Qauryx opère en tant qu'éditeur de logiciel et sous-traitant technique. Voici comment nous positionnons les responsabilités, les flux et les certifications, sans jargon inutile.
Cette distinction est fondamentale pour comprendre la chaîne de responsabilité et les flux financiers.
QAURYX SAS n'est pas un Prestataire de Services de Paiement (PSP) au sens de la Directive (UE) 2015/2366 (DSP2) ni un établissement de paiement ou de monnaie électronique. Nous ne détenons aucune licence ACPR ni équivalent européen.
Nous fournissons un logiciel d'orchestration de checkout qui s'appuie sur votre compte Stripe Payments Europe Ltd. (PSP licencié par la Banque centrale d'Irlande), avec lequel vous avez un contrat direct. Les fonds ne transitent jamais par Qauryx. Ils circulent de votre acheteur vers Stripe puis vers votre compte bancaire, selon les conditions négociées avec Stripe.
Qauryx est donc, au sens du RGPD, un sous-traitant de vos données personnelles ; et au sens commercial, un éditeur SaaS. La responsabilité d'établissement de paiement reste celle de Stripe.
Statut transparent, frameworks actifs et roadmap.
Qauryx ne touche jamais les données de carte en clair — celles-ci sont tokenisées dans l'environnement PCI de Stripe. Nous maintenons le SAQ-A qui correspond strictement à ce périmètre.
DPO interne, registre des traitements à jour, AIPD pour les traitements à risque, DPAs signés par défaut avec tous les clients de production.
Notre orchestration applique automatiquement 3DS2 lorsque requis par la régulation européenne, avec exemption TRA quand le scoring le permet.
Période d'observation entamée en mars 2026. Rapport SOC 2 Type II disponible sous NDA à compter de septembre 2026.
Politiques rédigées, comité sécurité opérationnel, audit blanc planifié. Certification visée fin 2026.
Les obligations de lutte anti-blanchiment incombent à votre PSP (Stripe). Nous lui transmettons les signaux pertinents (scoring ML, geo, device).
Liste exhaustive et à jour des sous-traitants intervenant dans la chaîne de traitement. Mise à jour notifiée 30 jours à l'avance.
| Sous-traitant | Rôle | Région | Mécanisme |
|---|---|---|---|
| Stripe Payments Europe Ltd. | PSP — traitement des paiements | IE (UE) | Contrat client direct |
| Amazon Web Services EMEA | Hébergement applicatif & base de données | FR · DE (UE) | DPA + SCC |
| Cloudflare Inc. | CDN, WAF, anti-DDoS | Global (DPF) | DPA + SCC + DPF |
| Datadog Inc. | Observabilité, logs & SIEM | FR (UE) | DPA · sites UE only |
| Sentry / Functional Software | Tracking d'erreurs applicatives | UE only | DPA · sites UE only |
| Resend | Emails transactionnels | UE | DPA |
| HashiCorp Vault Enterprise | Gestion des secrets (on-prem AWS) | UE | Hébergé chez nous |
| Linear & Notion (KB interne) | Outils internes — aucune PII client | US (DPF) | DPA + SCC + DPF |
Modèles standards conformes aux clauses contractuelles types, signés en quelques minutes.
Notre DPA reprend intégralement les Clauses Contractuelles Types adoptées par la Commission européenne (Décision 2021/914) pour les transferts de données. Il est automatiquement applicable à tout client en production, et signable en e-signature depuis le dashboard.
Pour vos questionnaires fournisseur (SIG, CAIQ, vendor risk), nous fournissons un dossier complet sur demande sous NDA. Contient : politique sécurité, pentest report, runbook DR, organigramme, certificats.
Droits CCPA/CPRA, signal GPC honoré, aucune vente ni partage de données personnelles.
Pour les résidents de Californie, Qauryx respecte les droits prévus par le California Consumer Privacy Act tel que modifié par le CPRA : droits d'accès, de correction, de suppression, de portabilité et d'opposition à toute « vente » ou « partage » de données personnelles. Qauryx ne vend ni ne loue de données personnelles et n'engage aucun « partage » au sens du CPRA.
Nous honorons automatiquement les signaux Global Privacy Control (GPC) émis par le navigateur. Pour exercer ces droits : hello@qauryx.io, objet « CCPA Request ».
Infrastructure principale dans l'Union européenne. Transferts encadrés par CCT & DPF.
L'infrastructure primaire de Qauryx est hébergée chez Amazon Web Services EMEA dans les régions eu-west-3 (Paris) et eu-central-1 (Francfort). Les données opérationnelles ne quittent pas l'UE par défaut.
La résidence des données traitées par Stripe est définie par Stripe et documentée dans Stripe Data Residency.
Délégation à Stripe pour les obligations plateformes.
Les obligations de reporting fiscal des plateformes (DAC7 dans l'UE, 1099-K aux États-Unis au-delà des seuils fédéraux et étatiques, équivalents nationaux) sont assurées par Stripe en sa qualité d'opérateur de plateforme régulé. Qauryx n'émet aucun formulaire fiscal et ne déclare pas pour le compte des marchands.
Les obligations fiscales propres à QAURYX SAS (impôt sur les sociétés, TVA sur les frais de logiciel) sont déposées par Qauryx auprès de la DGFiP.
Notre équipe répond aux RFP, questionnaires sécurité et demandes juridiques sous 5 jours ouvrés.