Conformément à l'article 28.2 du RGPD et à l'ATD conclu avec nos clients, nous publions la liste à jour des sous-processeurs auxquels IAMI peut faire appel pour la fourniture du service IAMI.
Toute évolution (ajout, remplacement, suppression) fait l'objet d'une notification préalable aux clients au moins 30 jours à l'avance, leur permettant d'exercer leur droit d'opposition motivé.
Tableau des sous-traitants
| Sous-traitant | Finalité | Données transmises | Localisation | Garantie / encadrement |
|---|---|---|---|---|
| OVHcloud | Hébergement IaaS (serveurs, MySQL, stockage S3) | Toutes les données du service (chiffrées) | France (GRA) | DPA OVHcloud, ISO 27001 & 27701 |
| Microsoft 365 (option Client) | Intégration Graph API : emails, calendrier, Teams | Contenu accédé par le Client via son propre tenant | UE (tenant Client) | DPA Microsoft Online Services Terms, SCC |
| DocuSign (option) | Signature électronique (contrats, ODM) | Nom, email, PDF, métadonnées | États-Unis | DPA DocuSign + SCC + chiffrement tokens |
| GitHub (CI/CD) | Dépôt code source et intégration continue (contrôles de sécurité automatisés) | Aucune donnée personnelle client | États-Unis | DPA GitHub + SCC |
| Google Maps (option) | Géocodage inverse, itinéraires | Adresse postale professionnelle (lieu mission) | Monde | SCC + minimisation |
| OpenStreetMap / Nominatim | Géocodage (alternative libre) | Adresse postale | UE | Service public OSM |
| INSEE — API Sirene | Enrichissement SIRET → raison sociale | SIRET | France | API publique INSEE |
| Telegram Bot API (option — astreinte interne) | Notifications techniques internes (alerting) | Aucune donnée client — seulement métadonnées techniques | Monde | Chat privé admin |
| Prestataire SMTP (Sendgrid / Brevo / Mailjet) | Envoi d'emails transactionnels (reset, invitations) | Nom, email, contenu transactionnel | UE ou US selon configuration | DPA + SCC si US |
Zoom sur la localisation
- Toutes les données de production (base SQL, stockage documentaire, logs) sont hébergées en France, région OVHcloud GRA.
- Les fonctionnalités d'intelligence artificielle proposées dans le service sont exécutées sur l'infrastructure IAMI en France, sans recours à des services d'IA grand public externes pour traiter les données métier des clients.
- Les transferts hors UE éventuels (DocuSign, GitHub, Google Maps si activé) sont encadrés par des Clauses Contractuelles Types et des mesures complémentaires (chiffrement, minimisation).
Encadrement contractuel
Chaque sous-traitant ci-dessus est lié à IAMI par un contrat (DPA) garantissant :
- la finalité limitée du traitement,
- des mesures de sécurité équivalentes ou supérieures aux nôtres,
- la confidentialité,
- la notification rapide en cas de violation,
- la suppression des données à la fin de la relation,
- des droits d'audit.
Contact
Pour toute question concernant cette liste ou pour obtenir copie des DPA conclus avec nos sous-processeurs : contact@iamisolutions.com.