Le présent document énumère tous les sous-traitants ultérieurs auxquels PrivacyBee AG, en sa qualité de sous-traitant, recourt dans le cadre de la fourniture des prestations SaaS PrivacyBee et qui traitent à cette occasion des données à caractère personnel pour le compte des partenaires (clients). L’autorisation des sous-traitants ultérieurs énumérés ci-dessous est accordée lors de la conclusion du contrat de sous-traitance et s’applique à toutes les licences actives et phases d’essai.
- Registre des sous-traitants ultérieurs autorisés
Fournisseur / sous-traitant ultérieur | Siège / emplacement des serveurs | Finalité du traitement | Catégories de données traitées | Personnes concernées | Mécanisme de transfert |
Fournisseurs ayant un siège dans l’UE ou en CH (pas de transfert vers un pays tiers) | |||||
Bexio AG | Siège : Suisse Serveurs : Suisse | Logiciel de comptabilité et de facturation (factures clients, écritures) | Nom, adresse, e-mail, données de facturation, statut de paiement des partenaires | Partenaires / collaborateurs | Siège en CH ; la décision d’adéquation UE–CH s’applique |
Pipedrive OÜ / Pipedrive Inc. | Siège : Estonie (UE) – Pipedrive OÜ ; USA – Pipedrive Inc. Serveurs : UE (AWS Francfort / Irlande) | Système CRM pour la gestion des demandes de partenaires et le processus de vente | Nom, fonction, entreprise, e-mail, téléphone, historique de communication, statut des affaires, notes sur les demandes de partenaires | Personnes de contact de partenaires / clients potentiels et existants | Partie contractante Pipedrive OÜ (siège UE, Estonie) ; hébergement UE (AWS Francfort/Irlande) — pas de transfert vers un pays tiers. |
Fournisseurs américains avec DPF actif (EU–US Data Privacy Framework) | |||||
Microsoft Corporation | Siège : USA Serveurs : UE (Microsoft 365 EU Data Boundary disponible) | Microsoft 365 (Outlook, OneDrive, Teams) en tant qu’espace de travail interne pour l’e-mail, le stockage de fichiers et la communication | Contenu des e-mails, documents OneDrive, entrées de calendrier, comptes utilisateurs, métadonnées de communication | Collaborateurs de PrivacyBee | DPF actif (UE, RU, Suisse) ; EU Data Boundary activable ; CCT dans le DPA CCT : incluses dans le DPA |
Google LLC – Looker Studio / BigQuery | Siège : USA Serveurs : UE | Business Intelligence : Looker Studio pour les tableaux de bord et le reporting internes ; BigQuery pour le traitement et l’analyse de données (statistiques d’utilisation, KPI de la plateforme) | Données d’utilisation de la plateforme (agrégées / pseudonymisées), KPI de campagnes, métriques internes ; aucune donnée personnelle directe | Collaborateurs de PrivacyBee (analyse interne) | DPF actif (UE, RU, Suisse) ; CCT dans le DPA ; relation de sous-traitance (art. 28) CCT : incluses dans le DPA |
Stripe Inc. | Siège : USA Serveurs : UE | Traitement des paiements (redevances de licence, débits par carte de crédit) | Nom, adresse, e-mail, données de paiement (tokenisées), données de transaction | Partenaires / clients | DPF actif (UE, RU, Suisse) CCT : incluses dans le DPA |
Slack Technologies LLC (Salesforce) | Siège : USA Serveurs : USA / UE | Communication et collaboration internes de l’équipe | Contenu des messages, pièces jointes, profils d’utilisateurs, métadonnées | Collaborateurs de PrivacyBee | DPF actif sous la certification Salesforce (UE, RU, Suisse) CCT : incluses dans le DPA |
Heroku Inc. (Salesforce) | Siège : USA Serveurs : UE | Hébergement PaaS de l’application et des services PrivacyBee | Toutes les données du § 2 du contrat de sous-traitance (données de base des clients, données de consentement, identifiants techniques) | Partenaires, clients, visiteurs des sites web des clients finaux | DPF actif sous la certification Salesforce ; région UE recommandée CCT : incluses dans le DPA |
Mailchimp (Intuit / The Rocket Science Group LLC) | Siège : USA Serveurs : USA | Communication par e-mail avec les investisseurs (newsletters, mises à jour, relations investisseurs) | Adresse e-mail, nom, interactions avec les campagnes | Investisseurs et investisseurs potentiels | DPF actif sous la certification Intuit (UE, RU, Suisse) CCT : incluses dans le DPA |
