1. Principe
MIBsoft recourt à des sous-traitants ultérieurs (« sub-processors ») pour la fourniture de son service. Ces sous-traitants sont sélectionnés pour leur fiabilité, leur conformité réglementaire et leur capacité à offrir des garanties techniques et organisationnelles appropriées au sens de l'article 28 du RGPD.
2. Tableau des sous-traitants
| Sous-traitant | Pays / Localisation des données | Catégorie de données | Finalité | Garanties RGPD |
|---|---|---|---|---|
| Supabase Inc. | Siège : Singapour Serveurs : Frankfurt (DE, UE) AWS eu-central-1 |
Toutes données utilisateurs (identité, scores, sessions) | Hébergement base de données PostgreSQL, authentification, stockage de fichiers | DPA Supabase signé SCC Chiffrement TLS / AES-256 |
| Vercel Inc. | USA (siège) Edge Network mondial avec POPs UE |
Logs techniques, métadonnées HTTP (IP, user-agent) | Hébergement frontend, CDN, Edge Functions | DPA Vercel signé SCC Adhésion EU-US DPF |
| Stripe Payments Europe Ltd | Irlande (UE) Traitement principal en UE |
Données de paiement (CB), informations facturation | Traitement des paiements CB, lutte anti-fraude | Conformité PCI-DSS niveau 1 DPA Stripe Pas de transfert sortant pour la zone EU |
| Resend (Resend, Inc.) | USA | Email destinataire, contenu transactionnel, métadonnées d'envoi | Envoi d'emails transactionnels (inscription, mot de passe, factures) | DPA Resend SCC Chiffrement TLS |
| GitHub Inc. (Microsoft) | USA (avec data residency UE possible) | Code source uniquement — pas de données clients | Hébergement du code source, gestion des versions | DPA GitHub / Microsoft SCC EU-US DPF ISO 27001 |
| Google LLC (Google Fonts) | USA | Adresse IP transitoire lors du chargement de la police (pas de cookie) | Service de polices typographiques web | SCC EU-US DPF Polices auto-hébergeables si exigence client |
| Cloudflare, Inc. (via Vercel) | USA POPs UE |
Métadonnées de trafic, IP source | Protection DDoS, WAF (par le biais de Vercel) | SCC EU-US DPF |
3. Notification de changement
Conformément au DPA et au RGPD, MIBsoft s'engage à :
- Informer les Clients de tout ajout, remplacement ou suppression de sous-traitant ultérieur avec un préavis d'au moins 30 jours avant entrée en vigueur ;
- Procéder à cette information par :
- Mise à jour de la présente page (avec changelog au bas de page) ;
- Email à l'administrateur de chaque compte centre actif ;
- Imposer aux nouveaux sous-traitants les mêmes obligations contractuelles RGPD que celles décrites dans le DPA.
4. Droit d'opposition du Client
Le Client (centre de formation, responsable de traitement) peut s'opposer à l'introduction ou au remplacement d'un sous-traitant ultérieur en notifiant son opposition motivée à dpo@mibsoft.fr dans le délai de préavis de 30 jours.
Si l'opposition est fondée et qu'aucune solution alternative ne peut être mise en place, chaque partie disposera de la faculté de résilier le contrat sans pénalité ni indemnité. Aucune absence de réponse dans le délai ne vaut acceptation tacite.
5. Justificatifs et DPA des fournisseurs
Les DPA et engagements de sous-traitance des principaux fournisseurs sont publiquement consultables :
- Supabase : supabase.com/legal/dpa
- Vercel : vercel.com/legal/dpa
- Stripe : stripe.com/legal/dpa
- Resend : resend.com/legal/dpa
- GitHub : github.com/customer-terms
- Google : privacy.google.com/businesses/processorterms
6. Historique des modifications
| Date | Modification |
|---|---|
| Mai 2026 | Création initiale de la liste (v1.0) |
Pour toute interrogation sur nos sous-traitants ou sur le traitement de vos données, contactez notre référent RGPD : dpo@mibsoft.fr.