Sous-traitants ultérieurs
Dernière mise à jour : 12 juillet 2026
Cette page répertorie les prestataires tiers auxquels Psychiatry Ink Ltd fait ou peut faire appel pour fournir Psychiatrie.Ink. Un sous-traitant ultérieur est un prestataire qui traite des données à caractère personnel pour le compte de Psychiatry Ink Ltd lorsque celle-ci agit en qualité de sous-traitant pour un client.
1. Contexte : responsable du traitement et sous-traitant
Pour les données de l’espace de travail clinique, le client est généralement le responsable du traitement et Psychiatry Ink Ltd est généralement le sous-traitant. Les prestataires ci-dessous peuvent agir en qualité de sous-traitants ultérieurs selon les fonctionnalités utilisées par le client.
Pour les données de compte, de facturation, de site web et d’administration de l’entreprise, certains prestataires peuvent agir en qualité de responsables du traitement indépendants ou de sous-traitants, selon leur rôle et leur contrat.
2. Sous-traitants ultérieurs actuels
Google Cloud — hébergement, infrastructure, journalisation, déploiement, stockage et calcul. Catégories de données : données applicatives, journaux, métadonnées et, le cas échéant, contenus chiffrés. Lieu de traitement : Union européenne (déploiement restreint à une région, par exemple Francfort, lorsque cela est configuré). Garanties : DPA en place ; déploiement restreint à une région lorsque cela est configuré.
Supabase — base de données, authentification, stockage et services back-end. Catégories de données : données de compte, données applicatives, métadonnées et, le cas échéant, contenus chiffrés. Lieu de traitement : Union européenne (Francfort). Garanties : DPA en place ; région de production confirmée dans l’UE.
Stripe — paiements, abonnements, facturation, factures et métadonnées fiscales. Catégories de données : coordonnées de facturation, métadonnées de paiement et données de facturation. Lieu de traitement : mondial / contrôlé par le prestataire. Garanties : Stripe peut agir en qualité de responsable du traitement indépendant pour certains traitements de paiement.
Google Workspace — messagerie professionnelle, boîte de support et communication administrative. Catégories de données : e-mails, messages de contact et pièces jointes fournies volontairement. Lieu de traitement : Union européenne / contrôlé par le prestataire. Garanties : les données de patients ne doivent pas être envoyées par e-mail, sauf autorisation.
Resend (exploité par Resend, Inc.) — envoi d’e-mails transactionnels et système (par exemple confirmation de compte, réinitialisation de mot de passe et e-mails de notification). Catégories de données : adresses e-mail des destinataires, contenu et objets des e-mails, et métadonnées de distribution. Lieu de traitement : États-Unis (transfert vers un pays tiers) ; infrastructure exploitée sur Amazon Web Services (AWS). Garanties : DPA en place ; les transferts vers les États-Unis sont encadrés par les clauses contractuelles types de l’UE (et, le cas échéant, par le cadre de protection des données UE–États-Unis).
3. Sous-traitants ultérieurs d’IA propres à certaines fonctionnalités
Ces fournisseurs ne sont utilisés que lorsque la fonctionnalité, le modèle ou le mode d’IA concerné est activé. Dans chaque cas, les catégories de données sont les invites, le texte sélectionné, les résultats générés et les métadonnées de modèle, et les identifiants doivent être minimisés avant le traitement.
OpenAI — rédaction assistée par IA, synthèse, édition, transcription et assistance aux textes cliniques. Lieu de traitement : UE, Royaume-Uni, États-Unis ou autres pays, selon le fournisseur et la configuration. Garanties : utilisé uniquement dans le cadre d’une configuration API/DPA appropriée.
Google / Gemini — rédaction assistée par IA, génération, synthèse et assistance textuelle. Lieu de traitement : UE, Royaume-Uni, États-Unis ou autres pays, selon le fournisseur et la configuration. Garanties : utilisé uniquement dans le cadre d’une configuration API/DPA appropriée.
DeepSeek — rédaction assistée par IA ou mode de modèle économique. Lieu de traitement : dépend du fournisseur et de la configuration. Garanties : non activé pour les données cliniques de production tant que le transfert, le DPA et l’évaluation des risques ne sont pas approuvés.
Mistral AI — traitement par modèle d’IA, lorsqu’il est activé. Lieu de traitement : UE, Royaume-Uni, États-Unis ou autres pays, selon le fournisseur et la configuration. Garanties : fournisseur optionnel, utilisé uniquement dans le cadre d’une configuration API/DPA appropriée.
4. Prestataires optionnels ou envisagés
Les catégories suivantes ne sont pas actives pour le service clinique en production, sauf mention contraire. Un prestataire ne sera déplacé vers la section « Sous-traitants ultérieurs actuels » que lorsqu’il traitera des données clients en tant que sous-traitant ultérieur en production.
- Infrastructure de consultation vidéo ou de discussion vocale : optionnelle et propre à certains pays ; actuellement non active en production.
- Surveillance des erreurs et diagnostics : actuellement non actifs en production.
- Analyse d’audience du site web : Google Analytics 4 (Google Ireland Limited) fonctionne uniquement sur les pages marketing publiques, avec le consentement des visiteurs. Il n’est pas un sous-traitant ultérieur pour les données cliniques : il n’est jamais actif dans l’espace de travail connecté et ne reçoit aucun contenu client ou patient (voir la Politique de cookies).
5. Modifications des sous-traitants ultérieurs
Nous pouvons mettre à jour cette page lorsque les prestataires changent. Lorsque l’accord de traitement des données l’exige, nous notifierons tout nouveau sous-traitant ultérieur substantiel et permettrons aux clients de s’y opposer pour des motifs raisonnables tenant à la protection des données, dans le délai d’opposition indiqué.
6. Responsabilité du client
Les clients doivent consulter cette liste avant d’utiliser des données cliniques de production et s’assurer que l’utilisation de Psychiatrie.Ink, les fournisseurs d’IA sélectionnés, les paramètres de pays et les garanties de transfert de données sont compatibles avec leurs propres obligations légales et institutionnelles.