Compliance · Article 11.8
Sous-traitants : qui Clozo utilise, où vont les données et pourquoi c'est sécurisé
Clozo utilise 10 sous-traitants pour fournir le service (conformément à la Politique de confidentialité §6) ; 6 sont basés dans l'UE, 5 sont basés aux États-Unis avec une certification active EU-US Data Privacy Framework + Clauses Contractuelles Types + mesures supplémentaires documentées dans notre Évaluation d'Impact des Transferts. Crisp ajouté dans BATCH-2026-05-07-003 BUG-001.
Le SaaS moderne fonctionne sur une infrastructure tierce. La question au titre du RGPD n'est pas « utilisez-vous des tiers ? » mais « contrôlez-vous la relation et documentez-vous les garanties ? » Clozo maintient une liste publiée de chaque sous-traitant, les données qu'il reçoit et le mécanisme juridique pour les transferts hors de l'UE. Cet article parcourt la liste, les catégories et le cadre Schrems II qui régit les transferts vers les États-Unis.
Why this works this way
La liste complète des sous-traitants (reflète docs/compliance/RoPA.md « Liste des sous-traitants » et Politique de confidentialité §6 — 10 entrées) :
| # | Sous-traitant | Fonction | Région | Mécanisme de transfert |
|---|---|---|---|---|
| 1 | Stripe Payments Europe Ltd + Stripe Inc. | Facturation d'abonnement + traitement des paiements (responsable du traitement côté UE en Irlande ; sous-traitant côté US pour certaines opérations) | Irlande (principal) + US (Delaware) | UE interne + EU-US DPF + CCT Module 2 |
| 2 | Railway Corp. | Hébergement backend + Celery + PostgreSQL | UE (région : europe-west4, Pays-Bas) | EU-US DPF + CCT (plan de contrôle aux US) |
| 3 | Cloudflare Inc. | CDN Edge, DDoS, Workers (frontend, site marketing, admin) | Edge mondial avec routage de région UE pour l'ingestion | EU-US DPF + CCT |
| 4 | PostHog Inc. | Analyses produit — ingestion sur serveurs UE (eu.i.posthog.com) | Siège au Royaume-Uni ; instance UE hébergée à Francfort, Allemagne | Décision d'adéquation UK + CCT |
| 5 | Google Ireland Ltd + Google LLC | Google Ads + attribution de conversion GA4 | Irlande (responsable) → US (sous-traitant) | EU-US DPF + CCT Google |
| 6 | Resend Inc. | Livraison d'e-mails transactionnels | US (Delaware), avec infrastructure de livraison EU-Francfort | EU-US DPF + CCT Module 2 + DPA Resend |
| 7 | Gotenberg | Rendu PDF — auto-hébergé sur Railway | UE (dans Railway) | UE interne |
| 8 | Cloudflare R2 | Stockage d'objets pour les PDF et XML e-factures | Région EEE | UE interne |
| 9 | Crisp IM SAS + Crisp IM, Inc | Chat de support client (conditionné au consentement) | France (principal) + US | EU-US DPF + CCT |
| 10 | Sentry (Functional Software, Inc.) | Surveillance des erreurs | Région UE (de.sentry.io) | UE interne (avec repli US sous CCT si instance UE tombe) |
Le cadre Schrems II. L'arrêt de la Cour de Justice de l'Union Européenne dans Data Protection Commissioner c. Facebook Ireland et Maximillian Schrems (Affaire C-311/18, 2020) a invalidé le bouclier de protection UE-US Privacy Shield, estimant que la loi américaine sur la surveillance (notamment la Section 702 FISA et le Décret exécutif 12333) ne fournit pas une protection « essentiellement équivalente » au RGPD pour les données personnelles européennes transférées vers les États-Unis. Deux conséquences :
1. Les CCT (Clauses Contractuelles Types) restent valables comme mécanisme juridique — la Décision (UE) 2021/914 a publié les nouvelles CCT modulaires en 2021 — mais le responsable du traitement doit évaluer si l'importateur peut en pratique assurer une protection équivalente au RGPD compte tenu de la législation locale sur la surveillance. Cette évaluation est l'Évaluation d'Impact des Transferts (EIT). 2. Des mesures supplémentaires (chiffrement, pseudonymisation, minimisation des données) peuvent être nécessaires lorsque la législation locale permettrait autrement un accès disproportionné.
