Sous-traitants conformes UE (hébergés en Europe)
Ces sous-traitants opèrent intégralement sur le territoire européen. Aucun transfert international n'est nécessaire pour leur prestation.
Hetzner Online GmbH
Rôle : Hébergement de l'application Sucesio et de la base de données patrimoniale chiffrée.
Localisation : Allemagne (centres de données Nuremberg et Falkenstein).
Données traitées : Toutes les données du coffre-fort (chiffrées AES-256 au niveau application), identifiants utilisateurs, journaux d'audit.
Base légale : Article 6.1.b RGPD — exécution du contrat. Hébergement intra-UE, aucun transfert international.
DPA : hetzner.com/legal/data-processing-agreement
Scaleway SAS
Rôle : Sauvegardes chiffrées hors-site de la base de données et stockage des certificats de décès.
Localisation : France (centre de données Paris).
Données traitées : Backups Postgres chiffrés (age + AES-256), PDF de certificats de décès chiffrés SSE-S3.
Base légale : Article 6.1.b RGPD — exécution du contrat. Hébergement intra-UE, aucun transfert international.
DPA : scaleway.com/en/data-protection-agreement
Stripe Payments Europe Limited
Rôle : Traitement des paiements de l'abonnement Sucesio (200 €/an).
Localisation : Irlande (Dublin) — entité Stripe Payments Europe Limited.
Données traitées : Nom, email, données de carte bancaire (jamais transmises à Sucesio — Stripe Elements), historique de facturation.
Base légale : Article 6.1.b RGPD — exécution du contrat. Hébergement intra-UE.
DPA : stripe.com/legal/dpa
Sous-traitants hors UE (transferts encadrés par Clauses Contractuelles Types)
Ces sous-traitants sont basés hors de l'Union européenne. Conformément à l'article 46 du RGPD, leurs transferts de données sont encadrés par les Clauses Contractuelles Types (CCT) approuvées par la Commission Européenne en 2021.
Clerk, Inc.
Rôle : Service d'authentification (création de compte, connexion, vérification d'email, double authentification).
Localisation : États-Unis (San Francisco, Californie).
Données traitées : Email, adresse IP, identifiant de session, métadonnées d'authentification, code TOTP (hashé).
Base légale : Article 6.1.b RGPD (exécution du contrat) + Article 46.2.c RGPD (CCT) pour le transfert UE → US.
DPA : clerk.com/legal/dpa
Resend Inc.
Rôle : Envoi des emails transactionnels (vérification d'email, alerte sécurité, notification héritiers).
Localisation : États-Unis (San Francisco, Californie).
Données traitées : Email du destinataire, sujet et corps de l'email, journaux d'envoi (ouvertures, clics, rebonds).
Base légale : Article 6.1.b RGPD (exécution du contrat) + Article 46.2.c RGPD (CCT) pour le transfert UE → US.
DPA : resend.com/legal/dpa
Inngest Inc.
Rôle : Orchestration des tâches asynchrones (rappels périodiques, jobs de transmission, notifications différées).
Localisation : États-Unis (hébergement AWS).
Données traitées : Identifiants utilisateurs, événements de protocole (transmission, vérification de vie), métadonnées techniques.
Base légale : Article 6.1.b RGPD (exécution du contrat) + Article 46.2.c RGPD (CCT) pour le transfert UE → US.
DPA : inngest.com/legal
Mesures complémentaires pour les transferts hors UE
Pour minimiser les risques liés aux transferts vers les États-Unis, nous appliquons les mesures suivantes :
Tout contenu sensible (actifs, héritiers, messages, instructions) est chiffré AES-256 au niveau application avant tout envoi à un sous-traitant. Les clés de chiffrement ne quittent jamais nos serveurs européens. Aucun sous-traitant hors UE n'a accès au contenu en clair du coffre-fort.
Modifications et notifications
Toute modification de la liste des sous-traitants sera notifiée par email aux utilisateurs concernés au moins 30 jours avant la prise d'effet. Vous disposez d'un droit d'opposition raisonné conformément à l'article 28.2 du RGPD.
Pour toute question relative à un sous-traitant ou à un transfert international : dpo@sucesio.io