Liste des sous-traitants ultérieurs — Garante
Conformément à l'article 28(2) du RGPD — Version 1.3 — Mai 2026
Télécharger le PDF| Sous-traitant principal | Ahmed Bellafkih, exerçant sous le nom commercial Garante |
| SIREN | 988 920 617 |
| Siège social | 50 avenue des Champs-Élysées, 75008 Paris |
| DPO | dpo@garante.fr |
| Date de création | Juillet 2025 |
| Dernière mise à jour | 5 mai 2026 |
| Version | 1.3 |
1. Objet
Le présent document constitue la liste des sous-traitants ultérieurs auxquels Garante fait appel dans le cadre de l'exécution des prestations de traitement de données à caractère personnel pour le compte de ses clients (responsables de traitement).
Ce document est une annexe au contrat de sous-traitance (DPA)entre Garante et les cabinets DPO clients, conformément à l'article 28(2) et (4) du RGPD.
2. Cadre juridique
Article 28(2) — Autorisation
Garante opère sous le régime de l'autorisation générale: le responsable de traitement autorise le recours à des sous-traitants ultérieurs sous réserve d'être informé préalablement de tout changement (ajout ou remplacement) et de pouvoir émettre des objections.
Article 28(4) — Mêmes obligations
Chaque sous-traitant ultérieur est lié par les mêmes obligations de protection des données que celles imposées à Garante par le DPA. En cas de non-respect par un sous-traitant ultérieur, Garante reste pleinement responsable vis-à-vis du responsable de traitement.
3. Procédure de gestion des changements
3.1 Information préalable
Avant tout ajout ou remplacement d'un sous-traitant ultérieur, Garante informe le responsable de traitement par :
- Email au DPO du cabinet (adresse enregistrée dans la plateforme)
- Notification in-app dans la plateforme Garante
3.2 Délai d'opposition
Le responsable de traitement dispose d'un délai de 30 joursà compter de la réception de l'information pour émettre une objection motivée.
3.3 Conséquence de l'opposition
Si le responsable de traitement s'oppose au recours au nouveau sous-traitant ultérieur, Garante :
- Ne recourt pas au sous-traitant ultérieur concerné pour le traitement des données du RT
- Propose, si possible, une solution alternative
- En l'absence de solution alternative acceptable, chaque partie peut résilier le contrat dans les conditions prévues aux CGUV
3.4 Absence d'opposition
L'absence d'opposition dans le délai de 30 jours vaut acceptation tacite du nouveau sous-traitant ultérieur.
4. Liste des sous-traitants ultérieurs actuels
| Sous-traitant | Service | Localisation | Données traitées | Transfert hors UE | DPA | Certifications |
|---|---|---|---|---|---|---|
| Mistral AI SAS | IA / LLM | France (Paris) | Données DSAR (prompt + contexte) | Non (France) | Signé | ZDR active |
| Hetzner Online GmbH | Hébergement serveur | Allemagne (Gunzenhausen) | Toutes les données | Non (Allemagne, UE) | Signé | ISO 27001, SOC 1/2 Type II |
| Brevo (Sendinblue SAS) | Emails transactionnels | France (Paris) | Email destinataire, sujet, contenu | Non (France) | Signé | — |
| bunny.net d.o.o. | CDN / DNS / WAF | Slovénie (Ljubljana) | Adresse IP, user-agent, requêtes HTTP | Non (Slovénie, UE) | Signé | Bunny Shield WAF |
| Stripe Payments Europe Ltd. | Traitement paiements abonnement | Irlande (Dublin) — maison mère USA | Email facturation, raison sociale, montant (données carte stockées chez Stripe, jamais Garante) | Oui (USA via SCC + DPF) | Signé (DPA Stripe + SCC) | PCI DSS Level 1, ISO 27001, SOC 1/2 |
| Scaleway SAS (Transactional Email — TEM) | Envoi d'emails de prospection | France (Paris) | Email destinataire, sujet, contenu, logs d'envoi | Non (France, UE) | Signé (CGU Scaleway + DPA) | ISO 27001, ISO 27017, ISO 27018, HDS, SecNumCloud |
Note : Stripe traite uniquement les données de facturation des cabinets clients (abonnement Garante). Aucune donnée DSAR, registre, AIPD ou autre donnée métier ne transite par Stripe. Les données carte bancaire sont stockées exclusivement chez Stripe (PCI DSS Level 1), Garante n'y a jamais accès. Activation : à compter de la signature du premier client payant.
