Nebula
Nebula Vape & Chicha

Sous-traitants RGPD

Date de dernière mise à jour : 7 mai 2026

Conformément à l'article 28 du RGPD, voici la liste exhaustive des sous-traitants techniques avec lesquels nous partageons certaines données personnelles strictement nécessaires à l'exécution du service. Chacun fait l'objet d'un contrat de sous-traitance (DPA — Data Processing Agreement) garantissant un niveau de protection équivalent au nôtre.

1. Hébergement & CDN

  • Cloudflare, Inc. — Hébergement applicatif (Cloudflare Pages), terminaison TLS, CDN, protection DDoS. Données traitées : adresses IP, en-têtes HTTP, cookies de session. Localisation : datacenters mondiaux avec routing UE prioritaire. DPA : cloudflare.com/cloudflare-customer-dpa

2. Base de données

  • Supabase, Inc. — Postgres managé, Storage images. Données traitées : ensemble des données utilisateur (profil, commandes, avis, wishlist, historique fidélité). Localisation : région UE (Francfort). DPA : supabase.com/legal/dpa

3. Paiement

  • Stripe Payments Europe, Ltd. — Traitement des paiements par carte, gestion des litiges, conformité PCI-DSS. Données traitées : nom, prénom, email, adresse de facturation, données de carte (jamais stockées chez nous). Localisation : Irlande. DPA : stripe.com/legal/dpa

4. Emails transactionnels

  • Resend, Inc.— Envoi d'emails transactionnels (confirmation de commande, réinitialisation de mot de passe, newsletter). Données traitées : email, prénom, contenu de l'email. Localisation : États-Unis (Standard Contractual Clauses). DPA : resend.com/legal/dpa

5. Intelligence artificielle

  • Groq, Inc.— Modèles LLM pour le chatbot de support et la génération d'articles de blog. Données traitées : contenu textuel des conversations chatbot (sans identifiant utilisateur transmis). Localisation : États-Unis (Standard Contractual Clauses). Politique : groq.com/privacy-policy

6. Rate-limiting & anti-bruteforce

  • Upstash, Inc. — Cache Redis serverless pour limiter les abus (tentatives de connexion, formulaires). Données traitées : adresse IP, email, compteurs avec TTL court (≤ 15 minutes). Localisation : région UE (Francfort). DPA : upstash.com/trust/dpa.pdf

7. Analytics (sur consentement)

  • Google LLC (Google Analytics)— Mesure d'audience anonymisée. Activé uniquement après consentement via la bannière cookies. Données traitées : adresse IP tronquée, parcours de navigation. Localisation : États-Unis (Standard Contractual Clauses + IP anonymization).

8. Transferts hors Union européenne

Lorsqu'un sous-traitant est situé hors de l'Espace Économique Européen, nous nous appuyons sur les Clauses Contractuelles Types de la Commission européenne (décision 2021/914) ainsi que sur des mesures complémentaires (chiffrement en transit, pseudonymisation) pour garantir un niveau de protection adéquat.

9. Droit de regard

Vous pouvez à tout moment demander la liste précise des données partagées avec un sous-traitant donné en nous écrivant à privacy@nebula-vape.com. Nous nous engageons à répondre sous un mois conformément à l'article 12 du RGPD.