RackList - Contrat de sous-traitance (DPA)

1.

Préambule et articulation contractuelle

Le présent contrat de sous-traitance (« DPA ») est conclu entre l'hébergeur ayant revendiqué sa fiche sur la plateforme RackList, en qualité de responsable de traitement, et RackList, en qualité de sous-traitant. Il complète et fait partie intégrante des conditions générales d'utilisation et des conditions générales de vente acceptées lors de la revendication de la fiche.

En cas de contradiction entre le présent DPA et tout autre document contractuel portant sur le traitement des données à caractère personnel, les stipulations du DPA prévalent. Les dispositions du DPA ne peuvent être modifiées ou dérogées qu'au moyen d'un avenant écrit signé par les deux parties.

Responsable de traitement

L'hébergeur identifié dans l'espace de revendication de la fiche, représenté par la personne physique ayant validé le présent DPA à l'étape du claim.

Sous-traitant

Monsieur Alexandre ETEOCLE, entrepreneur individuel (EI) de droit français, SIRET 910 906 841 00010, 20 rue Samaritaine, 01000 Bourg-en-Bresse, France. Contact : contact@racklist.eu

Le présent DPA est accepté par le responsable de traitement au moyen d'une case à cocher explicite au moment de la revendication de la fiche, avec horodatage et conservation de la version acceptée en base de données. Un exemplaire PDF est mis à disposition sur demande écrite.

2.

Définitions

Les termes employés au présent DPA reçoivent le sens que leur donne l'article 4 du RGPD. Sont notamment retenues, à titre de rappel non exhaustif, les définitions suivantes :

« Données à caractère personnel » : toute information se rapportant à une personne physique identifiée ou identifiable (art. 4.1).
« Traitement » : toute opération ou ensemble d'opérations effectuées sur des données à caractère personnel (art. 4.2).
« Responsable du traitement » : l'entité qui, seule ou conjointement avec d'autres, détermine les finalités et les moyens du traitement (art. 4.7).
« Sous-traitant » : l'entité qui traite des données pour le compte du responsable du traitement (art. 4.8).
« Sous-traitant ultérieur » : tout sous-traitant engagé par le sous-traitant initial pour exécuter des activités de traitement spécifiques pour le compte du responsable du traitement.
« Personne concernée » : la personne physique identifiée ou identifiable à laquelle se rapportent les données à caractère personnel.
« Violation de données à caractère personnel » : une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel, ou l'accès non autorisé à de telles données (art. 4.12).
« EEE » : l'Espace économique européen.
« Instructions documentées » : les instructions données par le responsable du traitement au sous-traitant par écrit ou par tout moyen équivalent permettant d'en conserver la trace (courriel, ticket, paramétrage de compte, contrat).
« MTO » : mesures techniques et organisationnelles destinées à garantir la sécurité du traitement (art. 32).

3.

Objet et qualification des parties

Le présent DPA a pour objet de définir les conditions dans lesquelles RackList, en qualité de sous-traitant, traite les données à caractère personnel pour le compte de l'hébergeur, en qualité de responsable du traitement, dans le cadre strict des fonctionnalités B2B de la plateforme.

Flux dans le périmètre (RackList = sous-traitant)

Flux hors du périmètre (RackList = responsable de traitement)

Pour les flux hors du présent DPA, le traitement est régi par la politique de confidentialité publiée sur la plateforme.

4.

Description du traitement (renvoi Annexe 1)

Conformément au chapeau de l'article 28.3 du RGPD, l'objet, la durée, la nature et la finalité du traitement, les types de données à caractère personnel et les catégories de personnes concernées sont décrits à l'Annexe 1 du présent DPA.

L'Annexe 1 constitue une stipulation contractuelle à part entière. Toute modification substantielle fait l'objet d'un avenant ou d'une nouvelle version du DPA portée à la connaissance du responsable du traitement.

Annexe 1 - Description du traitement

5.

Instructions documentées (art. 28.3.a)

RackList traite les données à caractère personnel exclusivement sur instructions documentées du responsable du traitement, y compris en ce qui concerne les transferts vers un pays tiers ou une organisation internationale.

Les instructions initiales du responsable du traitement résultent du présent DPA, des conditions générales et du paramétrage du compte de l'hébergeur sur la plateforme (périmètre de la fiche, sub-users autorisés, webhooks configurés).

