Liste des sous-traitants (art. 28 RGPD)
Dernière mise à jour : 20 avril 2026
1. Préambule
Conformément à l'article 28 du Règlement (UE) 2016/679 (RGPD), OPENN publie la liste exhaustive des sous-traitants avec lesquels des données à caractère personnel sont partagées pour l'exécution du service. Chaque sous-traitant est lié par un accord de traitement (DPA) conforme à l'art. 28 §3 RGPD, qui encadre notamment : la finalité, la durée, les catégories de données, les mesures de sécurité, la confidentialité des sous-traitants ultérieurs, et les conditions de restitution ou suppression des données en fin de contrat.
Le responsable du traitement est Orus Group S.à r.l.. Pendant la phase de constitution de la société OPENN, ORUS Group S.à r.l. héberge la relation contractuelle et les DPA pour le compte d'OPENN.
2. Liste des sous-traitants
Les catégories de données effectivement transmises à chaque sous-traitant sont strictement limitées à ce qui est nécessaire à la finalité indiquée (minimisation, art. 5-1 c RGPD).
| Sous-traitant | Finalité | Pays d'hébergement | Base légale du transfert | Durée de conservation | Politique de confidentialité |
|---|---|---|---|---|---|
Supabase Inc. (via Supabase Europe) DPA signé · SCC non requis (traitement UE). | Hébergement base de données PostgreSQL, Authentification, Storage de documents (KYC, justificatifs, pièces contractuelles). Catégories : Identification, authentification, contractuelles, financières non-paiement, KYC, techniques, journal d'audit, journal de consentement. | Union Européenne — région Frankfurt (de-fra-1). | Traitement intra-UE — aucun transfert hors UE pour les données stockées. Chiffrement at-rest AES-256, TLS 1.3 in-transit. | Aligné sur chaque finalité (voir page Confidentialité) : compte 3 ans après dernière connexion, KYC 5 ans après clôture dossier, audit 13 mois, consentement 5 ans. | Voir la politique |
Vercel Inc. DPA signé · SCC + DPF. | Hébergement du frontend Next.js, exécution Edge, CDN statique, logs de requête éphémères. Catégories : Techniques (IP, user-agent, headers), identifiants de session chiffrés, contenu HTML généré. | Siège États-Unis ; déploiement OPENN configuré en région Frankfurt (fra1, Union Européenne). Certains logs Edge peuvent transiter par les points de présence globaux du CDN. | Standard Contractual Clauses (décision 2021/914/UE) signées dans le DPA Vercel. Data Privacy Framework pour les transferts depuis l'UE vers les États-Unis. | Logs de requête : 1 à 30 jours glissants (config Vercel). | Voir la politique |
Stripe Payments Europe, Ltd. DPA signé · SCC + DPF. | Traitement des paiements par carte, SEPA et Apple Pay pour les honoraires OPENN et les frais tiers associés. Catégories : Identification (nom, email), financières (carte masquée, empreinte, pays d'émission), techniques (IP, user-agent, device fingerprint Stripe Radar). | Responsable de traitement UE : Stripe Payments Europe, Ltd., Dublin (Irlande). Infrastructure technique pouvant impliquer Stripe, Inc. (États-Unis). | Standard Contractual Clauses (décision 2021/914/UE) + Data Privacy Framework pour les transferts Irlande → États-Unis. Stripe agit en qualité de responsable conjoint pour les données anti-fraude (art. 26 RGPD). | Données transactionnelles : 10 ans (obligation comptable et LBC/FT, loi LU du 12 novembre 2004). | Voir la politique |
Resend, Inc. DPA signé · SCC + DPF. | Envoi d'emails transactionnels : bienvenue, paiement confirmé, dossier soumis au notaire, document demandé, rappel SLA. Catégories : Identification (nom, email destinataire), contenu de l'email, métadonnées d'envoi (message-id, horodatages, statut de délivrance). | Siège États-Unis. Infrastructure d'envoi incluant des points de présence UE et US. | Standard Contractual Clauses (décision 2021/914/UE) signées dans le DPA Resend + Data Privacy Framework. | Logs de délivrance : 1 an glissant. Le contenu de l'email n'est pas utilisé pour d'autres finalités et n'entraîne aucun modèle. | Voir la politique |
Anthropic PBC DPA signé · SCC + DPF · opt-out training. | Fournisseur du modèle Claude utilisé par le chatbot d'assistance dossier. Chaque requête est limitée au dossier ouvert (scope case_id), aucun accès cross-case possible. Catégories : Contenu conversationnel saisi par l'utilisateur + éléments contextuels du dossier en cours (statut, étape, documents déjà fournis). Aucune donnée KYC brute (pièce d'identité, passeport) n'est transmise à l'IA. | Siège États-Unis. | Standard Contractual Clauses (décision 2021/914/UE) + Data Privacy Framework. Opt-out de l'entraînement contractualisé dans le DPA — les données ne servent pas à entraîner les modèles. | Aucune conservation applicative côté OPENN au-delà du journal de conversation lié au dossier (supprimé 5 ans après clôture). Rétention Anthropic : 30 jours maximum pour usage anti-abus, puis suppression (cf. DPA). | Voir la politique |
