Stack technique publié, sous-traitants en clair, DPA signable en self-service, évaluation EU AI Act téléchargeable, programme SOC 2 Type 1 en cours. Tout ce que votre DPO et votre service Achats demanderont, déjà disponible sur cette page.
01
La stack en 4 pieds qui rend Scope défendable au COMEX et au DPO. Chaque composant est nommé, localisé, et justifié.
| Pied | Composant | Sous-traitant | Localisation | Justification |
|---|---|---|---|---|
Hébergement | Hébergement EU-only | Vercel | Dublin, Irlande (région eu-west-1) | Vercel + Supabase en région UE (eu-west-1). DocuSeal sur Hostinger NL. Migration Outscale à l'étude pour les comptes Enterprise SecNumCloud — sortie complète du périmètre Cloud Act. |
Hébergement | Hébergement EU-only | Supabase | Dublin, Irlande (région eu-west-1) | Vercel + Supabase en région UE (eu-west-1). DocuSeal sur Hostinger NL. Migration Outscale à l'étude pour les comptes Enterprise SecNumCloud — sortie complète du périmètre Cloud Act. |
LLM | LLM avec no-training contractuel | OpenRouter | Routage privilégié vers les fournisseurs de modèles UE | Routeur LLM avec data_collection=deny opposable contractuellement à chaque fournisseur. Vos prompts et réponses ne sont jamais utilisés pour entraîner les modèles. |
Audio | Audio FR enterprise-grade | Gladia | Paris, France | Transcription audio française de qualité enterprise — aucun concurrent multi-output FR ne propose ce niveau de qualité linguistique sur le français professionnel. |
Signature | Signature électronique UE | DocuSeal (self-hosted) | Hostinger NL (Pays-Bas, UE) | DocuSeal auto-hébergé en UE, conforme eIDAS — valeur juridique européenne sans dépendre de DocuSign / Adobe Sign hébergés US. |
Pourquoi ces quatre pieds ?
Ce n'est pas le mot « souverain » qui est défendable — c'est le stack publié, vérifiable et audit-ready. Aucun acteur de la catégorie cadrage / discovery ne combine ces quatre pieds en avril 2026.
02
Liste exhaustive et toujours à jour des sous-traitants ultérieurs, en application de l'article 28.2 du RGPD. Toute évolution est notifiée 30 jours avant son entrée en vigueur.
GET /api/sub-processors.json| Sous-traitant | Finalité | Localisation | Cloud Act | DPA |
|---|---|---|---|---|
Vercel Vercel Inc. | Hébergement de l'application Next.js et exécution des routes serverless. | Dublin, Irlande (région eu-west-1)Juridiction EU | Hors champ | Lien |
Supabase Supabase, Inc. | Base Postgres, authentification, stockage objet et Realtime pour les briefs, documents de cadrage, audit log et exports. | Dublin, Irlande (région eu-west-1)Juridiction EU | Hors champ | Lien |
OpenRouter OpenRouter, Inc. | Routeur LLM avec clause contractuelle data_collection=deny : vos prompts et les réponses générées ne sont jamais utilisés pour entraîner les modèles. | Routage privilégié vers les fournisseurs de modèles UEJuridiction US | Exposé · mitigé | Lien |
Gladia Gladia SAS | Transcription audio de qualité enterprise avec spécialisation sur le français — utilisée pour les notes de cadrage à partir d'enregistrements de réunion. | Paris, FranceJuridiction EU | Hors champ | Lien |
DocuSeal (self-hosted) Scope (auto-hébergé — instance DocuSeal) | Signature électronique conforme eIDAS pour les notes de cadrage, propales et DPA — instance DocuSeal auto-hébergée par l'éditeur, aucune donnée signée n'est partagée avec un tiers. | Hostinger NL (Pays-Bas, UE)Juridiction EU | Hors champ | Lien |
Resend Resend, Inc. | Envoi des emails transactionnels (notifications, confirmations, magic links, signatures, exports prêts). | Région eu-west-1 (Irlande)Juridiction EU | Hors champ | Lien |
Stripe Stripe Payments Europe Ltd | Traitement des paiements, gestion des abonnements et émission des factures clients. Aucune donnée de carte ne transite par les serveurs de Scope (tokenisation totale). | Dublin, IrlandeJuridiction EU | Hors champ | Lien |
Plausible Plausible Insights OÜ | Analytics web auto-hébergées sans cookies et sans données personnelles. Activées uniquement après consentement explicite. | Allemagne (Hetzner)Juridiction EU | Hors champ | Lien |
Sentry Functional Software, Inc. (Sentry) | Capture des erreurs runtime côté serveur et navigateur, pour identifier et corriger les régressions. Les payloads sont scrubbés (PII, secrets) avant émission. | États-UnisJuridiction US | Exposé · mitigé | Lien |
Cloudflare Cloudflare, Inc. | Résolution DNS du domaine getscope.dev et routage email vers les boîtes professionnelles. Aucune donnée applicative ne transite par Cloudflare. | Réseau global (anycast)Juridiction GLOBAL | Exposé · mitigé | Lien |
OpenRouter
OpenRouter est un proxy stateless : aucun prompt ni output n'est conservé côté OpenRouter au-delà du temps de traitement. Le contrat impose data_collection=deny en aval. Mitigation supplémentaire : routage explicite vers Mistral (FR) pour les comptes Enterprise « Mode IA souverain ».
