Liste des sous-traitants
Dernière mise à jour : [À COMPLÉTER : date de publication] · Version 1.0.
Cette page liste l’ensemble des sous-traitants intervenant dans le traitement de vos données personnelles dans le cadre du service Promastro (promastro.be).
Conformément aux articles 28 et 30 du Règlement général sur la protection des données (RGPD) et à la transparence due aux utilisateurs, cette liste est tenue à jour. Toute modification substantielle (ajout d’un sous-traitant non substitutif, changement de localisation, transfert hors UE supplémentaire) est notifiée par email aux utilisateurs concernés au moins 30 jours avant son entrée en vigueur, vous laissant la possibilité de vous opposer au traitement ou de résilier votre compte.
Synthèse
- Nombre de sous-traitants actifs : 7
- Sous-traitants situés dans l’UE/EEE : 5
- Sous-traitants hors UE/EEE : 2 (Royaume-Uni — adéquation, États-Unis — CCT)
- Aucun sous-traitant publicitaire, aucun courtier en données, aucun broker de profilage
Liste détaillée des sous-traitants
1. Mollie B.V.
| Finalité | Traitement des paiements (cartes bancaires, Bancontact, mandats SEPA), facturation |
| Données traitées | Nom, prénom, email, adresse de facturation, données carte (PCI-DSS — non visibles par Promastro), historique des transactions |
| Siège | Amsterdam, Pays-Bas (UE) |
| Hébergement | Union européenne |
| Encadrement | DPA Mollie + agrément PSP par la Banque centrale néerlandaise (DNB) — conforme RGPD + DSP2 |
| Documentation | Politique de confidentialité Mollie |
2. Sendinblue SAS (Brevo)
| Finalité | Envoi d’emails transactionnels (inscription, paiement, notifications) via SMTP relay et API |
| Données traitées | Email destinataire, nom/prénom, contenu de l’email (modèle paramétré côté Promastro) |
| Siège | Paris, France (UE) |
| Hébergement | Union européenne (Allemagne) |
| Encadrement | DPA Brevo conforme RGPD — click tracking désactivé |
| Documentation | Politique de confidentialité Brevo |
3. Anthropic PBC — Transfert États-Unis
| Finalité | Modèle d’IA Claude — modération automatisée des avis et descriptions, recherche en langage naturel, aide à la rédaction de description, traductions FR/NL/EN |
| Données traitées | Texte des avis (modération), requête de recherche (langage naturel), brouillon de description ou texte à traduire (sur consentement explicite du Pro uniquement). Aucune donnée identifiante (email, TVA, GPS, adresse) n’est jamais envoyée à Anthropic |
| Siège | San Francisco, Californie, États-Unis |
| Hébergement | États-Unis (avec usage potentiel d’AWS / GCP — voir DPA Anthropic) |
| Encadrement | DPA Anthropic + Clauses contractuelles types (CCT/SCCs) Module 2 — Commission européenne, version juin 2021. Engagement contractuel d’Anthropic de ne pas utiliser les données pour entraîner ses modèles (clause API standard). Évaluation d’impact du transfert (TIA) Schrems II documentée et disponible sur demande. |
| Mesures supplémentaires | Minimisation des données envoyées, chiffrement TLS de bout en bout, journalisation des appels (audit), rétention limitée à 30 jours côté Anthropic puis suppression |
| Documentation | Politique Anthropic · DPA Anthropic |
4. Horus / Falco SA
| Finalité | Émission de factures électroniques au format PEPPOL / UBL, conformité à la facturation B2B belge 2026 |
| Données traitées | Raison sociale, TVA, adresse de facturation, lignes de facture, montants, méthode et statut du paiement |
| Siège | Belgique (UE) |
| Hébergement | Union européenne |
| Encadrement | DPA Falco conforme RGPD |
| Documentation | falco-app.be |
5. Contabo GmbH
| Finalité | Hébergement du serveur de production : application WordPress, base de données MariaDB, fichiers utilisateurs (photos, KYC chiffrées) |
| Données traitées | Ensemble des données du Site (au sens de l’hébergement passif — pas d’accès logique aux contenus par Contabo) |
| Siège | Munich, Allemagne (UE) |
| Hébergement | Allemagne (UE) — datacenter Nuremberg |
| Encadrement | DPA Contabo conforme RGPD — ISO 27001 (datacenters) |
| Documentation | Data protection Contabo |
6. OpenStreetMap Foundation — Royaume-Uni (adéquation)
| Finalité | Fourniture des fonds de carte (tuiles cartographiques) affichés sur les fiches et géo-pages |
| Données traitées | Adresse IP du visiteur (lors du chargement des tuiles — requête HTTP standard, anonyme), coordonnées de la zone affichée (latitude/longitude) |
| Siège | Cambridge, Royaume-Uni |
| Hébergement | Royaume-Uni + miroirs UE |
| Encadrement | Transfert encadré par la décision d’adéquation Royaume-Uni (décision (UE) 2021/1772 de la Commission) |
| Documentation | Privacy Policy OSMF |
7. Commission européenne — VIES
| Finalité | Vérification automatisée du numéro de TVA intracommunautaire au moment de l’inscription Pro |
| Données traitées | Numéro de TVA (envoyé en clair pour la vérification, jamais stocké en clair côté Promastro), retour : statut de validité + nom de la société |
| Siège | Bruxelles, Belgique (UE) |
| Encadrement | Service public officiel de l’Union européenne — base légale : intérêt légitime (lutte contre la fraude) |
| Documentation | VIES |
Sous-traitants optionnels (selon configuration)
Twilio / Bird — SMS (si activé)
Si vous activez les notifications SMS dans votre compte, le numéro de téléphone et le contenu du message peuvent être traités par Twilio Inc. (États-Unis, sous CCT) ou Bird (Pays-Bas, UE) selon le prestataire retenu par Promastro. La fonctionnalité est désactivée par défaut.
Sous-traitants écartés
Pour information et transparence, Promastro a fait le choix délibéré de ne pas utiliser les services suivants :
- Google Analytics — remplacé par Plausible Analytics (privacy-friendly, sans cookie tiers) ;
- Google Maps — remplacé par OpenStreetMap ;
- Google reCAPTCHA — non utilisé ;
- Facebook Pixel / Meta Ads — non utilisé ;
- DeepSeek (IA chinoise) — formellement exclu (enquête APD belge, données hors UE sans CCT) ;
- OpenAI / ChatGPT — non utilisé (Claude/Anthropic retenu pour ses garanties contractuelles plus strictes sur le non-entraînement des modèles) ;
- Tout courtier en données, tout broker publicitaire, toute régie ad-tech.
Procédure de notification en cas de changement
Tout ajout d’un nouveau sous-traitant non substitutif ou toute modification substantielle de la présente liste (changement de localisation hors UE, nouveau transfert international, changement de finalité) est :
- Publié sur cette page avec mise à jour du numéro de version et de la date ;
- Notifié par email aux utilisateurs concernés au moins 30 jours avant entrée en vigueur ;
- Soumis à votre droit d’opposition : vous pouvez vous opposer au nouveau sous-traitant en écrivant à rgpd@promastro.be. Si l’opposition rend l’exécution du contrat impossible, vous pouvez résilier votre compte sans frais.
Historique des versions
- v1.0 — Publication initiale, 7 sous-traitants actifs.
Contact
Pour toute question relative à un sous-traitant ou pour demander la copie d’un DPA : rgpd@promastro.be.
