ZeroGestion
Rejoindre la bêta privée

Données personnelles

Sous-traitants

Liste documentaire des prestataires susceptibles de traiter des données pour fournir, securiser ou exploiter ZeroGestion.

Role de ZeroGestion

Pour les données de ses propres prospects, clients et utilisateurs,ZeroGestion agit comme responsable de traitement. Pour les données de clients finaux saisies par une entreprise utilisatrice,ZeroGestion peut agir comme sous-traitant du client professionnel, selon le contrat applicable.

Liste indicative

Cette liste est alignee avec le code, les variables d'environnement, les dependances et la configuration identifies au 15 mai 2026. Elle ne prouve pas que les DPA, SCC, DPF, TIA, regions ou contrats sont déjà archives.

Stripe

  • Usage : Paiements d'abonnement, Checkout, portail client, Stripe Connect et webhooks de paiement.
  • Données concernees : E-mail de facturation ou client si transmis, montant, devise, identifiants Stripe, statut paiement, metadata limitée et reference facture/abonnement.
  • Localisation probable : UE/Irlande et Etats-Unis possibles selon entite Stripe, compte et services actives.
  • Transfert hors UE : Transfert hors UE possible.
  • DPA / preuves a archiver : DPA Stripe, Stripe Services Agreement, DPF/SCC, configuration Dashboard, webhooks et preuves SCA/3DS live a archiver.
  • Statut preuve : A prouver

Twilio SendGrid

  • Usage : E-mails transactionnels, invitations, notifications et support.
  • Données concernees : Adresse e-mail, sujet, contenu HTML/texte, reply-to, statut d'envoi et pieces jointes eventuelles selon flux.
  • Localisation probable : Etats-Unis par defaut; option UE a confirmer avec SENDGRID_DATA_RESIDENCY=eu et sous-utilisateur compatible.
  • Transfert hors UE : Transfert hors UE possible.
  • DPA / preuves a archiver : DPA Twilio/SendGrid, region effective, SPF/DKIM/DMARC, politique de retention et preuves de delivrabilite a archiver.
  • Statut preuve : A prouver

Sentry

  • Usage : Monitoring d'erreurs et diagnostic technique.
  • Données concernees : Stack traces, contexte technique, identifiants pseudonymises si l'outil est active.
  • Localisation probable : Etats-Unis ou Allemagne selon region Sentry configuree.
  • Transfert hors UE : Transfert hors UE possible si region US ou support/subprocessors hors UE.
  • DPA / preuves a archiver : DPA Sentry, region projet, retention, scrubbing before_send, echantillonnage et test sans PII a archiver.
  • Statut preuve : A prouver

Google Analytics

  • Usage : Mesure d'audience du site marketing après consentement.
  • Données concernees : Pages vues, événements marketing non sensibles et identifiants techniques limités selon la configuration.
  • Localisation probable : Infrastructure Google mondiale.
  • Transfert hors UE : Transfert hors UE possible.
  • DPA / preuves a archiver : Conditions Google Analytics/Ads Data Processing Terms, consentement, absence de requête avant consentement et filtrage des données identifiantes à archiver.
  • Statut preuve : A prouver

Meta Pixel

  • Usage : Mesure d'audience et performance des campagnes du site marketing après consentement.
  • Données concernees : Pages vues, événements PageView, identifiants techniques limités et informations de navigateur selon la configuration.
  • Localisation probable : Infrastructure Meta mondiale.
  • Transfert hors UE : Transfert hors UE possible.
  • DPA / preuves a archiver : Conditions Meta Business Tools, consentement, absence de requête avant consentement et filtrage des données identifiantes à archiver.
  • Statut preuve : A prouver

Google Geocoding API

  • Usage : Fallback optionnel de geocodage lorsque le fallback Google est active.
  • Données concernees : Adresse saisie, coordonnées recherchees, paramêtres techniques de geocodage.
  • Localisation probable : Infrastructure Google mondiale.
  • Transfert hors UE : Transfert hors UE possible.
  • DPA / preuves a archiver : Contrat/DPA Google applicable, preuve que le fallback est desactive par defaut ou documente, minimisation et information utilisateur a archiver.
  • Statut preuve : A prouver

Geoplateforme / IGN / API Adresse

  • Usage : Autocomplete d'adresse, geocodage, geocodage inverse, routes et isochrones IGN selon configuration.
  • Données concernees : Adresse saisie, coordonnées, route ou isochrone nécessaires au calcul demande.
  • Localisation probable : France/UE probable pour les services publics francais, a confirmer selon endpoint utilise.
  • Transfert hors UE : Pas de transfert hors UE attendu pour les endpoints publics francais identifies, a confirmer.
  • DPA / preuves a archiver : Conditions IGN/Geoplateforme/API Adresse, limites d'usage, retention cache et purge des coordonnées a archiver.
  • Statut preuve : Non applicable

