RGPD · ARTICLE 28 · DPA

Sous-traitants ultérieurs

Dernière mise à jour : 22 mai 2026

En application de l'article 28 §2 du RGPD, VALNORA publie ci-dessous la liste exhaustive de ses sous-traitants ultérieurs. Chaque entité listée est liée à VALNORA par un accord de traitement des données (DPA) conforme au RGPD et, le cas échéant, à des clauses contractuelles types pour les transferts hors UE.

Information préalable — tout changement de sous-traitant (ajout ou retrait) est notifié aux cabinets clients via email au minimum 30 jours avant son entrée en vigueur. Vous disposez d'un droit d'opposition motivé.

Hébergement & infrastructure

Scaleway HDS niveau 2

Hébergeur base de données — Données de santé
Localisation
Paris, France (datacenter DC5)
Données traitées
Devis, patients, événements, mutuelles, signatures
Certifications
HDS, ISO 27001, ISO 27017, ISO 27018, SecNumCloud
DPA
scaleway.com/dpa

Hébergeur certifié HDS (Hébergeur de Données de Santé). Aucune donnée ne quitte la France.

Railway RGPD · UE

Compute API + Front (sans persistance données santé)
Localisation
Région EU-West (Amsterdam)
Données traitées
Trafic HTTP éphémère uniquement — aucune persistance
Certifications
SOC 2 Type II, RGPD
DPA
railway.com/legal/dpa

Railway exécute le code applicatif. Les données persistantes sont stockées chez Scaleway, pas chez Railway.

Intelligence artificielle

Google Gemini Nano Banana · UE

Génération d'image (simulation IA du sourire)
Localisation
Multi-région UE (Belgique / Pays-Bas, sur l'offre Vertex / AI Studio)
Modèle
gemini-2.5-flash-image (Nano Banana)
Données traitées
Photo du sourire envoyée par le patient — consentement RGPD recueilli au moment de l'envoi
Rétention
Aucune — les images ne sont ni stockées ni utilisées pour entraîner les modèles (politique Google AI Studio API)
DPA
cloud.google.com/terms/dpa

Google Gemini est l'IA qui régénère uniquement la zone des dents sur la photo. Le résultat est ensuite stocké chez Scaleway (Paris HDS) — pas chez Google.

OpenAI Zero Data Retention · DPA signé

Vision OCR (extraction texte des devis & cartes mutuelles)
Localisation
États-Unis (clauses contractuelles types UE)
Modèle
gpt-4o (Vision uniquement, pas d'images générées)
Données traitées
PDF/images de devis dentaire + cartes tiers-payant pour extraction de données structurées
Rétention
0 jour — Zero Data Retention activé (paramètre store: false + Data Controls)
DPA
openai.com/policies/data-processing-addendum

Utilisé uniquement pour transformer les documents (PDF devis, photo carte mutuelle) en données exploitables. Aucune donnée n'est utilisée pour entraîner les modèles.

Communication

Sent.dm UE · RGPD

Envoi des SMS de notification patient
Localisation
Union Européenne
Données traitées
Numéro de téléphone, prénom, lien d'accès au devis
Rétention SMS
90 jours maximum (logs de délivrabilité)
DPA
sent.dm/legal/dpa

Aucun contenu médical n'est transmis par SMS — uniquement un lien sécurisé personnel.

Brevo (ex-Sendinblue) France · RGPD

Emails transactionnels (demande d'accès, notifications cabinet)
Localisation
France (Paris)
Données traitées
Email, prénom, contenu de la notification
Rétention
12 mois (logs de délivrabilité)
DPA
brevo.com/legal/dpa

Utilisé uniquement pour les emails côté cabinet (jamais pour les patients).

Transferts hors Union Européenne

Le seul transfert hors UE concerne OpenAI (Vision OCR, États-Unis). Ce transfert est encadré par des clauses contractuelles types (CCT) approuvées par la Commission européenne, complétées par un Zero Data Retention contractuel — aucune donnée n'est conservée par OpenAI au-delà du traitement immédiat de la requête.

Google Gemini (génération d'image — sourire IA) est opéré sur l'infrastructure UE (région Belgique / Pays-Bas), donc aucun transfert hors UE pour les photos des patients.

Pour les photos utilisées par la simulation IA, votre consentement est recueilli au moment de l'envoi via une mention RGPD affichée sous le bouton d'upload, conformément à l'article 9 §2.a du RGPD (données de santé).

Vos droits

Pour toute question relative à un sous-traitant listé sur cette page, contactez notre délégué à la protection des données : privacy@valnora.fr.

Vous pouvez à tout moment demander la suppression de vos données, conformément à la politique de confidentialité.