Confiance et conformité
Sous-traitants
Dernière mise à jour : 16 mai 2026
Sécurité et sous-traitants
1. Principes
Pllume sélectionne ses prestataires techniques en fonction du périmètre de service, de la sécurité, de la localisation des données et des engagements contractuels disponibles. La liste ci-dessous est une synthèse publique des sous-traitants activés dans l’environnement courant ou prévus par la configuration standard.
Elle peut inclure à la fois des prestataires de la cible standard documentée par Pllume et des prestataires legacy ou transitoires, tant que la migration complète du périmètre clinique n’est pas achevée.
2. Liste publique
| Prestataire | Service | Données | Localisation | Observations |
|---|---|---|---|---|
| OVHcloud SAS | Hébergement applicatif complet sur Public Cloud France (région Gravelines) : compute Next.js, Managed PostgreSQL (schémas clinique + analytique), Object Storage S3 pour les fichiers audio et exports, AI Endpoints pour la transcription Whisper Large v3 Turbo et la synthèse LLM (Mistral, gpt-oss-120b) | Données cliniques complètes : audio, transcriptions, notes générées, métadonnées de consultation, comptes praticiens, sauvegardes Postgres | France (Gravelines, GRA11) | Sous-traitant clinique unique. Environnement HDS (Hébergeur de Données de Santé) certifié, activé en production depuis le 27 avril 2026. Aucune donnée clinique ne sort de l’environnement OVH. |
| Resend, Inc. | Envoi des emails transactionnels (liens magiques de connexion, notifications opérationnelles) | Adresse email du praticien et contenu des emails transactionnels. Aucune donnée clinique. | Union européenne (région UE configurée) | Périmètre strictement non clinique. Utilisé uniquement pour l’authentification par lien magique et les communications de service. |
| Cloudflare, Inc. | Formulaire de liste d’attente sur le site marketing public pllume.com (Workers) | Adresse email et éventuelle spécialité saisies par les prospects sur la liste d’attente. Aucune donnée clinique, aucun accès à app.pllume.com. | Edge mondial, traitement US possible | Périmètre marketing strictement isolé de l’environnement clinique. Migration prévue vers un endpoint OVH pour souveraineté complète. |
| Stripe Payments Europe Ltd | Paiement, facturation et portail client (si abonnement payant activé) | Données de facturation, identifiants Stripe, historique d’abonnement | Union européenne | Hors périmètre clinique. Pllume ne stocke pas les données de carte bancaire complètes. |
3. Évolution de la liste
Cette liste peut évoluer en fonction du périmètre souscrit, de l’environnement technique actif et des obligations contractuelles applicables. Les clients professionnels peuvent recevoir des informations complémentaires dans leur contrat, leur DPA ou les documents d'onboarding remis par Pllume, notamment sur la distinction entre environnement cible, environnement actif et environnement transitoire.