Liste des Sous-traitants
Aviş de Traduction
⚠️ AVIS IMPORTANT : Ce document a été traduit du turc. En cas de divergence ou de conflit entre cette traduction et la version originale turque, la version turque prévaudra. La version originale turque est disponible sur : https://evaste.co/tr/legal/sub-processors
1. Introduction
1.1. Objectif
Ce document contient la liste actuelle des sous-traitants tiers utilisés par Evaste pour fournir ses services.
Conformément à l'article 28 du RGPD et au KVKK, nous sommes tenus d'informer nos clients des sous-traitants utilisés pour traiter les données personnelles.
1.2. Définition
Les sous-traitants sont des prestataires de services tiers qui effectuent une partie des activités de traitement des données personnelles pour le compte d'Evaste.
1.3. Portée
Les sous-traitants listés dans ce document :
- Fournissent l'infrastructure de la plateforme Evaste
- Offrent des services de stockage et de traitement de données
- Fournissent des outils de support client et de communication
- Gèrent le traitement des paiements
- Offrent des services d'analyse et de surveillance
2. Politique des Sous-traitants
2.1. Critères de Sélection
Les sous-traitants sont sélectionnés selon les critères suivants :
(a) Certifications de Sécurité
- ISO 27001
- SOC 2 Type II
- PCI DSS (pour les prestataires de paiement)
(b) Conformité en Matière de Protection des Données
- Conformité RGPD
- Conformité KVKK
- Politiques de confidentialité
(c) Compétence Technique
- Fiabilité du service
- Normes de performance
- Scalabilité
2.2. Exigences Contractuelles
Avec tous les sous-traitants, nous avons :
- Accord de Traitement des Données (DPA)
- Clauses Contractuelles Types de l'UE (SCC) le cas échéant
- Engagements de confidentialité et de sécurité
2.3. Surveillance Continue
Les sous-traitants sont régulièrement :
- Contrôlés pour leurs certifications de sécurité
- Évalués pour leur statut de conformité
- Surveillés pour leurs performances
3. Sous-traitants Actuels
Ci-dessous un tableau récapitulatif des sous-traitants utilisés par Evaste.
| Sous-traitant | Catégorie | Localisation | Garantie |
|---|---|---|---|
| AWS | Infrastructure Cloud | USA, UE | DPF, SCC |
| Google Cloud | Infrastructure Cloud | USA, UE | DPF, SCC |
| Cloudflare | CDN, Sécurité | USA, Global | DPF, SCC |
| Stripe | Traitement des Paiements | USA, Irlande | DPF, SCC |
| Intercom | Support Client | USA, Irlande | SCC |
| SendGrid | USA | DPF, SCC | |
| Google Analytics | Analytique | USA, UE | DPF, SCC |
| Sentry | Suivi des Erreurs | USA | SCC |
Descriptions des Garanties :
- DPF : Cadre de Protection des Données UE-USA
- SCC : Clauses Contractuelles Types de l'UE
SERVICES D'INFRASTRUCTURE CLOUD
Amazon Web Services (AWS) : Infrastructure cloud, hébergement serveur, stockage de données. Toutes les données de la plateforme sont stockées de manière chiffrée. Certifié ISO 27001, SOC 2 Type II, PCI DSS.
Google Cloud Platform (GCP) : Infrastructure cloud de sauvegarde, traitement des données. Certifié ISO 27001, SOC 2 Type II.
SERVICES CDN ET SÉCURITÉ
Cloudflare : CDN, protection DDoS, SSL/TLS, sécurité. Adresses IP, en-têtes HTTP, données de trafic traitées. Certifié ISO 27001, SOC 2 Type II.
SERVICES DE TRAITEMENT DES PAIEMENTS
Stripe : Traitement des paiements, facturation. Certifié PCI DSS Niveau 1, SOC 2 Type II. Note : Les numéros de carte de crédit sont traités par Stripe et ne sont pas stockés dans les systèmes Evaste.
SUPPORT CLIENT ET COMMUNICATION
Intercom : Support en direct, communication client, base de connaissances. Nom, email, conversations de support traitées. Certifié SOC 2 Type II.
