Sous-traitants · transparence nLPD

Sous-traitants

Cette page publique liste l'ensemble des sous-traitants (« data processors ») auxquels HelvetData fait appel pour fournir le Service. Elle est tenue à jour à chaque ajout ou modification, conformément à l'art. 9 nLPD et à l'art. 28 RGPD. Toute objection à un sous-traitant peut être formulée à privacy@helvetdata.ch ; HelvetData examinera la demande dans un délai de trente (30) jours.

Tableau ci-dessous : nom, pays, finalité, statut du contrat de sous-traitance (DPA), date d'ajout, données reçues.

Dernière mise à jour · 14 mai 2026

Sous-traitant	Pays	Finalité	DPA	Date d'ajout	Données reçues
Hetzner Online GmbHPolitique de confidentialité	Allemagne (datacenters Falkenstein DE + Helsinki FI)	Hébergement de l'infrastructure (serveurs, base de données, stockage objets).	Signé	2026-04-01	Toutes les données techniques et applicatives (chiffrées au repos en AES-256).
Stripe Payments Europe LtdPolitique de confidentialité	Irlande (transferts vers USA encadrés SCC + EU-US DPF)	Traitement des paiements par carte et IBAN, facturation Stripe Tax.	Signé	2026-04-01	Nom, prénom, adresse de facturation, email, métadonnées de paiement. Aucune donnée de carte n'est transmise à HelvetData.
Resend Inc.Politique de confidentialité	États-Unis (SCC signées, DPA signé)	Envoi d'emails transactionnels (vérification de compte, alertes, factures, notifications).	Signé	2026-05-14	Adresse email, prénom, contenu des emails transactionnels.
Sentry GmbHPolitique de confidentialité	Allemagne	Suivi des erreurs techniques et observabilité applicative.	Signé	2026-04-01	Stack traces anonymisées, identifiant de session technique, navigateur. Aucune donnée personnelle identifiante.
PostHog Inc.Politique de confidentialité	États-Unis (SCC signées, DPA signé)	Analytics produit, mesure d'audience opt-in après consentement du bandeau cookies.	Signé	2026-04-01	Identifiant de session anonymisé, événements de navigation, IP anonymisée (dernier octet masqué). Aucune donnée nominative.

Hetzner Online GmbH

Signé

Pays: Allemagne (datacenters Falkenstein DE + Helsinki FI)
Finalité: Hébergement de l'infrastructure (serveurs, base de données, stockage objets).
Données reçues: Toutes les données techniques et applicatives (chiffrées au repos en AES-256).
Date d'ajout: 2026-04-01

Politique de confidentialité

Stripe Payments Europe Ltd

Signé

Pays: Irlande (transferts vers USA encadrés SCC + EU-US DPF)
Finalité: Traitement des paiements par carte et IBAN, facturation Stripe Tax.
Données reçues: Nom, prénom, adresse de facturation, email, métadonnées de paiement. Aucune donnée de carte n'est transmise à HelvetData.
Date d'ajout: 2026-04-01

Politique de confidentialité

Resend Inc.

Signé

Pays: États-Unis (SCC signées, DPA signé)
Finalité: Envoi d'emails transactionnels (vérification de compte, alertes, factures, notifications).
Données reçues: Adresse email, prénom, contenu des emails transactionnels.
Date d'ajout: 2026-05-14

Politique de confidentialité

Sentry GmbH

Signé

Pays: Allemagne
Finalité: Suivi des erreurs techniques et observabilité applicative.
Données reçues: Stack traces anonymisées, identifiant de session technique, navigateur. Aucune donnée personnelle identifiante.
Date d'ajout: 2026-04-01

Politique de confidentialité

PostHog Inc.

Signé

Pays: États-Unis (SCC signées, DPA signé)
Finalité: Analytics produit, mesure d'audience opt-in après consentement du bandeau cookies.
Données reçues: Identifiant de session anonymisé, événements de navigation, IP anonymisée (dernier octet masqué). Aucune donnée nominative.
Date d'ajout: 2026-04-01

Politique de confidentialité

Notes :

DPA = Data Processing Agreement (contrat de sous-traitance art. 9 nLPD / art. 28 RGPD).
Tous les transferts hors Suisse et UE sont encadrés par des clauses contractuelles types (CCT) approuvées par la Commission européenne et le PFPDT, ainsi que, le cas échéant, par la décision d'adéquation EU-US Data Privacy Framework du 10 juillet 2023.
Aucun sous-traitant ne reçoit de données scrapées depuis les registres publics suisses : ces données restent stockées sur Hetzner (UE) uniquement.
En cas d'ajout d'un nouveau sous-traitant susceptible d'accéder à des données personnelles, les Clients seront notifiés par email au moins trente (30) jours avant la mise en production effective, conformément à l'art. 28.2 RGPD.