Coffrify est conçu comme une plateforme française et européenne. Par défaut, les fichiers que vous transférez, recevez ou conservez via l'API sont stockés et traités dans l'Union européenne, sur des infrastructures opérées par des fournisseurs européens. Cette page décrit, à un niveau factuel, où vos données résident, dans quelles régions, avec quels sous-traitants, et ce que cela implique pour votre propre conformité RGPD. Elle ne décrit pas le fonctionnement interne de la sécurité : pour cela, retenez simplement que les contenus sont chiffrés au repos, et qu'un mode de chiffrement de bout en bout optionnel garantit que le serveur ne peut pas lire vos fichiers.
Où vos données sont stockées
Il faut distinguer deux types de données : le contenu des fichiers (les octets que vous téléversez) d'une part, et les métadonnées de compte (utilisateurs, transferts, intégrations, journaux) d'autre part. Les deux résident en Union européenne par défaut.
Le contenu des fichiers est stocké sur un stockage objet opéré par un fournisseur français, dans une région européenne. Les métadonnées et l'authentification sont gérées dans une base de données hébergée sur une infrastructure située à Paris (France). Aucune de ces deux briques n'expédie vos données hors d'Europe dans la configuration par défaut.
Régions disponibles
Chaque fichier transféré est rattaché à une région de stockage. Par défaut, tout est stocké en France. Les plans supérieurs peuvent, à titre optionnel et sur choix explicite, sélectionner une région alternative. Tant que vous ne changez rien, le stockage par défaut reste en France.
| Région | Localisation | Zone | Disponibilité |
|---|---|---|---|
| eu-par-1 | Paris, France | Union européenne | Par défaut, tous les plans |
| eu-ams-1 | Amsterdam, Pays-Bas | Union européenne | Option, plans supérieurs |
| us-east-1 | États-Unis | Hors UE | Option explicite, plans supérieurs uniquement |
Connaître la région de vos fichiers via l'API
L'endpoint GET /v1/storage renvoie l'inventaire de vos fichiers ainsi qu'une ventilation par région, ce qui vous permet de vérifier, à tout moment et de façon programmatique, où vos données résident effectivement.
/v1/storageListe les fichiers stockés avec leur région, et fournit une ventilation by_region (nombre de fichiers et octets par région).Sous-traitants
Coffrify s'appuie sur un petit nombre de sous-traitants techniques (au sens de l'article 28 du RGPD). Le tableau ci-dessous indique, pour chacun, la finalité, la région d'hébergement effective de vos données, et le pays de la société mère. Nous distinguons délibérément le lieu d'hébergement (où vos données résident réellement) de la juridiction de la maison mère (qui peut différer), afin que votre DPO dispose d'une information honnête et complète.
| Sous-traitant | Finalité | Région d'hébergement | Société mère | CCT |
|---|---|---|---|---|
| Scaleway SAS | Stockage des fichiers utilisateur | Région fr-par (Paris, France) | France | Non requises |
| Cloudflare, Inc. | CDN, protection anti-DDoS, et stockage en région alternative (option des plans supérieurs) | Régions R2 WEUR / EEUR (UE) | États-Unis | Oui |
| Supabase | Base de données et authentification des comptes | AWS eu-west-3 (Paris, France) | États-Unis / Singapour | Oui |
| Mistral AI | IA souveraine (traduction, assistant, classification optionnelle) | Union européenne (Paris, France) | France | Non requises |
| Twilio SendGrid | Emails transactionnels (notifications, alertes sécurité) | Multi-région (États-Unis) | États-Unis | Oui |
| Vercel Inc. | Hébergement applicatif (aucun stockage de fichiers) | Multi-région (sans stockage persistant) | États-Unis | Oui |
| Stripe, Inc. | Traitement des paiements (abonnements, facturation) | Union européenne + États-Unis | États-Unis / Irlande | Oui |
Lorsqu'un sous-traitant a sa société mère hors UE, la relation est encadrée par les Clauses Contractuelles Types (CCT) de la Commission européenne. Pour les sous-traitants européens (comme Scaleway et Mistral AI), ces clauses ne sont pas nécessaires, les traitements restant entre entités de l'Union. La liste de référence des sous-traitants est versionnée et tenue à jour par notre équipe juridique.
IA souveraine et confidentialité du contenu
Les fonctionnalités assistées par IA (traduction des contenus publics, assistant des sites publics, classification optionnelle des dépôts de Réception, suggestions d'aide) reposent sur Mistral AI, un fournisseur européen. Les données sont traitées dans l'Union européenne et les requêtes ne sont pas utilisées pour entraîner les modèles. Surtout, le contenu des fichiers que vous transférez n'est jamais transmis à un service d'IA.
Implications RGPD et souveraineté
Concrètement, en conservant la configuration par défaut, vos transferts, réceptions et coffres résident dans l'Union européenne, sans transfert de données vers un pays tiers. Cela facilite votre conformité RGPD : minimisation des transferts internationaux, base juridique claire pour l'hébergement, et traçabilité de la localisation via l'API. Vous restez responsable de traitement pour les données que vous confiez à la plateforme ; Coffrify et ses sous-traitants agissent en sous-traitance.
- Par défaut, aucune donnée hors UE : stockage des fichiers en France, base de données et authentification à Paris, IA traitée dans l'UE.
- Sortie d'UE = choix explicite : seule la sélection délibérée de la région us-east-1 (réservée aux plans supérieurs) place des fichiers hors d'Europe.
- Transparence vérifiable :
GET /v1/storageexpose la région réelle de chaque fichier, pour audit ou preuve de conformité. - Sous-traitants encadrés : relations hors UE couvertes par les Clauses Contractuelles Types, finalités documentées.
Pour rappel sur le chiffrement : les contenus sont chiffrés au repos, et un mode de chiffrement de bout en bout optionnel est disponible. Dans ce mode, la clé reste chez vous et le serveur ne peut pas lire le contenu. En contrepartie, si vous perdez votre clé ou votre phrase secrète, personne, pas même Coffrify, ne peut récupérer les données.