Registre des Sous-traitants — Spiribase
Résumé exécutif
Ce document liste l'ensemble des sous-traitants qui traitent des données personnelles pour le compte de Spiribase, conformément à l'Art. 28 RGPD. Une attention particulière est portée aux fournisseurs LLM tiers (OpenAI, Anthropic, Google) qui reçoivent des données candidates lors des opérations IA.
Contexte réglementaire
US-172 — Registre des sous-traitants
Fournisseurs IA (traitement de données personnelles candidates)
| Fournisseur | Service | Localisation | Données traitées | DPA | Transfert hors UE | Base légale transfert |
|---|
| OpenAI (OpenAI, LLC) | LLM GPT-4o, GPT-4.1, GPT-5 | États-Unis | Texte CV (pseudonymisé), offres d'emploi | Signé | Oui | SCCs en place |
| Anthropic (Anthropic, PBC) | LLM Claude 3/4 | États-Unis | Texte CV (pseudonymisé), offres d'emploi | DPA Anthropic disponible | Oui | SCCs à établir |
| Google (Google LLC) | LLM Gemini 1.5/2.0 | États-Unis | Texte CV (pseudonymisé), offres d'emploi | DPA Google Cloud disponible | Oui | SCCs Google Cloud |
✅ Engagement de Confidentialité : Nos systèmes garantissent que strictement aucune donnée personnelle ou sensible (nom, prénom, email, téléphone, adresse, etc.) n'est envoyée aux modèles d'Intelligence Artificielle. Toutes les données sont rigoureusement pseudonymisées avant tout transfert vers un LLM (voir data-protection.md pour le détail de l'implémentation).
Fournisseurs d'infrastructure
| Fournisseur | Service | Localisation | Données traitées | DPA | Transfert hors UE |
|---|
| Neon (Neon Inc.) | Base de données PostgreSQL | UE | Toutes les données Spiribase | DPA Neon disponible | Non |
| Vercel (Vercel Inc.) | Hébergement Next.js / CDN | USA + Edge mondial | Logs applicatifs, assets | DPA Vercel disponible | Oui (edge mondial) |
| Inngest (Inngest Inc.) | Orchestration de jobs | USA | Données des événements Inngest (payloads) | DPA à vérifier | Oui |
| Twilio (Twilio Inc.) | SMS | USA | Numéros de téléphone, contenu SMS | DPA Twilio disponible | Oui |
Fournisseurs complémentaires
| Fournisseur | Service | Localisation | Données traitées | DPA |
|---|
| Better-Auth | Authentification | — | Données de session, identifiants | À vérifier |
| Resend / SMTP | Email transactionnel | — | Adresses email, contenu messages | À vérifier |
US-173 — Localisation des données
Hébergement principal
| Composant | Hébergeur | Région | Chiffrement | Certifications |
|---|
| Base de données PostgreSQL | Neon | EU | Chiffrement au repos AES-256 | SOC 2 |
| Application Next.js | Vercel | Edge mondial + serveurs US | TLS en transit | SOC 2 |
| Jobs Inngest | Inngest Cloud | USA | TLS en transit | — |
| Fichiers uploadés | Local /public/uploads/ | Même serveur application | Dépend de l'hébergement | — |
Flux de données transfrontaliers
Candidat → Spiribase (UE)
→ PostgreSQL (Neon UE) [données au repos]
→ OpenAI API (USA) [lors du parsing CV / matching après extractions des données personnelles et sensibles]
→ Anthropic API (USA) [fallback IA]
→ Google AI API (USA) [fallback IA 2]
→ Twilio (USA) [si SMS activé]
Sécurité des flux
- TLS 1.3 : tous les flux API sont chiffrés en transit
- AES-256 : données sensibles chiffrées en base (email, téléphone, adresse)
- Pas de chiffrement bout-en-bout pour les flux vers les LLMs : les données sont déchiffrées avant envoi
Responsables
Historique des versions
| Version | Date | Auteur | Modifications |
|---|
| 1.0.0 | 2026-03-23 | K. Msaoubi / N. Laroussi | Création initiale Sprint 9 |