Sous-traitants
Version 2.0Dernière mise à jour:
Cette page liste les sous-traitants tiers (fournisseurs et prestataires de services) que Zenovay (« Zenovay », « nous », « notre » ou « nos ») utilise pour aider à fournir, maintenir et améliorer notre plateforme d'analyse et les services associés.
Nous sélectionnons soigneusement des sous-traitants qui maintiennent des normes élevées en matière de sécurité, de confidentialité et de protection des données. Tous les sous-traitants sont tenus de respecter les lois applicables sur la protection des données et nos exigences de traitement des données.
Qu'est-ce qu'un sous-traitant
Un sous-traitant est un sous-traitant de données tiers engagé par Zenovay pour aider à fournir nos Services. Ces sous-traitants peuvent traiter les données des clients en notre nom à des fins telles que :
- Infrastructure d'hébergement et diffusion de contenu
- Gestion de bases de données et stockage de données
- Traitement des paiements et gestion des abonnements
- Livraison d'e-mails et services de communication
- Authentification et gestion des identités
- Services d'analyse et de surveillance
Sous-traitants actuels
Le tableau suivant liste tous les sous-traitants actifs utilisés par Zenovay à la date indiquée ci-dessus :
| Sous-traitant | Objectif | Localisation | Mécanisme de transfert | Site web |
|---|---|---|---|---|
| Cloudflare, Inc. | Informatique de pointe (Workers), stockage clé-valeur (KV), hébergement statique (Pages), stockage d'objets (R2), CDN, protection DDoS, protection contre les robots (Turnstile) et AI Gateway | États-Unis (Réseau de pointe mondial) | DPF UE-États-Unis / DPF Suisse-États-Unis | cloudflare.com/privacypolicy/ |
| Supabase, Inc. | Base de données PostgreSQL, synchronisation des données en temps réel, authentification et stockage | Union européenne (eu-central-1, Francfort) - région de base de données principale depuis le 24 avril 2026 | Adéquation (données résidant dans l'UE) ; les CCT s'appliquent aux flux de données de support opérationnel éventuels | supabase.com/privacy |
| Stripe, Inc. | Traitement des paiements, facturation et gestion des abonnements | États-Unis | DPF UE-États-Unis / DPF Suisse-États-Unis | stripe.com/privacy |
| Resend, Inc. | Livraison d'e-mails transactionnels et services de notification | États-Unis | CCT | resend.com/legal/privacy-policy |
| Mapbox, Inc. | Services de géolocalisation et visualisation de globe 3D | États-Unis | CCT | mapbox.com/legal/privacy |
| Google LLC | Authentification sociale OAuth (méthode de connexion optionnelle) | États-Unis | DPF UE-États-Unis / DPF Suisse-États-Unis | policies.google.com/privacy |
| GitHub (Microsoft Corp.) | Authentification sociale OAuth (méthode de connexion optionnelle) | États-Unis | DPF UE-États-Unis / DPF Suisse-États-Unis | docs.github.com/en/site-policy/privacy-policies/github-general-privacy-statement |
| OpenAI, LLC | Insights d'analyse basés sur l'IA et traitement du langage naturel (fonctionnalité optionnelle) | États-Unis | CCT | openai.com/policies/privacy-policy |
| IPwho.is | Service de géolocalisation IP de secours | UE / Mondial | Adéquation / CCT | ipwho.is |
| Meta Platforms, Inc. | Suivi des conversions publicitaires et remarketing via Meta Pixel (nécessite le consentement de l'utilisateur) | États-Unis | DPF UE-États-Unis / DPF Suisse-États-Unis | facebook.com/privacy/policy/ |
| Reddit, Inc. | Suivi des conversions publicitaires et remarketing via Reddit Pixel (nécessite le consentement de l'utilisateur) | États-Unis | CCT | reddit.com/policies/privacy-policy |
| Google LLC (Analytics) | Analyse du site web, mesure du trafic et suivi des conversions via Google Analytics 4 (nécessite le consentement de l'utilisateur) | États-Unis | DPF UE-États-Unis / DPF Suisse-États-Unis | policies.google.com/privacy |
| Sentry, Inc. | Surveillance des erreurs, suivi des performances applicatives et signalement des plantages | États-Unis | CCT | sentry.io/privacy/ |
| LemonSqueezy (Lemon Squeezy, LLC) | Traitement de paiement alternatif, facturation en qualité de marchand inscrit et gestion des factures pour les clients sélectionnant LemonSqueezy à la caisse | États-Unis | CCT | lemonsqueezy.com/privacy |
| Polar Software, Inc. | Traitement de paiement alternatif, facturation d'abonnement et livraison de webhooks pour les clients sélectionnant Polar à la caisse | États-Unis | CCT | polar.sh/legal/privacy |
| Anthropic, PBC | Classification et rédaction d'e-mails assistées par IA, acheminées via Cloudflare AI Gateway. Traite uniquement le contenu des e-mails appartenant au client et les analyses agrégées ; aucune donnée brute de session visiteur n'est transmise. | États-Unis | DPF UE-États-Unis / CCT | anthropic.com/privacy |
Sous-traitants optionnels
Les sous-traitants suivants ne sont engagés que lorsque les clients activent des fonctionnalités optionnelles spécifiques :
| Sous-traitant | Objectif | Fonctionnalité | Mécanisme de transfert | Site web |
|---|---|---|---|---|
| IPinfo | Enrichissement de données tiers pour l'intelligence commerciale | Identification d'entreprises B2B | CCT | ipinfo.io/privacy |
| Clearbit (HubSpot) | Enrichissement de données tiers pour l'intelligence commerciale | Identification d'entreprises B2B | DPF UE-États-Unis / CCT | hubspot.com/data-privacy/privacy |
