← Retour

Liste des sous-traitants (art. 28 RGPD)

Document interne - tenu à jour par le responsable de traitement, à présenter à la CNIL sur demande. Article 28 du Règlement (UE) 2016/679.

Responsable de traitement : Dynamyk Océan Indien, Sud : 368 Rue Hubert Delisle, Appt 16, 97430 Le Tampon Nord : 41 rue des Poivriers, 97400 Saint-Denis - contact@missmisteroi.com
Représentant légal : HORN Teddy, Président
Contact RGPD : contact@missmisteroi.com

1. Cartographie des sous-traitants

Sous-traitant	Rôle	Données traitées	Localisation	DPA signé
Hostinger International Ltd. 61 Lordou Vironos St, 6023 Larnaca, Chypre	Hébergement web, base MySQL, stockage uploads, envoi SMTP	Toutes (auth, membres, finance, documents chiffrés, audit)	Union européenne (Chypre / Lituanie)	À signer / DPA standard Hostinger
Web Push (auto-hébergé) Protocole W3C Web Push + VAPID - pas de tiers	Envoi des notifications push navigateur	Endpoint push (anonyme), titre et message	Navigateur de l'utilisateur (Google FCM, Mozilla, Apple selon l'agent)	Non applicable - protocole W3C
Google FCM / Mozilla autopush / Apple APNs Relais push des navigateurs	Relais technique des notifications vers le terminal	Endpoint anonyme + payload chiffré (AES-128-GCM)	Monde entier (varie selon le navigateur)	Consentement utilisateur lors de l'activation push
Aucun autre sous-traitant	-	Pas d'analytics, pas de publicité, pas de CDN tiers, pas de SaaS externe	-	-

2. Fiche détaillée - Hostinger (sous-traitant principal)

Objet du sous-traitement

Hébergement mutualisé du site applicatif (dynamykoi.org/appli), hébergement de la base MySQL MariaDB, stockage des fichiers uploadés, relais SMTP pour les envois de courriels depuis l'application.

Nature et finalité

Hostinger met à disposition l'infrastructure technique permettant à l'association de faire fonctionner sa plateforme interne. Hostinger agit exclusivement sur instructions documentées de l'association (responsable de traitement).

Catégories de données

Identité : nom, prénom, date de naissance, adresse postale
Coordonnées : courriel, téléphone, contact d'urgence
Authentification : hash de mot de passe (bcrypt), jetons de session
Données sensibles chiffrées : photocopies de pièces d'identité (AES-256-GCM, clé détenue par l'association)
Journaux d'audit et de connexion

Durée

Durée du contrat d'hébergement (renouvelé annuellement). Les données sont supprimées en fin de contrat ou à la demande expresse.

Garanties

Hostinger est certifié ISO/IEC 27001 (sécurité de l'information).
Hébergement physique dans l'Union européenne.
Sauvegardes automatiques hebdomadaires incluses.
Accès administrateur sécurisé par mot de passe fort + 2FA recommandée.
Connexions chiffrées TLS 1.2+ pour l'administration et le front utilisateur.
Les documents les plus sensibles (pièces d'identité) sont chiffrés côté application avant écriture disque : même un accès à l'hébergeur ne suffit pas à les lire sans la clé.

Sous-sous-traitants d'Hostinger

Hostinger peut recourir à des sous-traitants pour les services d'infrastructure (datacenters, équipements réseau). La liste à jour est publiée par Hostinger dans son DPA et ses conditions générales. L'association doit en être informée en cas de changement important.

3. Fiche détaillée - Relais push navigateurs

Les notifications push passent par le service relais du navigateur de l'utilisateur (Google FCM pour Chrome/Edge, Mozilla autopush pour Firefox, Apple APNs pour Safari). Ces relais ne sont pas choisis par l'association : ils sont imposés par le navigateur. Le contenu des notifications est chiffré de bout en bout (AES-128-GCM + clé VAPID) et n'est lisible que par le terminal de l'utilisateur. Les relais voient uniquement un endpoint anonyme et un payload opaque.

L'utilisateur consent explicitement à l'activation des notifications push lors de leur première activation (boîte de dialogue navigateur + toggle in-app).

4. Checklist de conformité art. 28

À remplir et archiver pour chaque sous-traitant actif.

Contrat écrit signé (DPA - Data Processing Agreement) précisant l'objet, la durée, la nature et la finalité du traitement.
Liste des catégories de données et de personnes concernées dans le contrat.
Obligations du sous-traitant : confidentialité, sécurité, notification d'incident, assistance en cas de demande d'exercice de droits.
Encadrement des transferts hors UE (clauses contractuelles types si applicable - non requis pour Hostinger EU).
Audits : droit d'audit ou équivalent (certification ISO 27001 acceptée).
Sort des données en fin de contrat : suppression ou retour au responsable de traitement.
Liste des sous-sous-traitants et mécanisme de notification des changements.
Copie archivée du DPA Hostinger à jour : à télécharger sur hpanel.hostinger.com → Facturation → DPA

5. Révision annuelle

Cette liste doit être revue au minimum une fois par an par le bureau de l'association et lors de tout changement majeur (ajout/retrait de prestataire, évolution technique). La date de dernière revue est consignée ci-dessous.

Dernière revue : 24 avril 2026 - HORN Teddy, Président
Prochaine revue prévue : 24 avril 2027

Version 1.0 - 24/04/2026