RGPD et sous-traitants
Notre engagement en matière de protection des données et les partenaires avec lesquels nous travaillons.
Le Règlement général sur la protection des données (RGPD / DSGVO) est la législation la plus stricte au monde en matière de vie privée et de sécurité. Il impose des obligations aux organisations partout dans le monde, dès lors qu'elles ciblent ou collectent des données relatives à des personnes situées dans l'Union européenne. Le règlement a été adopté par le Parlement européen en avril 2016 et est entré en vigueur le 25 mai 2018.
Hook0 fait appel à certains sous-traitants ultérieurs pour fournir les Services applicatifs à ses clients, dans les conditions décrites par le contrat-cadre de services ou les conditions d'utilisation publiées à l'adresse conditions d'utilisation ou à toute autre adresse à laquelle ces conditions seraient publiées ultérieurement (le « Contrat »). Les termes définis dans le présent document ont la signification qui leur est donnée dans le Contrat.
Qu'est-ce qu'une donnée à caractère personnel ?
Le RGPD porte une attention particulière à la protection des données à caractère personnel des personnes physiques. Une donnée à caractère personnel (art. 4 RGPD) désigne toute information permettant d'identifier une personne, directement ou indirectement. Il peut s'agir, par exemple, d'un nom, d'une adresse e-mail, d'un numéro de carte bancaire ou de documents contenant des informations personnelles.
Comment nous traitons les données à caractère personnel
Lorsque vous consultez nos sites ou utilisez nos services, nous sommes amenés à traiter vos données à caractère personnel sous une forme ou une autre. Vous trouverez toutes les informations utiles sur les données traitées, les bases légales applicables et vos droits dans notre politique de confidentialité.
Sous-traitants et leurs rôles
Un sous-traitant ultérieur est un tiers traitant de données engagé par Hook0, y compris une entité du groupe Hook0, qui a ou pourrait avoir accès au Contenu Client (lequel peut contenir des données à caractère personnel) ou le traiter. Hook0 fait appel à différents types de sous-traitants ultérieurs pour les fonctions détaillées dans les tableaux ci-dessous.
Conformément aux articles 28(2) et 28(4) du RGPD, vous accordez à Hook0 une autorisation écrite générale pour recourir aux sous-traitants listés ci-dessous. Nous vous informerons de tout changement envisagé de cette liste, y compris l'ajout ou le remplacement d'un sous-traitant, en vous laissant un délai raisonnable pour formuler une objection avant la prise d'effet du changement.
Infrastructure
Nous utilisons les sous-traitants suivants pour notre environnement d'infrastructure cloud et le stockage du Contenu Client :
| Sous-traitant | Pays de traitement | Finalité | Mécanisme de transfert |
|---|---|---|---|
| Clever Cloud SAS |
|
Base de données clients, API et application web Hook0 | Traitement UE (aucun transfert hors EEE) |
| Cloudflare, Inc. (101 Townsend St, San Francisco, CA 94107) | USA | DNS et protection anti-DDoS | SCC 2021 + TIA ; EU-US DPF (Cloudflare est certifié DPF) |
Traitement du Contenu Client
Hook0 fait appel à plusieurs sous-traitants pour superviser, maintenir et accompagner les Services applicatifs. Ces sous-traitants peuvent, sans que cela soit systématique, avoir accès au Contenu Client :
| Sous-traitant | Pays | Finalité | Mécanisme de transfert |
|---|---|---|---|
| Clever Cloud SAS |
|
Workers qui appellent les endpoints d'abonnement aux webhooks | Traitement UE (aucun transfert hors EEE) |
| Scaleway SAS |
|
Workers dédiés privés qui appellent les endpoints d'abonnement aux webhooks (uniquement pour les clients concernés) | Traitement UE (aucun transfert hors EEE) |
| Stripe Inc. | USA | Gestion des abonnements clients Hook0 | SCC 2021 + TIA ; EU-US DPF (Stripe est certifié DPF) |
| Brevo |
|
Envoi d'e-mails transactionnels | Traitement UE (aucun transfert hors EEE) |
| Postmark | USA | Envoi d'e-mails transactionnels | SCC 2021 + TIA |
| BetterUptime |
|
Supervision de disponibilité, page de statut et gestion des astreintes | Traitement UE (aucun transfert hors EEE) |
| Sentry | USA | Suivi des erreurs | SCC 2021 + TIA |
| Crisp |
|
Gestion de la relation client | Traitement UE (aucun transfert hors EEE) |
| Gmail (Google Workspace) | USA | Boîte mail de support | SCC 2021 + TIA ; EU-US DPF (Google LLC est certifié DPF) |
* La liste des sous-traitants ci-dessus s'applique à tout nouveau client Hook0 à compter de la date indiquée en haut de cette page, ainsi qu'aux clients existants qui n'ont pas reçu de notification mentionnant une autre date d'effet.
Vous gardez la main
Hook0 est un SaaS français conçu pour la conformité au RGPD. Nous nous appuyons sur une infrastructure et des partenaires sélectionnés pour la confidentialité, l'intégrité et la disponibilité de vos données. Si vous préférez ne pas vous reposer uniquement sur nos mesures ou sur celles de nos sous-traitants, vous pouvez continuer à bénéficier de nos services de support sans avoir à divulguer vos données de production.
Propriété et gestion des données
Le plan de données des charges utiles de vos webhooks (workers Clever Cloud et, en option, workers dédiés Scaleway) est exploité dans l'UE et le contenu de vos webhooks n'est pas transféré hors EEE pour leur livraison. Les sauvegardes sont stockées dans des centres de données français. Les services accessoires comme la facturation (Stripe), le suivi des erreurs (Sentry), la solution de secours d'envoi d'e-mails (Postmark), la boîte mail de support (Gmail) et la couche CDN / protection anti-DDoS (Cloudflare) impliquent en revanche des transferts vers les États-Unis, encadrés par les Clauses Contractuelles Types 2021 (SCC 2021) et une analyse d'impact des transferts (TIA) documentée, ainsi que, le cas échéant, par le EU-US Data Privacy Framework. L'ensemble du personnel et des consultants Hook0 susceptibles d'accéder à votre déploiement est établi dans l'UE.
Concernant votre propre base d'utilisateurs, il vous appartient de mettre en place les procédures nécessaires pour respecter le RGPD et de déclarer les transferts de données que vous gérez de manière autonome. Dans ce cas, Hook0 agit en qualité de sous-traitant ultérieur et notre DPA (Data Processing Agreement) précise notre périmètre.