Functional Software, Inc. (Sentry, plan Team, cluster EU) DPA signé · hébergement UE. | Journalisation des erreurs serveur et front pour diagnostic technique. Filtrage PII appliqué à la source : aucune adresse email, IP, user-agent, token, case_id en clair n'est envoyé. Catégories : Stack traces, versions logicielles, tags applicatifs non-identifiants (release, environnement, composant). Aucune PII. | Région Frankfurt — instance EU de Sentry. Aucun transfert hors UE pour les projets configurés sur ce cluster. | Traitement intra-UE — aucun transfert hors UE. | Événements d'erreur : 90 jours glissants (plan Team). Agrégats anonymes : 12 mois. | Voir la politique |
Plausible Insights OÜ DPA signé · cookieless natif (pas de consentement requis). | Mesure d'audience agrégée et anonyme du site public (pages vues, référents, pays, type d'appareil). Aucun cookie posé, aucun identifiant persistant. Catégories : Données techniques agrégées. Aucune donnée personnelle au sens du RGPD (pas de cookie, pas de fingerprint, pas d'IP stockée — seul un hash journalier non réversible). | Infrastructure hébergée en Union Européenne (Allemagne / Luxembourg), société de droit estonien. | Traitement intra-UE — aucun transfert hors UE. | Agrégats : conservés pour la durée du contrat SaaS. Le hash journalier est purgé toutes les 24 h. | Voir la politique |
3. Transferts hors Union Européenne
Les sous-traitants suivants peuvent impliquer un transfert de données personnelles vers les États-Unis : Vercel (CDN et Edge), Stripe (infrastructure anti-fraude), Resend (infrastructure d'envoi) et Anthropic (modèles IA).
Ces transferts sont encadrés par les clauses contractuelles types (SCC) adoptées par la Commission européenne (décision d'exécution 2021/914/UE) et par l'adhésion de chaque sous-traitant au Data Privacy Framework (DPF) UE-États-Unis adopté le 10 juillet 2023. Chaque transfert fait l'objet d'une analyse d'impact (TIA) au sens des recommandations 01/2020 du Comité européen de la protection des données.
Supabase (base de données et stockage documents), Sentry (monitoring) et Plausible (analytics) sont hébergés exclusivement en Union Européenne pour nos déploiements — aucun transfert hors UE n'est effectué pour ces services.
4. Durées de conservation (synthèse)
Les durées indiquées ci-dessous sont cohérentes avec la politique de confidentialité, le registre des traitements (art. 30 RGPD) et les obligations légales luxembourgeoises :
- Compte utilisateur : 3 ans à compter de la dernière connexion, puis anonymisation.
- Données financières Stripe et pièces comptables : 10 ans (loi du 12 novembre 2004 LBC/FT et obligations comptables LU).
- Documents KYC (passeport, RBE, justificatifs) : 5 ans après clôture du dossier (art. 3 loi du 12 novembre 2004).
- Journal d'audit technique : 13 mois glissants.
- Journal de consentement RGPD : 5 ans (preuve opposable art. 7 §1 RGPD).
- Emails transactionnels (logs Resend) : 1 an glissant.
- Cookies soumis à consentement : 13 mois maximum (lignes directrices CNPD).
5. Gouvernance et mise à jour de cette liste
Tout ajout, retrait ou changement de sous-traitant est décidé par le DPO et tracé dans le journal de décisions (ADR) interne. La présente page est mise à jour avant l'entrée en vigueur du changement, et la version précédente reste archivée pour un an.
Conformément à l'art. 28 §2 RGPD, la personne concernée peut s'opposer à un nouveau sous-traitant en exerçant son droit de résiliation du service avant l'entrée en vigueur du changement.
6. Exercer vos droits
Pour toute question relative à cette liste ou pour exercer vos droits RGPD (accès, rectification, effacement, portabilité, opposition, limitation), contactez le délégué à la protection des données :
Email : dpo@openn.lu (adresse à créer en Phase L — société en cours de constitution)
Le délégué à la protection des données est joignable par email pour toute demande d'exercice de droits RGPD (accès, rectification, effacement, portabilité, opposition, limitation).
Vous pouvez également introduire une réclamation auprès de la Commission Nationale pour la Protection des Données (CNPD) (15 boulevard du Jazz, L-4370 Belvaux, Luxembourg) — formulaire de plainte CNPD.