Toute instruction complémentaire est transmise par écrit, à l'adresse contact@racklist.eu ou via un canal de support authentifié conservant la trace horodatée de la demande.

Si une obligation légale de l'Union européenne ou d'un État membre impose à RackList un traitement non couvert par les instructions, RackList en informe préalablement le responsable du traitement, sauf interdiction légale de le faire pour motifs importants d'intérêt public.

RackList informe immédiatement le responsable du traitement si, selon elle, une instruction constitue une violation du RGPD ou d'autres dispositions du droit de l'Union ou du droit d'un État membre relatives à la protection des données.

6.

Confidentialité du personnel (art. 28.3.b)

RackList veille à ce que toute personne physique agissant sous son autorité qui a accès aux données à caractère personnel ne les traite qu'à partir d'instructions documentées du responsable du traitement.

Les personnes autorisées sont soumises à une obligation de confidentialité contractuelle, ainsi qu'aux obligations légales applicables.

RackList sensibilise son personnel aux exigences du RGPD, à la politique de sécurité, aux procédures de gestion des incidents et aux bonnes pratiques de gestion des secrets. La trace de cette sensibilisation est conservée et peut être communiquée au responsable du traitement sur demande.

Les accès sont révoqués sans délai en cas de départ ou de changement de fonction d'une personne autorisée, selon une procédure documentée et journalisée.

7.

Sécurité et mesures techniques et organisationnelles (art. 28.3.c, 32 - renvoi Annexe 2)

RackList met en œuvre et maintient les mesures techniques et organisationnelles appropriées détaillées à l'Annexe 2, afin de garantir un niveau de sécurité adapté au risque, conformément à l'article 32 du RGPD.

Ces mesures font l'objet d'une revue régulière et sont mises à jour pour tenir compte de l'évolution de l'état de l'art, du coût de mise en œuvre, ainsi que de la nature, de la portée, du contexte et des finalités du traitement.

Toute modification substantielle des mesures est portée à la connaissance du responsable du traitement dans un délai raisonnable permettant l'évaluation de son impact.

Annexe 2 - Mesures techniques et organisationnelles (art. 32)

8.

Sous-traitants ultérieurs (art. 28.3.d - renvoi Annexe 3)

RackList peut recourir à des sous-traitants ultérieurs pour la réalisation d'activités de traitement spécifiques pour le compte du responsable du traitement, dans le cadre d'une autorisation générale. La liste des sous-traitants ultérieurs initialement autorisés figure à l'Annexe 3.

Toute modification envisagée concernant l'ajout ou le remplacement d'un sous-traitant ultérieur est notifiée au responsable du traitement au moins trente (30) jours avant sa mise en œuvre, par courrier électronique à l'adresse de contact renseignée au compte de l'hébergeur et par publication de la mise à jour de l'Annexe 3 sur la présente page.

Le responsable du traitement dispose d'un droit d'objection motivé pendant ce délai. En cas d'objection sérieuse et motivée, les parties recherchent de bonne foi une solution alternative. À défaut d'accord, le responsable du traitement peut résilier sans frais la partie du contrat concernée par la modification.

RackList impose contractuellement à chaque sous-traitant ultérieur les mêmes obligations en matière de protection des données que celles fixées au présent DPA, notamment celles consistant à fournir des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées (« clause miroir »).

RackList demeure pleinement responsable devant le responsable du traitement de l'exécution, par le sous-traitant ultérieur, des obligations qui lui incombent.

Annexe 3 - Sous-traitants ultérieurs autorisés

9.

Assistance à l'exercice des droits des personnes (art. 28.3.e)

RackList assiste le responsable du traitement, par des mesures techniques et organisationnelles appropriées, pour lui permettre de s'acquitter de son obligation de donner suite aux demandes dont les personnes concernées la saisissent en vue d'exercer leurs droits (articles 12 à 23 du RGPD).

Les demandes d'assistance sont transmises à l'adresse contact@racklist.eu. Elles sont tracées et font l'objet d'un accusé de réception.

SLA

Délai standard d'assistance : soixante-douze (72) heures ouvrées à compter de la réception de la demande complète.

SLA critique

Délai d'assistance en cas d'urgence caractérisée (risque d'atteinte aux droits et libertés, demande assortie d'un délai impératif imposé à l'autorité par le responsable du traitement) : vingt-quatre (24) heures.

