Sous-traitants
Liste publique et à jour — dernière révision : 17 avril 2026.
Conformément à l'article 28.2 du RGPD, voici la liste exhaustive des sous-traitants ultérieurs auxquels Soleus a recours pour fournir son service. Toute modification significative (ajout, retrait, changement de localisation) est notifiée aux kinés utilisateurs 30 jours avant entrée en vigueur. Le Kiné peut s'y opposer motivément (voir DPA).
Infrastructure et hébergement
| Fournisseur | Rôle | Données concernées | Localisation | Garanties |
|---|---|---|---|---|
| Scalingo SAS scalingo.com |
Hébergement applicatif + base de données PostgreSQL | Toutes les données de santé, comptes, messagerie | France (Strasbourg) | Certifié HDS, ISO 27001, DPA intégré au contrat |
| Cloudflare, Inc. cloudflare.com |
Stockage objet (pièces jointes messagerie, R2) + CDN | Fichiers attachés aux messages kiné‑patient | USA / UE (région UE prioritaire) | SOC 2 Type II, ISO 27001, CCT + DPF, chiffrement au repos |
| Hostinger International hostinger.fr |
Hébergement du site vitrine soleusapp.fr uniquement | Pages publiques, formulaire liste d'attente | Chypre (UE) | RGPD, DPA disponible, pas de données de santé |
Intelligence artificielle
| Fournisseur | Rôle | Données transmises | Localisation | Garanties |
|---|---|---|---|---|
| Anthropic PBC anthropic.com |
Moteur d'aide à la réflexion (Claude) — suggestions, adaptatif, chat Gustav | Contexte clinique pseudonymisé (âge, diagnostic, EVA, compliance). Jamais de PII. | USA | DPA, CCT 2021/914, EU‑US DPF, Zero Data Retention, pas d'entraînement sur données API |
| OpenAI, LLC openai.com |
Fallback adaptatif + module Scan (GPT‑4o / GPT‑4o‑mini) | Contexte pseudonymisé + images médicales transmises en temps réel (non stockées) | USA | DPA, CCT, DPF, Zero Data Retention, pas d'entraînement API |
Services applicatifs
| Fournisseur | Rôle | Données | Localisation | Garanties |
|---|---|---|---|---|
| Expo (650 Industries, Inc.) expo.dev |
Build mobile (EAS), push notifications | Tokens push techniques uniquement — aucune donnée de santé | USA | DPA, CCT, tokens non réversibles |
| Apple, Inc. / Google LLC | Distribution des applications iOS/Android + APNs / FCM | Métadonnées de téléchargement, tokens push | USA + régions UE | Conditions App Store / Play Store, pas de contenu patient transmis |
| Mailgun Technologies ou équivalent transactionnel (à confirmer lors du lancement grand public) |
Envoi d'emails transactionnels (confirmation d'inscription, mot de passe oublié) | Email utilisateur, contenu transactionnel | Région UE | DPA, TLS, pas de données de santé |
Outils internes
Soleus n'utilise pas de CRM commercial, ni d'outil d'analyse de trafic basé sur les cookies (voir Politique cookies). La gestion interne (support) est assurée par une messagerie professionnelle chiffrée (Proton Mail, Suisse — zone adéquate).
Absence d'autre sous-traitance
Aucun autre sous-traitant n'accède aux données patient. En cas d'ajout, un préavis de 30 jours est communiqué aux kinés utilisateurs et une notification est publiée sur cette page et par email.