Liste publiée au titre de l'article 28 du RGPD
Dans le cadre de la fourniture de la plateforme Sonolix, TG INVEST SAS recourt à un nombre limité de sous-traitants (sous-processeurs) afin d'assurer l'hébergement, la sécurité, le support et certaines fonctions d'assistance de la Solution. Chaque sous-traitant intervient dans le cadre d'une convention de sous-traitance conforme à l'article 28 du RGPD, qui encadre la confidentialité, la sécurité et la localisation des données traitées.
Information préalable aux clients
TG INVEST informe ses clients (professionnels de santé responsables de traitement) au moins 30 jours avant toute adjonction ou tout remplacement d'un sous-traitant, afin de leur permettre, le cas échéant, d'exercer leur droit d'opposition motivé conformément à l'article 28-2 du RGPD. La présente liste est tenue à jour et reflète l'état des sous-processeurs à la date indiquée.
| Sous-traitant | Service fourni | Localisation | Statut HDS | Données traitées |
|---|---|---|---|---|
| Google Cloud / Firebase (Google Cloud EMEA Limited) |
Hébergement des données patient et applicatives — Firestore, Cloud Storage, authentification — imagerie DICOM (Cloud Healthcare API) et Assistance IA (Vertex AI) | Régions EEE — europe-west9 (Paris) pour Firestore ; europe-west4 (Pays-Bas) pour l'imagerie DICOM et l'IA | HDS v2.0 — oui (Addendum HDS en cours d'activation) |
Données patient, comptes-rendus, images médicales DICOM, identité des médecins Utilisateurs |
| Anthropic, PBC (modèle Claude, via Google Vertex AI) |
Assistance IA — aide à la rédaction de la trame de compte-rendu | Union européenne (région UE de Google Vertex AI) |
Couvert HDS (sous-traitant ultérieur de Google, addendum HDS) |
Texte du compte-rendu en cours, données minimisées et pseudonymisées — identifiants directs du patient exclus ; zero data retention contractuel |
| Google Cloud Text-to-Speech (Neural2) |
Synthèse vocale (dictée / récapitulatif audio), via l'infrastructure Google Cloud | Union européenne (via GCP) | HDS — oui (couvert par le DPA GCP) |
Texte de phrases pouvant contenir un prénom patient en récapitulatif vocal |
| Hostinger International Ltd | Hébergement du site vitrine, couche front-end et proxy applicatif (sans persistance de données patient identifiantes) | Lituanie / Chypre — Union européenne | Non HDS (front / proxy uniquement) |
Code, secrets techniques, journaux, trafic frontal — aucune donnée de santé persistée |
| Sentry GmbH | Supervision applicative et collecte des erreurs techniques | Région UE (Frankfurt, Allemagne) | Non HDS (PII scrubbed) |
Erreurs front-end avec scrubbing automatique des données personnelles (pas de donnée de santé) |
| Orthanc PACS (serveur d'images, en cours de remplacement) |
Stockage des images DICOM — en cours de migration vers Google Cloud Healthcare API (europe-west4, certifié HDS) | Union européenne | Migration vers HDS en cours | Images médicales au format DICOM |
| Infomaniak Network SA | Messagerie professionnelle (hors données de santé) — aucune image médicale ni donnée patient | Suisse (décision d'adéquation UE 2000/518/CE) |
Non HDS — hors santé | Messagerie professionnelle uniquement ; aucune donnée de santé patient |
| Stripe Payments Europe Ltd | Traitement des paiements par carte bancaire (abonnements) | Irlande — Union européenne | N/A (hors santé) (PCI-DSS niveau 1) |
Identité du titulaire de l'abonnement, données de carte bancaire (TG INVEST n'en conserve aucune) |
Légende des statuts — HDS — oui hébergeur certifié ou équivalent pour données de santé · Non HDS aucune donnée de santé identifiante persistée chez ce prestataire · En cours / à confirmer migration ou certification en cours.
Pour toute question relative aux sous-traitants ou pour obtenir une copie de la convention de sous-traitance applicable, contactez le Délégué à la Protection des Données : dpo@sonolix.fr.
Dernière mise à jour : 30 mai 2026