Un volume raisonnable de demandes, proportionné au contrat principal, est inclus dans l'abonnement. Au-delà d'un seuil convenu et notifié à l'avance, un coût de traitement peut être appliqué, sans préjudice des droits des personnes concernées.

10.

Assistance sécurité, violation, AIPD (art. 28.3.f)

RackList aide le responsable du traitement à garantir le respect des obligations prévues aux articles 32 à 36 du RGPD, compte tenu de la nature du traitement et des informations à sa disposition.

Au titre de l'article 32, RackList fournit au responsable du traitement, sur demande, une description actualisée des mesures techniques et organisationnelles mises en œuvre (Annexe 2).
Au titre des articles 33 et 34, la procédure de notification des violations est détaillée à la section 11 du présent DPA.
Au titre de l'article 35 (AIPD), RackList fournit au responsable du traitement les informations relatives aux traitements effectués pour son compte qui sont nécessaires à la réalisation d'une analyse d'impact relative à la protection des données.
Au titre de l'article 36 (consultation préalable de l'autorité), RackList coopère avec le responsable du traitement en lui communiquant toute information utile à la consultation de l'autorité de contrôle.

11.

Notification de violation de données (art. 33.2)

RackList notifie au responsable du traitement toute violation de données à caractère personnel dont elle a connaissance, sans retard injustifié et, en tout état de cause, dans un délai maximal de quarante-huit (48) heures à compter de la prise de connaissance de la violation.

La notification est adressée à l'adresse de contact DPO ou privacy renseignée au compte de l'hébergeur, avec copie au canal dédié contact@racklist.eu, et par ouverture d'un incident tracé.

Contenu minimum de la notification

Lorsque toutes ces informations ne peuvent être communiquées en même temps, elles sont transmises de manière échelonnée, dans les meilleurs délais, sans retard indu supplémentaire. RackList coopère avec le responsable du traitement pour lui permettre, le cas échéant, de notifier la violation à l'autorité de contrôle compétente dans les soixante-douze (72) heures prévues à l'article 33.1, et de communiquer la violation aux personnes concernées au titre de l'article 34.

12.

Fin de contrat et sort des données (art. 28.3.g)

Au terme du contrat principal, pour quelque cause que ce soit, RackList procède, au choix du responsable du traitement exprimé par écrit dans les trente (30) jours suivant la résiliation :

Option 1 - Restitution

RackList met à disposition du responsable du traitement un export structuré et lisible par machine des données traitées pour son compte, au format JSON ou équivalent documenté.

Option 2 - Suppression

RackList supprime l'ensemble des données traitées pour le compte du responsable du traitement, y compris dans les sauvegardes, dans un délai contractuel documenté n'excédant pas la durée de rotation des sauvegardes applicable à la plateforme.

À défaut d'option exprimée dans le délai prévu, la suppression s'applique par défaut.

Sur demande écrite, une attestation de suppression ou de restitution, datée et signée, est délivrée au responsable du traitement.

Par exception, RackList peut conserver certaines données lorsque le droit de l'Union ou d'un État membre l'exige (obligations comptables, prescriptions civiles ou pénales). Dans ce cas, la durée et la base légale de la conservation sont communiquées au responsable du traitement, et les données concernées demeurent soumises aux obligations de sécurité et de confidentialité du présent DPA.

Le délai de trente (30) jours ouvert au responsable du traitement pour exprimer son choix constitue un délai de réflexion, et non une durée de rétention : il ne prolonge pas la finalité du traitement au-delà de la résiliation.

13.

Audits et inspections (art. 28.3.h)

RackList met à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues à l'article 28 du RGPD et pour permettre la réalisation d'audits, y compris des inspections, par le responsable du traitement ou un auditeur tiers qu'il mandate.

Par principe, les audits sont réalisés de manière documentaire, par la communication de rapports, certifications, résultats de pentests, politiques internes et attestations des sous-traitants ultérieurs.
Des inspections sur site peuvent être organisées, sous réserve d'un préavis écrit de trente (30) jours, pendant les heures ouvrées, dans des conditions compatibles avec la continuité du service et le respect de la confidentialité due aux autres clients de RackList.
Le responsable du traitement peut mandater un auditeur tiers indépendant, sous réserve qu'il ne soit pas un concurrent direct de RackList et qu'il signe un engagement de confidentialité équivalent à celui applicable au responsable du traitement.
Sauf incident de sécurité avéré ou demande de l'autorité de contrôle, la fréquence des audits est limitée à une (1) fois par période de douze (12) mois.
Les coûts des audits sont supportés par le responsable du traitement, sauf en cas de non-conformité substantielle constatée et documentée, auquel cas ils sont pris en charge par RackList, sans préjudice d'autres droits et recours.

