Liste des sous-traitants
Mis à jour le
Télécharger le PDFPour mettre à disposition et opérer la plateforme Roomee, nous faisons appel à des sous-traitants ultérieurs au sens du RGPD. Ceux-ci exécutent des prestations en lien avec notre activité (hébergement, base de données, notifications, e-mails, médias, messagerie instantanée).
Nous maintenons à jour l’inventaire de nos sous-traitants ultérieurs participant à la mise en œuvre de notre solution. Ceux-ci sont situés essentiellement en Europe. La liste ci-dessous est mise à jour régulièrement ; tout changement de sous-traitant ultérieur est notifié à nos clients.
Cette page reprend les informations du chapitre 4 de notre Livret de conformité RGPD. Le document complet est disponible en PDF : Livret de conformité RGPD — Chapitre 4 (sous-traitants).
Infrastructure principale
L’infrastructure principale de Roomee est hébergée chez notre partenaire Digital Ocean, en Europe : à Londres (Royaume-Uni) et Francfort (Allemagne).
Certains sous-traitants ultérieurs sont susceptibles de traiter des données personnelles en dehors de l’UE (voir la section Transferts hors Union européenne ci-dessous).
Liste des sous-traitants ultérieurs
Chaque sous-traitant ci-dessous n’accède qu’aux seules données nécessaires à sa prestation et est lié par des engagements contractuels de sécurité et de confidentialité.
| Sous-traitant | Service | Siège / Pays | Garanties |
|---|---|---|---|
| MongoDB | Base de données des informations utilisateurs (stockage des documents) | États-Unis 🇺🇸 (siège) ; région du cluster à préciser | DPA et clauses contractuelles types (CCT) ; auto-certifié au EU-U.S. Data Privacy Framework |
| Digital Ocean | Hébergement de l’infrastructure et base de données | Hébergement : Francfort 🇩🇪 + Londres 🇬🇧 ; entité : Dublin 🇮🇪 / New York 🇺🇸 | DPA et clauses contractuelles types (CCT) ; auto-certifié au EU-U.S. Data Privacy Framework |
| OneSignal | Notifications push | San Mateo, CA 🇺🇸 | DPA et clauses contractuelles types (CCT) ; auto-certifié au EU-U.S. Data Privacy Framework |
| SendGrid | Envoi d’e-mails | San Mateo, CA 🇺🇸 | DPA et clauses contractuelles types (CCT) ; auto-certifié au EU-U.S. Data Privacy Framework ; mesures de sécurité adaptées |
| Google Cloud | Médias et avatars | Mountain View, CA 🇺🇸 | DPA et clauses contractuelles types (CCT) ; auto-certifié au EU-U.S. Data Privacy Framework ; mesures de sécurité adaptées |
| Sendbird | Messagerie instantanée | San Mateo, CA 🇺🇸 | DPA et clauses contractuelles types (CCT) ; auto-certifié au EU-U.S. Data Privacy Framework ; mesures de sécurité adaptées |
| Anthropic (IA Noah) | Assistance IA : traduction, recherche dans les documents, dictée vocale | San Francisco, CA 🇺🇸 | DPA et auto-certifié au EU-U.S. Data Privacy Framework ; CCT ; vos contenus ne servent pas à l’entraînement de modèles |
Rôles distincts. Digital Ocean fournit l’hébergement de l’infrastructure de la plateforme (calcul et stockage à Francfort et Londres) ; MongoDB fournit le service de base de données dans lequel sont enregistrés les documents et informations utilisateurs. Ce sont deux prestations distinctes.
Ce tableau couvre la plateforme produit Roomee. Le site vitrine que vous consultez est servi séparément via Vercel (États-Unis), couvert par ses propres garanties. Tableau révisé pour la dernière fois le 5 juin 2026.
Mesures de protection (EDPB 01/2023)
Nous mettons en œuvre les recommandations 01/2023 du Comité européen de la protection des données (EDPB), à travers des mesures contractuelles et organisationnelles.
