Sous-traitants

Fournisseurs prévus pour fournir QLAC, avec périmètre, données traitées et garanties à finaliser contractuellement.

Informations juridiques publiées pour QLAC Audit.

Dernière mise à jour: 2026-05-11

1. Statut et périmètre

Cette liste documente les fournisseurs actuels ou prévus qui peuvent traiter des données personnelles ou techniques pour fournir QLAC. Elle doit être revue avant les contrats B2B finaux et tenue à jour lorsque l'architecture, l'hébergement, le billing, l'email, l'analytics ou l'IA changent.

QLAC ne stocke pas les cartes ni données bancaires. Paddle gère paiements, taxes, factures et moyens de paiement comme fournisseur spécialisé.

2. Liste initiale des fournisseurs

  • Vercel : hébergement, déploiement, CDN, logs techniques et Vercel Analytics optionnel. Données : IP, user agent, événements agrégés, métadonnées techniques et contenu public du site.
  • Paddle : checkout, billing, taxes, facturation, abonnements et webhooks de statut. Données : email, pays, plan, devise, statut de paiement, références de facture et données fiscales nécessaires. QLAC ne reçoit pas les numéros complets de carte ni données bancaires.
  • Fournisseur d'email transactionnel à confirmer : emails de compte, récupération, avis de sécurité, changement de mot de passe, essais, billing et support. Données : email, nom, langue et contenu strictement nécessaire du message.
  • Fournisseur de base de données, files et stockage production à confirmer : stockage comptes, projets, rapports, preuves, artefacts, snapshots et logs de sécurité selon la configuration finale.
  • GitHub/GitLab : accès aux dépôts uniquement si le client connecte l'intégration. Données : métadonnées de dépôt, branches, fichiers autorisés et tokens chiffrés avec permissions minimales.
  • Fournisseur IA optionnel à activer : analyse assistée et génération de recommandations uniquement avec feature flag, documentation, consentement ou base contractuelle appropriée.
  • PostHog optionnel : événements explicites de conversion lorsque marketing_analytics est actif et que le consentement analytics existe. Autocapture, pageview automatique et session replay doivent rester désactivés sauf révision séparée.

3. Transferts et garanties

Lorsqu'un fournisseur traite des données hors du pays du client ou hors EEE, QLAC doit revoir DPA, SCCs ou mécanisme équivalent, mesures supplémentaires, localisation, sécurité et conservation avant usage production.

4. Changements et objections

Les clients B2B avec DPA peuvent demander un préavis raisonnable de nouveaux sous-traitants matériels et formuler des objections justifiées si le changement augmente le risque ou contredit les instructions documentées.

5. Suppression et restitution

À la fin du service ou sur instruction valide, QLAC devra supprimer, anonymiser ou restituer les données selon le contrat, la conservation technique, les obligations légales et la gestion raisonnable des sauvegardes.