Sous-traitants.
Conformément à l’article 28 du RGPD, voici la liste exhaustive des sous-traitants ultérieurs auxquels Mairalia recourt pour fournir le service. Tout ajout fait l’objet d’une information préalable des communes clientes, qui peuvent s’y opposer dans les conditions prévues au DPA.
§ 1
Principe
- Tous les sous-traitants listés ci-dessous sont établis dans l’Union européenne ou opèrent leur traitement dans des datacenters situés exclusivement dans l’Union européenne.
- Chaque sous-traitant est lié par un DPA conforme aux articles 28 à 36 du RGPD et par des clauses contractuelles types lorsque requises.
- Aucun prestataire soumis à un régime extraterritorial problématique (CLOUD Act sans accord-cadre suffisant, FISA 702, etc.) n’est utilisé pour le traitement de données personnelles non chiffrées en clair.
- Toute évolution de cette liste est notifiée par courriel aux DPO ou interlocuteurs informatiques des communes clientes au moins 30 jours avant la mise en production.
§ 2
Liste exhaustive
La liste ci-dessous est tenue à jour à la date de mise à jour de la page. Chaque entrée indique le rôle, la personne morale, la localisation du traitement, le cadre contractuel et, le cas échéant, le périmètre exact.
01
Amazon Web Services
Hébergement, base de données managée, stockage objet, files de messages, secrets
- Entité juridique
- Amazon Web Services EMEA SARL — Luxembourg
- Lieu du traitement
- Région Paris (eu-west-3) — France
- Cadre contractuel
- AWS GDPR DPA + Clauses Contractuelles Types EU-EU
- Précisions
- Compute (ECS Fargate), stockage relationnel (Aurora PostgreSQL Serverless v2), objet (S3 avec Object Lock pour les arrêtés), files (ElastiCache Redis Multi-AZ).
- Référence
- aws.amazon.com/fr/compliance/eu-data-protection/
02
Brevo
Envoi de SMS transactionnels (ex. alertes agent, accusés citoyens)
- Entité juridique
- Sendinblue SAS — Paris, France
- Lieu du traitement
- Datacenter Equinix PA7 — Paris
- Cadre contractuel
- Contrat principal Brevo + DPA
- Précisions
- Modèle de compte maître : aucune donnée d’identification fournie par la commune au prestataire — seules les libellés expéditeurs sont déclarés.
- Référence
- www.brevo.com/legal/dpa/
03
Mailgun EU
Envoi d’emails transactionnels et notifications
- Entité juridique
- Mailgun Technologies Inc. — région EU
- Lieu du traitement
- Datacenter Francfort — Allemagne (région EU exclusivement)
- Cadre contractuel
- Mailgun DPA + CCT-UE
- Précisions
- Une alternative SendGrid EU est tenue prête en redondance.
- Référence
- www.mailgun.com/gdpr/
04
Yousign
Signature électronique des arrêtés et actes signés
- Entité juridique
- Yousign SAS — Caen, France
- Lieu du traitement
- Datacenters OVHcloud et Outscale — France
- Cadre contractuel
- CGU Yousign + DPA
- Précisions
- Niveau de signature configurable par commune : simple, avancé, qualifié eIDAS. Adaptateurs Docaposte FAST-Parapheur, Lex Persona, Universign en réserve.
- Référence
- yousign.com/fr-fr/rgpd
05
Stripe Payments Europe
Encaissement par carte (abonnement plateforme)
- Entité juridique
- Stripe Payments Europe Limited — Dublin, Irlande
- Lieu du traitement
- Traitement UE — données de paiement tokenisées
- Cadre contractuel
- Stripe Services Agreement + DPA
- Précisions
- Aucune donnée de carte ne transite par les serveurs Mairalia. Stripe est facultatif : SEPA Direct Debit via GoCardless est l’alternative préférée.
- Référence
- stripe.com/fr/privacy
06
GoCardless
Prélèvement SEPA Direct Debit (abonnement plateforme)
- Entité juridique
- GoCardless Ltd — Londres, R.-U. avec succursales UE
- Lieu du traitement
- Traitement Union européenne, conforme PSD2
- Cadre contractuel
- GoCardless Services Agreement + DPA
- Référence
- gocardless.com/legal/dpa/
07
Grafana Labs
Observabilité — logs, métriques, traces
- Entité juridique
- Grafana Labs Sweden AB
- Lieu du traitement
- Grafana Cloud EU — Francfort
- Cadre contractuel
- Grafana Cloud DPA
- Précisions
- Logs anonymisés en amont, identifiants tenant remplacés par des hash non réversibles avant export.
- Référence
- grafana.com/legal/dpa/
§ 3
Recours à la sous-traitance ultérieure
En application de l’article 28.2 du RGPD, Mairalia obtient l’autorisation écrite spécifique ou générale de chaque commune cliente avant de faire appel à un sous-traitant ultérieur. La présente liste vaut autorisation générale au sens du même article, sous réserve du droit d’objection prévu au DPA.
§ 4
Contact
Toute question, demande de précision ou objection se transmet à notre délégué à la protection des données : dpo@mairalia.fr.