Logo Swopli

Sous-traitants

Version: v1.0.3
Version préliminaire — soumise à révision juridique
Nesta página

    1. Objet

    Ce document liste les prestataires de services tiers et sous-traitants que Swopli LTDA (CNPJ 61.902.473/0001-79) utilise pour exploiter Swopli. Certains prestataires agissent comme sous-traitants de Swopli au titre d'un DPA ; d'autres agissent comme Merchant of Record indépendant, boutique d'applications ou prestataires d'infrastructure/de données de référence auto-hébergés, comme indiqué ci-dessous.

    Cette liste est maintenue pour des raisons de transparence et pour se conformer aux obligations de protection des données en vertu de :

    • La Lei Geral de Proteção de Dados (LGPD) du Brésil, Loi 13.709/2018
    • Le Règlement Général sur la Protection des Données (RGPD) de l'UE, Règlement 2016/679
    • Les autres lois applicables sur la protection des données dans les pays où Swopli met des services ou fonctions à disposition selon la Disponibilité des fonctions

    Pour plus de détails sur la manière dont Swopli traite les données personnelles, consultez notre Politique de confidentialité.

    2. Notification de Mise à Jour

    Swopli fournira un préavis de 30 jours pour tout changement apporté à cette liste de sous-traitants, y compris :

    • L'ajout d'un nouveau sous-traitant
    • Le retrait d'un sous-traitant existant
    • Les modifications importantes du rôle ou des activités de traitement de données d'un sous-traitant

    La notification sera envoyée par email à l'adresse associée à votre compte Swopli. Vous pouvez également vous abonner aux mises à jour en visitant swopli.com/fr/juridique/sous-traitants.

    Si vous vous opposez à l'ajout d'un nouveau sous-traitant, vous pouvez résilier votre compte dans le délai de préavis de 30 jours. Pour plus de détails sur la résiliation de compte, consultez nos Conditions d'utilisation.

    3. Sous-traitants Actuels

    Le tableau suivant liste tous les prestataires actuels, la finalité pour laquelle ils traitent ou soutiennent des données, les types de données concernés, leur emplacement et des liens vers leurs accords de traitement des données (DPA), politiques de confidentialité ou documents de référence applicables.

    Sous-traitant Objet Données Traitées Emplacement Lien DPA
    Supabase, Inc. Base de données, authentification, stockage Données de compte, annonces de produits, messages, enregistrements d'échange, images Brésil (AWS sa-east-1) pour le stockage principal ; Supabase, Inc. est basée aux États-Unis supabase.com/legal/dpa
    Stripe, Inc. / Stripe Payments Brasil Serviços Financeiros Ltda. Checkout de Swap Protection, dépôts remboursables, remboursements, transferts, KYC Connect et support de paiement lorsque applicable Moyens de paiement, données de transaction, adresse de facturation, informations de compte bancaire, données d'identification fiscale lorsque requises, adresse d'expédition Brésil / États-Unis, selon le flux stripe.com/legal/dpa
    RevenueCat, Inc. Orchestration d'abonnement multiplateforme (iOS/Android/Web via synchronisation Paddle), Customer Center, gestion des droits VIP Reçus d'achat, statut d'abonnement, ID utilisateur, informations sur l'appareil États-Unis revenuecat.com/dpa
    Paddle.com Market Limited Merchant of Record pour le paiement web (VIP/Boost), collecte de taxes mondiales, conversion automatique de devises Modes de paiement, données de transaction, adresse de facturation, email, adresse IP Royaume-Uni, États-Unis paddle.com/legal/dpa
    Apple Inc. Achats intégrés (iOS) Reçus d'achat, Apple ID (haché), informations sur l'appareil États-Unis apple.com/legal/privacy (Apple agit en tant que merchant of record)
    Google LLC Achats intégrés (Android) Reçus d'achat, informations sur le compte Google, informations sur l'appareil États-Unis policies.google.com/privacy (Google agit en tant que merchant of record)
    Resend, Inc. Livraison d'emails transactionnels Adresse email, nom, contenu de l'email (confirmations de compte, notifications d'échange, réponses au support) États-Unis (AWS us-east-1) resend.com/legal/dpa
    Cloudflare, Inc. CDN, protection DDoS, edge computing Adresse IP, agent utilisateur, métadonnées de requête (journaux pendant 24 heures) États-Unis (avec réseau edge mondial) cloudflare.com/cloudflare-customer-dpa
    Sentry (Functional Software, Inc.) Surveillance des erreurs, rapport de plantage Journaux d'erreurs, traces de pile, informations sur l'appareil, ID utilisateur, adresse IP États-Unis sentry.io/legal/dpa
    PostHog, Inc. Analytique produit (opt-in pour UE/EEE/UK/CH) Données d'événements, ID utilisateur, informations sur l'appareil, utilisation des fonctionnalités, comportement anonymisé Union Européenne (PostHog Cloud EU) posthog.com/docs/privacy/dpa
    Nominatim (géocodage OpenStreetMap auto-hébergé) Géocodage inverse pour l'affichage de localisation Coordonnées, requêtes de recherche de localisation Union Européenne (auto-hébergé) Pas de transfert à un tiers par Nominatim ; l'hébergement est couvert par les prestataires d'infrastructure listés ci-dessus
    OpenAI OpCo, LLC / OpenAI Ireland Ltd. API de modération pour l'examen automatisé de confiance et sécurité avant publication Annonces de produits, messages, texte de profil lorsque modéré, métadonnées de modération États-Unis / Irlande (lorsque applicable) openai.com/policies/data-processing-addendum
    Melhor Envio Génération d'étiquettes d'expédition, suivi, logistique inverse (Brésil uniquement) Codes de suivi, adresses expéditeur/destinataire, dimensions du colis, statut d'expédition Brésil melhorenvio.com.br/termos-de-uso

