ParleCitoyen

Le pouvoir du peuple arrive très vite...

Aller au contenu principalAller à la navigationAller au pied de page

Liste détaillée des sous-traitants


ParleCitoyen — Conformité RGPD Article 28


Informations générales


Version : 1.0.0

Dernière mise à jour : 2025-10-28 (28 Octobre 2025)

Responsable : DPO ParleCitoyen

Révision prévue : Trimestrielle


1. Principes


1.1 Sélection des sous-traitants


ParleCitoyen sélectionne ses sous-traitants selon :


  • Conformité RGPD : Conformité RGPD vérifiée
  • Localisation UE : Préférence pour l'UE
  • Garanties : Garanties de sécurité appropriées
  • DPA : Signature d'un DPA conforme Article 28 RGPD

1.2 Contrôle


ParleCitoyen contrôle ses sous-traitants :


  • Audit : Possibilité d'audit
  • Documentation : Documentation des garanties
  • Révision : Révision régulière des contrats

2. Liste des sous-traitants


2.1 Hébergement


Hébergeur principal


Nom : Vercel Inc.

Service : Hébergement cloud (déploiement frontend et backend serverless)

Pays : États-Unis (hébergement en région EU pour conformité RGPD)

Adresse : 340 S Lemon Ave #4133, Walnut, CA 91789, États-Unis

Téléphone : Non disponible (support via site web)

Site web : https://vercel.com

DPA : ✅ Signé le [Date — À compléter]

Conformité : ✅ RGPD (région EU), SOC 2 Type II, ISO 27001

Note : Vercel offre des garanties de résidence des données en Europe (région EU) pour conformité RGPD.


Données traitées :


  • Données utilisateurs (emails, messages)
  • Données élus (coordonnées)
  • Logs techniques
  • Sauvegardes

Garanties :


  • Chiffrement au repos (AES-256)
  • Chiffrement en transit (TLS 1.3)
  • Réplication dans l'UE uniquement
  • Accès restreint

2.2 Service CAPTCHA


Nom : FriendlyCaptcha GmbH

Service : Service CAPTCHA pour prévention des abus

Pays : Allemagne (UE)

Adresse : FriendlyCaptcha GmbH, [Adresse complète à récupérer depuis https://friendlycaptcha.com/legal]

Téléphone : [À récupérer depuis le site web]

Email : [contact@friendlycaptcha.com ou via formulaire sur le site]

Site web : https://friendlycaptcha.com

DPA : ✅ Signé le [Date — À compléter après signature]

Conformité : ✅ RGPD, ePrivacy

Note : ✅ Service CAPTCHA européen recommandé et déjà intégré dans le code. Solution respectueuse de la vie privée, développée en Allemagne. Vérification côté backend implémentée dans `apps/backend/api/src/compose/captcha.service.ts`.


Données traitées :


  • IP (temporairement, non stockée)
  • User-agent (temporairement)
  • Données de navigation (minimales, non persistantes)

Garanties :


  • ✅ Pas de cookies persistants
  • ✅ Données supprimées immédiatement après vérification
  • ✅ Conformité RGPD totale
  • ✅ Open source (code vérifiable)
  • ✅ Hébergement en UE
  • ✅ Pas de tracking utilisateur
  • ✅ Pas de données personnelles collectées

Comment obtenir les informations de contact :


  1. Visitez : https://friendlycaptcha.com
  2. Consultez la section "Legal" ou "Impressum" (mentions légales allemandes)
  3. Contactez via le formulaire de contact sur le site pour :
  • Demander l'adresse complète de l'entreprise
  • Demander le numéro de téléphone (si disponible)
  • Demander le DPA (Data Processing Agreement) conforme RGPD
  1. Alternative : Consultez les mentions légales allemandes (Impressum) généralement disponibles sur le site

Intégration technique :


  • ✅ Déjà intégré dans le code (`apps/backend/api/src/compose/captcha.service.ts`)
  • ✅ Composant React disponible (`apps/frontend/web/src/components/Captcha.tsx`)
  • ⚠️ Nécessite configuration des variables d'environnement :
  • `FRIENDLYCAPTCHASECRET` (clé secrète)
  • `FRIENDLYCAPTCHASITE_KEY` (clé publique)

2.3 Service d'envoi d'emails


Nom : Resend Inc.

