une copie d'une pièce d'identité. Nous répondons à toute demande dans un délai maximum de 30 jours conformément à l'article 12 du RGPD.
Si vous estimez que vos droits ne sont pas respectés ou si vous n'êtes pas satisfait·e de notre réponse, vous pouvez introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés) — autorité de contrôle française en matière de protection des données personnelles — cnil.fr/plaintes.
Mise à jour de cette liste
Cette liste est revue à chaque ajout ou retrait de prestataire. Conformément à l'article 28.2 du RGPD, vous serez notifié·e par email 30 jours avanttout ajout d'un nouveau sous-traitant susceptible de traiter vos données personnelles, afin que vous puissiez exercer votre droit d'opposition motivé.
Pour être informé·e en priorité des changements, abonnez-vous à la newsletter dédiée depuis votre espace données personnelles.
Page versionnée — historique des modifications disponible sur demande à contact@nivelo.fr. Référence interne : SOUS-TRAITANTS-v1.1-20260610.