Sous-traitants ROOMCA
Article 28.2 RGPD · liste actualisée et engagement de notification
Liste des sous-traitants ultérieurs ROOMCA
Article 28.2 du RGPD. Cette page recense tous les sous-traitants ultérieurs auxquels ROOMCA fait appel pour fournir le service. Toute modification significative est notifiée aux clients par email avec un préavis de 30 jours permettant l exercice du droit d objection (article 28.2 RGPD).
Dernière mise à jour : 2026-06-19 Référence : DOC-SUBPROC-01
Hébergement et infrastructure
| Sous-traitant | Service | Localisation | Données traitées | Certifications |
|---|---|---|---|---|
| Scaleway | Hébergement applicatif (VM + base SQLite) | Paris, France (PAR1) | Toutes les données applicatives | ISO 27001:2022, HDS (juillet 2024) |
| Scaleway Object Storage | Sauvegarde continue (Litestream) | Paris, France (PAR1) | Réplique chiffrée AES-256 de la base | ISO 27001:2022, HDS (juillet 2024) |
Communications
| Sous-traitant | Service | Localisation | Données traitées | Certifications |
|---|---|---|---|---|
| Scaleway Transactional Email | Envoi emails transactionnels et campagnes | Paris, France | Adresses email, contenu des messages | ISO 27001:2022 (hors périmètre HDS) |
| Infomaniak | Réception emails @roomca.fr (boîte technique éditeur) | Suisse (décision d'adéquation Commission EU) | Emails entrants ROOMCA uniquement, pas de donnée client | ISO 27001 |
Intelligence artificielle (assistant Roomy)
| Sous-traitant | Service | Localisation | Données traitées | Certifications |
|---|---|---|---|---|
| Scaleway Generative APIs (modèle Mistral) | Inférence de l'assistant Roomy (réponses en langage naturel) | Paris, France | Contenu des messages soumis à Roomy, sans donnée nominative (ni nom, ni score, ni historique individuel) ; données non réutilisées pour entraîner les modèles | ISO 27001:2022 |
Les échanges avec Roomy via Slack et Microsoft Teams (mention, message
direct, slash command /roomy) transitent par cette inférence, au même titre que
l'assistant admin et le coach apprenant. Aucune donnée personnelle n'est envoyée
au modèle : le canal ne dispose d'aucun contexte individuel. À reporter au registre
des traitements du client lorsque le bot est activé pour son organisation.
Monitoring, observabilité et mesure d'audience
| Sous-traitant | Service | Localisation | Données traitées | Certifications |
|---|---|---|---|---|
| GlitchTip (auto-hébergé sur Scaleway) | Monitoring d erreurs applicatives | Paris, France | Stack traces 5xx, scrubbing PII actif | (auto-hébergé) |
| Google (Google Analytics 4) | Mesure d'audience des pages marketing publiques de roomca.fr (jamais sur l'application connectée ni les espaces clients) | États-Unis (Data Privacy Framework UE-US + clauses contractuelles types) | Pages vues, parcours, source de trafic, IP anonymisée. Uniquement après consentement (Consent Mode v2, refus par défaut) ; cookies _ga purgés au retrait | DPF certifié, SCC |
| Matomo (auto-hébergé) | Analytics cookieless — dormant depuis 2026-05-24 (code conservé, inactif) | Paris, France | — (inactif) | RGPD compliant by design |
Certificats TLS
| Sous-traitant | Service | Localisation | Données traitées | Certifications |
|---|---|---|---|---|
| Let s Encrypt (ISRG) | Émission de certificats TLS (via Caddy auto-hébergé) | États-Unis (transfert métadonnée DNS uniquement) | Nom de domaine roomca.fr (public) | DPA standard |
Paiement (à activer au 1er client)
| Sous-traitant | Service | Localisation | Données traitées | Certifications |
|---|---|---|---|---|
| Stripe Payments Europe Ltd | Encaissement, facturation, gestion TVA | Irlande, Union européenne | Données de paiement, montants, factures | PCI DSS niveau 1, SOC 2 |
| Stripe Tax | Calcul automatique de TVA | Union européenne | Adresse de facturation client | (mêmes que Stripe Payments) |
Politique de notification
ROOMCA s engage à :
- Notifier par email tout ajout ou changement de sous-traitant ultérieur significatif au moins 30 jours avant sa mise en œuvre.
- Permettre l opposition : un client peut s opposer à un nouveau sous-traitant par retour d email. Si l opposition rend l exécution du contrat impossible, le client peut résilier sans pénalité avec restitution des données sous 30 jours.
- Maintenir cette page à jour avec un horodatage de dernière modification.
Garanties imposées aux sous-traitants
Pour chaque sous-traitant listé ci-dessus, ROOMCA exige :
- Un accord de sous-traitance (DPA) écrit conforme à l article 28 RGPD.
- Des mesures de sécurité au moins équivalentes à celles que ROOMCA garantit à ses clients.
- L interdiction de transfert hors UE sans garanties appropriées (article 46 RGPD : SCC européennes ou décision d adéquation).
- La notification immédiate de toute violation à ROOMCA, qui répercute sous 24h aux clients concernés.
Contact
Toute question sur cette liste : contact@roomca.fr
Cette page constitue l engagement contractuel de ROOMCA au sens de l article 28.4 du RGPD. Elle est référencée dans l accord de sous-traitance signé avec chaque client.