TrustProtect
TrustProtect

Sous-traitants RGPD

Liste exhaustive des sous-traitants au sens de l'article 28 du RGPD intervenant dans le traitement de vos données personnelles, ainsi que les garanties applicables.

Cette page a été révisée le 30 avril 2026.

Version française de référence. Applicable à tout utilisateur quel que soit son pays.

Sommaire

  1. 01.Introduction (article 28 RGPD)
  2. 02.Liste des sous-traitants
  3. 03.Tableau récapitulatif
  4. 04.Garanties applicables
  5. 05.Modifications & notification
  6. 06.Contact

1. Introduction et cadre juridique

Conformément à l'article 28 du Règlement (UE) 2016/679 (RGPD), TrustProtect SAS, en tant que responsable de traitement, fait appel à des sous-traitants pour la fourniture de ses services. Chaque sous-traitant présente des garanties suffisantes en matière de mesures techniques et organisationnelles, et est lié par un accord de traitement des données (Data Processing Agreement, DPA) conforme aux exigences du RGPD.

La présente page liste l'ensemble des sous-traitants en activité, leurs catégories de données traitées, leur localisation, les mécanismes de transfert applicables (notamment pour les transferts hors Union européenne) et les durées de conservation.

Engagements communs

Tous nos sous-traitants s'engagent à : (i) ne traiter les données que sur instructions documentées du responsable, (ii) garantir la confidentialité (NDA des collaborateurs), (iii) mettre en œuvre les mesures de l'article 32 RGPD, (iv) ne pas recourir à un autre sous-traitant sans autorisation écrite préalable, (v) assister TrustProtect SAS dans l'exercice des droits des personnes, (vi) supprimer ou retourner les données à la fin de la prestation.

2. Liste détaillée des sous-traitants

Stripe Payments Europe Ltd.

Politique de confidentialité ↗

Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, D02 H210, Irlande — agréé Banque centrale d'Irlande, ACPR REGAFI n° 17579

Pays / Région
Irlande / États-Unis (sous-traitant ultérieur Stripe Inc.)
Mécanisme de transfert
Clauses contractuelles types (Décision UE 2021/914) + Data Privacy Framework UE-États-Unis
Catégories de données traitées
  • Identité (nom, prénom, date de naissance, nationalité)
  • Coordonnées (adresse, e-mail, téléphone)
  • Données bancaires (numéro de carte, IBAN — non transmises à TrustProtect)
  • Pièces KYC (CNI, passeport, justificatif de domicile, selfie)
  • Données de transaction (montant, devise, statut, métadonnées)
Finalité
Traitement des paiements (DSP2 / PSD2), encaissement, rétention temporaire et transfert des fonds (Stripe Connect), vérification d'identité (Stripe Identity), lutte anti-fraude (Stripe Radar), obligations LCB-FT.
Durée de conservation
5 ans après fin de relation (LCB-FT, art. L.561-12 CMF) ; 10 ans pour les données comptables

Hostinger International Ltd.

Politique de confidentialité ↗

Hostinger International Ltd., 61 Lordou Vironos Street, 6023 Larnaca, Chypre

Pays / Région
Chypre / Lituanie (datacenters en Union européenne)
Mécanisme de transfert
Traitement intra-UE (pas de transfert hors UE)
Catégories de données traitées
  • Toutes les données stockées sur l'infrastructure (données de compte, transactions, logs)
  • Adresses IP de connexion
  • Logs serveur, sauvegardes
Finalité
Hébergement de l'infrastructure (serveur VPS), maintenance technique, sauvegardes chiffrées.
Durée de conservation
Durée de la prestation ; sauvegardes : 35 jours rolling.

Resend / SMTP transactionnel

Politique de confidentialité ↗

Resend, Inc. (États-Unis) ou alternative SMTP UE — voir configuration en vigueur

Pays / Région
États-Unis (Resend) ou Union européenne selon la solution active
Mécanisme de transfert
Clauses contractuelles types (Décision UE 2021/914)
Catégories de données traitées
  • Adresse e-mail du destinataire
  • Contenu des e-mails transactionnels (notifications, confirmations, support)
  • Métadonnées d'envoi (date, statut de remise, taux d'ouverture)
Finalité
Envoi des e-mails transactionnels nécessaires au fonctionnement du service (vérification du compte, notifications de transaction, alertes de sécurité, support).
Durée de conservation
30 jours pour les logs de remise.

Google LLC / Google Ireland Ltd.