14.

Transferts internationaux (chapitre V du RGPD)

RackList ne procède à aucun transfert de données à caractère personnel en dehors de l'Espace économique européen, sauf dans le cadre strict des bases légales prévues au chapitre V du RGPD.

Bases légales mobilisées

Conformément à l'arrêt Schrems II de la Cour de justice de l'Union européenne (C-311/18, 16 juillet 2020) et aux Recommandations 01/2020 du Comité européen de la protection des données, RackList réalise et tient à jour une analyse d'impact des transferts (« Transfer Impact Assessment ») par destination, et met en œuvre les mesures supplémentaires nécessaires (chiffrement, pseudonymisation).

La liste actualisée des sous-traitants ultérieurs et le pays de traitement associé figurent à l'Annexe 3.

15.

Responsabilité et indemnisation (art. 82)

Chacune des parties assume la responsabilité du dommage causé par un traitement qui constituerait une violation du RGPD, dans les conditions de l'article 82. Le sous-traitant n'est tenu pour responsable du dommage que s'il n'a pas respecté les obligations du RGPD spécifiquement incombant aux sous-traitants ou s'il a agi en dehors des instructions licites du responsable du traitement ou contrairement à celles-ci.

La responsabilité contractuelle de RackList au titre du présent DPA, toutes causes confondues, est plafonnée au montant total hors taxes effectivement versé par le responsable du traitement à RackList au titre du contrat principal pendant les douze (12) mois glissants précédant le fait générateur, sous réserve d'un plancher correspondant aux sanctions minimales applicables au sens du RGPD.

Ce plafond ne s'applique pas en cas de faute lourde, de faute intentionnelle, de violation délibérée du présent DPA, ni lorsqu'une règle impérative interdit une telle limitation, notamment au titre de l'article 82 du RGPD ou des articles applicables du Code civil.

RackList déclare être titulaire d'une assurance de responsabilité civile professionnelle couvrant les risques liés au traitement de données à caractère personnel. Une attestation peut être communiquée sur demande écrite.

16.

Durée et résiliation

Le présent DPA entre en vigueur à la date d'acceptation par le responsable du traitement, lors de la revendication de la fiche, et demeure applicable pendant toute la durée du contrat principal.

Par exception, survivent à la résiliation du contrat principal les stipulations relatives à la confidentialité, à la notification de violation en cours, à l'assistance aux droits des personnes, au sort des données (section 12) et aux audits, pour la durée strictement nécessaire à leur exécution.

RackList peut faire évoluer le présent DPA pour tenir compte d'une évolution réglementaire, d'une décision ou d'une ligne directrice d'une autorité de contrôle, ou d'une modification substantielle de l'architecture du service. La nouvelle version est notifiée au responsable du traitement au moins trente (30) jours avant son entrée en vigueur. Le responsable du traitement dispose d'un droit d'objection motivé dans ce délai. À défaut d'objection, la nouvelle version lui est opposable.

17.

Loi applicable et juridiction

Le présent DPA est régi par le droit français. Les dispositions impératives du RGPD et du droit de l'Union européenne s'appliquent en toutes circonstances, sans pouvoir être écartées par les stipulations du présent contrat.

Tout litige relatif à la formation, à l'exécution, à l'interprétation ou à la résiliation du présent DPA qui n'aurait pu être résolu par voie amiable dans un délai raisonnable est soumis à la compétence exclusive des tribunaux du ressort de la Cour d'appel de Lyon, sous réserve des règles impératives de compétence territoriale applicables en matière de protection des consommateurs et des règles du droit de l'Union européenne.

Le présent DPA est rédigé en langue française, qui fait seule foi entre les parties. Une traduction anglaise de courtoisie peut être fournie à titre informatif et n'est pas opposable.

18.

Annexe 1 - Description du traitement

La présente annexe décrit, conformément au chapeau de l'article 28.3 du RGPD, les caractéristiques des traitements réalisés par RackList pour le compte du responsable du traitement.

