SoSafe – Liste des sous-traitants
Effectif au 17 avril 2025
SoSafe fait appel aux prestataires tiers suivants (appelées « sous-traitants ») pour traiter les données personnelles au nom de ses clients. Ces sous-traitants opèrent dans le cadre d’accords contractuels avec SoSafe, garantissant le respect des engagements énoncés dans l’Accord de traitement de données à caractère personnel de SoSafe.
Pour maintenir la conformité, SoSafe procède à des examens annuels de ses sous-traitants et exige d’eux qu’ils mettent en œuvre des mesures techniques et organisationnelles appropriées. Ces mesures sont conçues pour protéger le traitement des données personnelles conformément aux lois applicables en matière de protection des données personnelles.
La liste ci-dessous détaille les sous-traitants utilisés pour la fourniture des services de sensibilisation de SoSafe.
Sous-traitants | En option / Par défaut | Adresse | Finalité du traitement | Lieu de stockage des données |
Amazon Web Services EMEA SARL (Amazon Web Services, Inc. en tant que partie contractante des clauses contractuelles types de l’UE) | Par défaut | 38 Avenue John F. Kennedy L-1855, Luxembourg Luxembourg | Hébergement de tous les composants actuels et futurs, indispensables à la fonctionnalité opérationnelle de la Plateforme SoSafe, y compris les interfaces API, les systèmes de stockage de données, les outils d’analyse, l’hébergement du chatbot et des outils IA (en option) et les capacités de communication. Le Sous-traitant a pris les mesures suivantes pour protéger les données : – Stockage de et, dans la mesure de la mise à disposition par AWS à ses clients pour le service en question, traitement de toutes les données du Responsable de traitement dans des centres de données certifiés en Union Européenne. – Chiffrement de toutes les données des Responsables de traitement à l’aide d’une clé maîtresse générée par le Processeur, de sorte que ni AWS ni aucun autre tiers ne puisse accéder aux données des clients, que ce soit à l’intérieur ou à l’extérieur de l’UE / EEE. – Conclusion d’un accord de traitement des données ainsi que la conclusion des clauses contractuelles types de l’UE ((EU) 2021/914, 4.6.2021, module 2 et 3), y compris les nombreuses obligations d’AWS en matière de traitement et de transparence en cas de demandes potentielles des autorités. – Amazon Web Services Inc. est un membre actif du Cadre de protection des données entre l’Union Européenne et les États-Unis (Data Privacy Framework). – Avis d’un expert en protection des données sur l’utilisation d’AWS par le Processeur, qui peut être fourni sur demande. | UE |
Atlassian Pty Ltd. | Par défaut | Level 6, 341 George Street, Sydney, NSW 2000 Australie | Support et interactions clients. (Formulaire de support ou courrier électronique à support@sosafe.de) Le Sous-traitant ne sera utilisé que si le Responsable de traitement utilise le support client du Sous-traitant ou s’il interagit avec le Sous-traitant à des fins opérationnelles relatives aux Services de sensibilisation. – Certificat ISO 27001 accessible ici: https://www.atlassian.com/trust/compliance/resources/iso27001. – Certificat SOC 2 Type II accessible ici: https://www.atlassian.com/trust/compliance/resources/soc2. – Plus de précisions: https://www.atlassian.com/trust et dataprotection@atlassian.com Aperçu des mesures additionnelles implémentées – Stockage et traitement de toutes les données du Responsable de traitement dans les Data Centers situés dans l’Union Européenne (Irlande, Francfort) et, dans l’hypothèse où une solution en Union Européenne ne serait pas disponible (d’après les déclarations d’Atlassian), en Australie. – Chiffrement de toutes les données conformes aux standards en matière chiffrement pendant les transferts et au repos. – Conclusion d’un Accord de Protection de Données à Caractère Personnel, ainsi que les Clauses Contractuelles Types ((EU) 2021/915, 4.6.2021, Modules 2 et 3) – Transfer Impact Assessment (TIA) établi par notre Délégué à la Protection des Données externe. | UE et, dans la mesure où Atlassian ne propose pas de solution réservée à l’UE, l’Australie. |
Planhat AB | Par défaut | Malmskillnadsgatan 13, 111 57 Stockholm Suède | Gestion des comptes clients (Customer Success et Account Management). Ce Sous-traitant n’est utilisé seulement si le Responsable de traitement utilise les fonctions du Sous-traitant destinées aux clients ou si vous interagissez d’une autre manière avec nous dans le cadre de vos Services de sensibilisation. – Certification SOC 2 peut-être demande ici: compliance@planhat.com. – Plus de précisions: https://www.planhat.com/security-statement/ Aperçu des mesures additionnelles implémentées : – Stockage et traitement de toutes les données dans les Data Centers situés dans l’Union Européenne (Irlande) Prestataire d’hébergement: Google Cloud EMEA Limited, certifié ISO 27001. – Chiffrement: — Toutes les données en transit sont chiffrées, en utilisant le Transport Layer Security (TLS / HTTPS). — Les données au repos, transmises par les utlisateurs de Planhat au sein de l’application Planhat sont stockées par AES-256. – Conclusion d’un Accord de Protection de Données à Caractère Personnel | UE |
