Sous-traitants ultérieurs
En application de l'article 28 du RGPD, voici la liste complète des sous-traitants ultérieurs auxquels Scope fait appel pour exécuter le service. Chacun est lié à Scope par un Data Processing Agreement opposable.
Dernière mise à jour : 11 juin 2026 · v2026.06.11-v5
| Sous-traitant | Service | Région des données | Certifications | DPA |
|---|---|---|---|---|
Railway Corp. Railway | Hébergement de l'application Next.js sur conteneur persistant et exécution des routes applicatives. | Région EU West (Union européenne) | SOC 2 Type II, Clauses Contractuelles Types (CCT) UE | Lien |
Supabase, Inc. Supabase | Base Postgres, authentification, stockage objet et Realtime pour les briefs, documents de cadrage, audit log et exports. | Dublin, Irlande (région eu-west-1) | SOC 2 Type II, HIPAA-ready | Lien |
OpenRouter, Inc. OpenRouter | Routeur LLM avec clause contractuelle data_collection=deny : vos prompts et les réponses générées ne sont jamais utilisés pour entraîner les modèles. | Proxy stateless (États-Unis) acheminant les requêtes vers OpenAI et Anthropic (États-Unis), sous Clauses Contractuelles Types UE | Clauses Contractuelles Types (CCT) UE | Lien |
Gladia SAS Gladia | Transcription audio de qualité enterprise avec spécialisation sur le français — utilisée pour les notes de cadrage à partir d'enregistrements de réunion. | Paris, France | RGPD, DPA disponible | Lien |
Mistral AI SAS Mistral AI | Extraction de texte par OCR (mistral-ocr-latest) sur les PDF et images uploadés comme pièces de brief. Le contenu source transite vers l'API Mistral le temps du traitement, le résultat (markdown structuré) est persisté dans Supabase EU. Activable uniquement quand le flag MISTRAL_OCR_ENABLED est positionné côté serveur ; à défaut, l'upload PDF/image affiche un message « à venir » et aucun appel n'est émis. Usage secondaire (PH10, 2026-06-10) : fournisseur LLM de secours dans la chaîne de résilience. Si OpenRouter devient indisponible, les appels d'extraction, de clarification et de cadrage basculent vers l'API Mistral le temps de la panne. Hébergement Paris (UE) — choix souverain, à la fois pour minimiser l'exposition des données pendant un incident et parce qu'OpenRouter (qui multiplexe déjà OpenAI + Anthropic) couvre la diversité fournisseur en mode nominal. Activable uniquement quand MISTRAL_API_KEY est configurée ; à défaut, le lien est sauté. | Paris, France | RGPD, Hébergement souverain UE, No-training par défaut | Lien |
Scope (auto-hébergé — instance DocuSeal) DocuSeal (self-hosted) | Signature électronique conforme eIDAS pour les notes de cadrage, propales et DPA — instance DocuSeal auto-hébergée par l'éditeur sur Railway (région EU West), aucune donnée signée n'est partagée avec un tiers. | Railway, région EU West (Union européenne) | eIDAS (signature électronique avancée), Auto-hébergé UE | Lien |
Plus Five Five, Inc. (Resend) Resend | Envoi des emails transactionnels (notifications, confirmations, magic links, signatures, exports prêts). | Région eu-west-1 (Irlande) | SOC 2 Type II, HIPAA-ready | Lien |
Stripe Payments Europe Ltd Stripe | Traitement des paiements, gestion des abonnements et émission des factures clients. Aucune donnée de carte ne transite par les serveurs de Scope (tokenisation totale). | Dublin, Irlande | PCI DSS Level 1, SOC 1, SOC 2 Type II, ISO 27001 | Lien |
Plausible Insights OÜ Plausible | Analytics web auto-hébergées sans cookies et sans données personnelles. Activées uniquement après consentement explicite. | Allemagne (Hetzner) | RGPD by design, Sans cookies | Lien |
Burke Software & Consulting LLC (GlitchTip) GlitchTip | Capture des erreurs runtime côté serveur et navigateur, pour identifier et corriger les régressions. Les payloads sont scrubbés (PII, secrets) avant émission. | DigitalOcean Frankfurt, Allemagne (résidence des données UE) | Résidence des données UE, Open source (MIT), DPA sur demande (engagement contractuel de non-transfert) | Lien |
Cloudflare, Inc. Cloudflare R2 (EU) | Stockage objet S3-compatible (bucket EU) accueillant les sauvegardes hebdomadaires de la base Postgres (dump SQL chiffré et compressé). Aucun contenu applicatif n'y est lu en chaud — l'accès est exclusivement réservé aux dumps de reprise d'activité. | Union européenne (juridiction R2 = EU, bucket pinné UE) | SOC 2 Type II, ISO 27001, Clauses Contractuelles Types (CCT) UE, Rétention 90 jours (cycle de vie du bucket) | Lien |
Cloudflare, Inc. Cloudflare | Résolution DNS du domaine getscope.dev et routage email vers les boîtes professionnelles. Aucune donnée applicative ne transite par Cloudflare. | Réseau global (anycast) | SOC 2 Type II, ISO 27001, PCI DSS | Lien |
BetterStack UAB Better Stack | Supervision de disponibilité (uptime) des routes publiques de getscope.dev et heartbeats des tâches planifiées (crons). Aucune donnée personnelle ne transite par Better Stack : seules les sondes HTTP publiques et les pings de bonne fin des tâches. | Vilnius, Lituanie (UE) | RGPD, Hébergement UE, DPA disponible | Lien |
Scaleway SAS (Iliad Group) Scaleway | Stockage objet S3-compatible avec Object Lock COMPLIANCE 7 ans pour l'archive immuable du journal `audit_logs` (rétention légale L123-22, 10 ans). Le cron mensuel `archive_audit_logs_older_than_13_months()` déplace les lignes hors fenêtre HOT vers Scaleway Object Storage Paris (`fr-par`, bucket `scope-audit-cold-prod`). En mode COMPLIANCE, la suppression ou l'écrasement de l'archive est IMPOSSIBLE même avec les identifiants racine — aucun bypass côté fournisseur. | Paris (datacenter DC5, région `fr-par`) | RGPD, ISO 27001, HDS (hébergeur agréé Données de Santé), Souveraineté française (filiale Iliad SAS, hors Cloud Act), Object Lock COMPLIANCE (rétention 7 ans non-bypassable) | Lien |
Information sur les modifications de la liste
Conformément à l'article 28.2 du RGPD, vous pouvez recevoir les notifications de modification de cette liste en écrivant à dpo@getscope.dev. Toute évolution est notifiée par email aux clients inscrits au moins 30 jours avant son entrée en vigueur, avec un droit d'opposition dans les conditions prévues au DPA.
Pour les détails complémentaires (mitigations Cloud Act, statut de conformité, endpoint JSON machine-readable), consultez notre Trust Center.