Sous-traitants et prestataires
Liste exhaustive des sous-traitants au sens de l'article 28 RGPD et de la loi marocaine 09-08, avec finalité, localisation, catégories de données traitées et garanties contractuelles.
Engagement de transparence
Menzil Immobilier publie cette liste exhaustive et la met à jour dès qu'un nouveau sous-traitant est engagé. Tous nos sous-traitants sont liés par un Data Processing Addendum (DPA) reprenant les obligations de l'article 28 RGPD et imposant un niveau de protection au moins équivalent à nos propres engagements.
Pour les transferts hors Union européenne et hors Maroc, nous appliquons les Clauses Contractuelles Types (CCT) de la Commission européenne 2021/914 ou les certifications équivalentes (EU-US Data Privacy Framework).
Catégories de sous-traitants
- Hébergement, infrastructure, base de données
- Intelligence artificielle et traitement du langage
- Messagerie omnicanale et communications
- Signature électronique et identité
- Cartographie et géolocalisation
- CMS, contenu, médias
- Analytics, performance, monitoring
- Publicité et acquisition
- Productivité, calendrier, paiement
1. Hébergement, infrastructure, base de données
| Sous-traitant | Finalité | Pays / région | Catégories de données | Garanties |
|---|---|---|---|---|
| Vercel Inc. | Hébergement frontend Next.js, edge network, déploiement continu | USA (siège) · Frankfurt fra1 (UE) | Logs requêtes HTTP, IP, user-agent, contenu pages | DPA · SOC 2 · EU-US DPF |
| Supabase Inc. | Backend, PostgreSQL, authentification, storage, edge functions | Singapore (siège) · Frankfurt eu-central-1 (UE) | Toutes données métier (contacts, biens, mandats, messages, fichiers) | DPA · SOC 2 · ISO 27001 · HIPAA · SCC |
| Cloudinary Ltd. | Stockage, transformation et CDN des photos et vidéos de biens | USA (siège) · multi-région CDN | Photos biens, médias utilisateurs, vidéos visite, virtual staging | DPA · SOC 2 · EU-US DPF |
2. Intelligence artificielle et traitement du langage
| Sous-traitant | Finalité | Pays / région | Catégories de données | Garanties |
|---|---|---|---|---|
| Anthropic PBC (Claude API) | Génération de descriptions de biens, agent IA WhatsApp, pyramide IA interne (modèles Haiku/Sonnet/Opus 4.x) | USA | Messages WhatsApp, descriptions, prompts métier, données de contexte transmises explicitement | DPA · SOC 2 Type II · zero data retention possible · EU-US DPF |
| Groq Inc. | Transcription audio des notes vocales WhatsApp (Whisper) | USA | Fichiers audio des messages vocaux entrants | DPA · transcription éphémère sans rétention |
| REimagineHome | Virtual staging IA des photos de pièces vides | USA | Photos de biens (transmises temporairement) | DPA · suppression après traitement |
Engagement IA
Les données transmises aux fournisseurs IA ne sont pas utilisées pour entraîner leurs modèles publics. Anthropic propose un mode zero data retention activé pour les workloads sensibles. Pour Groq, les fichiers audio sont supprimés immédiatement après transcription.
