v2 all Effective: February 2026

Liste des sous-traitants

Date d'entrée en vigueur : 13 février 2026

Dernière mise à jour : 13 février 2026

Résumé

La présente page liste les sous-traitants auxquels BlackLab Studio fait appel pour le fonctionnement de sa Plateforme, conformément aux exigences de transparence de la nLPD suisse (art. 19 nLPD) et du RGPD (art. 28 RGPD). BlackLab Studio fait appel à un nombre limité de sous-traitants, tous sélectionnés pour leur conformité aux normes de protection des données. Aucun sous-traitant n'est utilisé à des fins d'analytique ou de suivi publicitaire. Cette liste est mise à jour régulièrement.

1. Sous-traitants actuels

1.1 Hébergement

Sous-traitant	[TODO À CONFIRMER : nom de l'hébergeur]
Finalité	Hébergement de l'infrastructure serveur dédiée
Données traitées	Toutes les données hébergées sur la Plateforme (données de compte, fichiers marketplace, logs)
Localisation	Suisse
Garanties	Serveur dédié (pas de mutualisation), données hébergées exclusivement en Suisse
Base juridique transfert	Pas de transfert international (données en Suisse)
Site web	[TODO À CONFIRMER]

1.2 Paiements

Sous-traitant	PayPal (Europe) S.à r.l. et Cie, SCA
Finalité	Traitement des paiements (achats de crédits, versements aux créateurs)
Données traitées	Adresse email, données de transaction, montants, identifiants PayPal
Localisation	Luxembourg (Union européenne)
Garanties	Établissement de crédit agréé par la CSSF ; conforme au RGPD
Base juridique transfert	UE -- niveau de protection adéquat reconnu par la Suisse
Site web	https://www.paypal.com
Politique de confidentialité	https://www.paypal.com/webapps/mpp/ua/privacy-full

1.3 Polices web

Sous-traitant	Google LLC (Google Fonts)
Finalité	Livraison de polices de caractères web
Données traitées	Adresse IP, en-tête User-Agent (requête HTTP technique)
Localisation	États-Unis
Garanties	EU-U.S. Data Privacy Framework [TODO À CONFIRMER : statut actuel du DPF] ; clauses contractuelles types (CCT)
Base juridique transfert	Art. 16 al. 2 nLPD / art. 46 RGPD (CCT et/ou DPF)
Site web	https://fonts.google.com
Politique de confidentialité	https://policies.google.com/privacy

Note : Google Fonts effectue une livraison de fichiers de polices via HTTP. Aucun cookie n'est déposé. Les données collectées se limitent aux métadonnées techniques de la requête HTTP.

1.4 CDN (Content Delivery Network)

Sous-traitant	unpkg.com (opéré via Cloudflare, Inc.)
Finalité	Livraison de bibliothèques JavaScript
Données traitées	Adresse IP, en-tête User-Agent (requête HTTP technique)
Localisation	États-Unis (réseau mondial CDN)
Garanties	EU-U.S. Data Privacy Framework [TODO À CONFIRMER] ; clauses contractuelles types (CCT)
Base juridique transfert	Art. 16 al. 2 nLPD / art. 46 RGPD (CCT et/ou DPF)
Site web	https://unpkg.com
Politique de confidentialité Cloudflare	https://www.cloudflare.com/privacypolicy/

Note : unpkg.com est un CDN servant des packages npm. Les données collectées se limitent aux métadonnées techniques des requêtes HTTP.

2. Sous-traitants NON utilisés

Pour la transparence, BlackLab Studio confirme ne pas utiliser les services suivants :

Service	Catégorie	Statut
Google Analytics	Analytique web	Non utilisé
Facebook Pixel	Suivi publicitaire	Non utilisé
Hotjar, Mixpanel, Amplitude	Analytique comportementale	Non utilisé
Mailchimp, SendGrid, etc.	Envoi d'emails marketing	Non utilisé (email désactivé)
AWS, Azure, GCP	Cloud computing	Non utilisé (hébergement dédié en Suisse)
Stripe	Paiements	Non utilisé (PayPal uniquement)

3. Engagements de BlackLab Studio

3.1 Sélection des sous-traitants

BlackLab Studio sélectionne ses sous-traitants en tenant compte de :

leur conformité aux normes de protection des données (nLPD, RGPD) ;
la localisation du traitement (préférence pour la Suisse et l'UE/EEE) ;
l'existence de garanties contractuelles appropriées ;
la minimisation des données transmises.

3.2 Encadrement contractuel

Les relations avec les sous-traitants sont encadrées par des accords de traitement des données (DPA) conformes à l'art. 9 nLPD et à l'art. 28 RGPD (voir notre Accord de traitement des données type).

3.3 Notification des modifications

En cas d'ajout ou de changement de sous-traitant impliquant un traitement significatif de données personnelles, BlackLab Studio :

mettra à jour la présente liste ;
informera les Utilisateurs via la Plateforme (notification dans le Compte) ;
accordera un délai raisonnable pour toute objection.

