Sous-processeurs

Dernière mise à jour: Mai 2026

Conformément à l'Art. 28.2 du RGPD, cette page liste chaque tiers qui traite des données personnelles pour le compte des clients MailMCP. Nous mettons à jour cette liste à chaque changement de sous-processeur. Pour être notifié des changements, écrivez à privacy@mailmcp.io avec pour sujet "subprocessor-notifications".

1. Infrastructure et hébergement

Sous-processeur	Finalité	Localisation	Couverture
LWS Ligne Web Services SAS	Hébergement web (app Laravel), base de données (SQLite/MySQL), stockage de fichiers, email support IMAP/SMTP.	🇫🇷 France Datacenters en France	ISO 27001 · HDS · Natif RGPD DPA

2. Inférence IA (routing OpenRouter)

Tous les appels IA passent par OpenRouter, qui route l'inférence vers des providers résidents UE. Le fallback vers des providers non-UE est explicitement refusé (provider.allow_fallbacks=false dans config/ai.php). L'entraînement par les providers sur nos données est désactivé (data_collection=deny). Voir le dashboard de routing live dans /admin/ai-rgpd (admin uniquement).

Sous-processeur	Finalité	Localisation	Couverture
OpenRouter OpenRouter, Inc.	Gateway d'inférence IA. Route nos appels vers des providers de modèles résidents UE. Ne conserve ni prompts ni réponses.	🇺🇸 USA Gateway uniquement (pas de stockage) — l'inférence réelle a lieu sur les providers UE listés en dessous	SCCs · Zéro rétention Privacy
Microsoft Azure OpenAI GPT-4o-mini	Chatbot, assistance aux réponses support, génération de pitchs d'outreach.	🇸🇪 Sweden · 🇫🇷 France Sweden Central / France Central	ISO 27001 · SOC 2 · GDPR DPA
Amazon Bedrock (Anthropic Claude) Fallback pour les modèles Claude	Actuellement non utilisé pour les fonctions client ; réservé à un futur usage agent support.	🇮🇪 Ireland · 🇫🇷 France · 🇩🇪 Germany eu-west-1 / eu-west-3 / eu-central-1	ISO 27001 · SOC 2 · GDPR DPA
Google Vertex AI Fallback pour les modèles Gemini	Actuellement non utilisé ; disponible dans la config routing en fallback.	🇧🇪 Belgium · 🇳🇱 Netherlands europe-west1 / europe-west4	ISO 27001 · SOC 2 · GDPR DPA
Mistral AI Fallback pour les modèles Mistral	Actuellement non utilisé ; disponible dans la config routing en fallback UE de dernier recours.	🇫🇷 France Siège Paris, datacenters UE	GDPR · Natif UE Terms

Explicitement NON utilisé : DeepSeek (Chine), Moonshot, Qwen, tout provider non-résident UE. Notre config routing OpenRouter les refuse.

3. Paiement (quand activé)

La facturation self-service est en cours de déploiement. Le processeur de paiement prévu sera :

Sous-processeur	Finalité	Localisation	Couverture
Stripe Stripe Payments Europe Ltd.	Paiements carte, facturation récurrente, factures. Nous ne voyons ni ne stockons jamais les numéros de carte.	🇮🇪 Ireland (EU) Entité Stripe UE pour les clients européens	PCI DSS L1 · ISO 27001 · GDPR DPA

4. Ce que nous n'utilisons PAS

Pas de tracker analytics (ni Google Analytics, ni Plausible, ni Matomo sur le site public).
Pas de réseau publicitaire, pas de tracking comportemental, pas de bannière de consentement cookies nécessaire (uniquement les cookies strictement nécessaires).
Pas de cloud US (ni AWS US, ni GCP US, ni Azure US — toute notre infrastructure est en UE).
Pas d'entraînement IA sur vos données. OpenRouter et les providers en aval fonctionnent en mode zéro-rétention pour nos appels.

5. Besoin d'un DPA signé ?

Les clients professionnels peuvent demander un Data Processing Agreement signé (RGPD Art. 28) couvrant les données personnelles que nous traitons en leur nom. Notre DPA standard référence cette liste de sous-processeurs en Annexe 2.

Télécharger le modèle de DPA (Markdown)

Pour un PDF contresigné, envoyez votre version contresignée à privacy@mailmcp.io.