Cette page liste les fournisseurs tiers que CybeDefend engage pour fournir les Services. La liste est incorporée par référence dans notre DPA. Nous nous engageons à un préavis de 30 jours avant l'ajout ou le remplacement de tout sous-traitant pour les clients enterprise.
Ce que couvre cette page
CybeDefend SAS est le sous-traitant des Données Personnelles Client soumises à la plateforme. Les sociétés ci-dessous sont des sous-traitants ultérieurs. Elles exécutent une fonction spécifique pour notre compte, sous accords écrits qui les engagent à des obligations de confidentialité, sécurité et protection des données non moins protectrices que les nôtres.
- Nous listons chaque sous-traitant ultérieur qui touche aux Données Personnelles Client, par nom, finalité et lieu.
- Nous ne listons pas les fournisseurs purement de développement ou de bureautique sans accès aux Données Personnelles Client (par exemple, hébergement de notre propre code source, applications de prise de notes internes).
- La liste reflète la plateforme à la date « Dernière mise à jour » en haut de cette page.
Liste actuelle des sous-traitants
Infrastructure cloud
| Fournisseur | Finalité | Données traitées | Lieu |
|---|---|---|---|
| Scaleway SA | Infrastructure cloud UE primaire pour la région UE. Compute, object storage, bases managées. Héberge aussi la couche d'inférence IA auto-opérée pour les deux régions. | Données Personnelles Client, Code Client (transitoire), logs de service, trafic d'inférence modèle. | France (Paris, Amsterdam) |
| Google Cloud (Google LLC) | Infrastructure cloud pour la région US. Compute, object storage, bases managées. | Données Personnelles Client, Code Client (transitoire), logs de service. | États-Unis |
| Cloudflare, Inc. | Edge public. Terminaison TLS, mitigation DDoS, WAF, DNS, CDN. | Métadonnées de requête (IP, en-têtes, chemins). Aucun corps de requête persisté. | Edge global. Anycast |
Inférence IA
CybeDefend opère sa propre couche d'inférence IA sur infrastructure souveraine UE (Scaleway). Code Client et prompts sont traités par des modèles open-weight auto-hébergés que nous opérons, pas par des API IA tierces. Aucun prompt, complétion ou Code Client n'est envoyé à OpenAI, Anthropic, Google AI ou tout autre fournisseur LLM externe.
| Fournisseur | Finalité | Données traitées | Lieu |
|---|---|---|---|
| Mistral AI (modèles open-weight, auto-hébergés par CybeDefend sur Scaleway) | Poids des modèles Mistral open-source, exécutés sur infrastructure que CybeDefend opère. Powers analyse sécurité, génération de patches et copilot sécurité IA. | Contenu prompt + complétion (peut inclure extraits de Code Client et métadonnées de dépôt) — ne quitte jamais l'infrastructure opérée par CybeDefend. | Scaleway, UE (France) pour les deux régions ; la couche d'inférence est pinée par région mais les poids sont open-source et opérés par nous. |
Paiements & facturation
| Fournisseur | Finalité | Données traitées | Lieu |
|---|---|---|---|
| Stripe Payments Europe, Ltd. | Traitement des paiements, facturation par abonnement, calcul des taxes, facturation. | Identification facturation, tokens d'instrument de paiement (le PAN complet ne nous est jamais transmis), métadonnées de transaction. | UE (Irlande) pour clients UE, US pour clients US. |
Communications & support
| Fournisseur | Finalité | Données traitées | Lieu |
|---|---|---|---|
| Resend (Resend, Inc.) | E-mail transactionnel. Vérification de compte, reçus, alertes sécurité, réinitialisations de mot de passe. | Adresse e-mail, contenu du message. | États-Unis avec sous-région UE. |
| Slack Technologies, LLC | Canaux de support client (lorsque les clients optent pour un canal partagé). | Contenu de conversation partagé dans le canal. | États-Unis. |
| Calendly, LLC | Réservation de démos et appels customer-success. | Nom, e-mail, préférences de planification. | États-Unis. |
Observabilité & analytics
| Fournisseur | Finalité | Données traitées | Lieu |
|---|---|---|---|
| Sentry (Functional Software, Inc.) | Monitoring des erreurs applicatives. | Stack traces, métadonnées de requête ; pseudonymisé. Nous ne transmettons ni Code Client ni Données Personnelles Client à Sentry. | UE (Frankfurt) pour la région UE, US pour la région US. |
| OpenReplay, Inc. | Session replay pour le front-end marketing et dashboard (UI seulement, ne rejoue jamais les actions liées au code ni le Code Client). | Événements de session pseudonymisés, click streams, événements de page-view. | UE (Frankfurt) pour la région UE, US pour la région US. |
| PostHog, Inc. | Analytics produit sur le site marketing et l'UI in-product (au niveau événement, sans rejeu des actions de gestion de code). | Identifiants utilisateur pseudonymisés, événements de page-view, événements d'usage de fonctionnalités. | UE (Frankfurt) pour la région UE, US pour la région US. |
Comment les régions affectent cette liste
La plateforme tourne en deux régions indépendantes. UE et US. Chaque client choisit une région à l'inscription, et les données sont traitées uniquement dans les sous-traitants de cette région.
- Région UE. Sous-traitants UE-résidents pour le tier de stockage (Scaleway, Resend EU, Sentry EU, OpenReplay EU, PostHog EU, Stripe EU).
- Région US. Sous-traitants US-résidents (Google Cloud US, Resend US, Sentry US, OpenReplay US, PostHog US, Stripe US).
La couche d'inférence IA (modèles Mistral open-weight auto-hébergés) tourne sur Scaleway UE pour les deux régions. Aucun prompt, complétion ou Code Client n'est jamais envoyé à des API IA tierces. Lorsqu'un sous-traitant est intrinsèquement global (Cloudflare pour l'edge), les données sont routées en fonction de la région choisie par le client lorsque le fournisseur le supporte.
Préavis et droit d'objection
Pour les clients enterprise, nous nous engageons à un préavis d'au moins 30 jours avant d'engager un nouveau sous-traitant ultérieur ou d'étendre matériellement le rôle d'un sous-traitant existant. Le préavis est donné via :
- la présente page, avec une date « Dernière mise à jour » actualisée et une entrée de changelog ;
- un e-mail direct au contact référencé pour les clients sur le plan Enterprise.
Le client peut s'opposer à un nouveau sous-traitant pour des motifs légitimes de protection des données. À défaut de résolution amiable dans les 30 jours, le client peut résilier la portion concernée des Services sans pénalité, conformément au DPA.
Contact
Pour demander un préavis en tant que client non-Enterprise, ou pour soulever une objection, écrivez à notre équipe juridique. Pour les questions courantes de protection des données : notre adresse de contact.