Sous-traitants · Art. 28 RGPD

6 acteurs publics, rien d'autre.

Tous les tiers qui voient une donnée personnelle qui transite par Coffrify (au sens RGPD Art. 4.2 + Art. 28). Localisation, catégories de données, base légale et DPA documentés. Cette liste est mise à jour avant tout ajout d'un nouveau sous-traitant — vous pouvez vous abonner aux changements en bas de page.

Cette table est lue en direct depuis la base. Dernière mise à jour automatique à chaque navigation.

Sous-traitantService · catégories de donnéesLocalisationUE / hors-UE

Scaleway SAS

www.scaleway.com DPA

Stockage objet chiffré (Object Storage S3-compatible)

Fichiers transférés (chiffrés)Métadonnées de transfert

GDPR Art. 28 — DPA signé

France (Paris) — Hébergement souverain UE

Supabase Inc.

supabase.com DPA

Base de données PostgreSQL, authentification, RLS

EmailNom d'utilisateurLogs d'authentificationMétadonnées

GDPR Art. 28 — DPA signé · SCC UE pour transferts

Union européenne (Frankfurt)

Stripe Payments Europe Ltd.

stripe.com DPA

Traitement des paiements & facturation

EmailNomDonnées de carte (PCI DSS niveau 1)Historique de transactions

GDPR Art. 28 — DPA signé · PCI DSS niveau 1

Irlande (siège UE) — données PCI traitées en UE

Twilio SendGrid Inc.

sendgrid.com DPA

Envoi d'emails transactionnels (vérification, factures, notifications)

Email destinataireSujet & contenu de l'email

GDPR Art. 28 — DPA signé · SCC UE/USA

États-Unis — Standard Contractual Clauses UE/USA

Vercel Inc.

vercel.com DPA

Hébergement applicatif (frontend Next.js, edge functions, CDN)

Adresse IPLogs HTTPHeaders de requête

GDPR Art. 28 — DPA signé · SCC UE/USA

Région UE (Paris cdg1) — SCC pour overhead US

BetterStack (Better Stack s.r.o.)

betterstack.com

Monitoring uptime & gestion des incidents

URL des endpoints monitorésCodes HTTPMétriques techniques (latence)

GDPR Art. 28 — DPA disponible sur demande

République Tchèque (UE)

UEDonnées traitées dans l'Union européenne.SCCTransfert hors UE encadré par Standard Contractual Clauses.

Suivre les changements

Notification préalable à chaque ajout de sous-traitant, avant qu'il prenne effet.

Conformément à Art. 28.2 RGPD, vous serez notifié au moins 30 jours avant tout ajout, avec un droit d'opposition motivé.