L'EU-US Data Privacy Framework (DPF), en vigueur depuis le 10 juillet 2023 (Décision d'exécution de la Commission (UE) 2023/1795), rétablit l'adéquation pour les importateurs américains participants. Les entreprises s'inscrivent auprès du Département du Commerce américain ; les certifications sont répertoriées sur https://www.dataprivacyframework.gov/list. Les cinq sous-traitants américains de Clozo maintiennent une certification DPF active à la date de version du document.
L'approche EIT de Clozo (document complet sur docs/compliance/TIA_us_subprocessors.md) :
Pour chaque sous-traitant américain, nous appliquons la méthodologie en six étapes des Recommandations 01/2020 du CEPD :
1. Connaître ses transferts : documentés dans le tableau ci-dessus avec volume + finalité + base légale.
2. Identifier l'instrument de transfert : DPF (principal) + CCT Module 2 (repli) + DPA spécifique au sous-traitant.
3. Évaluer l'efficacité : examen par importateur de l'exposition FISA 702 / EO 12333 / CLOUD Act.
4. Adopter des mesures supplémentaires : pseudonymisation (hachage SHA-256 pour Google), minimisation des données (aucune DCP au-delà du nécessaire), chiffrement au repos et en transit, limites de conservation.
5. Étapes procédurales : signer le DPA, vérifier la certification DPF active annuellement, documenter l'EIT, mettre à jour le champ recipients du RoPA, mettre à jour la Politique de confidentialité s5/s6.
6. Réévaluation : déclenchée par une décision de la cour Schrems III, un retrait du DPF ou un changement de sous-traitant.
Évaluations clés par importateur (depuis l'EIT) :
- Stripe : n'est pas désigné comme Fournisseur de Services de Communications Électroniques au titre de la Section 702 FISA (c'est un processeur de paiement au titre du Bank Secrecy Act). Risque FAIBLE. DPF + CCT suffisants. - Resend : service d'e-mail — pourrait plausiblement être classé FSCE, mais le volume est faible + le contenu est transactionnel (pas de marketing, pas de ciblage). Risque FAIBLE avec mesures supplémentaires. - Google : historiquement cité dans les directives FISA 702. Atténuation : nous n'envoyons que des identifiants hachés SHA-256 + identifiants de clic + valeurs de transaction — irréversibles sans texte en clair, pseudonymes, agrégés. Consent Mode v2 joint à chaque téléchargement. Net : DPF + CCT + pseudonymisation = « protection essentiellement équivalente ». - PostHog : l'ingestion se fait sur des serveurs UE ; seul le support opérationnel (débogage, astreinte) peut transiter par les US. Identifiants pseudonymes uniquement. Net : DPF + CCT + juridiction d'ingestion UE = adéquat. - Cloudflare : potentiellement classé FSCE pour la Section 702 FISA (rôle CDN). Atténuation : minimisation des données (uniquement IP + chemin + code de statut, aucune charge utile). Les rapports de transparence montrent ~0 ordonnance FISA pour les propriétés non américaines à faible volume. Net : DPF + CCT + minimisation edge adéquat.
Processus de nouveau sous-traitant (art. 28(2)) : les Conditions d'utilisation de Clozo accordent un consentement général pour utiliser des sous-traitants. Quand nous en ajoutons un nouveau, nous :
1. Mettons à jour la liste des sous-traitants dans cet article + RoPA.md + Politique de confidentialité s5/s6.
2. Notifions tous les clients existants par e-mail au moins 30 jours à l'avance.
3. La fenêtre de 30 jours est votre délai d'objection — si vous vous y opposez pour des motifs légitimes, vous pouvez résilier le contrat avec remboursement des frais prépayés.
4. Mettons à jour le champ recipients de la ligne ProcessingActivity concernée en production.
Troubleshooting
Keep reading
Compliance
GDPR: what Clozo stores about you, why, and for how long
Clozo runs 13 distinct processing activities under GDPR Art. 30. Each one has a documented purpose, a lawful basis under Art. 6(1), a recipient list, and a retention window. This article is the user-facing summary of our Records of Processing Activities.
Compliance
Data-subject requests: how clients exercise GDPR rights and what you must do
Articles 15–22 GDPR give your clients the right to access, correct, port, or erase the personal data you hold about them. As a controller of *your* clients' data, you have one month to respond. Clozo's tooling helps you answer each request efficiently.