FR
Soumettre un produit
Critères d'inclusion

Trois règles. Sans exception.

Chaque produit d'eubuilt.eu remplit les trois critères ci-dessous — vérifiés manuellement, à la main, tous les six mois. Nous ne plions ni pour des placements payants, ni pour des grands noms, ni par confort. Voilà la barre.

01 / SIÈGE DANS L'UE

Siège juridique dans un État membre de l'UE

Le siège juridique officiel de l'entreprise est immatriculé dans l'un des 27 États membres. La Suisse et les pays purement EEE sont exclus.

Lire en détail
02 / JURIDICTION DE L'UE

Opère exclusivement sous le droit de l'UE

L'entreprise n'est soumise à aucune législation étrangère contradictoire — en particulier le CLOUD Act américain et les pouvoirs extraterritoriaux comparables.

Lire en détail
03 / CONFORME RGPD

Conformité documentée et vérifiable

Politique de confidentialité publiée, DPA disponible, traitement démontrablement aligné sur le RGPD — avec transparence sur les sous-traitants.

Lire en détail
01 Siège dans l'UE

Le siège juridique doit se trouver dans un État membre de l'UE.

Pas la communication marketing, pas la présence opérationnelle — la personne morale réelle, immatriculée dans un registre public d'entreprises de l'un des 27 États membres. Nous vérifions les mentions légales, les CGV/CGU et le registre national compétent (ex. Handelsregister, Registre du Commerce, Registry of Estonian Businesses).

Cette règle existe parce que « une entreprise européenne » est l'une des affirmations marketing les plus étirées de la tech. Une C-Corp américaine avec un bureau berlinois n'est pas une entreprise UE. Une holding caïmane avec une filiale tallinnoise n'est pas une entreprise UE. La personne morale qui signe le contrat client — et qui répond légalement sous le droit de l'UE — est celle que nous listons.

Nous acceptons

  • SARL, SAS, GmbH, BV, OÜ, S.A., S.r.l. et formes juridiques équivalentes UE, immatriculées dans l'un des 27 États membres
  • Entreprises dont le siège est UE et qui ont des bureaux hors UE (un siège parisien avec un bureau commercial à NYC est OK)
  • Entreprises fondées hors UE qui ont réellement déplacé leur siège et leur résidence fiscale
  • Projets open source avec une organisation commerciale clairement immatriculée dans l'UE

× Nous refusons

  • Entreprises immatriculées en Suisse, au Royaume-Uni, en Norvège, en Islande ou au Liechtenstein — ce ne sont pas des États membres
  • Filiales UE de maisons-mères américaines, chinoises ou britanniques (la juridiction parente s'applique selon la plupart des contrats)
  • Entreprises « UE-friendly » dont le siège réel est au Delaware, aux Caïmans ou à Singapour
  • Projets open source sans personne morale commerciale (nous listons l'entreprise, pas le projet)
Cas particulier

Suisse : souvent perçue comme « équivalent UE » du fait de son régime de protection des données. Mais la Suisse n'est ni dans l'UE ni dans l'EEE, et les entreprises suisses restent soumises au droit suisse — y compris des accords de coopération de sécurité nationale et de renseignement qui ne s'appliquent pas aux entreprises UE. Nous pourrons ajouter ultérieurement un palier « EEE & adéquation » distinct, mais la Suisse ne sera jamais mélangée à la fiche UE principale.

02 Juridiction de l'UE

L'entreprise doit opérer exclusivement sous le droit UE.

Un siège UE est nécessaire mais pas suffisant. Nous vérifions également que l'entreprise n'est pas structurellement exposée à un droit hors UE — en particulier le CLOUD Act américain, qui permet aux autorités US d'obliger les entreprises US (et nombre de leurs filiales étrangères) à transmettre des données, même si elles sont stockées sur des serveurs UE.

Pour un acheteur d'un secteur régulé, « les données sont dans l'UE » signifie peu de chose si la maison-mère est légalement tenue de les remettre à la demande. Nous traitons cela comme une exclusion structurelle — pas comme un argument rassurant.

