Conformément à l'article 28 du RGPD, nous devons vous informer à l'avance des sous-traitants engagés et vous laisser une chance équitable de vous opposer avant qu'un nouveau ne commence à traiter vos données. Le tableau ci-dessous fait foi. Nous le mettons à jour à chaque ajout, remplacement ou retrait de fournisseur et notifions tous les abonnés à la liste des changements au moins 14 jours avant la mise en service.
Sous-traitants
Les entreprises auxquelles nous confions les données clients.
Liste publique et complète de tous les services tiers qui traitent des données personnelles pour le compte de Veracly — leur rôle, leur localisation et les données concernées.
Dernière mise à jour: 2026-04-29
Anthropic, PBC
FinalitéGénération de texte par IA pour les explications en langage clair, les résumés et les recommandations traduites de vos rapports.
Catégories de donnéesDonnées techniques de violation et un court extrait HTML de l'élément concerné. Aucun nom client, contact ou donnée d'organisation n'est envoyé.
Région d'infrastructureUnited States (us-west-2)
Mécanisme de transfertClauses contractuelles types UE (Module 2/3, 2021) et le cadre Data Privacy Framework UE-US lorsque le fournisseur est auto-certifié. Mesures supplémentaires : chiffrement en transit (TLS 1.3) et au repos (AES-256), journalisation des accès et engagements contractuels de résidence des données.
Amazon Web Services EMEA SARL (S3)
FinalitéStockage objet pour les rapports PDF, artefacts de scan et preuves chargées par les clients.
Catégories de donnéesRapports PDF, sortie JSON, fichiers de preuve chargés et artefacts de vérification.
Région d'infrastructureeu-central-1 (Frankfurt) · us-east-1 (Virginia)
Mécanisme de transfertClauses contractuelles types UE (Module 2/3, 2021) et le cadre Data Privacy Framework UE-US lorsque le fournisseur est auto-certifié. Mesures supplémentaires : chiffrement en transit (TLS 1.3) et au repos (AES-256), journalisation des accès et engagements contractuels de résidence des données.
Clerk, Inc.
FinalitéAuthentification, gestion des sessions, MFA et interface de profil utilisateur.
Catégories de donnéesNom, e-mail, hash du mot de passe, facteurs MFA, IP de connexion, empreinte appareil.
Région d'infrastructureUnited States (multi-region) · EU residency on request
Mécanisme de transfertClauses contractuelles types UE (Module 2/3, 2021) et le cadre Data Privacy Framework UE-US lorsque le fournisseur est auto-certifié. Mesures supplémentaires : chiffrement en transit (TLS 1.3) et au repos (AES-256), journalisation des accès et engagements contractuels de résidence des données.
Resend, Inc.
FinalitéE-mails transactionnels — vérification, fin de scan, alertes facturation et réponses confidentialité.
Catégories de donnéesNom destinataire, e-mail, contenu et en-têtes du message, télémétrie de livraison.
Région d'infrastructureUnited States · Frankfurt edge processing
Mécanisme de transfertClauses contractuelles types UE (Module 2/3, 2021) et le cadre Data Privacy Framework UE-US lorsque le fournisseur est auto-certifié. Mesures supplémentaires : chiffrement en transit (TLS 1.3) et au repos (AES-256), journalisation des accès et engagements contractuels de résidence des données.
Stripe Payments Europe, Ltd.
FinalitéTraitement des paiements, abonnements, facturation et documents fiscaux.
Catégories de donnéesAdresse de facturation, nom, e-mail, TVA/ABN, derniers chiffres de carte, jetons de paiement, historique.
Région d'infrastructureIreland (EU) · United States (cross-border for fraud detection)
Mécanisme de transfertClauses contractuelles types UE (Module 2/3, 2021) et le cadre Data Privacy Framework UE-US lorsque le fournisseur est auto-certifié. Mesures supplémentaires : chiffrement en transit (TLS 1.3) et au repos (AES-256), journalisation des accès et engagements contractuels de résidence des données.
Supabase, Inc.
FinalitéBase de données principale — comptes, organisations, sites, scans, constats et journal d'audit.
Catégories de donnéesTous les enregistrements clients, organisations, sites, scans, constats — chiffrés au repos avec KMS.
Région d'infrastructureeu-central-1 (Frankfurt) — primary · read replicas in us-east-1
Mécanisme de transfertClauses contractuelles types UE (Module 2/3, 2021) et le cadre Data Privacy Framework UE-US lorsque le fournisseur est auto-certifié. Mesures supplémentaires : chiffrement en transit (TLS 1.3) et au repos (AES-256), journalisation des accès et engagements contractuels de résidence des données.
Upstash, Inc.
FinalitéFile de tâches (BullMQ) basée sur Redis et cache pour les workers de scan et les limites de débit.
Catégories de donnéesCharges utiles des tâches (URL, paramètres), compteurs de limite, clés d'idempotence.
Région d'infrastructureeu-west-1 (Frankfurt) — primary · multi-region replicas
Mécanisme de transfertClauses contractuelles types UE (Module 2/3, 2021) et le cadre Data Privacy Framework UE-US lorsque le fournisseur est auto-certifié. Mesures supplémentaires : chiffrement en transit (TLS 1.3) et au repos (AES-256), journalisation des accès et engagements contractuels de résidence des données.
Vercel, Inc.
FinalitéHébergement du site marketing et du tableau de bord, runtime edge Next.js, journaux de build et artefacts de déploiement.
Catégories de donnéesJournaux de requêtes HTTP (chemin, statut, latence), artefacts de build, métadonnées.
Région d'infrastructureGlobal edge network · build & log storage in US (iad1)
Mécanisme de transfertClauses contractuelles types UE (Module 2/3, 2021) et le cadre Data Privacy Framework UE-US lorsque le fournisseur est auto-certifié. Mesures supplémentaires : chiffrement en transit (TLS 1.3) et au repos (AES-256), journalisation des accès et engagements contractuels de résidence des données.
Comment nous vous notifions
Lorsque nous prévoyons d'ajouter un sous-traitant nous : (1) mettons à jour cette page, (2) envoyons un e-mail à la liste des changements et (3) attendons au moins 14 jours avant le démarrage. En cas d'opposition, nous chercherons une alternative ; à défaut, vous pourrez résilier le service concerné avec remboursement au prorata.
Restez informé
Soyez prévenu des changements.
Écrivez à privacy@veracly.app pour rejoindre la liste des changements. Nous vous prévenons au moins 14 jours avant le démarrage d'un nouveau fournisseur.