SERVICES EMAIL
SendGrid (Twilio) : Envoi d'emails transactionnels. Adresses email, contenu des emails, journaux de livraison traités. Certifié SOC 2 Type II, ISO 27001.
SERVICES D'ANALYSE ET DE SURVEILLANCE
Google Analytics (Optionnel) : Analytique web, statistiques d'utilisation. Adresses IP anonymisées. Certifié ISO 27001, SOC 2 Type II.
SUIVI DES ERREURS ET MONITORING
Sentry : Suivi des erreurs, surveillance des performances applicatives. Journaux d'erreurs, stack traces traités (données personnelles minimales). Certifié SOC 2 Type II.
4. Garanties de Transfert de Données
4.1. Transferts Hors de l'EEE
Pour les transferts de données vers les sous-traitants américains, les garanties suivantes s'appliquent :
- Cadre de Protection des Données UE-USA (DPF) : Nombre de nos sous-traitants sont certifiés DPF.
- Clauses Contractuelles Types (SCC) : Les SCC 2021 approuvées par la Commission européenne ont été signées avec tous les sous-traitants.
- Mesures Techniques Supplémentaires : Chiffrement des données (en transit et au repos), Pseudonymisation (si possible), Contrôle d'accès et surveillance
4.2. Évaluation d'Impact du Transfert (TIA)
Une évaluation d'impact du transfert a été réalisée pour chaque sous-traitant :
- Évaluation de la législation du pays de destination
- Analyse des risques d'accès gouvernemental
- Évaluation de l'adéquation des mesures supplémentaires
Les résultats de la TIA sont disponibles sur demande.
4.3. Option de Localisation des Données
Pour les clients entreprise :
- Option de stockage des données dans la région UE
- Option de stockage des données en Turquie (sur demande)
5. Notification de Changement
5.1. Ajout de Nouveaux Sous-traitants
Avant d'ajouter un nouveau sous-traitant :
- Notification par email au moins 30 jours à l'avance
- Liste mise à jour publiée sur le site web
- Clients DPA notifiés séparément
5.2. Contenu de la Notification
Les notifications de nouveaux sous-traitants incluent :
- Nom et localisation du sous-traitant
- Finalité du traitement
- Types de données à traiter
- Garanties appliquées
5.3. Suivi des Mises à Jour
Pour suivre les mises à jour de cette liste :
- Abonnement email : subprocessors@evaste.co
- Page web : https://evaste.co/legal-center/sub-processors
- Flux RSS : https://evaste.co/legal-center/sub-processors/feed
6. Procédure d'Opposition
6.1. Droit d'Opposition
Les clients ayant signé un Accord de Traitement des Données (DPA) peuvent s'opposer à l'utilisation de nouveaux sous-traitants.
6.2. Processus d'Opposition
- L'opposition doit être faite par écrit dans les 15 jours suivant la notification
- L'opposition doit contenir des motifs raisonnables et spécifiques
- L'opposition doit être envoyée à : dpa@evaste.co
6.3. Évaluation de l'Opposition
- Evaste évaluera les oppositions dans les 10 jours ouvrables
- Des négociations de bonne foi seront menées avec le Client
- Des solutions alternatives seront explorées
6.4. Échec de Résolution
Si les parties ne peuvent parvenir à un accord :
- Le Client a le droit de résilier le DPA
- Le service continue jusqu'à la fin de la période d'abonnement en cours
- Les procédures de restitution/suppression des données s'appliquent
7. Informations de Contact
Pour toute question concernant les sous-traitants :
Evaste (Group Taiga) Adresse : Levent, Istanbul, Turquie
Demandes Générales : info@evaste.co Notifications Sous-traitants : subprocessors@evaste.co Protection des Données : dpa@evaste.co
Web : https://evaste.co/legal-center/sub-processors Téléphone : +90 532 494 42 64
Cette Liste des Sous-traitants a été mise à jour le 12 janvier 2026.
Cette liste est publiée pour remplir nos obligations de notification en vertu de l'article 28/2 du RGPD et de notre Accord de Traitement des Données.
