Transparence RGPD — Derniere mise a jour : Mai 2026
Liste des sous-traitants
Conformement a notre accord de traitement des donnees (DPA), voici la liste complete des sous-traitants techniques auxquels PsyLib fait appel. Toute modification de cette liste est notifiee par email 30 jours avant sa prise d'effet.
Hebergement et infrastructure
OVHcloud
HDS certifie- Role : hebergement des serveurs API, base de donnees PostgreSQL, authentification Keycloak, sauvegardes, visio-consultation (LiveKit)
- Donnees traitees : toutes les donnees de sante (notes, messages, dossiers patients), donnees d'authentification, sauvegardes
- Localisation : Roubaix, France
- Certification HDS : oui — conforme article L.1111-8 du Code de la sante publique
- Site web : ovhcloud.com
Vercel Inc.
Pas de donnees de sante- Role : hebergement du frontend (site marketing et interface utilisateur)
- Donnees traitees : aucune donnee de sante. Les appels API transitent directement vers le serveur HDS. Seuls des cookies de session et des assets statiques sont servis.
- Localisation : USA (CDN mondial avec edge en Europe)
- Site web : vercel.com
Paiement
Stripe
PCI-DSS Niveau 1- Role : traitement des paiements par carte bancaire, gestion des abonnements, facturation
- Donnees traitees : nom, email, donnees de carte bancaire (stockees exclusivement chez Stripe), historique de paiement, montants factures
- Donnees de sante : aucune
- Localisation : Irlande (Stripe Technology Europe Ltd) — transferts USA encadres par SCC
- Certification : PCI-DSS niveau 1 (plus haut niveau de certification paiement)
- Site web : stripe.com
Emails transactionnels
Resend (via Amazon SES)
Pas de donnees de sante- Role : envoi des emails transactionnels (confirmations, rappels de rendez-vous, notifications, factures)
- Donnees traitees : adresse email du destinataire, nom, objet et contenu du mail (jamais de notes cliniques ni de donnees de sante)
- Domaine d'envoi : noreply@send.psylib.eu (authentifie SPF + DKIM)
- Localisation : EU (Amazon SES region Europe)
- Site web : resend.com
Intelligence artificielle
OpenRouter
Opt-in uniquement- Role : routage vers les modeles d'IA (Claude, GPT) pour les fonctionnalites de resume de seance et generation d'exercices
- Donnees traitees : extraits de notes cliniques anonymises/pseudonymises, transmis uniquement sur demande explicite du praticien
- Consentement : le praticien doit activer l'IA manuellement et donner son consentement explicite avant toute transmission
- Localisation : USA
- Garanties : les donnees transmises ne sont pas utilisees pour l'entrainement des modeles
- Site web : openrouter.ai
Monitoring et analytics
Sentry
Pas de donnees de sante- Role : monitoring des erreurs applicatives et performance
- Donnees traitees : stack traces, metadata techniques (navigateur, OS, URL). Aucune donnee patient ni donnee de sante.
- Localisation : USA — encadre par SCC
- Site web : sentry.io
PostHog
Marketing uniquement- Role : analytics produit sur les pages marketing uniquement
- Donnees traitees : pages visitees, parcours utilisateur, temps de session. Actif uniquement sur les pages marketing, jamais dans l'application.
- Donnees de sante : aucune. Aucune collecte sur les pages de l'espace praticien ou patient.
- Consentement : soumis au consentement prealable via banniere cookies
- Localisation : EU (PostHog Cloud EU)
- Site web : posthog.com
Resume
| Sous-traitant | Role | Localisation | HDS | Donnees sante |
|---|---|---|---|---|
| OVHcloud | Hebergement, DB, auth, backups, visio | France | Oui | Oui |
| Vercel | Frontend | USA | Non requis | Non |
| Stripe | Paiements | Irlande/USA | N/A | Non |
| Resend | Emails transactionnels | EU | N/A | Non |
| OpenRouter | IA (opt-in) | USA | N/A | Anonymise |
| Sentry | Monitoring erreurs | USA | N/A | Non |
| PostHog | Analytics marketing | EU | N/A | Non |
Notification de modification
Conformement a notre DPA, toute modification de cette liste est notifiee par email aux praticiens 30 jours avant sa prise d'effet. En cas de question ou d'objection :
Contact DPO : tony@psylib.eu