Sous-traitants et services tiers utilisés¶
Dernière mise à jour : 2026-06-27
CavalManager utilise les sous-traitants suivants pour fournir son service. Tous sont conformes RGPD et nous avons signé un DPA (Data Processing Agreement) ou utilisons leur DPA standard.
Sous-traitants RGPD-impactants¶
| Sous-traitant | Rôle | Données traitées | Localisation | DPA |
|---|---|---|---|---|
| Stripe | Paiement par carte | CB (tokenisée), email, montant, historique paiements | Irlande (UE) | Stripe DPA — accepté |
| Securemail.pro | SMTP transactionnel (emails de notification, factures, alertes) | Email, prénom, contenu transactionnel | France | DPA fournisseur |
| Microsoft Clarity | Heatmaps + session recording (analytics) | Cookies anonymes, interactions UI | USA (DPF) | Clarity DPA — accepté |
| Cloudflare | CDN + DNS + DDoS protection devant la vitrine | IP, headers HTTP, requêtes | USA + edge worldwide | Cloudflare DPA — accepté |
Outils internes (pas de sous-traitance externe)¶
| Outil | Rôle | Localisation |
|---|---|---|
| Proxmox VE 8 | Hyperviseur des VM CavalManager (LAN 192.168.1.0/24) | France (locaux BS CONCEPT) |
| Nginx Proxy Manager | Reverse proxy SSL (Let's Encrypt) | France (192.168.1.117) |
| Restic + BorgBackup | Backups chiffrés 3-2-1 (.45 primary + .150 mirror) | France |
| PostgreSQL 16 | Base de données (1 instance par tenant, isolation totale) | France (192.168.1.41-44) |
| Matomo Analytics | Analytics auto-hébergé (alternative Google Analytics, sans cookies tiers) | France (stats.cavalmanager.fr) |
| GlitchTip | Tracking erreurs (Sentry-compatible self-hosted) | France (errors.cavalmanager.fr) |
| Uptime Kuma | Monitoring uptime des services | France (192.168.1.150) |
| Loki + Grafana | Centralisation et visualisation des logs | France (192.168.1.150) |
Outils utilisés en interne (BS CONCEPT, pas de données client)¶
| Outil | Rôle | Données |
|---|---|---|
| GitHub | Hébergement du code source | Code source uniquement, aucune donnée client |
| Discord | Notifications opérationnelles internes | Alertes techniques, pas de PII client |
| Microsoft 365 | Email opérationnel BS CONCEPT | Emails internes |
Ajout d'un nouveau sous-traitant¶
Avant d'ajouter un nouveau sous-traitant qui traiterait des données personnelles : 1. Vérifier la conformité RGPD (siège UE de préférence, sinon clauses contractuelles types) 2. Signer le DPA 3. Mettre à jour ce document 4. Informer les clients par email + changelog si impact matériel
Audit¶
Cette liste est revue annuellement (1er trimestre de chaque année). Le client peut demander un audit étendu par écrit à contact@cavalmanager.fr.