| Amazon Web Services (AWS S3) | Stockage d'objets contrôlé par le client. Les métriques agrégées analytics_daily sont envoyées (PUT) vers un bucket que le client possède et configure. Zenovay agit uniquement comme un agent - les identifiants, le bucket, la région et la politique de cycle de vie sont entièrement contrôlés par le client. | Export Entrepôt (S3) - Plan Scale | Contrôlé par le client (le transfert s'effectue sous le DPA AWS du client, pas celui de Zenovay) | aws.amazon.com/privacy/ |
Normes de traitement des données
Tous les sous-traitants listés ci-dessus sont tenus de :
- Maintenir des mesures de sécurité techniques et organisationnelles appropriées pour protéger les données des clients
- Traiter les données uniquement conformément aux instructions documentées de Zenovay
- Se conformer aux lois applicables sur la protection des données, notamment le RGPD, le CCPA et d'autres réglementations pertinentes
- Mettre en œuvre des analyses d'impact sur la protection des données lorsque requis par la loi
- Notifier promptement Zenovay de toute violation de données, incident de sécurité ou accès non autorisé
- Aider dans les demandes des personnes concernées, y compris les demandes d'accès, de suppression et de portabilité
- Maintenir les certifications et normes de sécurité appropriées dans la mesure où elles s'appliquent à leur catégorie de service et à leur taille
- Retourner ou supprimer les données des clients à la fin des services, selon les instructions
Transferts internationaux de données
La base de données principale de Zenovay (Supabase) est hébergée dans l'Union européenne (eu-central-1, Francfort) depuis le 24 avril 2026, et Cloudflare R2 (captures d'écran de cartes thermiques) est configuré avec une préférence de localisation des données dans l'UE. Certains de nos autres sous-traitants (par ex. Stripe, Resend, OpenAI via Cloudflare AI Gateway) sont basés aux États-Unis, ce qui peut impliquer des transferts de données personnelles en dehors de l'Espace économique européen (EEE) vers des pays qui n'offrent pas le même niveau de protection des données que les pays de l'EEE.
Pour les transferts de données personnelles de l'EEE vers des pays sans décision d'adéquation, nous assurons la conformité via :
- Cadre de protection des données UE-États-Unis (DPF) / DPF Suisse-États-Unis : Pour les sous-traitants basés aux États-Unis certifiés dans le cadre du DPF UE-États-Unis et Suisse-États-Unis, nous nous appuyons sur le DPF comme mécanisme de transfert valide (Décision d'adéquation de la Commission européenne du 10 juillet 2023).
- Clauses contractuelles types (CCT) : Nous utilisons des Clauses contractuelles types approuvées par la Commission européenne (Décision 2021/914) avec des sous-traitants qui ne sont pas certifiés dans le cadre du DPF ou comme garantie supplémentaire.
- Accords de traitement des données (DPA) : Tous les sous-traitants sont liés par des Accords de traitement des données complets qui incluent des garanties appropriées de protection des données.
- Décisions d'adéquation : Le cas échéant, nous nous appuyons sur les décisions d'adéquation émises par la Commission européenne pour certains pays.
- Mesures supplémentaires (Schrems II) : Nous mettons en œuvre des mesures supplémentaires recommandées par le CEPD, notamment le chiffrement en transit (TLS 1.2+) et au repos (AES-256), les contrôles d'accès, les Évaluations d'impact des transferts et les audits de sécurité réguliers.
Mises à jour de cette liste
Zenovay peut ajouter, supprimer ou remplacer des sous-traitants de temps à autre à mesure que nos besoins commerciaux évoluent, que la technologie change ou pour améliorer nos Services.
Lorsque nous apportons des modifications à nos sous-traitants, nous :
- Mettons à jour cette page avec la liste actuelle des sous-traitants
- Mettons à jour la date de « Dernière mise à jour » en haut de cette page
- Fournissons au moins 30 jours de préavis aux clients payants avant d'ajouter de nouveaux sous-traitants
- Informons les clients payants par e-mail des modifications importantes apportées aux sous-traitants
- Offrons aux clients payants le droit de s'opposer aux nouveaux sous-traitants pour des motifs raisonnables de protection des données
Nous vous recommandons de consulter régulièrement cette page pour rester informé de nos sous-traitants actuels. Vous pouvez également vous abonner aux notifications par e-mail concernant les mises à jour des sous-traitants.
Vos droits
En tant que client Zenovay, vous avez le droit de :
- Demander des informations sur nos sous-traitants et leurs activités de traitement des données
- S'opposer à l'utilisation de nouveaux sous-traitants pour des motifs raisonnables de protection des données (disponible pour tous les clients payants)
- Recevoir des copies de nos Accords de traitement des données sur demande (sous réserve d'obligations de confidentialité)
- Auditer notre conformité aux obligations de protection des données ou désigner un auditeur tiers (sous réserve de confidentialité et de préavis raisonnable)
- Résilier votre accord si nous ne pouvons pas répondre à vos objections raisonnables à un nouveau sous-traitant
Les clients Entreprise ayant des exigences spécifiques de traitement des données peuvent nous contacter pour discuter de dispositions personnalisées de traitement des données.
Coordonnées
Si vous avez des questions sur nos sous-traitants, nos pratiques de traitement des données ou si vous souhaitez vous abonner aux notifications de mise à jour des sous-traitants, veuillez nous contacter :