Corporaly · Légal
Sous-traitants.
Dernière mise à jour : 26 avr. 2026Version 1.0
Cette page liste les prestataires (sous-traitants au sens de l'article 28 du RGPD) qui traitent des données personnelles pour le compte de Corporaly dans le cadre de l'exécution de ses Services. Elle est mise à jour à chaque ajout de sous-traitant. Les Clients actifs sont notifiés par email 30 jours avant l'entrée en relationavec un nouveau sous-traitant ; ils peuvent s'y opposer et résilier leur Abonnement sans frais s'ils ne souhaitent pas voir leurs données traitées par le prestataire concerné.
Liste à jour
| Sous-traitant | Finalité | Pays | Base de transfert | Politique |
|---|---|---|---|---|
| Stripe (Payments Europe Ltd · Stripe, Inc.) | Paiements, lutte contre la fraude, facturation Abonnements. | Irlande (UE) · sous-traitant ultérieur USA | Intra-UE pour Stripe Europe ; DPF + CCT pour Stripe Inc. | Voir |
| Supabase | Base de données Postgres, stockage chiffré des documents (KYC, factures), authentification. | UE — Paris (région eu-west-3) | Hébergement intra-UE | Voir |
| Resend | Envoi d'emails transactionnels (confirmations, alertes). | UE — Irlande | Hébergement intra-UE | Voir |
| Vercel Inc. | Hébergement web, edge network, logs applicatifs. | USA | EU-US Data Privacy Framework + CCT | Voir |
| PostHog | Analytics produit, IP tronquée. Soumis à consentement. | UE — Cloud EU (Francfort) | Hébergement intra-UE | Voir |
| Crisp | Support client (chat, emails entrants, transcripts). | France | Hébergement intra-UE | Voir |
| Cal.com | Prise de rendez-vous (consultations, kickoff). | USA | EU-US Data Privacy Framework + CCT | Voir |
| Sumsub | Vérification d'identité KYC (passeport, justificatif domicile, liveness), screening sanctions et PEP. | UE — Chypre / Estonie | Hébergement intra-UE | Voir |
| Partenaires CPA agréés aux États-Unis | Préparation comptable et fiscale (Form 5472, 1120, états financiers) — uniquement sur demande explicite du Client. | USA (variable selon CPA mandaté) | Contrat ad hoc + CCT le cas échéant. Au cas par cas et nominatif. | Voir |
Ajout d'un sous-traitant — préavis 30 jours
Avant l'entrée en relation effective avec un nouveau sous-traitant, Corporaly notifie ses Clients actifs par email au moins 30 jours à l'avance. Cette notification précise l'identité du sous-traitant, sa finalité, son pays d'établissement et la base de transfert applicable. Le Client peut, dans ce délai, résilier son Abonnement sans frais s'il s'oppose à ce nouvel accès.
Vérification du statut DPF
Le statut EU-US Data Privacy Framework de chaque prestataire américain listé ci-dessus est vérifié périodiquement sur le registre officiel dataprivacyframework.gov/list. En cas de retrait d'un sous-traitant du DPF, Corporaly bascule immédiatement sur les Clauses Contractuelles Types (décision d'exécution UE 2021/914) et procède à une nouvelle évaluation des risques de transferts (Transfer Impact Assessment).
Contact
Pour toute question relative à cette liste ou aux transferts hors UE, contactez le DPO : dpo@corporaly.com.