3. Messagerie omnicanale et communications
| Sous-traitant | Finalité | Pays / région | Catégories de données | Garanties |
|---|---|---|---|---|
| Meta Platforms Ireland Ltd. (WhatsApp Business, Messenger, Instagram DM) | Messagerie commerciale entrante/sortante, agent IA, notifications transactionnelles | Irlande (RGPD) · serveurs UE et USA | Numéros téléphone, contenus messages, médias, métadonnées, opt-in/opt-out | DPA · CCT UE · Politique Business WhatsApp |
| Resend Inc. | Envoi d'emails transactionnels (confirmations, notifications, magic links) | USA | Email destinataire, contenu email, métadonnées de livraison | DPA · SOC 2 · GDPR compliant |
4. Signature électronique et identité
| Sous-traitant | Finalité | Pays / région | Catégories de données | Garanties |
|---|---|---|---|---|
| YouSign SAS | Signature électronique des mandats, compromis, bons de visite, contrats B2B | France (UE) | Identités signataires, documents PDF, traces de signature, horodatages | DPA · eIDAS qualifiée · ISO 27001 · ANSSI |
5. Cartographie et géolocalisation
| Sous-traitant | Finalité | Pays / région | Catégories de données | Garanties |
|---|---|---|---|---|
| Mapbox Inc. | Affichage cartes interactives, géocodage, draw-a-search polygone | USA (siège) · CDN global | Coordonnées GPS biens, IP utilisateur, requêtes géocodage | DPA · CCT UE · GDPR |
6. CMS, contenu, médias
| Sous-traitant | Finalité | Pays / région | Catégories de données | Garanties |
|---|---|---|---|---|
| Sanity.io (Sanity Inc.) | CMS articles de blog, fiches quartiers SEO | USA (siège) · multi-région | Contenus éditoriaux, images, métadonnées auteurs | DPA · SOC 2 · GDPR |
7. Analytics, performance, monitoring
| Sous-traitant | Finalité | Pays / région | Catégories de données | Garanties |
|---|---|---|---|---|
| Google Ireland Ltd. (Google Analytics 4) | Mesure d'audience anonymisée du site menzil.ma | Irlande (siège UE) · USA (traitement) | ID pseudonymisé, IP tronquée, parcours pages, événements | DPA · CCT UE · EU-US DPF · IP anonymisée |
| Vercel Analytics | Mesure performance Web Vitals (LCP, FID, CLS), Speed Insights | Frankfurt fra1 (UE) | URL pages, métriques de performance, user-agent agrégé | Sans cookies · données agrégées anonymes |
| Sentry (Functional Software Inc.) | Monitoring d'erreurs applicatives, stack traces, performance | USA (siège) · Frankfurt (UE) | Logs erreurs, stack traces, IP, user-agent (PII scrubbée) | DPA · SOC 2 · ISO 27001 · scrubbing PII |
8. Publicité et acquisition
| Sous-traitant | Finalité | Pays / région | Catégories de données | Garanties |
|---|---|---|---|---|
| Meta Platforms (Meta Ads, Meta Pixel) | Suivi conversions publicitaires, audiences personnalisées (avec consentement) | Irlande / USA | Événements pixel, ID anonymisé, conversions | DPA · CCT · consentement requis |
| TikTok For Business (TikTok Pixel) | Suivi conversions campagnes TikTok Ads (avec consentement) | Irlande / Singapour / USA | Événements pixel, ID anonymisé | DPA · consentement requis |
Ces traceurs publicitaires ne sont activés qu'avec votre consentement explicite via le bandeau cookies. Voir Politique cookies.
9. Productivité, calendrier, paiement
| Sous-traitant | Finalité | Pays / région | Catégories de données | Garanties |
|---|---|---|---|---|
| Google (Calendar API) | Synchronisation calendrier des visites planifiées | Irlande / USA | Événements calendrier (titre, date, participants) | DPA · EU-US DPF |
| Respond.io (optionnel — shared inbox B2B) | Inbox partagée pour les agents Menzil (Phase 2 optionnelle) | Hong Kong / Singapour / USA | Messages agrégés, identifiants conversations | DPA · ISO 27001 |
10. Information préalable et droit d'opposition
Conformément à l'article 28-2 du RGPD et aux dispositions de la loi 09-08, nous vous informons préalablement de tout changement concernant l'ajout ou le remplacement d'un sous-traitant. Vous disposez d'un droit d'opposition à exercer auprès du DPO : dpo@menzil.ma.
Si vous êtes un client B2B (Tenant pro.menzil.ma), l'Accord de traitement des données (DPA) formalise les modalités de notification (préavis 30 jours) et d'opposition.
11. Droit d'audit (B2B)
Les Tenants B2B peuvent, dans les conditions prévues à l'article 28-3-h du RGPD et au DPA, demander un audit annuel limité à la mise à disposition des certifications et rapports de conformité de Menzil et de ses sous-traitants (SOC 2, ISO 27001, attestations CCT, rapports de pénétration anonymisés).