Sous-traitants
Cette page constitue la liste nommée des sous-traitants tiers qui traitent des données personnelles pour le compte d'Apshan, publiée au titre de l'article 28, paragraphe 2 du RGPD. L'Avenant de traitement des données (DPA) régit la relation sous-jacente.
À propos de cette page
Un sous-traitant est un tiers qui traite des données personnelles pour le compte d'Apshan afin de fournir le Service. Cette page liste chaque sous-traitant nommé, le rôle de chacun, le pays de traitement et le mécanisme de transfert lorsque les données quittent l'UE/EEE.
La liste est publiée conformément à l'article 28, paragraphe 2 du RGPD et à l'avis 22/2024 du CEPD. Lorsqu'un sous-traitant est tenu de respecter les Clauses Contractuelles Types (CCT) pour les transferts hors UE, cela est précisé. Chaque entrée renvoie à la page confidentialité ou DPA propre au sous-traitant, pour la transparence de la chaîne.
Hébergement et infrastructure
| Sous-traitant | Finalité | Pays | Transfert |
|---|---|---|---|
| Scaleway SAS | Infrastructure cloud : hébergement, calcul, bases de données managées, stockage objet | France (UE) | Résidence UE · DPA |
| Cloudflare, Inc. | DNS, CDN, proxy en périphérie, atténuation DDoS, hébergement du site marketing (Workers/Pages), défi anti-bot (Turnstile). Traite uniquement les métadonnées visiteur (adresse IP, user agent, chemins de pages). Aucune donnée produit client ne transite par ce sous-traitant. | États-Unis · périphérie UE | CCT + DPA |
| Upstash, Inc. | Redis managé (API REST) pour les compteurs distribués de limitation de débit sur les soumissions de formulaires publics. Chaque requête stocke l'adresse IP du visiteur dans une clé de compteur qui expire automatiquement après une fenêtre de 60 secondes. Aucun contenu de formulaire, adresse e-mail ou autre donnée personnelle n'est traité. Utilisé exclusivement pour prévenir les abus et le spam sur les endpoints de candidature partenaire, sur la base de l'intérêt légitime (article 6, paragraphe 1, point f). | États-Unis · résidence des données UE (Francfort) | CCT + DPA |
| Sous-traitant | Finalité | Pays | Transfert |
|---|---|---|---|
| Sendinblue SAS (Brevo) | Envoi d'e-mails transactionnels et marketing | France (UE) | Résidence UE · DPA |
Analyses et télémétrie
| Sous-traitant | Finalité | Pays | Transfert |
|---|---|---|---|
| Google Ireland Limited (Google Analytics 4) | Analyses web et produit (Google Analytics 4). Mesure du trafic marketing, audiences comportementales et intégration à l'écosystème Google Ads. Chargé uniquement après acceptation de la catégorie analyses dans la bannière de consentement. | Irlande (UE) · maison mère États-Unis | DPF UE-États-Unis + CCT + DPA |
| Ahrefs Pte. Ltd. | Analyses web (Ahrefs Web Analytics). Chargé uniquement après acceptation de la catégorie analyses dans la bannière de consentement. Sans cookie une fois chargé : aucun identifiant persistant n'est posé sur l'appareil du visiteur. Note : une fois le script chargé, il suit toutes les navigations ultérieures dans l'application (y compris les pages par ailleurs exclues des pixels marketing), car le fournisseur n'expose pas d'API de désactivation par page. Les métadonnées de requête (IP anonymisée, user agent, référent, URL de page) sont traitées à des fins d'analyse de trafic SEO. | Singapour | CCT + DPA |
| PostHog, Inc. | Analyses produit (instance UE, Francfort). Les captures côté client se chargent uniquement après acceptation de la catégorie analyses dans la bannière de consentement. La télémétrie opérationnelle côté serveur (soumissions de candidatures partenaires et événements d'erreur serveur) est traitée sur la base de l'intérêt légitime (article 6, paragraphe 1, point f) indépendamment du consentement cookies ; les identifiants dérivés d'e-mail sont salés et hachés avant transmission. | États-Unis · résidence des données UE | CCT + DPA |
| Functional Software, Inc. (Sentry) | Surveillance des erreurs et performance applicative | États-Unis · instance UE (de.sentry.io) | CCT + DPA |
Logs et observabilité
| Sous-traitant | Finalité | Pays | Transfert |
|---|---|---|---|
| Better Stack, s.r.o. | Journaux applicatifs, surveillance de disponibilité, observabilité | République tchèque (UE) | Résidence UE · DPA |
Expérience client
| Sous-traitant | Finalité | Pays | Transfert |
|---|---|---|---|
| Axeptio SAS | Gestion du consentement cookies | France (UE) | Résidence UE · DPA |
| Trustpilot A/S | Invitations à laisser un avis et notations de confiance. Chargé uniquement après acceptation de la catégorie de consentement correspondante dans la bannière cookies ; aucune donnée n'est traitée sans consentement explicite. | Danemark (UE) | Résidence UE · DPA |
Pixels marketing et conversions côté serveur
Les pixels marketing ne sont chargés qu'après consentement explicite via la bannière cookies. Les API de conversions côté serveur ne s'exécutent que lorsque le visiteur a accordé son consentement marketing pour le fournisseur concerné. Vous pouvez retirer votre consentement à tout moment.
