Sous-traitants ultérieurs
Liste à jour des sous-traitants ultérieurs auxquels Vitru'home recourt pour fournir ses Services, conformément à l'article 28.2 du RGPD et à la Section 7 de notre DPA.
Vitru'home sélectionne ses sous-traitants ultérieurs avec soin, en tenant compte de leurs garanties en matière de protection des Données à caractère personnel (certifications, localisation, mesures techniques et organisationnelles, cadres de transfert). Chaque sous-traitant ultérieur est lié à Vitru'home par un accord écrit imposant des obligations substantiellement équivalentes à celles de notre DPA.
Opposition à un nouveau sous-traitant.Conformément à la Section 7.2 du DPA, tout Client peut s'opposer à l'ajout d'un nouveau sous-traitant ultérieur, pour des motifs légitimes et raisonnables liés au Droit applicable à la protection des données, en notifiant son opposition écrite à team@vitruhome.com dans un délai de dix (10) jours suivant la notification de modification.
📬 Recevoir les notifications de modification
Pour être informé par email de tout ajout, remplacement ou suppression d'un sous-traitant ultérieur, envoyez une demande d'abonnement à team@vitruhome.com avec pour objet « Abonnement notifications sous-traitants » et en précisant l'email de contact à utiliser.
Vous pouvez vous désabonner à tout moment par simple demande à la même adresse.
Hébergement & infrastructure
Hébergement des applications web, des API et des bases de données utilisées par les Services Vitru'home.
| Sous-traitant | Rôle | Localisation | Garantie de transfert |
|---|---|---|---|
| Vercel Inc. | Hébergement des applications Next.js, CDN, edge functions, logs de requêtes. | États-Unis (données répliquées sur points de présence mondiaux) | EU-US Data Privacy Framework + CCT Module 2 |
| Supabase Inc. | Base de données PostgreSQL principale (auth, contenus, métadonnées), stockage objet, Realtime. | Union européenne — Frankfurt (eu-central-1) | Traitement au sein de l'EEE (pas de transfert hors UE) |
| Amazon Web Services, Inc. | Entraînement de modèles vision (SageMaker), stockage de datasets (S3), inférence GPU. | Union européenne — Paris (eu-west-3). États-Unis uniquement pour certains services non appliqués aux Données du Client. | CCT Module 2 + EU-US DPF pour les composants US |
Modèles d'intelligence artificielle (LLM & vision)
Fournisseurs de modèles utilisés pour le chat IA, l'analyse documentaire, l'OCR et la vision par ordinateur.
| Sous-traitant | Rôle | Localisation | Garantie de transfert |
|---|---|---|---|
| Mistral AI SAS | Modèles de langage (chat IA, analyse documentaire, fonctions conformité). | France (Paris) — possible transfert US (voir politique Mistral) | Prestataire EU. Zero Data Retention activé par défaut pour l'API. |
| Anthropic PBC | Modèles Claude (chat IA avancé, raisonnement long contexte). | États-Unis | EU-US Data Privacy Framework + CCT Module 2. Zero Data Retention activé via Amazon Bedrock. |
| OpenAI OpCo LLC | Modèles GPT et embeddings (cas d'usage limités). | États-Unis | EU-US Data Privacy Framework + CCT Module 2. API sans entraînement. |
| Google LLC | Modèles Gemini (cas d'usage ponctuels, analyse de plans). | États-Unis / Union européenne | EU-US Data Privacy Framework + CCT Module 2 |
| Roboflow Inc. | Inférence de modèles vision (détection de murs, portes, mobilier sur plans). | États-Unis | CCT Module 2. Substituable par inférence auto-hébergée sur AWS UE. |
Paiement
Gestion des paiements, facturation et abonnements.
| Sous-traitant | Rôle | Localisation | Garantie de transfert |
|---|---|---|---|
| Stripe Payments Europe, Ltd. | Traitement des paiements par carte, gestion des abonnements, facturation. | Irlande (entité européenne). Stripe Inc. aux États-Unis pour traitement technique. | Entité contractante UE. CCT + EU-US DPF pour les composants US. |
Emails transactionnels & communication
Envoi d'emails transactionnels (inscription, confirmations, notifications).
| Sous-traitant | Rôle | Localisation | Garantie de transfert |
|---|---|---|---|
| Resend, Inc. | Envoi d'emails transactionnels. | États-Unis | EU-US Data Privacy Framework + CCT Module 2 |
Cartographie & géocodage
Affichage cartographique, géocodage d'adresses et enrichissement géographique pour le module Analyse-de-site.
| Sous-traitant | Rôle | Localisation | Garantie de transfert |
|---|---|---|---|
| Mapbox Inc. | Cartes interactives, tuiles vectorielles, styles cartographiques. | États-Unis | EU-US Data Privacy Framework + CCT Module 2 |
| Google LLC (Maps Platform) | Géocodage, Places API, Street View (usages spécifiques). | États-Unis | EU-US Data Privacy Framework + CCT Module 2 |
Observabilité & supervision
Supervision technique des applications, analyse des erreurs et observabilité des chaînes LLM.
| Sous-traitant | Rôle | Localisation | Garantie de transfert |
|---|---|---|---|
| PostHog Inc. | Produit analytics, mesure d'audience, heatmaps (soumis au consentement). | Union européenne — eu.posthog.com | Traitement au sein de l'EEE |
| Functional Software, Inc. (Sentry) | Suivi des erreurs applicatives et des performances (soumis au consentement pour les replays). | États-Unis | EU-US Data Privacy Framework + CCT Module 2 |
| Langfuse GmbH | Observabilité des chaînes LLM (traces, tokens, coûts). | Allemagne | Traitement au sein de l'EEE |
Historique des mises à jour
- 20 avril 2026 — Publication initiale de la liste des Sous-traitants ultérieurs dans le cadre de la mise en place du DPA Vitru'home.
Dernière mise à jour : 20 avril 2026