Ce que nous vérifions

Pour chaque fiche, la revue inclut :

Requis

  • Structure de propriété : aucune maison-mère US, britannique ou chinoise dominante
  • Aucun accord d'exploitation qui soumet l'entité UE au régime de conformité d'une maison-mère hors UE
  • Déclaration publique (politique de confidentialité ou DPA) que l'entreprise n'est pas soumise au CLOUD Act ou équivalent
  • Gouvernance UE : dirigeants et organes opèrent sous juridiction UE

× Motifs d'exclusion

  • Filiale UE d'une entreprise basée aux États-Unis (le CLOUD Act s'applique via la maison-mère)
  • Rachat récent par un acquéreur hors UE — fiche dépréciée sous 90 jours après clôture
  • Coentreprise dans laquelle un partenaire hors UE a des droits d'accès aux données
  • Recours à des sous-traitants américains pour les données de production sans mécanisme de transfert valide au titre de l'article 46
À propos de Microsoft Sovereign / AWS European Sovereign Cloud

Les offres « Sovereign Cloud » des hyperscalers américains ne remplissent pas nos critères. La personne morale qui fournit le service reste soumise au CLOUD Act, indépendamment de l'isolation opérationnelle des données. Résidence des données UE n'est pas juridiction de l'UE. Lire notre position complète →

03 Conforme RGPD

Conformité documentée et vérifiable au RGPD.

Toute entreprise UE est formellement soumise au RGPD — mais c'est une affirmation bien plus faible que de remplir le standard qu'attend réellement une équipe d'achats ou un DPO. Nous exigeons pour chaque fiche trois artefacts concrets.

Les trois artefacts que nous vérifions

Politique de confidentialité publiée

Accessible sans authentification ; identifie le responsable du traitement, la base légale, les durées de conservation et le représentant UE.

DPA disponible

Pré-signé dans l'espace client ou disponible sur demande sous 5 jours ouvrés. Conforme à l'article 28.

Liste des sous-traitants

Liste publique de tous les sous-traitants avec localisation, rôle et catégories de données. Mises à jour communiquées aux clients.

Résidence des données indiquée

Bonus, non obligatoire : engagement explicite à un stockage exclusivement UE. La plupart des produits remplissant nos autres critères le proposent de toute façon.

Entreprises « badge RGPD »

Étonnamment beaucoup de produits se présentent comme « conformes RGPD » sans proposer de DPA, de liste de sous-traitants ni de politique nommant le responsable du traitement. Nous ne les listons pas. Les déclarations marketing ne sont pas des preuves.

04 Processus de vérification

Comment nous vérifions vraiment une fiche.

Chaque fiche suit le même processus en quatre étapes du début à la fin. Première vérification : 30 à 90 minutes par produit. Revue : 15 à 30 minutes.

ÉTAPE 01
Identifier la personne morale

Mentions légales + vérification du registre du commerce. Doit être une entreprise immatriculée dans un État membre UE.

ÉTAPE 02
Vérifier propriété & juridiction

Maison-mère, conseil, parts de contrôle. Disqualification si maison-mère US/UK/CN ou exposition CLOUD Act.

ÉTAPE 03
Auditer les artefacts RGPD

Lire la politique de confidentialité. Confirmer la disponibilité du DPA. Vérifier la liste des sous-traitants pour exposition hors UE.

ÉTAPE 04
Apport éditorial

Rédiger la description. Ajouter les alternatives « remplace ». Fixer la date de revue et épingler si pertinent.

Cycle de revue

Chaque fiche est revue au moins tous les six mois. La revue couvre les mêmes quatre étapes plus une recherche d'actualités (rachats, changements de direction, incidents de sécurité) susceptibles d'affecter l'éligibilité.

Routine : tous les 6 mois

Cycle standard. La rédaction repasse les quatre étapes pour chaque fiche active.

Déclenché : signalements communautaires

Toute personne peut signaler. Tri sous 48 heures ; les signalements sérieux déclenchent une revue hors planning.

Déclenché : veille presse

Acquisitions, changements de propriété, procédures pour amendes RGPD — ces événements marquent automatiquement les fiches concernées pour revue.

Date de revue publique

Chaque fiche affiche sa dernière date de revue. Si vous voyez quelque chose de daté, le système a échoué — signalez-le.

05 Dépréciation

Ce qui mène à la dépréciation.

Si une fiche échoue à la revue — ou plus tôt si l'actualité l'exige — elle est marquée comme dépréciée. Les fiches dépréciées restent accessibles à leur URL d'origine avec un bandeau d'avertissement clair, mais sont retirées de la recherche, des pages catégorie et des pages pays.

La page de la fiche dépréciée documente la raison, la date et une note éditoriale courte. Nous ne supprimons pas silencieusement.