Finalités

Gestion des comptes sub-users de l'hébergeur, publication de réponses aux avis au nom de l'hébergeur, émission de webhooks vers les systèmes de l'hébergeur, tenue des journaux d'activité B2B imputables à l'hébergeur, acheminement des messages B2B.

Nature des opérations

Collecte, enregistrement, organisation, structuration, conservation, consultation, utilisation, communication par transmission (webhooks), rapprochement, limitation, effacement.

Catégories de données à caractère personnel

Adresse de courrier électronique professionnelle, nom, prénom, identifiant interne, rôle et permissions au sein de l'équipe de l'hébergeur, métadonnées de connexion (horodatage, adresse IP tronquée ou pseudonymisée, agent utilisateur), contenu des réponses aux avis, contenu des messages B2B.

Catégories de personnes concernées

Collaborateurs de l'hébergeur (sub-users commerciaux, support, technique), destinataires identifiés des webhooks, correspondants B2B des messages échangés.

Durée du traitement

Durée du contrat principal, augmentée d'un délai maximal de trente (30) jours post-résiliation pour permettre la restitution ou la suppression des données (cf. section 12).

Localisation

Serveurs situés dans l'Espace économique européen (Allemagne - Hetzner Online GmbH). Transit IP opéré depuis la France (Royale Hosting SARL). Services auxiliaires soumis à transferts cadrés par décision d'adéquation ou clauses contractuelles types (cf. Annexe 3).

Aucune catégorie particulière de données au sens de l'article 9 du RGPD n'est traitée dans le périmètre du présent DPA.

Obligations et droits du responsable du traitement

Tels que définis au présent DPA, au contrat principal et par le RGPD, notamment l'obligation de fournir des instructions documentées licites, de tenir son propre registre des activités (art. 30.1), d'informer les personnes concernées (art. 13-14) et de coopérer avec l'autorité de contrôle (art. 31).

19.

Annexe 2 - Mesures techniques et organisationnelles (art. 32)

La présente annexe décrit les mesures techniques et organisationnelles mises en œuvre par RackList pour assurer un niveau de sécurité adapté au risque. Elle est structurée à partir de l'Annexe II de la décision d'exécution (UE) 2021/914 et des référentiels CNIL et ISO/IEC 27001.

Contrôle d'accès physique

Les serveurs sont hébergés dans des datacenters certifiés ISO/IEC 27001 et SOC 2 (Hetzner Online GmbH, Allemagne). L'accès physique est restreint aux personnels habilités du sous-traitant ultérieur, conformément à ses certifications.

Contrôle d'accès logique

Authentification par adresse de courrier électronique et mot de passe robuste ; authentification forte (OAuth2 / MFA) activable pour les comptes administrateurs. Contrôle d'accès par rôles (RBAC) à six niveaux mis en œuvre au moyen de l'énumération UserRole et de voteurs applicatifs. Session utilisateur chiffrée et stockée en Redis, cookies de session avec attributs Secure, HttpOnly et SameSite.

Contrôle des transmissions

Terminaison TLS 1.2 ou supérieur assurée par un reverse-proxy Traefik, en-tête HSTS activé sur l'ensemble du domaine, redirection permanente HTTP vers HTTPS, rotation régulière des certificats.

Chiffrement au repos

Base de données PostgreSQL bénéficiant d'un chiffrement de disque au niveau hébergeur. Chiffrement au niveau colonne, au moyen de l'extension PHP Sodium (XChaCha20-Poly1305), appliqué aux identifiants des comptes (adresse de courrier électronique, nom d'utilisateur, prénom, nom). Index aveugles déterministes permettant la recherche sans exposition du texte clair.

Pseudonymisation et minimisation

Usage systématique d'index aveugles pour les requêtes sur champs chiffrés, journaux applicatifs expurgés de toute donnée personnelle identifiante, anonymisation des comptes supprimés via purge et scrub des tables associées.

Intégrité

Vérification anti-TOCTOU sur les exports de données, liaison explicite de chaque export à l'identifiant utilisateur ayant sollicité le téléchargement, purge immédiate en cas d'altération détectée, blocage du téléchargement au niveau du serveur web (Nginx deny).