4. Mise à jour

La présente liste est vérifiée et mise à jour au minimum une fois par an, ou à chaque changement de sous-traitant.

Version	Date	Modification
1.0	13 février 2026	Version initiale

5. Contact

Pour toute question relative aux sous-traitants :

Protection des données	privacy@blacklab.studio
Contact général	contact@blacklab.studio

La présente Liste des sous-traitants complète notre Politique de confidentialité et notre Accord de traitement des données.

Subprocessor List

Effective Date: February 13, 2026

Last Updated: February 13, 2026

Summary

This document lists all third-party subprocessors used by BlackLab Studio that may process personal data on behalf of, or in connection with, the Platform. BlackLab Studio maintains a minimal subprocessor footprint consistent with our privacy-by-design approach. We use only three external services: PayPal for payment processing, Google Fonts for font delivery, and unpkg.com for JavaScript library delivery. All primary data processing occurs on a dedicated server located in Switzerland. This list is maintained in compliance with the Swiss Federal Act on Data Protection (nFADP) and, for EU/EEA users, the General Data Protection Regulation (GDPR, Art. 28).

1. What Is a Subprocessor?

A subprocessor is a third-party entity engaged by BlackLab Studio (as data controller or data processor) to process personal data in connection with the provision of our Services. Under the GDPR (Art. 28(2)) and the nFADP (Art. 9), we are required to inform you of such subprocessors.

2. Current Subprocessors

2.1 Hosting Infrastructure

Subprocessor	Purpose	Data Processed	Location	Legal Basis
[TODO TO BE CONFIRMED: hosting provider name]	Dedicated server hosting -- all Platform data and services	All Platform data (account data, logs, marketplace content, payment metadata)	Switzerland	Performance of a contract / Legitimate interest

2.2 Payment Processing

Subprocessor	Purpose	Data Processed	Location	Legal Basis
PayPal (Europe) S.à r.l. et Cie, SCA	Payment processing for Credit purchases, Marketplace transactions, and Creator payouts	Email address, transaction amounts, transaction IDs, payment method details	Luxembourg (EU)	Performance of a contract

PayPal Contact:

22-24 Boulevard Royal, L-2449 Luxembourg

2.3 Content Delivery / Frontend Resources

Subprocessor	Purpose	Data Processed	Location	Legal Basis
Google LLC (Google Fonts)	Font file delivery for Platform UI	IP address, browser user-agent (transmitted automatically by the browser)	USA (with EU infrastructure via Google Ireland Limited)	Legitimate interest
unpkg.com (Cloudflare-backed CDN)	JavaScript library delivery	IP address, browser user-agent (transmitted automatically by the browser)	USA	Legitimate interest

Google Contact:

Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Ireland

unpkg.com:

Operated by Michael Jackson; CDN backed by Cloudflare, Inc.

Cloudflare Privacy Policy: https://www.cloudflare.com/privacypolicy/

3. Services We Do NOT Use

For transparency, BlackLab Studio confirms that we do not use the following categories of subprocessors:

Analytics services (no Google Analytics, Matomo, Mixpanel, or similar);
Advertising or retargeting platforms (no Google Ads, Facebook Pixel, or similar);
Customer data platforms or CDPs;
Email marketing platforms (email is configured but currently disabled);
Push notification services;
A/B testing tools;
Error tracking services (e.g., Sentry, Bugsnag -- not used);
Social login providers (no "Sign in with Google/Facebook/etc.").

4. Data Transfer Safeguards

Subprocessor	Transfer Destination	Adequacy / Safeguard
Hosting provider	Switzerland	Adequate (domestic)
PayPal	Luxembourg (EU)	Adequate (EU adequacy for Switzerland; EU-based processor)
Google Fonts	USA	EU-US Data Privacy Framework; Standard Contractual Clauses (SCCs)
unpkg.com	USA	Standard Contractual Clauses (SCCs) where applicable

Switzerland is recognized by the European Commission as providing an adequate level of data protection. For transfers to the USA, we rely on the mechanisms listed above, in accordance with Art. 16-17 nFADP and Chapter V GDPR.

5. Changes to Subprocessors

5.1 Notification

BlackLab Studio will update this page when subprocessors are added, removed, or changed. Material changes (e.g., a new subprocessor that processes additional categories of personal data) will be communicated through the Platform.

5.2 Objection Right

If you are subject to a Data Processing Agreement (DPA) with BlackLab Studio, you may object to new subprocessors within the period specified in the DPA. See our Data Processing Agreement for details.

5.3 Change Log

Date	Change
February 13, 2026	Initial subprocessor list published

6. Related Documents

7. Contact

For questions about our subprocessors or data processing:

Email: privacy@blacklab.studio

BlackLab Studio

[TODO TO BE CONFIRMED: full postal address]

Switzerland

This Subprocessor List is effective as of February 13, 2026.