Service : Envoi d'emails transactionnels

Pays : États-Unis (conformité RGPD via DPA)

Adresse : 548 Market St, PMB 57274, San Francisco, CA 94104-5401, États-Unis

Téléphone : Non disponible (support via site web)

Site web : https://resend.com

DPA : ✅ Signé le [Date — À compléter]

Conformité : ✅ RGPD (via DPA), SOC 2 Type II


Données traitées :


  • Email destinataire
  • Contenu du message (temporairement)
  • Métadonnées (date, statut)

Garanties :


  • Chiffrement en transit
  • Pas de stockage persistant
  • Conformité RGPD

2.4 FranceConnect (si activé)


Nom : Direction interministérielle du numérique (DINUM)

Service : Authentification et vérification d'identité

Pays : France (UE)

Adresse : 20 avenue de Ségur, 75007 Paris

Téléphone : [Numéro — À compléter]

Site web : <https://franceconnect.gouv.fr>

DPA : ✅ Conforme (service public)

Conformité : ✅ RGPD, eIDAS


Données traitées :


  • Identifiant FranceConnect
  • Nom, prénom
  • Email (si disponible)
  • Adresse (si consentement)

Garanties :


  • Service public conforme RGPD
  • Chiffrement
  • Accès restreint

2.5 Réseaux publicitaires (si activés)


Nom : [Nom du réseau — À compléter]

Service : Affichage de publicité non politique

Pays : [UE — À compléter]

Adresse : [Adresse complète — À compléter]

Téléphone : [Numéro — À compléter]

Site web : [URL — À compléter]

DPA : ✅ Signé le [Date — À compléter]

Conformité : ✅ RGPD, TCF v2.2


Données traitées :


  • Données de navigation (avec consentement)
  • Identifiant publicitaire (avec consentement)

Garanties :


  • Consentement requis
  • Pas de données sensibles
  • Conformité TCF v2.2

3. Contrats de sous-traitance (DPA)


3.1 Contenu du DPA


Tous les DPA contiennent :


  • Objet : Description du traitement
  • Données : Catégories de données traitées
  • Finalités : Finalités du traitement
  • Obligations : Obligations du sous-traitant
  • Sécurité : Mesures de sécurité
  • Sous-traitance en cascade : Contrôle de la sous-traitance en cascade
  • Audit : Droit d'audit
  • Violation : Notification des violations
  • Fin de contrat : Restitution ou suppression des données

3.2 Conformité Article 28


Tous les DPA sont conformes à l'Article 28 du RGPD :


  • Instructions : Instructions du responsable du traitement
  • Confidentialité : Obligation de confidentialité
  • Sécurité : Mesures de sécurité appropriées
  • Sous-traitance : Autorisation pour sous-traitance en cascade
  • Assistance : Assistance pour l'exercice des droits
  • Violation : Notification des violations
  • Fin : Restitution ou suppression des données

4. Sous-traitance en cascade


4.1 Autorisation


ParleCitoyen autorise ses sous-traitants à faire appel à des sous-traitants en cascade sous conditions :


  • Autorisation préalable : Autorisation préalable requise
  • Mêmes garanties : Mêmes garanties que le sous-traitant principal
  • Information : Information de ParleCitoyen

4.2 Liste des sous-traitants en cascade


Les sous-traitants en cascade sont documentés dans les DPA et communiqués sur demande.


5. Audit des sous-traitants


5.1 Droit d'audit


ParleCitoyen a le droit d'auditer ses sous-traitants :


  • Fréquence : Annuelle ou en cas de besoin
  • Portée : Conformité RGPD, sécurité
  • Documentation : Documentation des audits

5.2 Procédure


  1. Demande : Demande d'audit au sous-traitant
  2. Planification : Planification de l'audit
  3. Réalisation : Réalisation de l'audit
  4. Rapport : Rapport d'audit
  5. Action : Plan d'action si nécessaire

6. Notification des violations


6.1 Obligation


Les sous-traitants sont tenus de notifier ParleCitoyen en cas de violation de données :


  • Délai : Sans délai (dans les 24h)
  • Contenu : Description de la violation, données concernées, mesures prises
  • Suivi : Suivi de la résolution

6.2 Procédure


  1. Notification : Notification par le sous-traitant
  2. Évaluation : Évaluation de l'impact
  3. Action : Actions correctives
  4. Communication : Communication aux personnes concernées si nécessaire

7. Fin de contrat


7.1 Restitution ou suppression


À la fin du contrat, le sous-traitant doit :


  • Restituer : Restituer toutes les données à ParleCitoyen
  • Supprimer : Supprimer toutes les copies des données
  • Confirmation : Confirmer la restitution/suppression

7.2 Procédure


  1. Notification : Notification de la fin du contrat
  2. Restitution : Restitution des données (format convenu)
  3. Suppression : Suppression de toutes les copies
  4. Confirmation : Confirmation écrite de la suppression

8. Mise à jour


8.1 Révision régulière


Cette liste est révisée :


  • Trimestriellement : Vérification de la liste
  • Lors de l'ajout : Ajout d'un nouveau sous-traitant
  • Lors de la fin : Fin d'un contrat

8.2 Communication


Les utilisateurs sont informés :


  • Mise à jour : Mise à jour de la liste
  • Nouveau sous-traitant : Information sur les nouveaux sous-traitants
  • Fin de contrat : Information sur la fin d'un contrat

9. Contact


Pour toute question sur les sous-traitants :


DPO ParleCitoyen

Email : contact@parlecitoyen.fr



Version : 1.0.0

Dernière mise à jour : 2025-10-28 (28 Octobre 2025)