CONFIANCE · SOUS-TRAITANTS ULTÉRIEURS

Liste publique
des sous-traitants ultérieurs.

L'Art. 28 du RGPD exige la transparence sur les sous-traitants ultérieurs que nous utilisons pour vous fournir le service. Nous publions ici la liste complète, leur localisation, leur finalité et les accords signés avec chacun. Nous vous notifions par email 30 jours à l'avance de tout changement.

Voir tarifs S'abonner aux notifications

Pourquoi nous publions cette liste

En tant que sous-traitant de vos données personnelles et des données d'inventaire de vos endpoints, Itrion Software s'engage à ne pas contracter de sous-traitants ultérieurs sans votre connaissance. L'Art. 28(2) du RGPD exige une autorisation préalable spécifique ou générale par écrit avant de contracter un autre sous-traitant. Nous opérons sous autorisation générale avec notification préalable de 30 jours, ce qui vous permet de vous opposer et, le cas échéant, de résilier le contrat si vous n'acceptez pas.

Cette liste a été mise à jour pour la dernière fois le 4 mai 2026. Tout changement (ajout d'un nouveau sous-traitant ultérieur, changement de localisation, terminaison d'un sous-traitant) est notifié par email à l'adresse de contact du DPO/CISO de votre organisation enregistrée dans le contrat. Si vous ne nous avez pas fourni de contact technique/juridique, nous le notifions à l'administrateur principal du tenant.

Pour tous les sous-traitants ultérieurs : contrat RGPD Art. 28 signé, SCC (Clauses Contractuelles Types) lorsque le transfert international s'applique, droit d'audit documentaire annuel, exigence de signaler les incidents à Itrion en moins de 24h, exigence de respecter le même niveau de protection qu'Itrion offre à ses clients.

SOUS-TRAITANTS ULTÉRIEURS ACTUELS

Liste des sous-traitants ultérieurs actifs

Itrion Datacenter Madrid (PROD1)

Serveur dédié dans le datacenter ITrion avec connectivité 99,99 %. Localisation : Madrid, Espagne. Finalité : hébergement principal du cluster Kubernetes Itamite. Contrat Art. 28 + DPA standard. Sans transfert international.

Hetzner Online GmbH (Mirror Frankfurt)

Infrastructure cloud pour le nœud de réplique chaude du cluster. Localisation : Francfort, Allemagne. Finalité : failover et sauvegarde distribuée. Contrat Art. 28 + DPA Hetzner. Sans transfert international (DE intra-UE).

OVHcloud (Backup Roubaix)

Stockage compatible S3 pour les sauvegardes chiffrées. Localisation : Roubaix, France. Finalité : sauvegarde off-site chiffrée AES-256. Contrat Art. 28 + DPA OVH + SCC. Sans transfert hors UE (FR).

Mailcow (instance propre ITrion)

Serveur email auto-hébergé pour l'envoi des notifications du produit (alertes, rapports, factures). Localisation : Madrid, Espagne. Finalité : email transactionnel et notifications. Sans tiers, sans transfert international.

SMTP2GO Limited

Fournisseur SMTP de secours pour garantir la délivrabilité. Localisation : Nouvelle-Zélande et États-Unis. Finalité : failover SMTP si Mailcow ne livre pas. Contrat Art. 28 + SCC + décision d'adéquation (adéquation NZ en cours de révision). Uniquement les emails transactionnels du produit, pas le contenu du tenant.

Stripe Payments Europe Ltd

Passerelle de paiement pour le traitement des cartes. Localisation : Dublin, Irlande (siège UE). Finalité : UNIQUEMENT le traitement des paiements ponctuels (PaymentIntent + SetupIntent), nous ne stockons pas de tokens ni n'utilisons Stripe Subscriptions. Contrat Art. 28 + SCC.

Sous-traitants ultérieurs optionnels (Enterprise)

Pour les clients Enterprise, des sous-traitants ultérieurs supplémentaires peuvent être activés selon la configuration choisie : AWS KMS / Azure Key Vault / GCP KMS pour BYOK (gestion des clés de chiffrement du client, localisation choisie par le client). Datacenter sanitaire certifié à Madrid ou Francfort pour HIPAA-eligible (+25 % sur le tarif). Hébergement on-premise air-gapped (sans sous-traitants externes, infrastructure du client). Pour les cas spécifiques : revoir le contrat Enterprise individuel.

  • Notification email : 30 jours avant tout changement
  • Contrat Art. 28 + DPA + SCC : signé avec tous les sous-traitants
  • Audit documentaire : droit de révision annuel
  • Sous-traitants principaux : 100 % en territoire UE
  • Pour Enterprise : révision individuelle de chaque nouveau sous-traitant
FAQ

Questions sur les sous-traitants ultérieurs

Dois-je accepter tous les sous-traitants ultérieurs ?
Par défaut oui (autorisation générale). Pour Enterprise : votre DPA peut inclure une clause d'acceptation spécifique de chaque sous-traitant. Si vous n'acceptez pas un nouveau sous-traitant : vous avez le droit d'opposition et, si nous n'offrons pas d'alternative, le droit de résilier le contrat sans pénalité.
Comment me notifiez-vous des changements ?
Par email à l'adresse du DPO/CISO/contact technique enregistrée dans votre contrat. Si vous ne nous avez pas fourni de contact : à l'administrateur principal du tenant. Notification 30 jours avant le changement, avec description du nouveau sous-traitant, localisation, finalité et contrat signé.
Puis-je demander un contrat Art. 28 avec des sous-traitants spécifiques ?
Pas directement. Le contrat Art. 28 est signé par Itrion avec les sous-traitants en votre nom. Mais vous avez le droit de revoir les contrats signés (clause d'audit documentaire). Sous NDA, nous pouvons partager des copies pour votre révision juridique.
Et si je veux un sous-traitant qui n'est pas dans la liste ?
Pour les cas Enterprise : nous pouvons intégrer un sous-traitant spécifique si votre organisation l'exige (BYOK avec votre KMS, votre datacenter on-premise, intégration avec votre LDAP/SSO). Coût et délai selon le cas. Contact à enterprise@itamite.com.

Abonnez-vous aux notifications

Recevez un email automatique lorsque nous ajoutons, changeons ou supprimons des sous-traitants ultérieurs. Conformité RGPD garantie.

Voir tarifs S'abonner