Customer.io Inc. | Siège : USA Serveurs : UE | Envoi automatisé d’e-mails et communication relative au cycle de vie client adressée aux partenaires | Adresse e-mail, nom, comportement d’utilisation dans la plateforme, événements déclencheurs | Partenaires / clients | DPF actif (UE, RU, Suisse) CCT : incluses dans le DPA |
Notion Labs Inc. | Siège : USA Serveurs : USA | Base de connaissances interne, documentation de projet, manuels de processus | Documents internes, noms de projets, données des collaborateurs (noms, rôles) | Collaborateurs de PrivacyBee | DPF actif (UE, RU, Suisse) CCT : incluses dans le DPA |
Freshdesk (Freshworks Inc.) | Siège : USA Serveurs : UE | Système de tickets de support client (support de 1er niveau pour les partenaires) | Nom, e-mail, contenu des tickets, historique de support, pièces jointes | Partenaires / clients | DPF actif (UE, RU, Suisse) CCT : incluses dans le DPA |
Services d’analyse et de marketing soumis au consentement (actifs uniquement après consentement) | |||||
Hotjar Ltd. (Contentsquare) | Siège : Malte (UE) Serveurs : UE (Irlande) | Analyse comportementale des visiteurs sur privacybee.io : cartes de chaleur (heatmaps), enregistrements de session, profondeur de défilement — uniquement après consentement | Adresse IP (anonymisée), mouvements de souris, données de clic, profondeur de défilement, pages vues, cookie Hotjar (_hjSessionUser, _hjSession) | Visiteurs du site web marketing de PrivacyBee (privacybee.io) | Siège UE (Malte) ; serveurs UE (Irlande) — pas de transfert vers un pays tiers. Société mère Contentsquare (FR) également UE. |
Amplitude Inc. | Siège : USA (San Francisco, CA) Serveurs : USA (AWS US-West) | Tests A/B sur privacybee.io : mesure de la performance des variantes, optimisation des conversions — uniquement après consentement ; pose de cookies soumise à ePrivacy | Cookie Amplitude (amplitude_id), identifiant d’appareil, données d’événement anonymisées (variante A/B, clic, conversion) ; aucun nom en clair ni adresse e-mail | Visiteurs du site web marketing de PrivacyBee (privacybee.io) | DPF actif (UE, RU, Suisse) ; CCT dans le DPA DPF : actif CCT : incluses dans le DPA |
Google LLC – Analytics / Ads | Siège : USA Serveurs : USA / monde entier | Google Analytics 4 (GA4) : analyse comportementale des visiteurs sur privacybee.io — uniquement après consentement Google Ads : suivi des conversions et remarketing — uniquement après consentement | ID de cookies (_ga, _gid), ID client, adresse IP (anonymisée), navigateur/SE, appareil Données comportementales : pages visitées, événements, durée de session, source de trafic, événements de conversion | Visiteurs du site web marketing de PrivacyBee (privacybee.io) | DPF : actif CCT : incluses dans le DPA |
Meta Platforms, Inc. / Meta Platforms Ireland Ltd. | Siège : USA (Meta Platforms, Inc.) ; Irlande (Meta Platforms Ireland Ltd.) Serveurs : USA / monde entier | Pixel Facebook sur privacybee.io : suivi des conversions, remarketing, constitution d’audiences — uniquement après consentement | ID de cookies (_fbp, _fbc), adresse IP, empreinte de navigateur, user-agent Données comportementales : pages visitées, événements de clic, événements de conversion Advanced Matching (si activé) : adresse e-mail hachée | Visiteurs du site web marketing de PrivacyBee (privacybee.io) | DPF : actif CCT : pas en premier lieu (responsable conjoint) |
Fournisseurs américains nécessitant un examen renforcé (pas de DPF / statut particulier) | |||||
OpenAI L.L.C. | Siège : USA Serveurs : USA (pas d’hébergement UE) | Génération de textes assistée par IA Extraction et structuration assistées par IA de données de mentions légales (Impressum) à partir de contenus de sites web publics | Nom de l’entreprise (y compris entreprises individuelles), URL du site web, pays, contenu de mentions légales extrait par scraping (nom, adresse, e-mail, téléphone) | Exploitants de sites web en tant que personnes concernées | Pas de DPF. Base du transfert : CCT 2021/914 module 2 via OpenAI DPA v.010126 (signé le 24 mars 2026). TIA-2026-001-OpenAI disponible. DPF : non disponible CCT : conclues (CCT module 2, OpenAI DPA v.010126) TIA : requis – TIA-2026-001-OpenAI disponible |