Aperçu Fonctionnalités Cas d'usage Sécurité Tarifs FAQ Suivez-nous sur LinkedIn Se connecter Essai gratuit
Légal · Sous-traitants

Liste de nos sous-traitants

Pour fournir le service CoSec, nous faisons appel à un nombre restreint de sous-traitants triés sur le volet, choisissez pour leur conformité à la LPD suisse et leur souveraineté suisse autant que possible. Voici la liste complète, à jour, mise à disposition de toute partie intéressée.

Dernière mise à jour : 1er mai 2026 · Version 0.1 · Notification 30 jours avant tout ajout · Droit applicable : suisse uniquement

Télécharger en PDF

1. Principe général

Conformément à l'art. 9 LPD, tout sous-traitant que nous engageons est lié contractuellement par un Accord de Sous-traitance (DPA) garantissant la sécurité des données conformément à l'art. 8 LPD et à l'OPDo. La sous-sous-traitance fait l'objet d'une autorisation préalable. Les modifications de cette liste sont notifiées aux Organisations clientes au moins 30 jours avant entrée en vigueur, par e-mail à l'adresse de l'owner.

Tout client peut s'opposer à un nouveau sous-traitant pour motif raisonnable lié à la protection de ses données ; dans ce cas, il dispose d'un droit de résiliation sans frais avant l'entrée en vigueur du changement.

2. Sous-traitants principaux

2.1 Infomaniak Network SA

Raison socialeInfomaniak Network SA
Pays / siègeSuisse · Rue Eugène-Marziano 25, 1227 Les Acacias (Genève)
Numéro IDECHE-103.167.648
Site webwww.infomaniak.com
Services utilisés
  • Web Hosting (cosec.ch landing statique)
  • Node.js Hosting (app.cosec.ch, application Next.js)
  • Public Cloud OpenStack (VM Postgres, Block Storage, Object Storage Swift)
  • AI Services (modèles Qwen3, Mistral, BGE Embeddings)
  • Mail (SMTP transactionnel : magic links, factures, alertes)
  • kSuite (gestion adresses e-mail @cosec.ch)
  • Domaine cosec.ch (registrar)
Catégories de données traitéesToutes les données utilisateurs et organisations CoSec : compte, contenu, conversations IA, documents téléversés, logs, sauvegardes
Localisation effectiveDatacenters Infomaniak en Suisse uniquement (Genève az-1, az-2 ; Zurich az-3)
Transferts hors SuisseAucun
Garanties
  • DPA signé conforme art. 9 LPD
  • Société de droit suisse, soumise à la LPD
  • Immunité au CLOUD Act (USA), au FISA 702 et au Patriot Act
  • Datacenters certifiés ISO 27001, ISO 50001
  • Engagement contractuel de non-réutilisation des données pour entraînement IA
Politique de confidentialitéinfomaniak.com/fr/cgv/politique-de-confidentialite

2.2 Stripe Payments Europe Ltd.

Raison socialeStripe Payments Europe Ltd.
Pays / siègeIrlande (UE) · 1 Grand Canal Street Lower, Dublin 2 ; groupe basé aux États-Unis
Site webstripe.com
Services utilisés
  • Encaissement des paiements par carte bancaire (Visa, Mastercard, Amex, Apple Pay)
  • Gestion des abonnements et renouvellements automatiques
  • Émission des factures et reçus en PDF
  • Portail self-service client (modification CB, résiliation, historique factures)
  • Webhooks pour synchronisation des statuts d'abonnement et événements de paiement
Catégories de données traitées
  • E-mail, nom et adresse du client
  • Identifiants techniques Stripe (customer_id, subscription_id, charge_id)
  • 4 derniers chiffres et marque de la carte (Visa, Mastercard, etc.)
  • Montants, devises, métadonnées d'abonnement (plan, période)
  • Le numéro complet de la carte n'est jamais transmis à cosec : il est saisi directement dans le composant sécurisé Stripe (Stripe Elements / Checkout)
Localisation effectiveStockage principal en Irlande et UE ; infrastructure de groupe répartie aux USA pour la haute disponibilité
Transferts à l'étrangerSuisse → Irlande (UE) → groupe USA pour réplication interne
Bases légales LPD pour les transferts
  • Suisse → Irlande (UE) : art. 16 al. 1 LPD : l'UE figure à l'Annexe 1 OPDo parmi les États reconnus à niveau de protection adéquat par le Conseil fédéral
  • Irlande → USA (groupe Stripe) : adhésion de Stripe au Swiss-U.S. Data Privacy Framework, mécanisme reconnu par l'Annexe 1 OPDo
  • DPA Stripe en vigueur (version du 18 novembre 2025) applicable à OlOxOn Sàrl par incorporation au Stripe Services Agreement, complété par le Data Transfers Addendum Stripe (stripe.com/legal/dta) intégrant les Standard Contractual Clauses UE 2021/914 au sens de l'art. 16 al. 2 let. b LPD
  • Certifications PCI-DSS niveau 1, SOC 1 Type II, SOC 2 Type II (le plus haut niveau de sécurité du paiement par carte et de gestion des contrôles internes)
Sous-processeurs ultérieurs Stripestripe.com/legal/service-providers (liste publique mise à jour par Stripe ; préavis de 30 jours pour tout changement)
Politique de confidentialité Stripestripe.com/privacy
DPA Stripe (version 18 novembre 2025)stripe.com/legal/dpa
Data Transfers Addendum (SCCs UE)stripe.com/legal/dta

