Principes généraux
- Tous les sous-traitants listés ci-dessous sont établis dans l'Union européenne ou opèrent leurs traitements dans des datacenters situés exclusivement dans l'Union européenne.
- Chaque sous-traitant est lié par un accord de traitement des données (DPA) conforme aux articles 28 à 36 du RGPD.
- Aucun transfert de données hors Union européenne n'est effectué sans mécanisme de transfert adéquat (clauses contractuelles types ou décision d'adéquation).
- Toute évolution de cette liste est notifiée aux communes clientes au moins 30 jours avant la mise en production. Les communes disposent d'un droit d'opposition dans les conditions prévues au DPA.
Liste des sous-traitants
01 - Amazon Web Services — Hébergement
- Entité juridique
- Amazon Web Services EMEA SARL — Luxembourg
- Lieu du traitement
- Région Paris (eu-west-3) — France exclusivement, sans réplication transfrontalière
- Périmètre
- Infrastructure complète : compute (ECS Fargate), base de données (Aurora PostgreSQL Serverless v2), stockage objet (S3 avec Object Lock pour les arrêtés), files de messages (ElastiCache Redis Multi-AZ), gestion des secrets.
- Cadre contractuel
- AWS GDPR DPA + Clauses Contractuelles Types EU-EU
- Référence
- aws.amazon.com/fr/compliance/eu-data-protection/
02 - Docaposte — Signature électronique
- Entité juridique
- Docaposte SA — groupe La Poste, France
- Lieu du traitement
- Datacenters France
- Périmètre
- Signature électronique des bordereaux d'heures supplémentaires. Niveau eIDAS adapté au contexte municipal.
- Cadre contractuel
- Contrat de sous-traitance Docaposte + DPA
- Référence
- docaposte.com
03 - DSS (Digital Signature Service) — Composant de signature
- Entité juridique
- Commission européenne - Direction générale Informatique (DIGIT)
- Lieu du traitement
- Infrastructure Commission européenne
- Périmètre
- Bibliothèque open source de signature électronique eIDAS, utilisée en complément de Docaposte pour les bordereaux d'heures supplémentaires.
- Cadre contractuel
- Licence LGPL v2.1 (logiciel open source) - aucun transfert de données personnelles
- Référence
- ec.europa.eu - Digital Signature Service
04 - Chorus Pro — Facturation
- Entité juridique
- Agence pour l'Informatique Financière de l'État (AIFE) — France
- Lieu du traitement
- Infrastructure État français
- Périmètre
- Plateforme nationale de dématérialisation des factures pour les marchés publics (format Factur-X). Obligatoire pour la facturation à destination des collectivités territoriales.
- Cadre contractuel
- Conditions générales d'utilisation Chorus Pro - service de l'État
- Référence
- chorus-pro.gouv.fr
05 - Brevo (Sendinblue SAS) — Notifications SMS
- Entité juridique
- Sendinblue SAS — Paris, France
- Lieu du traitement
- Datacenter Equinix PA7 — Paris, France
- Périmètre
- Envoi de SMS transactionnels (alertes agents, accusés de réception citoyens). Aucune donnée d'identification fournie au prestataire : seuls les libellés expéditeurs sont déclarés.
- Cadre contractuel
- Contrat Brevo + DPA conforme RGPD
- Référence
- brevo.com/legal/dpa/
06 - Mailgun EU — Emails transactionnels
- Entité juridique
- Mailgun Technologies Inc. — région EU
- Lieu du traitement
- Datacenter Francfort — Allemagne (région EU exclusivement)
- Périmètre
- Envoi d'emails transactionnels et de notifications (confirmations, alertes, transmissions aux RH).
- Cadre contractuel
- Mailgun DPA + Clauses Contractuelles Types UE
- Référence
- mailgun.com/gdpr/
[À vérifier côté Mairalia avant mise en ligne] : confirmer la liste complète des outils de support, monitoring et observabilité (ex. Grafana Labs, Sentry, etc.) et les ajouter ici si applicable.
Recours à la sous-traitance ultérieure
En application de l'article 28.2 du RGPD, Mairalia obtient l'autorisation écrite de chaque commune cliente avant de faire appel à un sous-traitant ultérieur non listé ici. La présente liste vaut autorisation générale pour les sous-traitants mentionnés, sous réserve du droit d'opposition prévu au DPA.
Contact
Pour toute question relative à cette liste, toute demande de précision ou pour exercer votre droit d'opposition : contact@mairalia.fr.
Liste établie le 7 juin 2026. Mise à jour à chaque ajout ou retrait de sous-traitant.