OpenRouteService

  • Usage : Calcul de trajets ou isochrones si ROUTING_PROVIDER=openrouteservice.
  • Données concernees : Coordonnées de depart/arrivee, mode de transport et paramêtres de route.
  • Localisation probable : Allemagne/UE probable via HeiGIT, a confirmer selon plan ou API utilise.
  • Transfert hors UE : Transfert hors UE non attendu mais a confirmer contractuellement.
  • DPA / preuves a archiver : Terms of Service, privacy policy, DPA ou confirmation d'usage acceptable pour données personnelles a archiver.
  • Statut preuve : A prouver

INSEE / Sirene

  • Usage : Verification SIREN/SIRET des entreprises.
  • Données concernees : SIREN, SIRET et informations publiques d'entreprise retournees par le service.
  • Localisation probable : France.
  • Transfert hors UE : Pas de transfert hors UE attendu.
  • DPA / preuves a archiver : Conditions API Sirene, statut open data, prise en compte du statut de diffusion et confirmation DPO a archiver.
  • Statut preuve : Non applicable

SuperPDP / prestataire e-facturation

  • Usage : Preparation, transmission ou reception e-facturation uniquement si l'activation et la configuration le prevoient.
  • Données concernees : Factures, données fiscales, SIREN/SIRET/TVA et statuts de traitement.
  • Localisation probable : A confirmer selon la plateforme retenue et son contrat.
  • Transfert hors UE : A confirmer; transfert hors UE possible si la plateforme ou ses subprocessors le prevoient.
  • DPA / preuves a archiver : Contrat, statut du prestataire, DPA, SCC/DPF/TIA si applicable, sandbox, SLA, sécurité et tests externes a archiver.
  • Statut preuve : A prouver

OVH SAS / hebergeur declare

  • Usage : Hébergement du site, de l'application ou de composants d'infrastructure.
  • Données concernees : Données applicatives, logs techniques, fichiers et sauvegardes selon architecture.
  • Localisation probable : France/UE probable avec OVH SAS configure, region exacte a prouver.
  • Transfert hors UE : Pas de transfert hors UE attendu pour l'hébergement UE; les accès support et sous-traitants ultérieurs dependent du contrat.
  • DPA / preuves a archiver : Contrat hébergement, DPA, region cluster/base, logs, sauvegardes, retention, restore et accès support a archiver.
  • Statut preuve : A prouver

Stockage objet S3/R2/OVH ou equivalent

  • Usage : Stockage de medias, fichiers applicatifs ou sauvegardes selon architecture.
  • Données concernees : Fichiers, medias, exports, logs ou sauvegardes selon configuration.
  • Localisation probable : Region inconnue tant que AWS_S3_ENDPOINT_URL et le bucket reel ne sont pas documentes.
  • Transfert hors UE : A confirmer; transfert hors UE possible selon fournisseur et region.
  • DPA / preuves a archiver : DPA fournisseur, endpoint/region, chiffrement, lifecycle, object lock si retenu, restore et purge a archiver.
  • Statut preuve : A prouver

GitHub

  • Usage : Gestion du code source, issues, CI/CD, GHCR et sécurité projet.
  • Données concernees : Code, logs CI, tickets techniques. Les secrets doivent rester dans le secret store.
  • Localisation probable : Etats-Unis et infrastructure mondiale.
  • Transfert hors UE : Transfert hors UE possible.
  • DPA / preuves a archiver : GitHub Data Protection Agreement si applicable, configuration Actions/GHCR, secret scanning, push protection, branch protection et politique logs/tickets a archiver.
  • Statut preuve : A prouver

Checklist d'archives

Pour chaque prestataire reellement active, les preuves doivent être conservees hors des tickets publics et sans secret.

  • DPA signé ou accepté
  • Lien légal et version des conditions
  • Date de revue
  • Responsable de la revue
  • Preuve stockee dans l'espace interne prevu

Services techniques non applicatifs

Les registres ou sources de dependances comme Docker Hub, npm, PyPI, PostGIS images, GitHub Actions Marketplace ou GHCR relevent surtout de la chaine de build, de sécurité et de licences. Ils ne doivent pas recevoir de données client de production. Les logs CI, secrets, artefacts et tickets restent a encadrer separement.

Ajout ou remplacement

Tout nouveau sous-traitant doit faire l'objet d'une vérification contractuelle, technique et RGPD avant activation : finalite, minimisation, localisation, DPA, garanties de transfert, sécurité et information des clients si nécessaire.

Limites importantes

Cette liste est indicative et depend de la configuration reelle du service. Elle ne remplace pas un conseil juridique ou relatif a la protection des données. Les garanties contractuelles, SCC, DPF, regions, roles, durées et preuves de tests doivent être conserves lorsque les services sont actives.

Contact

Les questions relatives aux sous-traitants peuvent être adressees a contact@zerogestion.fr. Dernière mise à jour : 17 mai 2026.