3. Sous-traitants secondaires (services support)

Les services suivants sont utilisés ponctuellement et n'ont pas accès aux données utilisateurs CoSec, mais sont mentionnés par souci de transparence :

3.1 Let's Encrypt

ServiceÉmission et renouvellement automatique des certificats TLS pour cosec.ch et app.cosec.ch
Données traitéesAucune donnée utilisateur ; uniquement des challenges techniques de validation de domaine
LocalisationUSA (Internet Security Research Group, organisation à but non lucratif)

4. Sous-traitants explicitement écartés

Pour des raisons de souveraineté, de conformité et de positionnement produit, CoSec n'utilise pas et n'utilisera pas les services suivants :

  • OpenAI, Anthropic, Google Gemini, Meta Llama hébergés hors UE/CH, Cohere : aucun appel d'IA tierce hors Suisse
  • Amazon Web Services (AWS), Microsoft Azure, Google Cloud Platform : pas d'hébergement chez les hyperscalers étrangers
  • Cloudflare : pas de proxy, WAF ou CDN devant les services CoSec (refus pour préserver la souveraineté)
  • Google Analytics, Hotjar, Mixpanel, Meta Pixel : aucun outil d'analytics tiers ni pixel marketing
  • Réseaux sociaux : aucun bouton de partage ni embed tiers sur la landing

5. Notification des modifications

Toute modification de cette liste (ajout d'un nouveau sous-traitant, changement de localisation d'un sous-traitant existant, modification substantielle des garanties contractuelles) fait l'objet d'une notification :

  • Par e-mail à l'adresse de l'owner de chaque Organisation cliente, au moins 30 jours avant l'entrée en vigueur
  • Par mise à jour de la présente page (date affichée en tête)
  • Par bandeau d'information dans l'application app.cosec.ch lors de la prochaine connexion

Si le changement affecte substantiellement la protection de vos données (par exemple : ajout d'un sous-traitant hors d'un État à protection adéquate au sens de l'Annexe 1 OPDo, sans garanties équivalentes au sens de l'art. 16 al. 2 LPD), vous disposez du droit de résilier votre abonnement sans frais avant l'entrée en vigueur.

6. Demandes spécifiques (DPA, audit)

Notre modèle de Contrat de Sous-traitance (DPA) standalone est librement téléchargeable et reprend les garanties listées dans cette page (art. 9 LPD). Sur demande motivée d'une Organisation cliente (administration, hôpital, banque, organisation avec exigence interne), nous pouvons par ailleurs :

  • Signer un Accord de Sous-traitance (DPA) formel reprenant les présentes garanties
  • Fournir copie des DPA en vigueur avec nos sous-traitants principaux (DPA Infomaniak signé · DPA Stripe applicable, version du 18 novembre 2025)
  • Permettre un audit de conformité raisonnable, sur préavis 30 jours, dans la mesure où il ne perturbe pas l'opération du Service ni ne compromet la confidentialité des données d'autres clients

Contact : legal@cosec.ch

Pour comprendre l'infrastructure souveraine CoSec, voir notre page Sécurité & souveraineté.
Pour le détail des données traitées et vos droits, voir notre Politique de confidentialité.
Pour les conditions générales d'utilisation du Service, voir nos CGU.