Datadog Inc. | Par défaut | 620 8th Ave., 45th Fl., New York, NY 10018 USA | Services de surveillance technique pour les applications cloud hybrides par le biais d’une plateforme d’analyse de données basée sur SaaS. – Certificat ISO/IEC 27017:2015 accessible ici: https://trust.datadoghq.com/?itemUid=1fed9faa-4a87-427c-9a95-96b4d6bf66b7&source=documents_card – Certificats SOC 2 Type I et II peuvent être demandés ici: security@datadoghq.com. – Plus de précisions: https://trust.datadoghq.com/ . Aperçu des mesures additionnelles implémentées – Stockage et traitement de toutes les données dans les Data Centers situés dans l’Union Européenne. – Chiffrement: — Les données au repos sont chiffrées par AES 256. — Toutes les données transmises entre Datadog et les utilisateurs de Datadog sont protégées en utilisant Transport Layer Security (TLS) et HTTP Strict Transport Security (HSTS). En cas d’interruption de la communication chiffrée, l’application Datadog est inaccessible. – Conclusion d’un Accord de Protection de Données à Caractère Personnel, ainsi que les Clauses Contractuelles Types ((EU) 2021/914, 4.6.2021) – Datadog, Inc est un membre actif du Cadre de protection des données entre l’Union Européenne et les États-Unis (Data Privacy Framework). | UE |
(Optionnal) Kombo Technologies GmbH | En option | Lohmühlenstraße 65, 12435 Berlin Allemagne | Intégration de l’Active Directory du client. Ce fournisseur n’est requis que dans la mesure où le Responsable de traitement demande l’intégration de l’Active Directory pour le téléchargement automatisé et la mise à jour régulière des données de l’Utilisateur final sur la plateforme du Responsable de traitement. Les mesures suivantes ont été prises : – Toutes les données sont traitées et stockées exclusivement dans l’Union européenne. Fournisseur d’hébergement du serveur : Google Cloud EMEA Limited. – Kombo Technologies GmbH est certifié ISO27001. L’accès peut être demandé ici : https://security.kombo.dev/?itemUid=1fed9faa-4a87-427c-9a95-96b4d6bf66b7&source=click/ . De plus amples informations sur les mesures de sécurité techniques et organisationnelles de Kombo Technologies GmbH sont disponibles sur security.kombo.dev. – Chiffrement — Toutes les données des clients sont chiffrées en utilisant le chiffrement symétrique AES-256 au repos, y compris les copies de sauvegarde. — Données en transit : Tout le trafic sortant (vers les API d’intégration) utilise la version TLS la plus élevée disponible par l’API de l’intégration concernée (par exemple, Google Workspace). Tout le trafic entrant via l’API de Kombo est contraint d’utiliser TLS 1.3. Les connexions des charges de travail des applications de Kombo à la base de données de Kombo utilisent également TLS 1.3 avec un chiffrement AES-256. – Conclusion d’un accord sur le traitement des données. | UE |
(Optionnal) OpenAI Ireland Ltd. (OpenAI OpCo, LLC as the contractual party of the DPA) | En option | 1st Floor, The Liffey Trust Centre 117-126 Sheriff Street Upper Dublin 1, D01 YC43 Irlande | Fournir une sensibilisation et un soutien interactifs et d’autres outils alimentés par l’IA, lorsque le contrôleur le sélectionne. – Certification SOC 2 et SOC 3peut-être demande ici: https://trust.openai.com/; – De plus amples informations sur les mesures de sécurité techniques et organisationnelles d’OpenAI sont disponibles à l’adresse suivante : https://trust.openai.com/ (the “Trust Portal”). Les mesures suivantes ont été prises : – Chiffrement: — OpenAI maintient les meilleures pratiques de l’industrie en matière de chiffrement, notamment : — Chiffrement des données au repos(at rest) dans les banques de données de production à l’aide d’algorithmes de chiffrement puissants ; — Chiffrement des données en transit (in transit); — Chiffrement complet du disque requis sur tous les postes de travail de l’entreprise. – Conclusion d’un accord de traitement des données ainsi que conclusion des clauses contractuelles types de l’UE. | UE et, dans la mesure où une solution de stockage en UE n’est pas disponible : USA |
SoSafe SE agit en tant que sous-traitant ultérieur si le contrat est conclu avec une entité autre que SoSafe SE.
De plus amples informations concernant la protection des données personnelles et les mesures de sécurité sont disponibles sur le SoSafe Trust Center.