Sous-traitants techniques

Railway Corp.

Rôle : hébergement applicatif

Siège : San Francisco, États-Unis

Région d'hébergement utilisée : Amsterdam, Pays-Bas (UE)

Données traitées : ensemble des données du Client transitant par l'application

Garanties : Data Privacy Framework, SCC 2021/914, chiffrement en transit et au repos

DPA : railway.com/legal/dpa

SurrealDB Ltd.

Rôle : base de données

Siège : Londres, Royaume-Uni

Région d'hébergement utilisée : Dublin, Irlande (UE)

Données traitées : données structurées du Client (prospects, contacts, devis, factures)

Garanties : décision d'adéquation UE-Royaume-Uni, chiffrement au repos, isolation par tenant

Cloudflare, Inc.

Rôle : CDN, DNS, protection anti-DDoS, certificats TLS

Siège : San Francisco, États-Unis

Données traitées : métadonnées de connexion (IP, en-têtes HTTP), contenus statiques mis en cache

Garanties : Data Privacy Framework, SCC, configuration européenne prioritaire

DPA : cloudflare.com/cloudflare-customer-dpa

Stripe Payments Europe Ltd

Rôle : traitement des paiements et abonnements

Siège : Dublin, Irlande

Données traitées : identité du payeur, coordonnées bancaires (jamais transmises à MovUP), historique de paiement

Garanties : certification PCI-DSS niveau 1, hébergement UE, SCC pour les transferts intra-groupe

DPA : stripe.com/legal/dpa

Resend, Inc.

Rôle : envoi d'emails transactionnels (vérification compte, factures, notifications)

Siège : San Francisco, États-Unis

Données traitées : adresses email destinataires, contenu des emails transactionnels, métadonnées de délivrabilité

Garanties : Data Privacy Framework, SCC 2021/914, DKIM/SPF/DMARC obligatoires

DPA : resend.com/legal/dpa

Google Ireland Ltd (Google Workspace)

Rôle : messagerie professionnelle MovUP (boîtes contact@, dpo@, etc.)

Siège : Dublin, Irlande

Données traitées : emails entrants et sortants des boîtes administratives MovUP

Garanties : hébergement UE, certification ISO 27001 / 27017 / 27018, SOC 2 type II

DPA : workspace.google.com/terms/dpa_terms

OpenStreetMap Foundation / OSRM

Rôle : fond de carte, calcul d'itinéraires routiers

Siège : Royaume-Uni (fondation à but non lucratif)

Données traitées : coordonnées GPS interrogées, sans identifiant utilisateur

Garanties : données ouvertes, aucune collecte d'identifiants personnels

OpenRouteService (HeiGIT gGmbH)

Rôle : calcul d'itinéraires multimodaux et matrices de distance

Siège : Heidelberg, Allemagne

Données traitées : coordonnées GPS, sans identifiant nominatif

Garanties : sous-traitant UE, soumis directement au RGPD

API Sirene (INSEE)

Rôle : enrichissement de fiches entreprise (raison sociale, adresse, NAF, statut)

Siège : Service public — France

Données traitées : requêtes par SIRET ou raison sociale, sans donnée personnelle

Garanties : service public français, données ouvertes Etalab

API Adresse (BAN — Etalab)

Rôle : géocodage d'adresses françaises

Siège : Service public — France

Données traitées : adresses postales soumises pour géocodage

Garanties : service public français, base ouverte

Open-Meteo

Rôle : données météorologiques affichées dans l'agenda

Siège : Bürglen, Suisse

Données traitées : coordonnées GPS approximatives, sans identifiant

Garanties : décision d'adéquation UE-Suisse

Gandi SAS

Rôle : bureau d'enregistrement du domaine movup.io et SSL associés

Siège : Paris, France

Données traitées : données WHOIS du domaine (Éditeur uniquement, pas de donnée Client)

Garanties : sous-traitant UE, soumis directement au RGPD

ipapi.co (Datatech LLC)

Rôle : géolocalisation IP utilisée uniquement au moment de l'inscription pour récupérer ville et région approximatives

Siège : États-Unis

Données traitées : adresse IP du visiteur soumise lors du signup. L'IP n'est pas stockée au-delà de la requête côté ipapi.co ; côté MovUP nous conservons la géolocalisation approximative dérivée (ville, région, code postal, lat/lng), pas l'IP.

Garanties : Standard Contractual Clauses 2021/914, requête unique au signup, pas de tracking continu