Sous-traitants ultérieurs
Document édité par Vitruhome, société par actions simplifiée (RCS Salon-de-Provence 994 224 715), exploitant la marque « Vitru'home ». Voir mentions légales.
Vitru'home sélectionne ses sous-traitants ultérieurs avec soin, en tenant compte de leurs garanties en matière de protection des Données à caractère personnel (certifications, localisation, mesures techniques et organisationnelles, cadres de transfert). Chaque sous-traitant ultérieur est lié à Vitru'home par un accord écrit imposant des obligations substantiellement équivalentes à celles de notre DPA.
Opposition à un nouveau sous-traitant. Conformément à la Section 7.2 du DPA, tout Client peut s'opposer à l'ajout d'un nouveau sous-traitant ultérieur, pour des motifs légitimes et raisonnables liés au Droit applicable à la protection des données, en notifiant son opposition écrite à team@vitruhome.com dans un délai de dix (10) jours suivant la notification de modification.
Recevoir les notifications de modification
Pour être informé par email de tout ajout, remplacement ou suppression d'un sous-traitant ultérieur, envoyez une demande d'abonnement à team@vitruhome.com avec pour objet « Abonnement notifications sous-traitants » et en précisant l'email de contact à utiliser.
Vous pouvez vous désabonner à tout moment par simple demande à la même adresse.
Hébergement & infrastructure
Hébergement des applications web, des API et des bases de données utilisées par les Services Vitru'home.
| Sous-traitant | Rôle | Localisation | Garantie de transfert |
|---|---|---|---|
| Vercel Inc. | Hébergement des applications Next.js, CDN, edge functions, logs de requêtes. | États-Unis (données répliquées sur points de présence mondiaux) | EU-US Data Privacy Framework + CCT Module 2 |
| Supabase Inc. | Base de données PostgreSQL principale (auth, contenus, métadonnées), stockage objet, Realtime. | Union européenne — Frankfurt (eu-central-1) | Traitement au sein de l'EEE (pas de transfert hors UE) |
| Amazon Web Services, Inc. | Entraînement de modèles vision (SageMaker), stockage de datasets (S3), inférence GPU. | Union européenne — Paris (eu-west-3). États-Unis uniquement pour certains services non appliqués aux Données du Client. | CCT Module 2 + EU-US DPF pour les composants US |
Modèles d'intelligence artificielle (LLM & vision)
Fournisseurs de modèles utilisés pour le chat IA, l'analyse documentaire, l'OCR et la vision par ordinateur.
| Sous-traitant | Rôle | Localisation | Garantie de transfert |
|---|---|---|---|
| Anthropic PBC | Modèles Claude (chat IA avancé, raisonnement long contexte). | Siège États-Unis. Inférences servies exclusivement via AWS Bedrock, région Paris (eu-west-3). Les Données du Client ne quittent pas l'UE au niveau infrastructure. | EU-US Data Privacy Framework + CCT Module 2. Zero Data Retention activé via Amazon Bedrock (pas de conservation ni d'utilisation des prompts/outputs pour l'entraînement). |
Paiement
Gestion des paiements, facturation et abonnements.
| Sous-traitant | Rôle | Localisation | Garantie de transfert |
|---|---|---|---|
| Stripe Payments Europe, Ltd. | Traitement des paiements par carte, gestion des abonnements, facturation. | Irlande (entité européenne). Stripe Inc. aux États-Unis pour traitement technique. | Entité contractante UE. CCT + EU-US DPF pour les composants US. |
Emails transactionnels & communication
Envoi d'emails transactionnels (inscription, confirmations, notifications).
| Sous-traitant | Rôle | Localisation | Garantie de transfert |
|---|---|---|---|
| Resend, Inc. | Envoi d'emails transactionnels. | États-Unis | EU-US Data Privacy Framework + CCT Module 2 |
Cartographie & géocodage
Affichage cartographique, géocodage d'adresses et enrichissement géographique pour le module Analyse-de-site.
| Sous-traitant | Rôle | Localisation | Garantie de transfert |
|---|---|---|---|
| Mapbox Inc. | Cartes interactives, tuiles vectorielles, styles cartographiques. | États-Unis | EU-US Data Privacy Framework + CCT Module 2 |
| Google LLC (Maps Platform) | Géocodage, Places API, Street View (usages spécifiques). | États-Unis | EU-US Data Privacy Framework + CCT Module 2 |
Observabilité & supervision
Supervision technique des applications, analyse des erreurs et observabilité des chaînes LLM.
| Sous-traitant | Rôle | Localisation | Garantie de transfert |
|---|---|---|---|
| PostHog Inc. | Produit analytics, mesure d'audience, heatmaps (soumis au consentement). | Union européenne — eu.posthog.com | Traitement au sein de l'EEE |
| Functional Software, Inc. (Sentry) | Suivi des erreurs applicatives (intérêt légitime) et mesure des performances (soumise au consentement « performance »). Pas d'enregistrement de session (Session Replay). | États-Unis | EU-US Data Privacy Framework + CCT Module 2 |
Historique des mises à jour
- 10 juin 2026 — Mise à jour du rôle de Sentry : suppression de l'enregistrement de session (Session Replay) ; suivi des erreurs fondé sur l'intérêt légitime, mesure des performances soumise au consentement « performance ».
- 21 avril 2026 — Précision sur la localisation d'Anthropic PBC : siège aux États-Unis, inférences servies via AWS Bedrock eu-west-3 (Paris). Clarification que les Données du Client ne quittent pas l'UE au niveau infrastructure.
- 20 avril 2026 — Publication initiale de la liste des Sous-traitants ultérieurs dans le cadre de la mise en place du DPA Vitru'home.
Dernière mise à jour : 10 juin 2026