Sous-traitants

La liste publique de tous nos sous-traitants.

Pour chaque sous-traitant : son rôle, son pays, son exposition au Cloud Act US, et les garanties contractuelles signées avec Maestor. Mise à jour à chaque changement de sous-traitant — notification préalable à nos clients comme l'exige le RGPD.

6 sous-traitants documentés. DPA disponibles sur demande à security@maestor.eu.

Infomaniak

Hébergement infrastructure (web, mail, base de données)

UE+ (Suisse / EEE)

Entité contractante: Infomaniak Network SA
Pays: Suisse
Données traitées: Données applicatives Maestor (clients, SAV, photos, signatures)
Fichiers utilisateurs (uploads, exports PDF)
Emails transactionnels
Logs serveur
Garanties contractuelles: ISO 27001:2022 certifié
ISO 50001 (management énergétique)
Datacenters en Suisse (LPD/nLPD)
RGPD compliant
100% énergies renouvelables
Loi suisse sur la protection des données (nLPD)

Anthropic

Moteur d'IA Claude pour Sofia (chat, génération de messages, analyse vision PDF/image)

États-Unis Cloud Act US

Entité contractante: Anthropic, PBC
Pays: États-Unis
Données traitées: Contenu des conversations avec Sofia (questions utilisateurs, contexte SAV)
Documents soumis pour analyse (PDF, photos via vision API)
Aucune utilisation pour entraînement des modèles (opt-out par défaut sur API)
Garanties contractuelles: DPA signé
Clauses Contractuelles Types EU (2021/914)
SOC 2 Type II certifié
Zero data retention sur API (pas de stockage prolongé chez Anthropic)
Politique d'opt-out par défaut sur l'entraînement
Note: Anthropic est US-incorporated. Le transfert international est encadré par les CCT EU et la politique zero-retention.

ElevenLabs

Synthèse vocale française pour les appels Sophie (TTS) et la voix de Sofia

États-Unis Cloud Act US

Entité contractante: ElevenLabs Inc.
Pays: États-Unis
Données traitées: Textes envoyés à la synthèse vocale (extraits de messages aux clients)
Aucune donnée nominative dans les textes synthétisés (seulement le contenu généré par Sofia)
Garanties contractuelles: DPA signé
Clauses Contractuelles Types EU
SOC 2 Type II en cours
RGPD compliant

Twilio

Téléphonie programmable, WhatsApp Business, SMS

États-Unis Cloud Act US

Entité contractante: Twilio Inc.
Pays: États-Unis (région UE Frankfurt activée)
Données traitées: Numéros de téléphone clients finaux
Contenu des messages WhatsApp / SMS envoyés (templates Meta validés)
Métadonnées d'appels (durée, statut)
Aucun enregistrement audio côté Twilio (l'audio est traité par ElevenLabs/Anthropic)
Garanties contractuelles: DPA signé
Clauses Contractuelles Types EU
Région UE (Frankfurt) activée pour le stockage des messages
SOC 2 Type II certifié
ISO 27001 certifié
HIPAA + GDPR compliant

Yousign

Signature électronique qualifiée eIDAS (devis, avenants, PV)

Union Européenne

Entité contractante: Yousign SAS
Pays: France
Données traitées: Identité des signataires (nom, prénom, email)
Documents soumis à signature (devis, contrats, PV)
Métadonnées de signature (date, IP, géolocalisation approximative)
Preuves de signature horodatées
Garanties contractuelles: ISO 27001 certifié
eIDAS qualifié (prestataire de services de confiance)
Hébergement France (OVH + AWS Paris)
Conformité RGPD native
DPA inclus dans les CGV

Stripe

Paiements en ligne (acomptes, factures, abonnements SaaS)

Union Européenne Cloud Act US

Entité contractante: Stripe Payments Europe Ltd.
Pays: Irlande (entité européenne)
Données traitées: Données de paiement (cartes bancaires tokenisées chez Stripe, jamais stockées chez Maestor)
Identité des payeurs (nom, email, adresse de facturation)
Métadonnées de transaction (montant, statut, dates)
Garanties contractuelles: PCI DSS Level 1 certifié
ISO 27001 certifié
Entité contractante : Stripe Payments Europe Ltd. (Dublin)
DPA + Clauses Contractuelles Types
RGPD compliant
Note: Stripe Payments Europe Ltd. est l'entité contractante pour les clients européens (Dublin, Irlande). Stripe Inc. (US) reste sous-traitant ultime.