Liste des sous-traitants · Référence APD

Sous-Traitants — Fournisseurs de traitement des données tiers nommés de Flowie

Dernière mise à jour:2026-05-05Retour au Centre de confiance

Flowie s'appuie sur exactement 9 sous-traitants nommés pour fournir son service. Les 9 ont signé un Accord de Traitement des Données (APD) avec Flowie, et tous les transferts hors UE sont encadrés par les Clauses Contractuelles Types (CCT). Les processeurs IA ne traitent que du texte descriptif — jamais les montants financiers, jamais les IBAN. Mistral AI est intégralement hébergé en France.

Cette page constitue la référence publique canonique de l'annexe sous-traitants de l'APD Flowie (version : mai 2025). Si vous êtes responsable du traitement et que vous examinez notre liste de sous-traitants avant la signature ou le renouvellement de votre APD, c'est le document dont votre équipe a besoin. Nous mettons cette liste à jour à chaque ajout, remplacement ou modification significative d'un sous-traitant.

La date « Dernière vérification » du tableau reflète la vérification la plus récente par fournisseur. La date au niveau de la page ci-dessus reflète la dernière publication ou révision de ce document. Les changements significatifs — c'est-à-dire tout ajout, remplacement ou expansion notable du périmètre — sont communiqués aux responsables du traitement au moins 30 jours à l'avance. Les changements mineurs (par exemple, un sous-traitant qui met à jour une sous-région au sein d'un pays déjà divulgué) ne déclenchent pas de notification formelle. Pour recevoir automatiquement un préavis des changements significatifs, abonnez-vous via le lien en bas de cette page.

La liste

Liste des sous-traitants

Neuf tiers nommés. Tous sous APD signé. CCT en vigueur pour chaque transfert hors UE.

Sous-traitant	Catégorie	Finalité	Localisation	APD	CCT	Dernière vérification
GCP via S3NS Google Cloud Platform via S3NS (Google + Thales)	Infrastructure	Hébergement cloud sur cloud souverain UE — partenariat Google + Thales	France (principal)Belgique (reprise d'activité)	Signé	S.O. — hébergé UE	2026-05-05
Auth0 Okta Inc.	Authentification	Authentification, MFA et gestion des jetons d'identité	Belgique	Signé	Oui (sous CCT)	2026-05-05
SendGrid Twilio Inc.	Email	Distribution d'e-mails transactionnels (notifications, alertes)	États-Unis (options UE disponibles)	Signé	Oui (sous CCT)	2026-05-05
Sentry Functional Software Inc.	Supervision	Supervision des erreurs et performances applicatives (traces d'exécution anonymisées)Rétention 90 jours	États-Unis (options UE disponibles)	Signé	Oui (sous CCT)	2026-05-05
Intercom Intercom R&D Unlimited Company	Support	Conversations de support client et suivi de l'activité utilisateurDurée du contrat + 12 mois	États-Unis (résidence des données UE disponible)	Signé	Oui (sous CCT)	2026-05-05
Fivetran Fivetran Inc.	ETL	Pipeline ETL de synchronisation entrepôt de données (métadonnées de factures, données fournisseurs — sans détails financiers)Traitement en temps réel, journaux conservés 90 jours	États-Unis (données en transit uniquement)	Signé	Oui (sous CCT)	2026-05-05
OpenAI OpenAI OpCo, LLC	IA	IA/TAL pour traitement documentaire — texte descriptif uniquementRétention 30 jours maximum	États-Unis	Signé	Oui (sous CCT)	2026-05-05
Mistral AI Mistral AI	IA	IA/TAL pour traitement documentaire — texte descriptif uniquement — hébergé en FranceRétention 30 jours maximum	France	Signé	S.O. — hébergé UE	2026-05-05
Anthropic Anthropic PBC	IA	IA/TAL via Claude pour traitement documentaire — texte descriptif uniquementRétention 90 jours maximum	États-Unis	Signé	Oui (sous CCT)	2026-05-05

Dernière vérification: 2026-05-05

Sélection et audit

Comment nous sélectionnons et auditons nos sous-traitants

Chaque sous-traitant figurant sur cette liste a satisfait à une évaluation structurée avant que Flowie ne s'engage avec lui, et chacun fait l'objet d'une revue au moins une fois par an.

Critères de sélection. Avant l'intégration de tout sous-traitant, les équipes sécurité et juridique de Flowie évaluent : (1) les certifications de sécurité — ISO 27001, SOC 2 Type II et les cadres sectoriels comme SecNumCloud pour l'infrastructure ; (2) la localisation des données et la juridiction dans laquelle les données personnelles seront traitées ou stockées au repos ; (3) la conformité RGPD, y compris la documentation par le sous-traitant de ses mesures techniques et organisationnelles ; et (4) les engagements contractuels — la disposition du sous-traitant à signer un APD avec les clauses de protection des données appropriées et, pour les processeurs hors UE, à exécuter les Clauses Contractuelles Types conformément à la décision 2021 de la Commission européenne.