Disponibilité et résilience

Sauvegardes quotidiennes chiffrées, rétention et rotation documentées, supervision des services applicatifs et d'infrastructure, objectifs de reprise (RTO) et de perte de données maximale admissible (RPO) formalisés dans un plan de reprise testé périodiquement.

Restauration

Procédure de restauration documentée, testée au moins une fois par an, délai cible de restauration d'un service critique inférieur à quatre (4) heures.

Tests, évaluations et SDLC

Intégration continue comprenant linting (PHP-CS-Fixer @Symfony + @Symfony:risky, strict_types obligatoire), analyse statique PHPStan niveau 8 (zéro erreur), audit de sécurité des dépendances (composer audit), exécution de l'ensemble de la suite PHPUnit avant toute fusion. Revue de code humaine systématique avant mise en production. Audit de sécurité externe annuel, test d'intrusion en préparation.

Gestion des habilitations

Principe du moindre privilège appliqué pour le personnel interne. Revue trimestrielle des accès. Procédure d'offboarding documentée et journalisée.

Journalisation et traçabilité

Journalisation applicative des actions sensibles via l'entité AdminLog (horodatage, acteur, action, cible, adresse IP). Conservation des journaux selon une durée proportionnée, sans données personnelles en clair.

Gestion des secrets

Secrets d'infrastructure (clés de chiffrement, jetons, mots de passe) stockés exclusivement en variables d'environnement, jamais dans le code source ni les images de conteneurs. Rotation documentée. Procédure en cas de fuite : révocation immédiate, regénération et notification.

Effacement sécurisé

Suppression logique des enregistrements applicatifs, suivie de la purge des index et des caches associés. Effacement effectif dans les sauvegardes à l'échéance de leur rotation normale. Scrubbing des données personnelles résiduelles dans les tables liées lors de l'anonymisation d'un compte.

Plan de continuité et de reprise d'activité

Plan formalisé reposant sur les capacités du sous-traitant ultérieur d'hébergement (redondance électrique et réseau, sauvegardes hors site). Documentation mise à jour annuellement.

Gestion des incidents

Procédure d'incident documentée, canal dédié contact@racklist.eu, fenêtre maximale de notification au responsable du traitement fixée à quarante-huit (48) heures, post-mortem écrit pour tout incident de sécurité significatif.

20.

Annexe 3 - Sous-traitants ultérieurs autorisés

La présente annexe liste, à la date de dernière mise à jour du présent DPA, les sous-traitants ultérieurs auxquels RackList recourt pour l'exécution des traitements réalisés pour le compte du responsable du traitement. Toute modification de cette liste est régie par la section 8 du DPA.

Sous-traitant	Service et nature des données	Localisation du traitement	Transfert hors EEE	Garanties mobilisées
Hetzner Online GmbH	Hébergement IaaS (serveurs applicatifs, base de données, sauvegardes)	Allemagne (EEE)	Non	Certification ISO/IEC 27001, DPA public disponible sur le site de l'hébergeur.
Royale Hosting SARL	Fourniture d'accès et transit IP (ISP, AS215665)	France (EEE)	Non	Entité française, soumise au RGPD et à la loi Informatique et Libertés.
Cloudflare, Inc.	Réseau de diffusion de contenu (CDN), pare-feu applicatif, protection anti-DDoS, traitement de métadonnées techniques (adresses IP, en-têtes HTTP)	États-Unis, Irlande (points de présence mondiaux)	Oui	Certification EU-US Data Privacy Framework (décision d'exécution (UE) 2023/1795) ; à titre subsidiaire, clauses contractuelles types (décision (UE) 2021/914, module 3).
Stripe Payments Europe Ltd.	Traitement des paiements de l'abonnement hébergeur (métadonnées client)	Irlande (EEE), États-Unis	Oui	EU-US Data Privacy Framework + clauses contractuelles types module 2 ; DPA Stripe public.
Prestataire de messagerie transactionnelle	Acheminement des courriers électroniques transactionnels (confirmations, notifications, invitations)	Union européenne (à préciser lors de la mise en production)	Non (sous réserve du choix définitif du prestataire)	Contrat de sous-traitance dédié, DPA du prestataire, conformité RGPD contractuellement garantie.

Toute mise à jour substantielle de cette liste, notamment l'ajout d'un sous-traitant ultérieur hors EEE, fait l'objet d'une notification conformément à la section 8.

Documents connexes