Liste des Sous-traitants
Aviş de Traduction
⚠️ AVIS IMPORTANT : Ce document a été traduit du turc. En cas de divergence ou de conflit entre cette traduction et la version originale turque, la version turque prévaudra. La version originale turque est disponible sur : https://evaste.co/tr/legal/sub-processors
1. Introduction
1.1. Objectif
Ce document contient la liste actuelle des sous-traitants tiers utilisés par Evaste pour fournir ses services.
Conformément à l'article 28 du RGPD et au KVKK, nous sommes tenus d'informer nos clients des sous-traitants utilisés pour traiter les données personnelles.
1.2. Définition
Les sous-traitants sont des prestataires de services tiers qui effectuent une partie des activités de traitement des données personnelles pour le compte d'Evaste.
1.3. Portée
Les sous-traitants listés dans ce document :
- Fournissent l'infrastructure de la plateforme Evaste
- Offrent des services de stockage et de traitement de données
- Fournissent des outils de support client et de communication
- Gèrent le traitement des paiements
- Offrent des services d'analyse et de surveillance
2. Politique des Sous-traitants
2.1. Critères de Sélection
Les sous-traitants sont sélectionnés selon les critères suivants :
(a) Certifications de Sécurité
- ISO 27001
- SOC 2 Type II
- PCI DSS (pour les prestataires de paiement)
(b) Conformité en Matière de Protection des Données
- Conformité RGPD
- Conformité KVKK
- Politiques de confidentialité
(c) Compétence Technique
- Fiabilité du service
- Normes de performance
- Scalabilité
2.2. Exigences Contractuelles
Avec tous les sous-traitants, nous avons :
- Accord de Traitement des Données (DPA)
- Clauses Contractuelles Types de l'UE (SCC) le cas échéant
- Engagements de confidentialité et de sécurité
2.3. Surveillance Continue
Les sous-traitants sont régulièrement :
- Contrôlés pour leurs certifications de sécurité
- Évalués pour leur statut de conformité
- Surveillés pour leurs performances
3. Sous-traitants Actuels
Ci-dessous un tableau récapitulatif des sous-traitants utilisés par Evaste.
| Sous-traitant | Catégorie | Localisation | Garantie |
|---|---|---|---|
| AWS | Infrastructure Cloud | USA, UE | DPF, SCC |
| Google Cloud | Infrastructure Cloud | USA, UE | DPF, SCC |
| Cloudflare | CDN, Sécurité | USA, Global | DPF, SCC |
| Stripe | Traitement des Paiements | USA, Irlande | DPF, SCC |
| Intercom | Support Client | USA, Irlande | SCC |
| SendGrid | USA | DPF, SCC | |
| Google Analytics | Analytique | USA, UE | DPF, SCC |
| Sentry | Suivi des Erreurs | USA | SCC |
Descriptions des Garanties :
- DPF : Cadre de Protection des Données UE-USA
- SCC : Clauses Contractuelles Types de l'UE
SERVICES D'INFRASTRUCTURE CLOUD
Amazon Web Services (AWS) : Infrastructure cloud, hébergement serveur, stockage de données. Toutes les données de la plateforme sont stockées de manière chiffrée. Certifié ISO 27001, SOC 2 Type II, PCI DSS.
Google Cloud Platform (GCP) : Infrastructure cloud de sauvegarde, traitement des données. Certifié ISO 27001, SOC 2 Type II.
SERVICES CDN ET SÉCURITÉ
Cloudflare : CDN, protection DDoS, SSL/TLS, sécurité. Adresses IP, en-têtes HTTP, données de trafic traitées. Certifié ISO 27001, SOC 2 Type II.
SERVICES DE TRAITEMENT DES PAIEMENTS
Stripe : Traitement des paiements, facturation. Certifié PCI DSS Niveau 1, SOC 2 Type II. Note : Les numéros de carte de crédit sont traités par Stripe et ne sont pas stockés dans les systèmes Evaste.
SUPPORT CLIENT ET COMMUNICATION
Intercom : Support en direct, communication client, base de connaissances. Nom, email, conversations de support traitées. Certifié SOC 2 Type II.