Politique de confidentialité ↗

Google Ireland Ltd., Gordon House, Barrow Street, Dublin 4, D04 E5W5, Irlande — sous-traitant ultérieur : Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA

Pays / Région
Irlande / États-Unis
Mécanisme de transfert
Clauses contractuelles types + Data Privacy Framework UE-États-Unis
Catégories de données traitées
  • Adresse IP (anonymisée GA4)
  • Identifiants pseudonymes (cookies _ga, _ga_<ID>)
  • Données de navigation : pages vues, événements, source de trafic
Finalité
Mesure d'audience pseudonymisée (GA4) sous réserve de consentement, gestion des balises (Google Tag Manager), Google Search Console (SEO), Google Ads (le cas échéant).
Durée de conservation
13 mois maximum (recommandation CNIL) ; données issues des cookies : 25 mois max.

OpenAI

Politique de confidentialité ↗

OpenAI, L.L.C. — 3180 18th Street, San Francisco, CA 94110, USA

Pays / Région
États-Unis
Mécanisme de transfert
Clauses contractuelles types ; opt-out de l'entraînement OpenAI activé (zéro rétention)
Catégories de données traitées
  • Briefs éditoriaux génériques (mots-clés SEO, structure d'article)
  • Aucune donnée personnelle d'utilisateur n'est transmise
Finalité
Génération automatisée de contenu pour le blog (articles, guides). Usage strictement éditorial, sans corrélation utilisateur.
Durée de conservation
30 jours côté API (API par défaut), aucune donnée personnelle utilisateur transmise.

3. Tableau récapitulatif

Sous-traitantPaysFinalitéGarantie
Stripe Payments Europe Ltd.Irlande / États-Unis (sous-traitant ultérieur Stripe Inc.)Traitement des paiements (DSP2 / PSD2), encaissement, rétention temporaire et transfert des fonds (Stripe Connect), vérification d'identité (Stripe Identity), lutte anti-fraude (Stripe Radar), obligations LCB-FT.Clauses contractuelles types (Décision UE 2021/914) + Data Privacy Framework UE-États-Unis
Hostinger International Ltd.Chypre / Lituanie (datacenters en Union européenne)Hébergement de l'infrastructure (serveur VPS), maintenance technique, sauvegardes chiffrées.Traitement intra-UE (pas de transfert hors UE)
Resend / SMTP transactionnelÉtats-Unis (Resend) ou Union européenne selon la solution activeEnvoi des e-mails transactionnels nécessaires au fonctionnement du service (vérification du compte, notifications de transaction, alertes de sécurité, support).Clauses contractuelles types (Décision UE 2021/914)
Google LLC / Google Ireland Ltd.Irlande / États-UnisMesure d'audience pseudonymisée (GA4) sous réserve de consentement, gestion des balises (Google Tag Manager), Google Search Console (SEO), Google Ads (le cas échéant).Clauses contractuelles types + Data Privacy Framework UE-États-Unis
OpenAIÉtats-UnisGénération automatisée de contenu pour le blog (articles, guides).Clauses contractuelles types ; opt-out de l'entraînement OpenAI activé (zéro rétention)

4. Garanties applicables

TrustProtect SAS s'assure que chaque sous-traitant présente des garanties suffisantes au regard de l'article 28 RGPD. Les principales garanties sont :

  • Conclusion d'un Data Processing Agreement (DPA) signé avec chaque sous-traitant.
  • Pour les transferts hors UE : adoption des Clauses contractuelles types (Décision UE 2021/914 du 4 juin 2021) et adhésion au Data Privacy Framework UE-États-Unis le cas échéant.
  • Évaluation périodique des garanties techniques et organisationnelles (chiffrement, contrôle d'accès, ségrégation logique).
  • Audit annuel des sous-traitants critiques (Stripe, Hostinger).
  • Plan de réversibilité documenté en cas de cessation de la prestation.
  • Notification mutuelle dans les 24h en cas de violation de données.

Une copie des Clauses contractuelles types et des certifications techniques (ISO 27001, SOC 2 Type II, PCI DSS) est disponible sur demande motivée à dpo@trustprotect.fr.

5. Modifications de la liste & notification

La présente liste est susceptible d'évoluer. Toute substitution ou ajout d'un sous-traitant fera l'objet d'une mise à jour de cette page et, pour les Utilisateurs Professionnels ayant signé un DPA spécifique, d'une notification par e-mail au moins 15 jours avant l'entrée en service du nouveau sous-traitant, conformément à l'article 28-2 du RGPD.

Vous pouvez vous opposer à un changement de sous-traitant pour motifs légitimes. TrustProtect SAS examinera votre opposition et pourra, le cas échéant, mettre fin à la prestation.

Contact DPO

Pour toute question relative aux sous-traitants, aux DPA ou aux mécanismes de transfert :