1. Introduction
Conformément à l'article 28 du Règlement Général sur la Protection des Données (RGPD), Evora communique de manière transparente la liste de tous les sous-traitants techniques auxquels il a recours pour le traitement des données personnelles de ses utilisateurs.
Chaque sous-traitant a été sélectionné après évaluation rigoureuse de son niveau de conformité RGPD, de ses certifications de sécurité et de la localisation de ses traitements. Tous sont liés à Evora par un contrat de sous-traitance (DPA) imposant le respect de la réglementation européenne applicable.
Cette page constitue également le mécanisme de notification prévu au DPA signé par chaque organisateur : toute évolution de cette liste fait l'objet d'une notification 30 jours avant l'entrée en vigueur (cf. section Modifications).
2. Liste des sous-traitants
Au 7 mai 2026, Evora s'appuie sur 12 sous-traitants techniques :
| Sous-traitant | Rôle | Localisation des données | Garanties RGPD |
|---|---|---|---|
| Supabase Inc. | Hébergement base de données PostgreSQL, authentification, stockage de fichiers, fonctions serverless (Edge Functions). | EU-West-1 (Irlande) — région primaire des données européennes. | DPA Supabase + Clauses Contractuelles Types Commission UE 2021/914. |
| Vercel Inc. | Hébergement du site web evora-app.com et distribution via CDN mondial. | États-Unis (siège) + CDN mondial (proximité utilisateur). | DPA Vercel + Clauses Contractuelles Types Commission UE. |
| Apple Inc. | Distribution de l'application via l'App Store. Réception des push notifications via APNs (Apple Push Notification service). | États-Unis + CDN mondial. | Apple Developer Program License Agreement + Privacy Policy + Clauses Contractuelles Types. |
| Google LLC | Distribution de l'application via le Play Store. Réception des push notifications via FCM (Firebase Cloud Messaging). OAuth Google Sign-In. | États-Unis + infrastructure mondiale. | Google Cloud DPA + Clauses Contractuelles Types Commission UE. |
| Stripe Inc. | Traitement des paiements par carte bancaire pour les abonnements organisateurs et les achats one-shot (Boost, Pack). Conservation des reçus et factures. | États-Unis (siège) + UE (Irlande). | Stripe DPA + Clauses Contractuelles Types + Certification PCI-DSS Level 1. |
| Brevo SA (anciennement Sendinblue) | Envoi des e-mails transactionnels (OTP signup, confirmations d'inscription, notifications) et des e-mails marketing (avec consentement). | France (centre de données principal) + UE. | DPA Brevo + données stockées exclusivement dans l'UE. |
| PostHog Inc. | Analyse comportementale produit pour l'amélioration de l'application (uniquement avec consentement analytics). | UE (région configurable) ou États-Unis selon configuration projet. | PostHog DPA + Clauses Contractuelles Types Commission UE. |
| Sentry / Functional Software Inc. | Monitoring des erreurs et performances applicatives. Capture de stack traces anonymisées (sendDefaultPii=false). | États-Unis + UE. | Sentry DPA + Clauses Contractuelles Types + configuration anti-PII. |
| Mapbox Inc. | Fond de carte, géocodage (adresse vers coordonnées), recherche de lieux pour les pages événement. | États-Unis. | Mapbox DPA + Clauses Contractuelles Types Commission UE. |
| LaunchDarkly Inc. | Gestion des feature flags (déploiement progressif des nouvelles fonctionnalités, canary releases). | États-Unis. | LaunchDarkly DPA + Clauses Contractuelles Types Commission UE. |
| N8N (auto-hébergé) | Workflows d'automatisation (envoi d'e-mails programmés, rappels J-1, suppression différée 30 jours, export RGPD, notification sous-traitants). | OVHcloud France (VPS dédié Evora, infrastructure souveraine). | Auto-hébergement — aucun transfert de données hors infrastructure Evora. Données restent en France. |
| OVHcloud | Hébergement du VPS sur lequel tourne N8N et services internes Evora. | France (datacenters Roubaix, Strasbourg, Gravelines selon redondance). | DPA OVHcloud + données stockées exclusivement en France. |
3. Modifications et notification
Evora se réserve le droit d'ajouter, de remplacer ou de supprimer un sous-traitant à tout moment, sous réserve de respecter les conditions suivantes :
- Notification 30 jours avant l'entrée en vigueur, par e-mail à tous les organisateurs et par publication d'une nouvelle version de la présente page ;
- Conservation des versions précédentes de cette page accessible sur demande au DPO ;
- Droit d'oppositionde l'organisateur dans le délai de 30 jours, par e-mail à dpo@evora-app.com, pour motifs raisonnables. À défaut d'accord amiable, l'organisateur peut résilier son abonnement sans frais.
Les utilisateurs (non organisateurs) sont informés des modifications via la Politique de confidentialité et, pour les modifications substantielles, par notification dans l'application.
4. Garanties communes
Tous les sous-traitants mentionnés ci-dessus sont soumis aux obligations contractuelles suivantes vis-à-vis d'Evora :
- Traitement des données uniquement sur instruction documentée d'Evora ;
- Confidentialité des personnes autorisées à traiter les données ;
- Mesures techniques et organisationnelles de sécurité conformes à l'article 32 du RGPD ;
- Encadrement des transferts hors UE par des Clauses Contractuelles Types Commission UE (Décision 2021/914) ;
- Notification d'Evora dans les meilleurs délais en cas de violation de données ;
- Assistance d'Evora dans la mise en œuvre des droits des personnes concernées ;
- Suppression ou restitution des données à la fin du contrat de sous-traitance ;
- Mise à disposition de toute information nécessaire à la démonstration du respect du RGPD (audits, certifications, rapports SOC 2 / ISO 27001 lorsque disponibles).
Pour toute question relative aux sous-traitants ou pour obtenir une copie d'un DPA spécifique, contactez le DPO à dpo@evora-app.com.