Liste des sous-traitants
Etablie en application de l'article 28, paragraphes 2 et 4, du Reglement (UE) 2016/679 (RGPD). Derniere mise a jour : avril 2026.
1. Cadre general
Pour fournir le Service MYCOM, HAPICS SAS (ci-apres « le Responsable du traitement » ou « MYCOM ») a recours a des prestataires techniques agissant en qualite de sous-traitants au sens de l'article 4 §8 du RGPD. Conformement a l'article 28 §2 du RGPD, le Client autorise par principe le recours aux sous-traitants ulterieurs listes ci-dessous.
Tout ajout ou remplacement d'un sous-traitant ulterieur fait l'objet d'une mise a jour de la presente page au moins 30 jours avant son entree en vigueur effective. Le Client peut s'y opposer dans ce delai pour motif legitime serieux ; a defaut d'opposition, l'autorisation est reputee acquise. En cas d'opposition rendant impossible la poursuite du Service, le contrat pourra etre resilie sans indemnite ni penalite.
Tous les sous-traitants ci-dessous sont lies a HAPICS SAS par un contrat comportant les clauses obligatoires de l'article 28 §3 du RGPD (Data Processing Agreement / DPA). Pour les sous-traitants etablis hors Union europeenne, les transferts sont encadres par : (i) une decision d'adequation de la Commission europeenne lorsqu'elle existe (notamment EU-US Data Privacy Framework— decision UE 2023/1795 du 10 juillet 2023), ou (ii) les clauses contractuelles types de la Commission europeenne du 4 juin 2021 (decision 2021/914), accompagnees, le cas echeant, de mesures supplementaires (chiffrement, pseudonymisation, restriction d'acces).
2. Sous-traitants ulterieurs autorises
| Sous-traitant | Pays / Localisation des donnees | Finalite du traitement | Categories de donnees | Garanties pour les transferts hors UE |
|---|---|---|---|---|
| 1&1 IONOS SE Elgendorfer Strasse 57, 56410 Montabaur, Allemagne | Allemagne (UE) | Hebergement de la plateforme MYCOM (serveur applicatif, base de donnees, stockage objet, journaux serveur) | L'ensemble des donnees traitees par MYCOM (donnees de compte, donnees RH, photos, documents, journaux techniques) | Sans objet — traitement integralement realise dans l'Union europeenne. DPA signe. |
| Cloudflare, Inc. 101 Townsend St, San Francisco, CA 94107, Etats-Unis Filiale UE : Cloudflare Germany GmbH | Etats-Unis (avec routage prioritaire sur points de presence europeens) | Reseau de distribution de contenu (CDN), protection contre les attaques par deni de service (DDoS), terminaison TLS edge, cache statique | Adresse IP, en-tetes HTTP, URL appelee, donnees techniques de connexion (User-Agent, referer) | EU-US Data Privacy Framework (Cloudflare certifie) + Standard Contractual Clauses 2021/914. Politique « Data Localization Suite » activee pour limiter le routage des donnees au territoire de l'UE. |
| Stripe Payments Europe Ltd 1 Grand Canal Street Lower, Dublin 2, Irlande Maison-mere : Stripe, Inc. (Etats-Unis) | Irlande (UE) pour la facturation europeenne ; Etats-Unis pour operations bancaires globales | Encaissement des abonnements et des achats unitaires, emission des factures, gestion des moyens de paiement, prevention de la fraude | Identite du payeur (nom, prenom, raison sociale), email de facturation, adresse de facturation, donnees de paiement (Stripe est seul detenteur des numeros de carte — MYCOM ne stocke aucune coordonnee bancaire) | EU-US Data Privacy Framework (Stripe Inc. certifie) + Standard Contractual Clauses 2021/914. Stripe Payments Europe Ltd est responsable de traitement conjoint pour les operations bancaires reglementees. |
| Sendinblue SAS (Brevo) 106 boulevard Haussmann, 75008 Paris, France | France et Allemagne (UE) | Envoi des emails transactionnels (notifications de compte, invitations, reinitialisations de mot de passe) et des emails marketing du site vitrine | Adresse email, prenom, nom, contenu des messages, donnees techniques de delivrabilite (ouvertures, clics) | Sans objet — traitement integralement realise dans l'Union europeenne. DPA signe. |
