Vue d'ensemble de tous les sous-traitants conformément à l'art. 28 al. 2 et 3 RGPD ainsi qu'à l'art. 9 al. 3 nLPD · Stand: 02.05.2026
Pour l'exploitation de la plateforme, le fournisseur fait appel à des sous-traitants ultérieurs. Cette page liste tous les sous-traitants actuels avec leur finalité, leur région de traitement et le statut du contrat de sous-traitance des données (Data Processing Agreement, DPA). La liste est mise à jour en cas de changements ; les clients peuvent, conformément à la clause 15 des CG, formuler des objections motivées dans un délai de 30 jours.
| Fournisseur | Finalité | Région | Statut DPA | Dernière modification |
|---|---|---|---|---|
| MongoDB Atlas | Hébergement de base de données (données opérationnelles, champs chiffrés CSFLE, pistes d'audit) | europe-west6 (Zurich) | Atlas-DPA | 02.05.2026 |
| Google Cloud EMEA Limited (Cloud Run, Cloud Storage, Cloud KMS, Cloud DLP, Vertex AI) | Compute, stockage de fichiers, gestion des clés (la souveraineté des clés reste chez le fournisseur), pseudonymisation avant traitement IA, traitement IA | europe-west6 (Zurich) pour les données opérationnelles, europe-west1 (Belgique) pour le traitement IA | Google Cloud Data Processing Addendum (valide) | 02.05.2026 |
| AWS SES | Envoi d'e-mails transactionnels (notifications système, e-mails de connexion, rapports) | eu-central-1 (Francfort) | AWS-DPA | 02.05.2026 |
| Cloudflare Turnstile | Protection anti-bot pour les formulaires publics (connexion, inscription, formulaires de contact) | global (réseau Edge) | Cloudflare-DPA | 02.05.2026 |
| Twilio | 2FA par SMS pour les utilisateurs du portail (deuxième niveau d'authentification) | Région UE | Twilio-DPA | 02.05.2026 |
| PostHog EU Cloud | Product analytics — télémétrie produit et comportementale pseudonymisée (aucune donnée personnelle en clair) | UE (Francfort) | PostHog-DPA | 04.05.2026 |
Les données opérationnelles de la plateforme (base de données, stockage de fichiers, journaux d'audit) restent en Suisse (région europe-west6, Zurich). Le traitement IA s'effectue dans l'UE (région europe-west1, Belgique) ; le sous-traitant IA concret est listé dans le tableau ci-dessus. L'envoi d'e-mails passe par AWS SES dans l'UE (eu-central-1, Francfort). Cloudflare Turnstile fonctionne comme service Edge à l'échelle mondiale, mais ne renvoie qu'un jeton anti-bot anonyme et ne traite pas de données de la plateforme. Pour d'éventuels transferts vers des États tiers, les clauses contractuelles types (CCT) de la Commission européenne s'appliquent.
Un contrat de sous-traitance des données existe avec chaque sous-traitant listé ci-dessus. Les DPA sont archivés dans les archives compliance internes et mis à disposition des clients pour consultation sur demande, dans la mesure où cela est requis contractuellement ou légalement.
Le fournisseur informe les clients des changements ou ajouts prévus à la liste des sous-traitants. Les objections doivent être adressées par écrit, conformément à la clause 15 des CG, dans un délai de 30 jours à security@sothura.com. En cas d'objections fondées en matière de protection des données ou de sécurité, le client dispose d'un droit de résiliation extraordinaire si aucune alternative équivalente ne peut être proposée.