Sous-traitants

MyShift fait appel aux sous-traitants suivants pour fournir le service. Cette liste est publiée en vertu de la nLPD art. 19 (Suisse) et du RGPD art. 28 (clients de l'UE).

Dernière mise à jour : 2026-06-06 (Pass 116-S2 — ajout d'Apple/Google comme fournisseurs d'identité d'authentification ; traduction FR/DE). Les clients reçoivent un préavis de 30 jours en cas de changement substantiel de sous-traitant via l'adresse e-mail enregistrée (notification manuelle en v1 ; flux RSS prévu en v1.5+).

FournisseurFinalitéJuridictionBase légale / garantie
Vercel (Phase A uniquement)Hébergement webUS/UEDPA + SCC
Supabase (Phase A uniquement)Backend géré (authentification, base de données, stockage, temps réel)US/UEDPA + SCC
Infomaniak (Phase B)Plateforme auto-hébergée (K8s + Postgres + S3)CHDPA
StripePaiements (facturation CHF + TVA)US / IrlandeDPA + SCC + DPF UE-US/UK/Suisse-US (actif, participant 6436)
ResendE-mails transactionnels + liens magiquesUSDPA + SCC + DPF UE-US/UK (actif ; le DPF Suisse-US n'est pas revendiqué par Resend, les transferts sont couverts par les SCC)
SentrySuivi des erreurs côté serveur (SDK navigateur désactivé en Phase A)USDPA (v5.1.0, 2024-05-29 — obsolète, à revérifier avant le Sprint 8) + SCC + DPF UE-US/UK/Suisse-US (actif, participant 5869)
Infomaniak Network SABureau d'enregistrement de domaine (my-shift.ch)CHDPA (couvre déjà l'hébergement Phase B chez le même fournisseur)
PlausibleStatistiques (sans cookie, sans donnée personnelle ; page d'accueil uniquement)EE (UE)DPA
Expo (EAS)Infrastructure de compilation mobileUSDPA + SCC
Bunny CDN (Phase B)Réseau de diffusion de contenuSI (UE)DPA, adéquation UE
TwilioSMS (invitations de gérants, alertes d'absence, sécurité critique uniquement)USDPA + SCC
Apple Inc.Notifications push (APNs ; mobile uniquement)USJeton à usage restreint uniquement ; pas de certification DPF (APNs est au niveau du système d'exploitation ; aucune donnée personnelle transmise)
Google LLCNotifications push (FCM ; mobile uniquement)USJeton à usage restreint uniquement + DPF UE-US/UK/Suisse-US (actif, participant 5780)
Apple Inc. — Sign in with AppleConnexion SSO au tableau de bord client-admin : Apple renvoie des données d'identité (identifiant de compte, e-mail — réel ou un alias @privaterelay.appleid.com — et le nom lors du premier consentement). Aucun jeton Apple n'est conservé par MyShift (connexion uniquement).USDPA + SCC — Apple Inc. n'est PAS certifié DPF (apple.com/legal/privacy, consulté le 2026-06-06) ; le transfert repose sur les clauses contractuelles types (SCC) (pas de repli sur l'adéquation DPF).
Google LLC — connexion Google (OAuth)Connexion SSO au tableau de bord client-admin : Google renvoie des données d'identité (identifiant de compte, e-mail). Aucun jeton Google n'est conservé pour le chemin de connexion (distinct de l'Agenda ci-dessous).USDPA + SCC + DPF UE-US/UK/Suisse-US (actif, participant 5780)
Google LLC — API Agenda (opt-in par employé)Publication des services MyShift de l'employé dans un agenda Google « MyShift-Shifts » dédié (portée à moindre privilège calendar.app.created). Les jetons OAuth d'accès + de rafraîchissement sont chiffrés au repos.USDPA + SCC + DPF UE-US/UK/Suisse-US (actif, participant 5780)
Upstash Inc. (via la Marketplace Vercel)Limitation de débit (anti-bot / anti-force-brute) sur les points d'authentification + d'inscription + le webhook Stripe. L'identifiant stocké est un hachage SHA-256 salé (pseudonymisé).US (Upstash) / Irlande (instance eu-west-1)SCC + DPA chaînés via les conditions de la Marketplace Vercel
GitHub Inc.Hébergement du code source + exécuteurs CI (métadonnées de commit, artefacts de build, secrets de dépôt) ; aucune donnée personnelle de locataire MyShiftUSDPA + SCC + DPF UE-US/UK/Suisse-US (actif selon docs.github.com/en/site-policy/privacy-policies/global-privacy-practices, eff. 2026-04-27, consulté le 2026-05-11) ; DPA sur github.com/customer-terms/github-data-protection-agreement ; les données de locataire ne transitent pas par GitHub Actions

Sous-traitants indirects (à titre informatif)

Les fournisseurs ci-dessus font appel à leurs propres prestataires d'infrastructure (sous-sous-traitants). MyShift n'a pas de relation contractuelle directe avec ces prestataires sous-jacents, mais les données y transitent de manière transitive. Nous les divulguons ici au titre des principes de transparence de la nLPD art. 19 + du RGPD art. 28, par. 2.

Fournisseur directPrestataire(s) sous-jacent(s)Source
ResendAmazon Web Services Inc. (US) — hôte principal d'envoi d'e-mailsresend.com/legal/subprocessors (consulté le 2026-05-10)
SentryAmazon Web Services Inc. (US/UE), Google Cloud Platform (US/UE), Cloudflare Inc. (US) — infrastructure cloudsentry.io/legal/subprocessors/ (consulté le 2026-05-10)
StripeAmazon Web Services Inc. (US) + Amazon Internet Services Pvt Ltd (Inde) — infrastructure cloudstripe.com/legal/service-providers (consulté le 2026-05-10)
TwilioAmazon Web Services, Google Cloud, Microsoft Azure — infrastructure cloudwww.twilio.com/en-us/legal/sub-processors (consulté le 2026-05-10)
VercelAmazon Web Services, Google Cloud, Microsoft Azure — infrastructure cloudsecurity.vercel.com (consulté le 2026-05-10)
PlausibleHetzner Online GmbH (DE) — hébergement UE principal ; UpCloud Ltd (FI), Bunny.net (SI) — UE secondaireplausible.io/privacy (consulté le 2026-05-10)

Phase A vs Phase B

MyShift est actuellement en Phase A sur Vercel + Supabase Cloud (région AWS eu-west-1, Irlande, UE) pour un usage pilote. La Phase B est la cible de lancement commercial sur Infomaniak Genève (localisation suisse des données). Lors du basculement vers la Phase B, les lignes Vercel + Supabase Cloud sont remplacées par Infomaniak. Tous les autres sous-traitants restent inchangés d'une phase à l'autre.

Contact

Questions sur les sous-traitants ou demandes relatives à la protection des données : privacy@my-shift.ch.

Politique de confidentialitéAccueil