Machina IA
Trust Center · Transparence opposable

Tout ce dont votre DPO
a besoin pour auditer Machina.

Liste publique, à jour, opposable. Sous-traitants, régions d'hébergement, contrats de sous-traitance RGPD Art. 28, certifications en cours et dates d'audit. Aucune zone grise. Votre DPO peut exiger le DPA complet à tout moment sur simple demande à dpo@machina-ia.com.

Sous-traitants RGPD (Art. 28)

Machina IA s'appuie sur les sous-traitants suivants, tous liés par un contrat de sous-traitance conforme à l'Art. 28 RGPD. Zéro transfert non couvert par un mécanisme d'adéquation(DPF pour les États-Unis, SCC ou pays adéquat sinon).

FranceWebAxys
Datacenter physique · Serveur applicatif Machina IA
Rouen, Seine-Maritime
Datacenter souverain France · Certifications infrastructure communiquées sous NDA · Infogérance Init One
FranceInit One (Kevin)
Infogérance serveur dédié · Administration système · Patch management
France · Opérateur du serveur Machina IA chez WebAxys
Contrat d'infogérance · DPA Art. 28 signé · SLA 99.5%
UEVercel
Hébergement de la landing publique et des pages SEO (statique SSG)
Région EU (Frankfurt) · EU Data Residency activé
DPA signé · région EU verrouillée · aucune donnée client traitée
FranceOVH Public Cloud
Inférence modèles OSS tier Compliance (Llama 3.3 70B, GPT-OSS 120B, Mistral 24B, Qwen 32B, Qwen2.5-VL-72B)
Gravelines / Roubaix, France
DPA signé · région FR verrouillée · modèles auto-hébergés, no-training by design
FranceKyoss
Cabinet de conformité RGPD · DPO à la demande · outil DPO Colibri
Rouen, France
Mandat DPO · contrat de prestation intellectuelle
UESupabase (Cloud)
Base de données applicative · authentification · backoffice contacts
Francfort, Allemagne · région eu-central-1
DPA signé · région EU verrouillée · chiffrement at-rest
UEStripe
Facturation abonnements · portail billing · aucun PII métier traité
Ireland, EU · DPF pour transfert secondaire
DPA signé · SCC EU-US
US / DPFAnthropic (Claude)
Modèle IA · appelé uniquement sur prompts anonymisés par Sentinel
États-Unis · DPF
DPA entreprise · clause no-training · zero retention 30j
US / DPFOpenAI (GPT)
Modèle IA · appelé uniquement sur prompts anonymisés par Sentinel
États-Unis · DPF
DPA entreprise · clause no-training · zero retention
FranceMistral AI
Modèle IA souverain · appels sur prompts anonymisés
Paris, France
DPA signé · no-training · région EU verrouillée
US / DPFGoogle (Gemini)
Modèle IA · appelé uniquement sur prompts anonymisés par Sentinel
États-Unis / EU · DPF
DPA entreprise Vertex AI · clause no-training
US / DPFPerplexity
Recherche web augmentée · appelé sur requêtes factuelles sans PII
États-Unis · DPF
DPA signé · clause no-training
US / DPFxAI (Grok)
Modèle IA · appelé uniquement sur prompts anonymisés par Sentinel
États-Unis · DPF
DPA signé · clause no-training
UEPipedrive
CRM commercial · contacts prospects B2B uniquement
Estonie, EU
DPA signé · région EU
UEResend
Emails transactionnels (confirmations, notifications)
Frankfurt, EU · région eu-west-1
DPA signé · région EU verrouillée

Mise à jour : 18 avril 2026 · Tout nouvel ajout est notifié aux clients 30 jours avant intégration (droit d'opposition garanti RGPD Art. 28.2).

Certifications et conformité

Conforme
RGPD Art. 32 + Art. 28
Conformité livrée
Article 50 du Règlement (UE) 2024/1689
Certifs sous NDA
Datacenter souverain France (hébergeur applicatif)
Audit Q3 2026
ISO 27001 (Machina SaaS)
Système en cours Q4 2026
ISO 42001 (AIMS)
Planifié Q1 2027
HDS (Machina SaaS activité 5-6)
Roadmap post-Series A
SecNumCloud (Machina SaaS)

Sécurité opérationnelle

  • Chiffrement— TLS 1.3 en transit, AES-256 at-rest pour Vault et logs. Clés gérées localement sur le serveur WebAxys, rotation annuelle, pas d'accès humain aux clés.
  • Accès— SSO + MFA obligatoire admins. Pas d'accès direct base prod, passage par bastion audité.
  • Journalisation — Logs applicatifs (audit Sentinel, requêtes IA, accès admin) conservés 13 mois, exportables sur demande.
  • Sauvegardes— Réplication asynchrone Paris ↔ Roubaix. RPO < 15 min, RTO < 4h. Tests de restauration trimestriels.
  • Incident response— Notification brèche CNIL < 72h (Art. 33 RGPD). Clients notifiés sous 24h ouvrées pour tout incident impactant leurs données.
  • Pentests — Un premier pentest externe est planifié dans les 3 mois suivant la certification ISO 27001 (audit prévu Q3 2026), par un cabinet qualifié PASSI. Le rythme cible après cette première campagne est annuel. Résumé des rapports disponible sous NDA.

Contact DPO

DPO à la demande · Kyoss · Rouen
Contact dédié pour exercer vos droits RGPD (accès, rectification, opposition, portabilité, effacement).

dpo@machina-ia.com · Délai de réponse : 1 mois maximum (RGPD Art. 12) · Réclamation CNIL

Dernière mise à jour de cette page : 18 avril 2026. Révisée à chaque ajout de sous-traitant ou mise à jour d'une certification. Voir aussi : Architecture · Partenaires et conseils · Politique de confidentialité.