Note Scaleway TEM : utilisation transitoire pour la phase de prospection commerciale initiale. Aucune donnée DSAR ni donnée métier des cabinets clients n'y transite — uniquement les emails de prospects identifiés via le registre public CNIL des DPO et LinkedIn. Sera retiré de la présente liste dès l'arrêt complet de l'envoi de prospection (à l'issue du cycle initial).
5. Fiches détaillées par sous-traitant
5.1 Mistral AI SAS
| Raison sociale | Mistral AI SAS |
| SIREN | 952 418 325 |
| Siège social | Paris, France |
| Contact DPO | privacy@mistral.ai |
| Service fourni | Intelligence artificielle — analyse DSAR, détection de données de tiers à anonymiser, rédaction de brouillons de réponse, génération de fiches de registre, analyse de DPA |
| Modèle utilisé | mistral-large-latest |
| Données traitées | Prompt système + données DSAR contextuelles (uniquement les données nécessaires au traitement) |
| Finalité | Assistance au DPO pour le traitement des demandes — aide à la décision (pas de décision automatisée) |
| Localisation du traitement | France (serveurs Mistral AI) |
| Transfert hors UE | AUCUN |
| DPA | Signé (CGU Mistral AI + DPA) |
| Zero Data Retention (ZDR) | Active — les données ne sont pas conservées après traitement et ne sont pas utilisées pour l'entraînement du modèle |
| Audit | Chaque appel logué dans ai_audit_log (fonction, prompt résumé, latence, tokens) |
| TIA Schrems II | Voir l'analyse d'impact des transferts — revue annuelle |
5.2 Hetzner Online GmbH
| Raison sociale | Hetzner Online GmbH |
| Siège social | Industriestr. 25, 91710 Gunzenhausen, Allemagne |
| Contact DPO | privacy@hetzner.com |
| Service fourni | Hébergement sur serveur dédié — infrastructure complète de la plateforme Garante |
| Données hébergées | Toutes les données de la plateforme (PostgreSQL, MinIO, Redis, logs) |
| Finalité | Fourniture de l'infrastructure d'hébergement |
| Localisation du traitement | Allemagne (Union européenne) |
| Transfert hors UE | AUCUN |
| DPA | Signé (Contrat d'hébergement Hetzner + DPA Hetzner) |
| Certifications | ISO 27001, SOC 1 Type II, SOC 2 Type II |
| Chiffrement | TLS en transit (nginx), SSE MinIO au repos (AES-256-GCM) |
5.3 Brevo (Sendinblue SAS)
| Raison sociale | Sendinblue SAS (marque commerciale : Brevo) |
| Siège social | Paris, France |
| Contact DPO | dpo@brevo.com |
| Service fourni | Envoi d'emails transactionnels (accusés de réception DSAR, codes OTP, notifications, alertes SLA, réponses DSAR) |
| Données traitées | Adresse email du destinataire, sujet de l'email, contenu de l'email |
| Finalité | Acheminement des emails transactionnels liés au fonctionnement du service |
| Mode d'utilisation | Garante par défaut (notifications@garante.fr), fallback si le SMTP personnalisé du cabinet échoue |
| Localisation du traitement | France |
| Transfert hors UE | AUCUN |
| DPA | Signé (CGU Brevo + DPA Brevo) |
5.4 bunny.net d.o.o.
| Raison sociale | bunny.net d.o.o. |
| Siège social | Ljubljana, Slovénie |
| Contact DPO | legal@bunny.net |
| Service fourni | CDN (Content Delivery Network), DNS autoritaire et WAF (Web Application Firewall) — accélération, résolution DNS et protection du site garante.fr |
| Données traitées | Adresse IP source, user-agent, URL demandée, en-têtes HTTP, horodatage |
| Finalité | Accélération de la livraison de contenu, protection contre les attaques DDoS et les menaces web, résolution DNS |
| Localisation du traitement | Union européenne (PoPs européens, siège Slovénie) |
| Transfert hors UE | AUCUN — configuration EU-only activée |
| DPA | Signé (CGU bunny.net + DPA bunny.net) |
| Choix de bunny.net | Entreprise européenne (Slovénie, UE) privilégiée pour éviter les risques liés au Cloud Act américain |