Mesures contractuelles
- Des contrats de sous-traitance conformes au RGPD, dont une clause conforme à l’article 28 du RGPD et aux recommandations des autorités européennes, afin que nos clients puissent émettre des objections à l’égard des nouveaux sous-traitants ;
- un droit d’audit prévu dans nos DPA ;
- le contrôle des sous-traitants et l’usage de mesures pour sécuriser les transferts, lorsque nécessaire.
Mesures organisationnelles
- Chiffrement des données au repos et en transit ;
- une surveillance des changements réglementaires opérés par les autorités de régulation ;
- une politique de confidentialité robuste, une documentation technique et une politique de sécurité détaillant nos mesures à jour ;
- une gouvernance et des procédures internes ;
- de la formation interne et de la sensibilisation des équipes ;
- une équipe chargée de la protection des données, joignable à contact@roomee.io.
Transferts hors Union européenne
Les sous-traitants ultérieurs sont susceptibles de traiter des données personnelles en dehors de l’UE. Ces traitements sont effectués en totale conformité avec le RGPD et en suivant les recommandations des autorités européennes.
Ces sous-traitants sont établis aux États-Unis. Les États-Unis ne sont pas, en eux-mêmes, un pays bénéficiant d’une décision d’adéquation : l’adéquation reconnue par la décision de la Commission européenne 2023/1795 est limitée aux organisations auto-certifiées au EU-U.S. Data Privacy Framework (DPF), qui succède au Privacy Shield. Les sous-traitants concernés sont auto-certifiés au EU-U.S. Data Privacy Framework, ce qui est vérifiable organisation par organisation sur le registre officiel dataprivacyframework.gov. Ce cadre est complété par des clauses contractuelles types (CCT).
Par prudence : le EU-U.S. Data Privacy Framework a été confirmé par le Tribunal de l’Union européenne le 3 septembre 2025, mais un pourvoi devant la Cour de justice de l’UE est pendant (affaire C-703/25 P). Les clauses contractuelles types que nous mettons en place constituent une garantie de secours en cas d’évolution du cadre.
Nous avons réalisé une évaluation d’impact sur ces transferts et appliquons des mesures de sécurité pour protéger les données de nos clients, y compris le chiffrement en transit et au repos.
Demandes d’autorités étrangères
L’une des inquiétudes les plus fréquentes de nos clients concerne les demandes d’accès par des autorités étrangères, notamment des États-Unis, en vertu du Cloud Act, de FISA 702 ou de l’EO 12333 (transferts de données UE–US).
Compte tenu de notre activité — une solution SaaS de plateforme de collaboration — les demandes des autorités américaines sont extrêmement hypothétiques. À ce jour, nous n’avons jamais reçu ce type de demandes.
Aux côtés de nos sous-traitants, et au-delà de la protection apportée par le Data Privacy Framework, nous avons mis en place une politique et un processus internes concernant les demandes gouvernementales d’informations sur nos clients :
- obligation de contester chaque demande lorsqu’il existe une base juridique pour une telle contestation — par exemple sur le fondement du RGPD ;
- obligation, sauf interdiction de la loi, de nous notifier (ainsi que, le cas échéant, l’autorité de surveillance compétente) afin de nous permettre, ainsi qu’à nos clients, de demander une ordonnance de protection ou tout autre recours approprié.
Information et évolution
Cette liste est susceptible d’évoluer. En cas d’ajout ou de remplacement d’un sous-traitant ultérieur susceptible d’affecter le traitement de vos données, nos clients sont informés conformément à notre accord de traitement des données (DPA).
Pour toute information complémentaire : contact@roomee.io.
Autres documents légaux
- Accord de traitement des données (DPA)
- Conditions générales d'utilisation
- Mentions légales
- Politique de confidentialité
- Politique de gestion des cookies
- Programme de conformité RGPD
Une question sur vos données ? Écrivez-nous à contact@roomee.io.