Sous-traitants
MyShift fait appel aux sous-traitants suivants pour fournir le service. Cette liste est publiée en vertu de la nLPD art. 19 (Suisse) et du RGPD art. 28 (clients de l'UE).
Dernière mise à jour : 2026-06-06 (Pass 116-S2 — ajout d'Apple/Google comme fournisseurs d'identité d'authentification ; traduction FR/DE). Les clients reçoivent un préavis de 30 jours en cas de changement substantiel de sous-traitant via l'adresse e-mail enregistrée (notification manuelle en v1 ; flux RSS prévu en v1.5+).
| Fournisseur | Finalité | Juridiction | Base légale / garantie |
|---|---|---|---|
| Vercel (Phase A uniquement) | Hébergement web | US/UE | DPA + SCC |
| Supabase (Phase A uniquement) | Backend géré (authentification, base de données, stockage, temps réel) | US/UE | DPA + SCC |
| Infomaniak (Phase B) | Plateforme auto-hébergée (K8s + Postgres + S3) | CH | DPA |
| Stripe | Paiements (facturation CHF + TVA) | US / Irlande | DPA + SCC + DPF UE-US/UK/Suisse-US (actif, participant 6436) |
| Resend | E-mails transactionnels + liens magiques | US | DPA + SCC + DPF UE-US/UK (actif ; le DPF Suisse-US n'est pas revendiqué par Resend, les transferts sont couverts par les SCC) |
| Sentry | Suivi des erreurs côté serveur (SDK navigateur désactivé en Phase A) | US | DPA (v5.1.0, 2024-05-29 — obsolète, à revérifier avant le Sprint 8) + SCC + DPF UE-US/UK/Suisse-US (actif, participant 5869) |
| Infomaniak Network SA | Bureau d'enregistrement de domaine (my-shift.ch) | CH | DPA (couvre déjà l'hébergement Phase B chez le même fournisseur) |
| Plausible | Statistiques (sans cookie, sans donnée personnelle ; page d'accueil uniquement) | EE (UE) | DPA |
| Expo (EAS) | Infrastructure de compilation mobile | US | DPA + SCC |
| Bunny CDN (Phase B) | Réseau de diffusion de contenu | SI (UE) | DPA, adéquation UE |
| Twilio | SMS (invitations de gérants, alertes d'absence, sécurité critique uniquement) | US | DPA + SCC |
| Apple Inc. | Notifications push (APNs ; mobile uniquement) | US | Jeton à usage restreint uniquement ; pas de certification DPF (APNs est au niveau du système d'exploitation ; aucune donnée personnelle transmise) |
| Google LLC | Notifications push (FCM ; mobile uniquement) | US | Jeton à usage restreint uniquement + DPF UE-US/UK/Suisse-US (actif, participant 5780) |
| Apple Inc. — Sign in with Apple | Connexion SSO au tableau de bord client-admin : Apple renvoie des données d'identité (identifiant de compte, e-mail — réel ou un alias @privaterelay.appleid.com — et le nom lors du premier consentement). Aucun jeton Apple n'est conservé par MyShift (connexion uniquement). | US | DPA + SCC — Apple Inc. n'est PAS certifié DPF (apple.com/legal/privacy, consulté le 2026-06-06) ; le transfert repose sur les clauses contractuelles types (SCC) (pas de repli sur l'adéquation DPF). |
| Google LLC — connexion Google (OAuth) | Connexion SSO au tableau de bord client-admin : Google renvoie des données d'identité (identifiant de compte, e-mail). Aucun jeton Google n'est conservé pour le chemin de connexion (distinct de l'Agenda ci-dessous). | US | DPA + SCC + DPF UE-US/UK/Suisse-US (actif, participant 5780) |
| Google LLC — API Agenda (opt-in par employé) | Publication des services MyShift de l'employé dans un agenda Google « MyShift-Shifts » dédié (portée à moindre privilège calendar.app.created). Les jetons OAuth d'accès + de rafraîchissement sont chiffrés au repos. | US | DPA + SCC + DPF UE-US/UK/Suisse-US (actif, participant 5780) |
| Upstash Inc. (via la Marketplace Vercel) | Limitation de débit (anti-bot / anti-force-brute) sur les points d'authentification + d'inscription + le webhook Stripe. L'identifiant stocké est un hachage SHA-256 salé (pseudonymisé). | US (Upstash) / Irlande (instance eu-west-1) | SCC + DPA chaînés via les conditions de la Marketplace Vercel |
| GitHub Inc. | Hébergement du code source + exécuteurs CI (métadonnées de commit, artefacts de build, secrets de dépôt) ; aucune donnée personnelle de locataire MyShift | US | DPA + SCC + DPF UE-US/UK/Suisse-US (actif selon docs.github.com/en/site-policy/privacy-policies/global-privacy-practices, eff. 2026-04-27, consulté le 2026-05-11) ; DPA sur github.com/customer-terms/github-data-protection-agreement ; les données de locataire ne transitent pas par GitHub Actions |
Sous-traitants indirects (à titre informatif)
Les fournisseurs ci-dessus font appel à leurs propres prestataires d'infrastructure (sous-sous-traitants). MyShift n'a pas de relation contractuelle directe avec ces prestataires sous-jacents, mais les données y transitent de manière transitive. Nous les divulguons ici au titre des principes de transparence de la nLPD art. 19 + du RGPD art. 28, par. 2.
| Fournisseur direct | Prestataire(s) sous-jacent(s) | Source |
|---|---|---|
| Resend | Amazon Web Services Inc. (US) — hôte principal d'envoi d'e-mails | resend.com/legal/subprocessors (consulté le 2026-05-10) |
| Sentry | Amazon Web Services Inc. (US/UE), Google Cloud Platform (US/UE), Cloudflare Inc. (US) — infrastructure cloud | sentry.io/legal/subprocessors/ (consulté le 2026-05-10) |
| Stripe | Amazon Web Services Inc. (US) + Amazon Internet Services Pvt Ltd (Inde) — infrastructure cloud | stripe.com/legal/service-providers (consulté le 2026-05-10) |
| Twilio | Amazon Web Services, Google Cloud, Microsoft Azure — infrastructure cloud | www.twilio.com/en-us/legal/sub-processors (consulté le 2026-05-10) |
| Vercel | Amazon Web Services, Google Cloud, Microsoft Azure — infrastructure cloud | security.vercel.com (consulté le 2026-05-10) |
| Plausible | Hetzner Online GmbH (DE) — hébergement UE principal ; UpCloud Ltd (FI), Bunny.net (SI) — UE secondaire | plausible.io/privacy (consulté le 2026-05-10) |
Phase A vs Phase B
MyShift est actuellement en Phase A sur Vercel + Supabase Cloud (région AWS eu-west-1, Irlande, UE) pour un usage pilote. La Phase B est la cible de lancement commercial sur Infomaniak Genève (localisation suisse des données). Lors du basculement vers la Phase B, les lignes Vercel + Supabase Cloud sont remplacées par Infomaniak. Tous les autres sous-traitants restent inchangés d'une phase à l'autre.
Contact
Questions sur les sous-traitants ou demandes relatives à la protection des données : privacy@my-shift.ch.