Conformément à notre Politique de confidentialité et à notre Entente de traitement des données (DPA), nous publions la liste des sous-traitants ultérieurs auxquels nous recourons pour la fourniture du Service Embera.
Chaque sous-traitant est sélectionné selon des critères stricts de sécurité, conformité et localisation des données. Une évaluation des facteurs relatifs à la vie privée (EFVP) est réalisée avant tout engagement, conformément à l'article 3.3 de la Loi 25.
Notification de modification : tout ajout ou remplacement de sous-traitant sera notifié aux clients sous contrat DPA au moins 30 jours avant son entrée en vigueur.
| Finalité | Hébergement de la base de données PostgreSQL et de l'application Embera |
| Localisation | Beauharnois, Québec, Canada |
| Catégories de données | Toutes les données de la plateforme (users, rapports, permissions, journaux) |
| Certifications | ISO 27001, SOC 1/2/3, PCI-DSS, HDS (santé) |
| Contrat | DPA signé avec OVHcloud, clauses Loi 25 intégrées |
| Juridiction | Canada - pas de transfert hors Canada |
| Finalité | Hébergement des rapports Power BI (Fabric F SKU), authentification Azure AD pour le Service Principal, envoi de courriels transactionnels via Microsoft Graph, intégration cloud-native |
| Localisation | Centres de données au Canada (Toronto et Québec) |
| Catégories de données | Rapports Power BI (.pbix), jeux de données, courriels des utilisateurs, adresses courriel pour notifications |
| Certifications | ISO 27001, ISO 27017, ISO 27018, SOC 1/2/3, HIPAA, FedRAMP High, Loi 25 (conformité documentée) |
| Contrat | Microsoft Product Terms + Data Protection Addendum (DPA) |
| Juridiction | Données résidentes au Canada ; Microsoft étant une société états-unienne, certaines obligations légales américaines peuvent s'appliquer |
| Finalité | Traitement sécurisé des paiements par carte, gestion des abonnements, émission de factures |
| Localisation | États-Unis (siège) ; Stripe est une entreprise mondiale |
| Catégories de données | Informations de facturation, courriel, nom, adresse, données de transaction (montants, dates, statuts) |
| Ce qui n'est PAS transmis à Stripe par Embera | Aucun contenu de rapport, aucune donnée d'affaires du client |
| Ce qui n'est PAS conservé par Embera | Numéros de cartes bancaires (tokenisés par Stripe) |
| Certifications | PCI-DSS Niveau 1, SOC 1/2 Type II, ISO 27001 |
| Contrat | Stripe Data Processing Agreement |
| Juridiction | États-Unis - transfert hors Québec encadré par clauses contractuelles équivalentes |
Les outils d'observabilité sont auto-hébergés sur notre infrastructure OVHcloud Canada. Aucune donnée de journaux n'est envoyée à des services tiers.
Les journaux contiennent : horodatages, identifiants de requête, codes HTTP, métriques de performance. Aucun contenu de rapport n'y figure.
Certains clients peuvent activer des intégrations additionnelles. Celles-ci ne sont pas utilisées par défaut et sont documentées ici pour transparence.
Si activé en remplacement de Microsoft Graph pour des envois en volume : DPA signé, certifications SOC 2 Type II. Localisation : États-Unis.
Alternative à SendGrid selon configuration. Mêmes engagements contractuels.
En production, utilisé pour stocker et faire pivoter les secrets d'application (clés API, chaînes de connexion). Aucune donnée personnelle de l'utilisateur final. Centres Microsoft Canada.
Pour chaque sous-traitant, nous :
Les rapports SOC 2 de nos sous-traitants et nos EFVP sont disponibles sur demande pour les clients sous DPA.
| Date | Modification |
|---|---|
| 2026-04-21 | Version initiale publique |
Pour toute question ou pour vous abonner aux notifications de modification de cette liste :
Courriel : privacy@embera.ca