Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.
Essayer FlowConsentPlan gratuit · Installation 10 min
Heroku est une plateforme en tant que service (PaaS) qui héberge depuis 2007 des applications Ruby, Node.js, Python, PHP, Java, Go et Clojure. Acquise par Salesforce en 2010, Heroku fonctionne sur AWS avec une région européenne (eu-west-1 Irlande) et des Private Spaces à Francfort et Dublin. Heroku ne pose pas en propre de cookies sur les visiteurs publics d'une application hébergée ; le propriétaire de l'application reste responsable des cookies et de l'analytique qu'il déploie au dessus de Heroku.
Heroku est l''une des plus anciennes plateformes en tant que service, fondée en 2007 et acquise par Salesforce en 2010. Elle héberge des applications Ruby, Node.js, Python, PHP, Java, Go et Clojure sur des dynos qui s''exécutent sur AWS, avec CI/CD intégré, un large marketplace d''add ons (Heroku Postgres, Heroku Redis, Heroku Connect, Heroku Data for Redis, outils data et observabilité tiers) et Heroku Shield pour les charges HIPAA et PCI. La plupart des clients utilisent Heroku pour des API, des outils internes et des SaaS B2B.
Heroku traite l''adresse IP, l''URL, la méthode HTTP, les en têtes et les paramètres TLS nécessaires au routage des requêtes vers les dynos. Les logs (Logplex) incluent les métadonnées de requête et toute ligne émise par l''application. Les add ons Heroku Postgres et Heroku Data stockent les données applicatives que le client persiste. Heroku ne pose pas en propre de cookies sur les visiteurs publics des applications clientes.
Les adresses IP traitées par le routeur Heroku sont des données personnelles au sens du RGPD. Heroku agit en sous traitant pour l''application cliente et en responsable pour des finalités limitées d''exploitation. L''hébergement pur n''écrivant pas d''information sur le terminal, la règle de consentement ePrivacy n''est pas déclenchée. L''opérateur de l''application reste responsable des cookies, de l''analytique et des scripts marketing qu''il charge dans les réponses du dyno.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Heroku Common Runtime propose une région européenne (eu-west-1 Irlande) ; Heroku Private Spaces étend la couverture à Francfort et Dublin pour une résidence UE complète. Le plan de contrôle, le support client et les données de compte sont opérés depuis les États Unis. Les transferts s''appuient sur l''Addendum Salesforce au traitement, les Clauses Contractuelles Types européennes au sens de l''article 46, paragraphe 2, point c) du RGPD et le Data Privacy Framework UE États Unis, avec TLS 1.3, chiffrement au repos, ISO 27001, SOC 2 Type II et Heroku Shield pour HIPAA et PCI DSS.
Signez l''Addendum Salesforce, déployez vos applications en région européenne (ou dans un Private Space à Francfort ou Dublin) pour la résidence UE, configurez la rétention des logs Logplex, chiffrez les colonnes sensibles dans Heroku Postgres et envisagez Heroku Shield pour les charges HIPAA et PCI. Inscrivez Heroku comme sous traitant dans le registre des activités de traitement et mentionnez le transfert vers Salesforce aux États Unis dans la politique de confidentialité.
Les sites web utilisant Heroku doivent obtenir le consentement des utilisateurs conformement au RGPD.
Considerations AIPD
Une AIPD n'est en général pas requise pour un SaaS standard hébergé sur Heroku. Une AIPD est recommandée lorsque l'application procède à un profilage systématique, lorsque Heroku Postgres et Heroku Connect stockent de gros volumes de données personnelles européennes, lorsque Heroku Shield est utilisé pour des charges HIPAA ou lorsque le client opère dans un secteur régulé.
Exemple de texte de consentement
Cette application est hébergée sur Heroku, un PaaS exploité par Heroku Inc. (filiale de Salesforce, États Unis) sur AWS en région Irlande. Heroku traite l'adresse IP, l'URL et les en têtes nécessaires au routage du trafic. En acceptant, vous autorisez ce transfert vers les serveurs Heroku et Salesforce, y compris aux États Unis, sous Clauses Contractuelles Types européennes et Data Privacy Framework UE États Unis.
Domaines tiers contactes
heroku.comherokuapp.comheroku-app.comsalesforce.comCe service peut collecter des donnees utilisateur. Assurez votre conformite RGPD avec FlowConsent.
Non. Heroku est une plateforme d'hébergement et ne pose pas de cookies sur les visiteurs publics des applications clientes. Les cookies présents sur un site hébergé sur Heroku proviennent du code de l'application ou de scripts tiers que l'application charge.
Non. L'hébergement et le routage HTTP n'écrivent pas d'information sur le terminal, la règle de consentement ePrivacy n'est donc pas déclenchée. Les obligations de consentement proviennent de l'application qui fonctionne sur Heroku, pas de Heroku lui même.
Pour l'hébergement et le routage de l'application, la base légale est l'intérêt légitime au sens de l'article 6, paragraphe 1, point f) du RGPD. Le contrat avec Heroku relève de l'article 6, paragraphe 1, point b) du RGPD. Les données personnelles stockées dans Heroku Postgres ou Heroku Connect suivent la base légale choisie par l'opérateur de l'application.
Heroku est exploité par Salesforce. Salesforce signe les Clauses Contractuelles Types européennes au sens de l'article 46, paragraphe 2, point c) du RGPD via son Addendum et confirme son adhésion au Data Privacy Framework UE États Unis. Les mesures complémentaires comprennent TLS 1.3, le chiffrement au repos, ISO 27001 et SOC 2 Type II, avec Heroku Shield pour les charges HIPAA et PCI.
Une AIPD n'est pas requise pour une application standard sur Heroku. Elle est recommandée lorsque l'application hébergée procède à un profilage systématique des utilisateurs européens, lorsque Heroku Postgres stocke de gros volumes de données personnelles, lorsque Heroku Shield est utilisé pour des charges HIPAA ou lorsque l'application cible des secteurs régulés.
Signez l'Addendum Salesforce, lancez la production en région eu-west-1 ou dans un Private Space à Francfort ou Dublin, configurez la rétention des logs, chiffrez les colonnes sensibles dans Heroku Postgres et inscrivez Heroku comme sous traitant dans le registre des activités de traitement. Mentionnez le transfert américain vers Salesforce dans la politique de confidentialité et auditez tout add on traitant des données personnelles.
Les alternatives européennes ou open source incluent Scaleway Serverless (France), Clever Cloud (France), Web PaaS d'OVHcloud (France), Render avec régions UE, Fly.io avec régions européennes, Coolify (auto hébergé, open source) et Kubernetes auto hébergé sur Hetzner ou Scaleway.
Listez Heroku (Salesforce) comme sous traitant d'hébergement, indiquez que l'application est déployée en région Irlande UE ou dans un Private Space, précisez que des données dont l'adresse IP peuvent être transférées aux États Unis sous CCT et Data Privacy Framework et renvoyez vers la Politique de confidentialité de Salesforce.