5.5 Stripe Payments Europe Ltd.
| Raison sociale | Stripe Payments Europe Ltd. (filiale UE de Stripe Inc.) |
| Siège social | 1 Grand Canal Street Lower, Dublin 2, Irlande |
| Maison mère | Stripe Inc. (San Francisco, USA) |
| Contact privacy | privacy@stripe.com |
| Service fourni | Traitement des paiements d'abonnement (cartes bancaires, SEPA) pour la facturation Garante des cabinets clients |
| Données traitées | Email facturation, raison sociale du cabinet, montant et fréquence d'abonnement. Les données carte bancaire sont collectées et stockées exclusivement chez Stripe (PCI DSS Level 1). Garante n'y a jamais accès. |
| Données NON traitées | Aucune donnée DSAR, aucune donnée de registre, aucune donnée AIPD ou autre donnée métier ne transite par Stripe |
| Localisation du traitement | Irlande (siège opérationnel UE) — réplication aux USA pour redondance |
| Transfert hors UE | Oui — encadré par les Clauses Contractuelles Types (SCC) de la Commission européenne et la certification Data Privacy Framework (DPF) |
| DPA | Signé (Stripe Data Processing Agreement standard + SCC) |
| Certifications | PCI DSS Level 1, ISO 27001, SOC 1 Type II, SOC 2 Type II |
| Justification du choix | Standard de l'industrie pour le SaaS B2B avec abonnements récurrents. Alternatives EU pures (Mollie, Lemonway) évaluées mais moins matures sur la gestion des abonnements et la conformité PCI Level 1. |
| Activation | À compter de la signature du premier client payant — non activé en l'état actuel (early-stage, aucun client facturé) |
5.6 Scaleway SAS (Transactional Email — TEM)
| Raison sociale | Scaleway SAS |
| Siège social | 8 rue de la Ville l'Évêque, 75008 Paris, France |
| Contact privacy | privacy@scaleway.com |
| Service fourni | Envoi d'emails de prospection commerciale (cold emails) vers les délégués à la protection des données identifiés via le registre public CNIL des DPO désignés et LinkedIn |
| Données traitées | Email destinataire, sujet, contenu textuel du message, logs d'envoi (statut, ouverture, clic) |
| Données NON traitées | Aucune donnée DSAR, aucune donnée de registre, aucune donnée métier des cabinets clients ne transite par Scaleway TEM. Service exclusivement utilisé pour la prospection commerciale interne de Garante. |
| Finalité | Acheminement des emails de prospection commerciale B2B (intérêt légitime, art. 6.1.f RGPD) |
| Localisation du traitement | France (Paris) |
| Transfert hors UE | AUCUN |
| DPA | Signé (CGU Scaleway + DPA standard) |
| Certifications | ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018, HDS, SecNumCloud (Scaleway, infrastructure) |
| Justification du choix | Acteur 100% français avec infrastructure souveraine (datacenters Paris et Amsterdam), certifications de premier rang (SecNumCloud notamment), pas de Cloud Act US. Préféré aux acteurs US (SendGrid, Mailgun) pour la cohérence souveraineté UE. |
| Statut | Utilisation transitoire — limitée à la phase de prospection commerciale initiale (premier cycle de contacts). Le service sera retiré de la présente liste dès l'arrêt complet de l'envoi. |
6. Historique des modifications
| Date | Action | Sous-traitant | Motif |
|---|---|---|---|
| Avril 2026 | Ajout | Mistral AI SAS | Lancement du service — fonctionnalités IA |
| Avril 2026 | Ajout | Hetzner Online GmbH | Lancement du service — hébergement |
| Avril 2026 | Ajout | Brevo (Sendinblue SAS) | Lancement du service — emails transactionnels |
| Avril 2026 | Ajout | bunny.net d.o.o. | Lancement du service — CDN, DNS et WAF |
| Mai 2026 | Ajout (déclaratif) | Stripe Payments Europe Ltd. | Préparation facturation — activation à la signature du premier client payant |
| Mai 2026 | Ajout (transitoire) | Scaleway SAS (TEM) | Phase de prospection commerciale initiale — retrait planifié à la fin du cycle |
7. Engagement de Garante
Garante s'engage à :
- Ne recourir qu'à des sous-traitants présentant des garanties suffisantes quant à la mise en oeuvre de mesures techniques et organisationnelles appropriées (article 28(1) RGPD)
- Imposer contractuellement à chaque sous-traitant ultérieur les mêmes obligations de protection des données que celles du DPA principal (article 28(4) RGPD)
- Informer préalablement le responsable de traitement de tout changement concernant les sous-traitants ultérieurs (article 28(2) RGPD)
- Rester pleinement responsable de l'exécution des obligations du sous-traitant ultérieur (article 28(4) RGPD)
Liste des sous-traitants ultérieurs — Garante
Version 1.3 — 6 mai 2026
Ce document est mis à jour à chaque ajout, remplacement ou suppression d'un sous-traitant ultérieur.