    Note d'attribution Paddle/Meta : Paddle peut charger l'attribution Meta/Facebook sur les pages de checkout web soumises au consentement, comme décrit dans la Politique de cookies. Swopli traite cela comme une attribution Marketing optionnelle et respecte le consentement, le GPC et les opt-outs « Ne pas vendre ni partager ». Cela ne fait pas partie du traitement principal de la Plateforme nécessaire pour utiliser Swopli.

    4. Mécanismes de Transfert

    4.1 Transferts Internationaux de Données

    Certains sous-traitants sont situés en dehors de l'Espace Économique Européen (EEE), du Brésil ou de votre pays de résidence. Swopli s'assure que tous les transferts internationaux de données sont protégés par des garanties appropriées, notamment :

    • Clauses Contractuelles Types (CCT) de l'UE : Pour les transferts de l'UE/EEE vers des pays sans décision d'adéquation (par exemple, États-Unis, Brésil), Swopli et le sous-traitant exécutent les Clauses Contractuelles Types de la Commission Européenne (Modules 2 et 3 selon le cas).
    • Évaluation d'Impact du Transfert (TIA) : Swopli a effectué une Évaluation d'Impact du Transfert pour tous les transferts à haut risque afin de s'assurer que les CCT offrent une protection efficace dans la pratique.
    • CCT Brésil (LGPD) : Pour les transferts impliquant des données d'utilisateurs brésiliens, Swopli utilise les Clauses Contractuelles Types conformes à la LGPD ou s'appuie sur le consentement explicite de l'utilisateur lorsque cela est requis par l'article 33 de la LGPD.
    • Addendum de Traitement de Données (DPA) : Tous les sous-traitants ont exécuté des DPA qui intègrent les CCT applicables et exigent que le sous-traitant mette en œuvre des mesures techniques et organisationnelles appropriées pour protéger les données personnelles.

    4.2 Sous-sous-traitants

    Certains sous-traitants listés ci-dessus peuvent engager leurs propres sous-traitants (par exemple, fournisseurs d'infrastructure cloud). Lorsque cela se produit :

    • Le sous-traitant principal reste entièrement responsable envers Swopli de la conformité du sous-sous-traitant.
    • Les relations de sous-sous-traitant sont régies par le DPA et la politique de confidentialité du sous-traitant principal (liens dans le tableau ci-dessus).
    • Swopli audite les sous-traitants principaux pour s'assurer qu'ils répercutent des obligations de protection des données équivalentes aux sous-sous-traitants.

    4.3 Résidence des Données

    • Brésil : Les données des utilisateurs résidents brésiliens sont stockées dans AWS sa-east-1 (São Paulo) via Supabase, conformément aux meilleures pratiques de résidence des données de la LGPD.
    • UE/EEE : Les données PostHog sont stockées dans l'UE via PostHog Cloud EU. D'autres sous-traitants peuvent stocker des données aux États-Unis ou dans le monde entier, sous réserve de CCT.
    • Reste du Monde : L'emplacement de stockage des données varie selon le sous-traitant. Voir la colonne « Emplacement » ci-dessus.

    5. Vos Droits

    En vertu des lois applicables sur la protection des données, vous avez le droit de :

    • Accéder aux données personnelles que nous détenons à votre sujet
    • Corriger les données inexactes ou incomplètes
    • Supprimer vos données (sous réserve d'obligations légales de conservation)
    • Vous Opposer au traitement basé sur des intérêts légitimes
    • Restreindre le traitement dans certaines circonstances
    • Portabilité des données (recevoir vos données dans un format structuré et lisible par machine)

    Pour exercer ces droits, veuillez visiter swopli.com/fr/confidentialite/mes-donnees ou envoyer un email à dpo@swopli.com.

    Pour plus de détails sur vos droits et sur la manière dont Swopli traite les données personnelles, consultez notre Politique de confidentialité.

    6. Questions

    Si vous avez des questions sur cette liste de sous-traitants, les transferts de données ou nos pratiques de protection des données :

    Pour les utilisateurs UE/EEE, vous pouvez également contacter notre représentant RGPD (Article 27) :

    • Représentant UE/UK/CH : désignation Prighter en cours — contactez dpo@swopli.com dans l'intervalle