SERVICES EMAIL
SendGrid (Twilio) : Envoi d'emails transactionnels. Adresses email, contenu des emails, journaux de livraison traités. Certifié SOC 2 Type II, ISO 27001.
SERVICES D'ANALYSE ET DE SURVEILLANCE
Google Analytics (Optionnel) : Analytique web, statistiques d'utilisation. Adresses IP anonymisées. Certifié ISO 27001, SOC 2 Type II.
SUIVI DES ERREURS ET MONITORING
Sentry : Suivi des erreurs, surveillance des performances applicatives. Journaux d'erreurs, stack traces traités (données personnelles minimales). Certifié SOC 2 Type II.
4. Garanties de Transfert de Données
4.1. Transferts Hors de l'EEE
Pour les transferts de données vers les sous-traitants américains, les garanties suivantes s'appliquent :
- Cadre de Protection des Données UE-USA (DPF) : Nombre de nos sous-traitants sont certifiés DPF.
- Clauses Contractuelles Types (SCC) : Les SCC 2021 approuvées par la Commission européenne ont été signées avec tous les sous-traitants.
- Mesures Techniques Supplémentaires : Chiffrement des données (en transit et au repos), Pseudonymisation (si possible), Contrôle d'accès et surveillance
4.2. Évaluation d'Impact du Transfert (TIA)
Une évaluation d'impact du transfert a été réalisée pour chaque sous-traitant :
- Évaluation de la législation du pays de destination
- Analyse des risques d'accès gouvernemental
- Évaluation de l'adéquation des mesures supplémentaires
Les résultats de la TIA sont disponibles sur demande.
4.3. Option de Localisation des Données
Pour les clients entreprise :
- Option de stockage des données dans la région UE
- Option de stockage des données en Turquie (sur demande)
5. Notification de Changement
5.1. Ajout de Nouveaux Sous-traitants
Avant d'ajouter un nouveau sous-traitant :
- Notification par email au moins 30 jours à l'avance
- Liste mise à jour publiée sur le site web
- Clients DPA notifiés séparément
5.2. Contenu de la Notification
Les notifications de nouveaux sous-traitants incluent :
- Nom et localisation du sous-traitant
- Finalité du traitement
- Types de données à traiter
- Garanties appliquées
5.3. Suivi des Mises à Jour
Pour suivre les mises à jour de cette liste :
- Abonnement email : subprocessors@evaste.co
- Page web : https://evaste.co/legal-center/sub-processors
- Flux RSS : https://evaste.co/legal-center/sub-processors/feed
6. Procédure d'Opposition
6.1. Droit d'Opposition
Les clients ayant signé un Accord de Traitement des Données (DPA) peuvent s'opposer à l'utilisation de nouveaux sous-traitants.
6.2. Processus d'Opposition
- L'opposition doit être faite par écrit dans les 15 jours suivant la notification
- L'opposition doit contenir des motifs raisonnables et spécifiques
- L'opposition doit être envoyée à : dpa@evaste.co
6.3. Évaluation de l'Opposition
- Evaste évaluera les oppositions dans les 10 jours ouvrables
- Des négociations de bonne foi seront menées avec le Client
- Des solutions alternatives seront explorées
6.4. Échec de Résolution
Si les parties ne peuvent parvenir à un accord :
- Le Client a le droit de résilier le DPA
- Le service continue jusqu'à la fin de la période d'abonnement en cours
- Les procédures de restitution/suppression des données s'appliquent
7. Informations de Contact
Pour toute question concernant les sous-traitants :
Evaste (Group Taiga) Adresse : Levent, Istanbul, Turquie
Demandes Générales : info@evaste.co Notifications Sous-traitants : subprocessors@evaste.co Protection des Données : dpa@evaste.co
Web : https://evaste.co/legal-center/sub-processors Téléphone : +90 532 494 42 64
Cette Liste des Sous-traitants a été mise à jour le 12 janvier 2026.
Cette liste est publiée pour remplir nos obligations de notification en vertu de l'article 28/2 du RGPD et de notre Accord de Traitement des Données.