Transparence RGPD — Derniere mise a jour : Mai 2026

Liste des sous-traitants

Conformement a notre accord de traitement des donnees (DPA), voici la liste complete des sous-traitants techniques auxquels PsyLib fait appel. Toute modification de cette liste est notifiee par email 30 jours avant sa prise d'effet.

Hebergement et infrastructure

AZNETWORK

HDS V2 · ISO 27001
  • Role : hebergement des serveurs API, base de donnees PostgreSQL, authentification Keycloak, visio-consultation (LiveKit), sauvegardes et infogerance (administration et exploitation du systeme — activite 5 HDS)
  • Donnees traitees : toutes les donnees de sante (notes, messages, dossiers patients), donnees d'authentification, sauvegardes
  • Localisation : Alencon (France) — PRA sur un second datacenter francais certifie
  • Certification HDS : HDS V2 certifie sur les 6 activites + ISO/IEC 27001:2022 — conforme article L.1111-8 du Code de la sante publique
  • Site web : aznetwork.eu

Vercel Inc.

Pas de donnees de sante
  • Role : hebergement du frontend (site marketing et interface utilisateur)
  • Donnees traitees : aucune donnee de sante. Les appels API transitent directement vers le serveur HDS. Seuls des cookies de session et des assets statiques sont servis.
  • Localisation : USA (CDN mondial avec edge en Europe)
  • Site web : vercel.com

Paiement

Stripe

PCI-DSS Niveau 1
  • Role : traitement des paiements par carte bancaire, gestion des abonnements, facturation
  • Donnees traitees : nom, email, donnees de carte bancaire (stockees exclusivement chez Stripe), historique de paiement, montants factures
  • Donnees de sante : aucune
  • Localisation : Irlande (Stripe Technology Europe Ltd) — transferts USA encadres par SCC
  • Certification : PCI-DSS niveau 1 (plus haut niveau de certification paiement)
  • Site web : stripe.com

Emails transactionnels

Resend (via Amazon SES)

Pas de donnees de sante
  • Role : envoi des emails transactionnels (confirmations, rappels de rendez-vous, notifications, factures)
  • Donnees traitees : adresse email du destinataire, nom, objet et contenu du mail (jamais de notes cliniques ni de donnees de sante)
  • Domaine d'envoi : noreply@send.psylib.eu (authentifie SPF + DKIM)
  • Localisation : EU (Amazon SES region Europe)
  • Site web : resend.com

Intelligence artificielle

OVHcloud AI Endpoints

France · Opt-in
  • Role : transcription audio (« Scribe »), notes cliniques structurees, cartes mentales, resumes de seance et generation d'exercices
  • Donnees traitees : transcription / notes de la seance concernee et, pour le Scribe, l'enregistrement audio — transmis uniquement sur demande explicite du praticien et apres consentement. L'audio est supprime immediatement apres transcription.
  • Consentement : le praticien active l'IA manuellement ; le consentement du patient est verifie avant chaque appel, sans quoi aucune donnee ne quitte le serveur
  • Localisation : France — inference hebergee en France, aucun transfert hors Union europeenne
  • Modeles : whisper-large-v3-turbo (transcription) et Mistral-Small (generation)
  • Garanties : les donnees transmises ne sont pas utilisees pour entrainer ou ameliorer les modeles. OVHcloud est hebergeur certifie HDS.
  • Site web : ovhcloud.com

Monitoring et analytics

Sentry

Pas de donnees de sante
  • Role : monitoring des erreurs applicatives et performance
  • Donnees traitees : stack traces, metadata techniques (navigateur, OS, URL). Aucune donnee patient ni donnee de sante.
  • Localisation : USA — encadre par SCC
  • Site web : sentry.io

PostHog

Marketing uniquement
  • Role : analytics produit sur les pages marketing uniquement
  • Donnees traitees : pages visitees, parcours utilisateur, temps de session. Actif uniquement sur les pages marketing, jamais dans l'application.
  • Donnees de sante : aucune. Aucune collecte sur les pages de l'espace praticien ou patient.
  • Consentement : soumis au consentement prealable via banniere cookies
  • Localisation : EU (PostHog Cloud EU)
  • Site web : posthog.com

Resume

Sous-traitantRoleLocalisationHDSDonnees sante
AZNETWORKHebergement, DB, auth, backups, visio, infogeranceFranceOuiOui
VercelFrontendUSANon requisNon
StripePaiementsIrlande/USAN/ANon
ResendEmails transactionnelsEUN/ANon
OVHcloud AI EndpointsIA : transcription, notes, cartes, resumes (opt-in)FranceOuiOui
SentryMonitoring erreursUSAN/ANon
PostHogAnalytics marketingEUN/ANon

Notification de modification

Conformement a notre DPA, toute modification de cette liste est notifiee par email aux praticiens 30 jours avant sa prise d'effet. En cas de question ou d'objection :

Contact DPO : tony@psylib.eu