1. Cadre juridique de la sous-traitance
Conformément à l'article 28 du RGPD, FC-Invest SASU recourt à des sous-traitants présentant des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées. Chaque sous-traitant fait l'objet d'un accord de traitement (DPA) écrit conforme à l'article 28.3 du RGPD.
FC-Invest SASU exige contractuellement de chacun de ses sous-traitants exposés à des modèles de langage (LLM) la non-utilisation des données transmises pour l'entraînement de modèles. Cette clause est vérifiée à la signature et auditée à chaque renouvellement contractuel.
La présente liste est complémentaire de la section 7 de la politique de confidentialité, qui décrit la structure générale du recours à la sous-traitance et les catégories de sous-traitants opérationnels variant selon la configuration de chaque cabinet client.
2. Sous-traitants techniques structurels du service
Ces sous-traitants interviennent dans le fonctionnement du service SignalAi indépendamment du cabinet client. Ils sont communs à l'ensemble des traitements opérés par FC-Invest SASU et constituent le socle technique de l'infrastructure et des traitements automatisés.
| Sous-traitant | Rôle | Localisation | Cadre transfert |
|---|---|---|---|
| GitHub, Inc. | Hébergement du site web informatif signalai.fr (GitHub Pages). Aucune donnée personnelle de cabinet client ou de dirigeant analysé n'y transite. | États-Unis | DPF |
| Hostinger International | Hébergement de l'infrastructure technique du pipeline de traitement (VPS, base de données, données clients) | Paris, France (UE) | UE |
| Hetzner Online GmbH | Hébergement des sauvegardes chiffrées de la base de données du pipeline (continuité de service) | Falkenstein, Allemagne (UE) | UE |
| Anthropic, PBC | Modèle de langage pour la génération de résumés et l'analyse de signaux | États-Unis | DPF |
| OpenAI, LLC | Modèle de langage pour certaines étapes d'extraction et de scoring | États-Unis | DPF |
| Brave Software, Inc. | API de recherche web pour enrichissement de contexte | États-Unis | CCT |
| Perplexity AI, Inc. | API de recherche augmentée pour enrichissement | États-Unis | CCT |
| Apify Technologies s.r.o. | Collecte automatisée de profils LinkedIn publics | République tchèque (UE) | UE |
3. Sous-traitants opérationnels actuellement utilisés
Ces sous-traitants varient selon la configuration retenue par chaque cabinet client (CRM, messagerie, outil de collaboration). La liste ci-dessous recense les sous-traitants opérationnels effectivement utilisés à la date de mise à jour indiquée en haut de cette page.
3.1 Outils de gestion de la relation client (CRM)
| Sous-traitant | Rôle | Localisation | Cadre transfert |
|---|---|---|---|
| HubSpot, Inc. | CRM commercial — gestion des contacts cabinets clients, suivi des prospects ayant initié une démarche via signalai.fr | États-Unis | DPF |
3.2 Outils de messagerie professionnelle
| Sous-traitant | Rôle | Localisation | Cadre transfert |
|---|---|---|---|
| Google LLC (Gmail) | Envoi des alertes, des digests et des communications opérationnelles par email | États-Unis | DPF |
3.3 Outils de collaboration et de notification d'équipe
| Sous-traitant | Rôle | Localisation | Cadre transfert |
|---|---|---|---|
| Slack Technologies, Inc. | Livraison d'alertes en canal Slack pour les cabinets ayant configuré ce mode de réception, et notifications de supervision technique interne | États-Unis | DPF |
4. Légende et cadres de transfert
Conformément aux articles 44 à 49 du RGPD, les transferts de données vers des sous-traitants établis hors de l'Union européenne sont encadrés par l'un des trois mécanismes suivants :
- UE Traitement réalisé dans l'Union européenne — aucun transfert hors UE.
- DPF Data Privacy Framework UE-États-Unis — décision d'adéquation de la Commission européenne du 10 juillet 2023. Le DPF garantit un niveau de protection des données substantiellement équivalent à celui assuré dans l'Union européenne.
- CCT Clauses Contractuelles Types adoptées par la Commission européenne le 4 juin 2021 (décision 2021/914), incluant les mesures techniques et organisationnelles complémentaires recommandées par le Comité européen de la protection des données.
5. Historique des modifications
Toute évolution substantielle de la liste des sous-traitants est consignée dans le tableau ci-dessous. Les ajouts ou retraits font par ailleurs l'objet d'une notification individualisée auprès des cabinets clients liés par contrat selon les modalités prévues à leur DPA bilatéral.
| Date | Évolution |
|---|---|
| 1ᵉʳ mai 2026 | Création de la page dédiée. Recensement initial de 11 sous-traitants : 8 structurels (GitHub, Hostinger, Hetzner, Anthropic, OpenAI, Brave, Perplexity, Apify) et 3 opérationnels (HubSpot, Google Gmail, Slack). |
6. Information et opposition
Conformément à l'article 13.1.e du RGPD, toute personne concernée par un traitement opéré par FC-Invest SASU est informée des destinataires de ses données via la combinaison de la politique de confidentialité §7 (catégories) et de la présente page (liste nominative à jour).
Si vous souhaitez exercer un droit d'accès, de rectification, d'effacement, d'opposition, de limitation ou de portabilité concernant vos données traitées par FC-Invest SASU ou par l'un des sous-traitants listés ci-dessus, vous pouvez adresser votre demande à :
Voie postale : FC-Invest SASU — Référent données personnelles — 28 rue des Folies Chaillou, 44000 Nantes, France
Les modalités complètes d'exercice de vos droits sont décrites à la section 11 de la politique de confidentialité.