| Anthropic PBC 548 Market St, PMB 90375, San Francisco, CA 94104, Etats-Unis | Etats-Unis | Analyse algorithmique des photographies dans le cadre des modules Verif (objets de luxe), Expertise et Etiquettes (modele Claude via Anthropic API). Generation de textes assistee. | Photographies des articles soumis a analyse, contenu des prompts (libelle produit, marque, contexte). Anthropic s'engage par contrat a ne pas utiliser les contenus pour entrainer ses modeles. | EU-US Data Privacy Framework (sous reserve de verification de la certification a date sur dataprivacyframework.gov) + Standard Contractual Clauses 2021/914 incorporees au DPA Anthropic. Mesures supplementaires : chiffrement TLS 1.3 et conservation limitee a 30 jours cote Anthropic. |
| Google LLC 1600 Amphitheatre Parkway, Mountain View, CA 94043, Etats-Unis | Etats-Unis (avec basculement possible sur centres europeens pour certaines API) | (i) Analyse algorithmique des photographies via le modele Gemini API ; (ii) authentification federee (Google OAuth) pour la fonctionnalite optionnelle « Avis Google » | Photographies, prompts, jetons OAuth (uniquement pour les utilisateurs qui activent la fonctionnalite Avis Google) | EU-US Data Privacy Framework (Google LLC certifie, fiche dataprivacyframework.gov) + Standard Contractual Clauses 2021/914. |
3. Sous-traitants des sous-traitants
Chacun des sous-traitants listes ci-dessus a, a son tour, recours a ses propres sous-traitants techniques (centres de donnees, fournisseurs de connectivite, outils de supervision). HAPICS SAS s'assure contractuellement que ces chaines de sous-traitance respectent les exigences de l'article 28 §4 du RGPD. La liste actualisee des sous-traitants ulterieurs de chacun de nos partenaires est disponible sur leurs portails publics dedies.
4. Acces du Client aux contrats de sous-traitance (DPA)
Conformement a l'article 28 §3 du RGPD, le Client peut, sur demande ecrite adressee au DPO (dpmockup@gmail.com), obtenir copie des accords de sous-traitance signes avec les prestataires ci-dessus, sous reserve du respect des clauses de confidentialite contractuelles.
5. Information sur les transferts hors Union europeenne
Pour les sous-traitants etablis aux Etats-Unis (Anthropic PBC, Google LLC, Stripe Inc., Cloudflare Inc.), les transferts de donnees sont realises sur le fondement de la decision d'execution (UE) 2023/1795 de la Commission du 10 juillet 2023 reconnaissant que les Etats-Unis assurent un niveau de protection adequat lorsque l'importateur est certifie au titre du Data Privacy Framework.
En complement, MYCOM impose contractuellement les clauses contractuelles types (CCT) adoptees par la Commission europeenne le 4 juin 2021 (decision 2021/914) et conduit, pour chaque sous-traitant, une analyse d'impact des transferts (Transfer Impact Assessment, TIA) reactualisee annuellement. La documentation de ces analyses est tenue a disposition de l'autorite de controle dans le cadre du registre des activites de traitement (article 30 du RGPD).
En cas d'invalidation future du Data Privacy Framework, les CCT constituent la base subsidiaire des transferts ; MYCOM s'engage a notifier tout changement substantiel par voie d'information dans la plateforme et par mise a jour de la presente page.
6. Composants logiciels auto-heberges (non sous-traitants)
Le service utilise des composants logiciels open-source ou proprietaires heberges directement sur l'infrastructure IONOS. Ces composants ne constituent pas des sous-traitants au sens de l'article 28 du RGPD car aucune donnee personnelle ne sort de l'infrastructure IONOS pour eux. Cela inclut notamment :
- MinIO (logiciel de stockage objet S3-compatible, deploye sur l'infrastructure IONOS)
- PostgreSQL (systeme de gestion de base de donnees relationnelle, deploye sur l'infrastructure IONOS)
- NGINX (serveur web, deploye sur l'infrastructure IONOS)
7. Reclamations et droit des personnes concernees
Pour toute question ou reclamation relative aux sous-traitants ou aux transferts de donnees, vous pouvez contacter notre delegue a la protection des donnees a l'adresse dpmockup@gmail.com. Vous disposez egalement du droit d'introduire une reclamation aupres de la Commission Nationale de l'Informatique et des Libertes (CNIL), 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07 ou via www.cnil.fr/fr/plaintes.