Sous-traitants & hébergeurs

Conformément à l'Article 28 du RGPD, nous tenons à jour cette liste de nos sous-traitants. Chaque prestataire :

• A signé un accord de traitement de données (DPA) avec HanyPass
• Présente des garanties suffisantes en matière de sécurité (certifications listées ci-dessous)
• S'engage à ne traiter les données que sur nos instructions documentées
• Met en œuvre des mesures de sécurité techniques et organisationnelles appropriées

Vous serez informé(e) en cas d'ajout d'un nouveau sous-traitant via une mise à jour de cette page.

Rôle :

Base de données PostgreSQL, authentification, stockage de fichiers, Edge Functions

Hébergement :

AWS Frankfurt (eu-central-1) — Union Européenne

Certifications :

SOC 2 Type II, HIPAA-compliant

DPA :

https://supabase.com/legal/dpa

Données traitées :

Tous les identifiants utilisateurs, données de carte de fidélité, transactions, fichiers (logos, bannières)

Rôle :

Paiement et facturation (abonnements commerçants)

Hébergement :

Stripe (Dublin, Irlande pour clients UE)

Certifications :

PCI DSS Niveau 1, ISO 27001, SOC 1/2

DPA :

https://stripe.com/legal/dpa

Données traitées :

Email, nom, adresse de facturation, infos paiement (jamais transmises à HanyPass — tokenisées par Stripe)

Rôle :

Monitoring d'erreurs et performance applicative

Hébergement :

AWS US-East — clauses contractuelles types UE

Certifications :

SOC 2 Type II, ISO 27001

DPA :

https://sentry.io/legal/dpa/

Données traitées :

Stack traces, métadonnées de requête. PII masquée par défaut (maskAllText, maskAllInputs, blockAllMedia). Pas de replay session enregistré.

Rôle :

Mesure d'audience anonymisée (uniquement après consentement)

Hébergement :

Google Cloud — clauses contractuelles types UE

Certifications :

ISO 27001, SOC 2/3

DPA :

https://support.google.com/analytics/answer/9442849

Données traitées :

Données de navigation (URLs visitées, durée, événements), IP anonymisée, identifiant pseudonyme. Conditionné au consentement via la bannière cookies.

Rôle :

Génération et mise à jour des cartes Google Wallet

Hébergement :

Google Cloud

Certifications :

ISO 27001

DPA :

https://workspace.google.com/terms/dpa_terms.html

Données traitées :

Données affichées sur la carte (nom du commerce, points/tampons, design)

Rôle :

Génération et mise à jour des cartes Apple Wallet (.pkpass)

Hébergement :

Apple Push Notification service (APNs)

Certifications :

ISO 27001

DPA :

https://developer.apple.com/programs/terms/

Données traitées :

Données affichées sur la carte + device token APNs pour les push wallet

Rôle :

Hébergement du front-end Next.js

Hébergement :

Lituanie — Union Européenne

Certifications :

ISO 27001

DPA :

https://www.hostinger.com/legal/dpa

Données traitées :

Pas de données utilisateur stockées (le serveur fait juste le rendu — toutes les données vivent sur Supabase)

Lorsqu'un sous-traitant traite des données en dehors de l'UE (notamment Sentry et Google Analytics aux États-Unis), nous nous appuyons sur les clauses contractuelles types de la Commission Européenne (décision 2021/914) et les certifications EU-US Data Privacy Framework lorsque disponibles. Les données les plus sensibles (transactions, données clients personnelles) restent hébergées en Union Européenne via Supabase.

Si vous souhaitez retirer votre consentement pour les cookies analytiques (Google Analytics), vous pouvez le faire à tout moment via la bannière cookies en bas de page. Pour toute autre question sur le traitement par nos sous-traitants, contactez-nous à contact@hanypass.com.