Raisons fréquentes de dépréciation

× Défauts structurels

  • Rachat par une maison-mère hors UE (exposition CLOUD Act)
  • Siège déplacé hors UE
  • Passage à un sous-traitant américain pour les données de production
  • DPA retiré ou réservé aux paliers entreprise

× Défauts éditoriaux

  • Échec à la revue (critère plus rempli, pas corrigé sous 30 jours)
  • Fausse représentation confirmée de la conformité
  • Hors scope (produit arrêté ou fondamentalement changé)
  • Mesure réglementaire significative non corrigée
06 Questions fréquentes

Questions fréquentes sur les critères.

La Suisse n'est ni dans l'UE ni dans l'EEE. Son régime de protection des données est reconnu, mais les entreprises suisses ne sont pas directement soumises au RGPD et opèrent sous le droit suisse — y compris des accords de coopération de sécurité nationale et de renseignement qui ne s'appliquent pas aux entreprises UE.

Le Royaume-Uni a quitté l'UE en 2020 et est désormais un « pays tiers » avec son propre UK GDPR. L'Investigatory Powers Act donne aux autorités britanniques de larges pouvoirs d'accès aux données, comparables au CLOUD Act — c'est pourquoi nous traitons les entreprises basées au Royaume-Uni comme hors du cœur de l'annuaire.

Nous pourrons ajouter ultérieurement un palier « EEE & adéquation » distinct, qui sera clairement étiqueté et jamais mélangé à la fiche UE principale.

Exclue. Le CLOUD Act s'applique aux maisons-mères américaines et à leurs filiales étrangères, peu importe où sont les données. L'isolation opérationnelle des données UE ne remplace pas le fait d'être légalement hors de portée du CLOUD Act. C'est pourquoi nous ne listons pas les offres « Sovereign Cloud » d'AWS, Microsoft ou Google.

Non. Les critères sont non négociables. Une entreprise qui les remplit est listée gratuitement ; une entreprise qui ne les remplit pas n'est pas listée — quel que soit l'argent. Nous pourrons introduire ultérieurement un placement « Featured » payant, mais les produits mis en avant devront toujours remplir les trois critères, et chaque placement sponsorisé sera clairement étiqueté.

Nous listons l'organisation commerciale derrière un produit, pas le projet open source lui-même. Si un projet n'a pas d'entreprise commerciale (par ex. projet purement communautaire), il est hors scope pour l'instant — mais nous encourageons les mainteneurs à signaler les projets disposant ou créant une personne morale UE, et nous les listerons dès que l'entité existera.

Certains sous-traitants américains sont incontournables en 2026 — par exemple, il n'existe pas d'équivalent UE complet à Stripe pour le traitement mondial des cartes. Nous acceptons certains sous-traitants américains à condition (a) qu'ils soient vraiment nécessaires, (b) qu'ils soient divulgués dans la liste publique des sous-traitants et (c) que l'entreprise dispose d'un mécanisme de transfert valide au titre de l'article 46 (généralement clauses contractuelles types + mesures complémentaires).

Ce que nous n'acceptons pas : les sous-traitants américains pour le chemin central des données de production (par ex. router tout le trafic via Cloudflare ou héberger sur AWS US-East). L'entreprise est alors structurellement exposée et disqualifiée.

Soumettez-le via le formulaire de soumission. SLA de revue éditoriale : une semaine. Nous validons, demandons plus d'infos ou refusons avec motif.

Conseil : ayez votre DPA, la liste des sous-traitants et l'URL de la politique de confidentialité prêts — ce sont les artefacts que nous vérifions en premier.

Cliquez sur « Signaler une fiche » sur la page produit ou écrivez à contact@eubuilt.eu. Nous trions les signalements sous 48 heures et répondons sous une semaine avec nos conclusions et les changements effectués.

Possiblement — par exemple si les décisions d'adéquation UE ou la jurisprudence sur les sous-traitants modifient le cadre légal. Toute modification sera annoncée publiquement, avec un préavis d'au moins 30 jours, et nous re-vérifierons toutes les fiches existantes contre les nouveaux critères. Les critères actuels sont inchangés depuis le lancement.

Vous construisez quelque chose qui remplit les critères ?

Si vous développez un logiciel UE qui remplit les trois règles, nous voulons en entendre parler. Soumettez via le formulaire ci-dessous — nous répondons en général sous une semaine.

Soumettre un produit À propos d'eubuilt.eu