Sentry
Bascule planifiée vers GlitchTip auto-hébergé en UE à M3 (avant le passage SOC 2 Type 1). En attendant : scrubbing agressif côté SDK (PII, tokens, secrets) et durée de rétention abaissée à 30 jours.
Cloudflare
Cloudflare ne traite que des métadonnées DNS et de routage email. Aucune donnée applicative client (briefs, cadrages, exports) n'est exposée. Le DPA Cloudflare incorpore les Clauses Contractuelles Types UE.
03
Toutes les données applicatives résident en Union européenne. Rétention par type, droit à l'effacement automatisé, no-training contractuel sur les inputs IA.
Postgres et Storage en région eu-west-1 (Dublin). Edge Vercel POP cdg1 (Paris). DocuSeal sur Hostinger NL. Aucune donnée applicative ne quitte l'UE par défaut.
Pour les comptes Enterprise « Mode IA souverain », le routage LLM est restreint à Mistral (Paris). Migration Outscale à l'étude pour le périmètre SecNumCloud.
| Type de données | Conservation | Base légale |
|---|---|---|
| Briefs et inputs (texte, audio, fichiers) | Durée de l'abonnement + 30 jours | Article 5.1.e RGPD — minimisation |
| Documents de cadrage (livrables IA) | Durée de l'abonnement + 30 jours, exportables 30 jours après résiliation | Exécution contractuelle (article 6.1.b RGPD) |
| Audit log applicatif | 12 mois (Team), 24 mois (Business / Enterprise) | Sécurité et obligation de preuve (article 32 RGPD) |
| Exports générés (Word/PDF/Markdown) | Suppression dès que l'export est livré (lien expirant 7 jours) | Minimisation |
| Pièces comptables (factures, transactions) | 10 ans | Article L.123-22 du Code de commerce |
| Logs de sécurité (Sentry / GlitchTip) | 30 jours, scrubbing PII activé côté SDK | Sécurité — RGPD article 32 |
Les contrats avec OpenRouter, Mistral et l'ensemble des fournisseurs LLM transitant par OpenRouter incluent data_collection=deny au niveau du provider. Vos prompts et les réponses générées ne sont jamais utilisés pour entraîner ou affiner les modèles.
L'utilisateur peut supprimer un brief, un cadrage ou son compte intégralement en self-service. La purge effective est exécutée sous 30 jours, hors obligations comptables (10 ans pour les pièces facturées).
04
Statut public de chaque référentiel. Aucune fausse promesse : ce qui est en cours est annoncé en cours, ce qui est planifié est daté.
| Référentiel | Statut | Date / cible | Détail |
|---|---|---|---|
| RGPD / DPA self-service | Disponible | 2026-04-28 | DPA signable en self-service via DocuSeal. Sub-processors publiés. Droits RGPD automatisés en interface. |
| SOC 2 Type 1 (Vanta) | En cours | Cible 2026-07-01 | Programme de certification piloté par Vanta. Auditeur indépendant en sélection. Badge « in progress » affichable. |
| SOC 2 Type 2 | Planifié | Cible 2027-Q1 | Audit de fonctionnement sur 3 à 12 mois. Démarrage immédiatement après l'attestation Type 1. |
| ISO 27001 | Planifié | Cible 2027-Q4 | Activé après €1 M ARR ou ouverture du marché DACH. Permet de répondre aux RFP grands groupes UGAP / Synertrade. |
| HDS / HIPAA | Hors scope | n/a | Scope n'est pas conçu pour traiter des données de santé. À reconsidérer si pivot santé est confirmé. |
05
Catégorisation de chaque fonctionnalité IA selon le règlement (UE) 2024/1689 et les mitigations associées.
06
Tout ce que demanderont vos services Achats, DPO et RSSI, en un clic. Pas de formulaire de capture lead, pas de gating.
Modèle d'accord de sous-traitance article 28 RGPD, prêt à être contresigné. Inclut Annexes 1, 2 et 3.
Modèle d'analyse d'impact (AIPD) conforme à la méthodologie CNIL. Pré-rempli avec les éléments factuels Scope.
Catégorisation « risque minimal » de chaque fonctionnalité IA, justification, mitigations transversales.
Programme de certification sur 6 mois avec milestones M1 → M6, budget et auditeur cible.
Endpoint JSON machine-readable, consommable directement par OneTrust / Vanta / Drata pour l'audit fournisseur.
07
Pour signaler une vulnérabilité, demander un questionnaire sécurité ou solliciter un DPA contresigné.
Vulnérabilités, audits, questionnaires sécurité. Réponse sous 48 heures ouvrées. PGP sur demande.
DPA contresigné, exercice des droits RGPD, AIPD, transferts hors UE. Réponse sous 5 jours ouvrés.
Notre fichier security.txt est servi à l'emplacement standard.
Voir aussi : la page Sécurité, le DPA en ligne, la liste détaillée des sous-traitants et la politique de confidentialité.