Liste des Sous-traitants (Subprocessors)
Conformément à l'article 28 du RGPD, à la Loi 25 du Québec et au PIPEDA, nous publions la liste des sous-traitants auxquels nous faisons appel pour fournir le Service ERPResto. Tous sont liés par des accords de sous-traitance incluant des clauses de protection des données.
| Sous-traitant | Finalité | Localisation | Données traitées | Garanties | DPF |
|---|---|---|---|---|---|
| Vercel Inc. | Hébergement, CDN, edge functions, analytics de performance | États-Unis / Mondial (edge) | Requêtes HTTP, logs d'accès, métriques de performance | SCC + TIA, DPF certifié, SOC 2 Type II, chiffrement TLS 1.3 | ✓ |
| Stripe Inc. | Traitement des paiements, facturation, prévention de la fraude | États-Unis / Irlande | Données de paiement (carte via tokenisation), email de facturation, adresse | PCI-DSS Level 1, SCC + TIA, DPF certifié, SOC 2 Type II, ISO 27001 | ✓ |
| Neon Inc. (ou fournisseur PostgreSQL managé) | Base de données relationnelle managée | Canada / UE (selon configuration) | Toutes les données applicatives (chiffrées au repos AES-256) | Chiffrement au repos et en transit, isolation réseau, SOC 2 Type II | — |
| Sentry (Functional Software Inc.) | Monitoring des erreurs, diagnostics de performance | États-Unis | Stack traces, métadonnées de session (IP tronquée), breadcrumbs | SCC + TIA, DPF certifié, SOC 2 Type II, données PII scrubbing activé | ✓ |
| Resend (ou SendGrid/Twilio) | Emails transactionnels (vérification, notifications, alertes) | États-Unis | Adresse email destinataire, contenu du message, métadonnées d'envoi | SCC + TIA, chiffrement TLS, politique de rétention limitée | — |
| OpenAI (si fonctionnalités IA activées) | Suggestions IA, analyse de texte, assistance intelligente | États-Unis | Prompts textuels (jamais de données personnelles brutes — contexte anonymisé) | SCC + TIA, DPF certifié, zero data retention (API), pas d'entraînement sur données client | ✓ |
DPF = EU-US Data Privacy Framework. Les sous-traitants certifiés DPF bénéficient d'une décision d'adéquation au sens de l'article 45 RGPD. Pour les autres, des Clauses Contractuelles Types (SCC) et une Évaluation d'Impact du Transfert (TIA) sont en place.
Politique de Notification des Changements
Préavis
Nous vous informerons par email au moins 30 jours avant l'ajout ou le remplacement d'un sous-traitant accédant à des données personnelles. Cette notification inclura le nom du sous-traitant, sa finalité, sa région et les garanties de protection mises en place.
Droit d'objection
Si vous avez des préoccupations légitimes concernant un nouveau sous-traitant, vous pouvez nous contacter à dpo@erpresto.com dans les 30 jours suivant la notification. Nous travaillerons de bonne foi pour résoudre vos préoccupations. Si aucune résolution n'est trouvée, vous pouvez résilier votre abonnement sans frais de résiliation anticipée.
Contact
Pour toute question concernant nos sous-traitants : dpo@erpresto.com