1. Préambule
Conformément à l'article 28 du RGPD, Organize SAS publie ci-dessous la liste de l'ensemble de ses sous-traitants ("processors") qui interviennent dans le traitement des données personnelles de ses utilisateurs et des clients de ses utilisateurs.
Cette liste est mise à jour à chaque évolution. Les utilisateurs sont informés par email de toute modification susceptible d'affecter leur sécurité ou leur conformité.
2. Liste des sous-traitants
| Sous-traitant | Rôle | Localisation des données | Mécanisme de transfert |
|---|---|---|---|
| Vercel Inc. https://vercel.com Pays du siège : États-Unis | Hébergement applicatif (frontend marketing) | Région Paris (UE) — fallback global | Clauses Contractuelles Types + Data Privacy Framework |
| Neon Inc. https://neon.tech Pays du siège : États-Unis | Base de données PostgreSQL | AWS Paris (eu-west-3, France) | Clauses Contractuelles Types + DPA |
| Upstash Inc. https://upstash.com Pays du siège : États-Unis | Cache Redis et rate-limiting | Région Francfort (UE) | Clauses Contractuelles Types |
| Stripe Payments Europe Ltd. https://stripe.com Pays du siège : Irlande | Traitement des paiements | Irlande (UE) | Pas de transfert hors UE |
| Resend Inc. https://resend.com Pays du siège : États-Unis | Envoi d'emails transactionnels | AWS Paris (eu-west-3, France) | Clauses Contractuelles Types + DPA |
| Sentry Inc. https://sentry.io Pays du siège : États-Unis | Monitoring d'erreurs et performances | Région UE (Frankfurt) | Clauses Contractuelles Types |
| OpenAI, L.L.C. https://openai.com Pays du siège : États-Unis | Traitement IA (Quick Capture, chat) — plans Pro/Enterprise uniquement | États-Unis | Clauses Contractuelles Types + Data Privacy Framework |
| Plausible Insights OÜ https://plausible.io Pays du siège : Estonie | Analyse d'audience anonyme | Estonie (UE) | Pas de transfert hors UE |
3. Engagements de Organize SAS
Organize SAS s'engage vis-à-vis de chaque sous-traitant à :
- Signer un Data Processing Agreement (DPA) conforme à l'article 28 du RGPD,
- Effectuer une analyse de risque préalable,
- Vérifier les certifications de sécurité (ISO 27001, SOC 2 Type II, PCI-DSS le cas échéant),
- S'assurer de la mise en place de Clauses Contractuelles Types lorsque les données sont susceptibles de transiter hors de l'UE,
- Maintenir une procédure de notification en cas de violation de données (72h à la CNIL).
4. Hébergement des données métier
L'ensemble des données métier saisies par les utilisateurs (clients, véhicules, devis, factures, stock) sont hébergées exclusivement en France (région AWS eu-west-3, Paris) sur l'infrastructure Neon. Aucune de ces données ne quitte le territoire français au repos.
Les données peuvent transiter par d'autres juridictions UE pour des opérations techniques spécifiques (envoi email via Resend en France, monitoring via Sentry en Allemagne), mais sont systématiquement chiffrées en transit.
5. Cas particulier : Intelligence artificielle
Les fonctionnalités d'IA (Quick Capture vocal, chat assisté, diagnostic) sont disponibles uniquement sur les plans Pro et Enterprise. Ces fonctionnalités utilisent les API d'OpenAI hébergées aux États-Unis.
Les utilisateurs sont informés à l'activation de la fonctionnalité IA que les données transmises à OpenAI sont :
- Anonymisées (pas de nom client, pas de plaque d'immatriculation),
- Encadrées par les Clauses Contractuelles Types et le Data Privacy Framework,
- Non utilisées pour entraîner les modèles d'OpenAI (DPA dédié signé par Organize SAS),
- Conservées 30 jours maximum chez OpenAI puis supprimées.
Les utilisateurs peuvent désactiver l'IA depuis leurs paramètres à tout moment.
6. Procédure de modification de la liste
En cas d'ajout d'un nouveau sous-traitant ou de modification du rôle d'un sous-traitant existant, Organize SAS :
- Met à jour la présente page avec une nouvelle date de mise à jour,
- Notifie tous les utilisateurs par email au moins 30 jours avant l'entrée en vigueur,
- Permet à l'utilisateur de s'opposer à la modification en résiliant son abonnement sans frais avant l'entrée en vigueur.
7. Contact
Pour toute question relative aux sous-traitants, contactez notre Délégué à la Protection des Données (DPO) : dpo@organize.khalistos.cloud.