PickleDeckPickleDeck
Sécurité
Conformité RGPD · Article 28

Sous-traitants techniques.

Liste exhaustive et publique des sous-traitants impliqués dans le traitement de vos données. Chacun est encadré par un DPA ou des Clauses Contractuelles Types pour les transferts hors Union européenne.

7 sous-traitants actifs

Mis à jour : 7 mai 2026

Supabase

Base de données + auth

Infrastructure

Localisation

🇪🇺EU

Données traitées

Toutes données applicatives : utilisateurs, tournois, scores, paiements (sans données carte).

Conformité

DPA signé · Hébergement AWS Francfort · ISO 27001 (AWS)

Vercel

Hébergement application + CDN

Infrastructure

Localisation

🌐Mondial (CCT)

Données traitées

Logs HTTP, IP, headers de requête. Aucune donnée applicative persistée.

Conformité

DPA signé · CCT · SOC 2 Type II

HelloAsso

Encaissement associatif

Paiements

Localisation

🇫🇷France

Données traitées

Identité, email, téléphone, paiements (jamais transitent chez nous).

Conformité

DPA signé · RGPD · Hébergement France

Partenaire historique français — fonds reçus directement par les clubs.

Stripe

Paiements carte (Stripe Connect)

Paiements

Localisation

🇪🇺/🇺🇸UE+US (CCT)

Données traitées

Identité de facturation, montant. Aucune donnée carte stockée chez nous (PCI-DSS).

Conformité

DPA signé · CCT · PCI-DSS Level 1

Resend

Emails transactionnels

Communication

Localisation

🇪🇺EU

Données traitées

Email du destinataire, contenu de l'email transactionnel, métadonnées d'envoi.

Conformité

DPA signé · DKIM/SPF/DMARC · Hébergement UE

Cloudinary

Stockage images (logos, affiches, avatars)

Infrastructure

Localisation

🇺🇸US (CCT)

Données traitées

Images uploadées par les utilisateurs (logos clubs, sponsors, photos de profil).

Conformité

DPA signé · CCT · SOC 2 Type II

DUPR

Synchronisation classements officiels

Données joueur

Localisation

🇺🇸US (CCT)

Données traitées

Identité du joueur, résultats validés (consentement explicite requis). Token chiffré AES-256-GCM côté PickleDeck.

Conformité

Partenariat officiel · CCT · Consentement utilisateur

Le joueur active manuellement la connexion DUPR depuis son profil. Désactivable à tout moment.

Transferts de données hors Union européenne

Conformément à l'article 46 du RGPD, tout transfert de données personnelles hors UE est encadré par des Clauses Contractuelles Types (CCT) approuvées par la Commission européenne. Aucun transfert n'est effectué sans une garantie appropriée.

Stripe (UE/US)

CCT signées · Aucune donnée carte stockée chez PickleDeck (PCI-DSS Level 1 chez Stripe).

Cloudinary (US)

CCT signées · Images uniquement, pas de données identifiantes liées au fichier.

DUPR (US)

CCT signées · Activation manuelle par le joueur (consentement explicite). Désactivable à tout moment.

Vercel (Mondial)

CCT signées · Pas de données applicatives persistées (logs HTTP uniquement, anonymisés).

Aucun sous-traitant ne réutilise vos données à des fins commerciales. Aucun marketing publicitaire tiers. Aucun partage avec des courtiers de données.

Ajout d'un nouveau sous-traitant

Conformément aux engagements pris dans notre DPA, tout nouveau sous-traitant fait l'objet d'une procédure transparente :

  1. 1

    Évaluation préalable de la nécessité (proportionnalité RGPD)

  2. 2

    Vérification des engagements contractuels (DPA, CCT si hors UE)

  3. 3

    Audit des certifications (ISO 27001, SOC 2, PCI-DSS selon scope)

  4. 4

    Notification publique sur cette page avec préavis de 30 jours minimum

  5. 5

    Possibilité d'opposition par les clients institutionnels (clause DPA)

Une question ou besoin d'un détail ?

Pour les institutions et fédérations, nous fournissons sur demande la liste des certifications, les audits récents et un schéma d'architecture détaillé.

dpo@pickledeck.comTélécharger le DPA