Classification des risques. Nous traitons nos sous-traitants en trois niveaux. Les processeurs d'infrastructure (GCP/S3NS) font l'objet du contrôle le plus élevé — ils hébergent l'environnement où vivent toutes les données. Les processeurs de données (Auth0, SendGrid, Sentry, Intercom, Fivetran) traitent des catégories spécifiques de données personnelles ou opérationnelles et restent strictement cantonnés à leur finalité. Les processeurs IA (OpenAI, Mistral AI, Anthropic) justifient une piste d'évaluation distincte : nous évaluons les contrôles de minimisation des entrées, les plafonds de rétention et — surtout — l'engagement contractuel du fournisseur au zéro ré-entraînement sur les données client. Les trois fournisseurs IA listés ici ont pris cet engagement par écrit.

Revue annuelle. Chaque année, le DPO de Flowie revérifie les certifications, confirme que les APD restent à jour et examine tout changement de localisation de traitement ou de propriété des sous-traitants. Si une revue révèle un écart significatif, nous suspendons l'utilisation du processeur concerné jusqu'à confirmation de la remédiation.

Aucun nouveau sous-traitant n'est activé en production tant qu'un APD signé et, le cas échéant, des CCT ne sont pas en place.

Les acheteurs nous demandent

Questions fréquentes

Ce que nous demandent les responsables du traitement et les DPO avant de signer ou de renouveler leur APD.

Pourquoi ces sous-traitants spécifiquement ?

Chacun a été retenu parce qu'il était le bon outil pour une fonction étroite et précise — et parce qu'il satisfaisait notre exigence de sécurité et de conformité. GCP/S3NS nous apporte un cloud souverain UE certifié SecNumCloud par l'ANSSI. Mistral AI nous fournit un acteur IA hébergé en France, sans donnée quittant l'UE. Auth0 nous apporte une couche d'identité éprouvée hébergée en Belgique. Nous n'avons jamais sélectionné un fournisseur sur sa marque seule ; chaque choix a été précédé d'une revue d'APD et d'une analyse de flux de données confirmant que le traitement réalisé reste limité à ce que nous décrivons dans ce tableau.

Mes données sortent-elles de l'UE ?

Une partie des données est transférée vers des sous-traitants basés aux États-Unis : SendGrid, Sentry, Intercom, Fivetran, OpenAI et Anthropic ont leur siège aux US. Ces six transferts sont encadrés par les Clauses Contractuelles Types signées au titre de la décision 2021 de la Commission européenne. L'infrastructure principale de Flowie (GCP/S3NS), la couche d'authentification (Auth0) et l'un des trois fournisseurs IA (Mistral AI) sont hébergés dans l'UE — une part significative du traitement ne quitte donc jamais l'UE.

Les fournisseurs IA voient-ils nos montants financiers ou nos IBAN ?

Non. C'est une contrainte d'architecture stricte, pas une simple préférence de politique. Le pipeline de traitement documentaire de Flowie extrait et n'envoie aux fournisseurs IA que des champs texte descriptifs — descriptions de documents, libellés de lignes, noms de catégories. Les montants financiers, les IBAN et les autres identifiants sensibles ne sont jamais inclus dans les charges utiles envoyées à OpenAI, Mistral AI ou Anthropic. Cette contrainte est appliquée au niveau de la couche applicative, avant qu'aucune donnée n'atteigne l'API d'un fournisseur IA.

Comment les transferts hors UE sont-ils protégés juridiquement ?

Les six sous-traitants hors UE ont exécuté des Clauses Contractuelles Types avec Flowie. Les CCT sont le mécanisme de transfert approuvé par la Commission européenne au titre de l'article 46(2)(c) du RGPD. Elles imposent à la partie réceptrice des obligations contractuelles contraignantes pour maintenir un niveau de protection équivalent à celui de l'UE, indépendamment du droit local. ⚠️ À VALIDER : confirmer avec le service juridique si la disponibilité d'une évaluation d'impact sur les transferts (EIT) pour chaque processeur hors UE est publiée et accessible sur demande des responsables du traitement.

Comment serai-je prévenu si un sous-traitant change ?

Si vous avez signé un APD avec Flowie, l'annexe sous-traitants de votre APD couvre l'engagement de notification automatiquement — vous n'avez pas à vous enregistrer séparément, mais veillez à ce que l'email de votre DPO ou contact juridique désigné soit à jour auprès de votre interlocuteur Flowie. Pour un préavis renforcé, vous pouvez vous abonner explicitement à /contact?intent=subprocessor-notifications. Les notifications sont envoyées au moins 30 jours avant la prise d'effet, vous laissant le temps d'évaluer l'impact et, si nécessaire, d'exercer votre droit d'opposition au titre de votre APD.

Signez votre APD ou restez informé

Deux portes d'entrée depuis cette page — toutes deux passent par la même équipe. Choisissez la vôtre.

Demander un APD signé

Nous contre-signons les APD aussi vite que les redlines le permettent.

⚠️ À VALIDER : confirmer un SLA public de contre-signature avec le service juridique si un engagement spécifique est souhaité.

Demander un APD →

Recevoir les notifications de changement de sous-traitant

Recevez un préavis de 30 jours pour tout changement significatif de cette liste.

⚠️ À VALIDER : confirmer avec le service juridique le libellé d'opt-in approuvé pour le formulaire d'abonnement.

S'abonner →