| Sous-traitant | Finalité | Pays | Transfert |
|---|---|---|---|
| Google Ireland Limited (Google Ads) | Attribution publicitaire, mesure des conversions, reciblage d'audience et correspondance par e-mail haché Enhanced Conversions (Google Ads / gtag.js) | Irlande (UE) · maison mère États-Unis | CCT + DPA |
| LinkedIn Ireland Unlimited Company (Insight Tag) | Attribution publicitaire et mesure d'audience | Irlande (UE) · maison mère États-Unis | CCT + DPA |
| Meta Platforms Ireland Limited (Meta Pixel) | Reciblage d'audience et mesure des conversions (Meta Pixel) | Irlande (UE) · maison mère États-Unis | CCT + DPA |
| Meta Platforms Ireland Limited (Conversions API) | Attribution de conversion côté serveur via Conversions API (e-mail haché, adresse IP, user-agent). Ne s'exécute que sur les soumissions de formulaire validées lorsque le visiteur a accordé son consentement marketing Meta. | Irlande (UE) · maison mère États-Unis | DPF UE-États-Unis + CCT + DPA |
| LinkedIn Ireland Unlimited Company (Conversions API) | Attribution de conversion côté serveur via Conversions API (e-mail haché, adresse IP, user-agent, identifiant de cookie d'attribution propriétaire LinkedIn). Ne s'exécute que sur les soumissions de formulaire validées lorsque le visiteur a accordé son consentement marketing LinkedIn. | Irlande (UE) · maison mère États-Unis | DPF UE-États-Unis + CCT + DPA |
Autorisation et droit d'objection
En acceptant les Conditions générales et l'Avenant de traitement des données, vous donnez à Apshan une autorisation écrite générale d'engager les sous-traitants listés ci-dessus, conformément à l'article 28, paragraphe 2 du RGPD.
Vous conservez le droit de vous opposer à tout changement de sous-traitant. Si vous vous opposez pour des motifs raisonnables liés à la protection des données, Apshan travaillera avec vous de bonne foi pour résoudre l'objection ou, à défaut, autorisera la résiliation de la partie du Service concernée.
Notification des changements
Apshan publie les changements substantiels apportés à cette liste au moins trente (30) jours avant leur prise d'effet. Pour vous abonner aux notifications de changement de sous-traitants, écrivez à privacy@apshan.com avec pour objet « Notifications sous-traitants » et l'adresse e-mail à laquelle vous souhaitez recevoir les notifications.
Les changements d'urgence (lorsqu'un sous-traitant doit être ajouté ou remplacé pour des raisons de sécurité ou de continuité avant la fenêtre de trente jours) sont annoncés dès que possible, avec la raison du calendrier accéléré.
Transferts internationaux
Lorsque l'entité juridique d'un sous-traitant est immatriculée hors UE/EEE, y compris dans les cas où les données sont hébergées dans des régions UE, Apshan s'appuie sur les Clauses Contractuelles Types (CCT) de la Commission européenne et sur un Avenant de traitement des données signé pour sécuriser le transfert. Lorsque la résidence des données d'un sous-traitant est hors UE/EEE, le pays de traitement est divulgué dans le tableau ci-dessus.
Pour aller plus loin
Contact
privacy@apshan.com
Apshan, 6 Rue d'Armaillé, 75017 Paris, France.