Derniere mise a jour : 13 mai 2026
Conformement a l'article 28 du RGPD, Aurentia s'appuie sur les sous-traitants suivants pour traiter vos donnees personnelles. Chaque sous-traitant est lie par un contrat de sous-traitance (DPA) qui garantit un niveau de protection equivalent au notre.
Engagement : nous notifions tout ajout ou changement de sous-traitant au moins 30 jours avant son entree en vigueur, par email aux clients concernes et via cette page.
| Sous-traitant | Finalite | Donnees partagees | Localisation | DPA |
|---|---|---|---|---|
| Vercel Inc. | Hebergement de l'application, deploiement, edge functions | Donnees d'acces (IP, user-agent), donnees applicatives en transit | UE (cdg1, fra1) + US (failover) | Lien |
| Supabase Inc. | Base de donnees PostgreSQL, authentification, stockage objet | Toutes les donnees applicatives (chiffrees au repos) | UE (eu-central-1, Francfort) | Lien |
| Cloudflare, Inc. | Cloudflare Worker + Durable Objects pour la synchronisation temps reel des whiteboards multi-utilisateurs (tldraw multiplayer) | Contenu des whiteboards (formes, dessins, presence curseur), sessionId aleatoire par onglet, token HMAC court (TTL 1h) | US (HQ) + reseau edge global - Data Privacy Framework certifie + DPA signe | Lien |
| Stripe Payments Europe Ltd. | Paiement securise, abonnements, Stripe Connect (marketplace) | Email, montant, methode de paiement (token Stripe) | UE (Irlande) + US (transferts CCT) | Lien |
| Resend (Resend Inc.) | Envoi d'emails transactionnels et marketing | Email destinataire, contenu de l'email, statut de delivrabilite | US (transferts CCT, sous-processeur AWS) | Lien |
| OpenRouter (OpenRouter Inc.) | Routing vers modeles IA (Google Gemini, Anthropic Claude, OpenAI) | Contenu des prompts utilisateur, metadonnees de session | US (zero-retention, sous-processeurs Google/Anthropic/OpenAI) | Lien |
| Deepgram Inc. | Transcription vocale (STT Nova-2) et synthese vocale (TTS Aura) | Audio utilisateur (transcrit puis supprime, zero-retention) | US (transferts CCT) | Lien |
| Bundle.social Ltd. | Publication multi-plateformes reseaux sociaux | Contenu des posts, tokens OAuth des plateformes connectees | EU/US (transferts CCT) | Lien |
| Replicate Inc. | Generation d'images (identite visuelle, illustrations) | Prompts texte, images de reference (zero-retention) | US (transferts CCT) | Lien |
| Pappers (Pappers SAS) | Enrichissement entreprises (donnees publiques INSEE) | SIREN/SIRET ou raison sociale recherches | France | Lien |
| PostHog Inc. | Analytics produit, mesure d'audience et enregistrement de session (cookie consent requis) | Evenements produit, clics et soumissions auto-captures, parcours utilisateur, enregistrements de session masques (tout texte et tous les champs sont occultes), rapports d'erreurs | UE (eu.posthog.com) | Lien |
| Discord Inc. | Bot Aurentia sur Discord (interactions agents IA) | ID utilisateur Discord, messages echanges avec le bot | US (transferts CCT) | Lien |
| Telegram FZ-LLC | Bot Aurentia sur Telegram (interactions agents IA). Base legale Art. 49.1.a consentement explicite + Art. 46 mesures supplementaires (pseudonymisation par token opaque, minimisation payload, opt-out immediat /optout, audit log 90j). TIA disponible sur demande au DPO (privacy@aurentia.fr). | Token pseudonyme opaque (PAS le user_id reel), messages echanges avec le bot, command sent. Alternative non-EAU disponible : Discord (servers EU). | EAU (Dubai, DIFC Free Zone) - DIFC Data Protection Law 2020 substantially equivalent GDPR | Lien |
| Daily.co (Daily, Inc.) | Conferences video natives Aurentia (huddles, RDV, calls clients) | ID participants, metadata salle, audio/video en transit (zero-retention) | US (transferts CCT) | Lien |
| Mux (Mux, Inc.) | Hebergement video pour les cours Formation (encoding, streaming HLS) | Fichiers video uploades, metadata de lecture | US (transferts CCT) | Lien |
| Google LLC | OAuth Gmail/Calendar, geocodage Maps, modeles IA Gemini via OpenRouter | Tokens OAuth (chiffres AES-256-GCM), adresses geocodees, prompts IA | US (Data Privacy Framework + transferts CCT) | Lien |
| Microsoft Corporation | OAuth Outlook Mail/Calendar (synchronisation emails et agenda) | Tokens OAuth (chiffres AES-256-GCM), metadata emails synchronises | EU + US hybride (Data Privacy Framework + CCT) | Lien |
| GitHub, Inc. (Microsoft) | Integration repos/issues/PRs/branches lies aux taches (PRD-106) | Tokens OAuth GitHub (chiffres), webhooks issues/PRs | US (Data Privacy Framework certifie) | Lien |
| Composio AI Inc. | Connecteurs OAuth tiers (Slack, GDrive, Notion) pour les agents IA | Tokens OAuth utilisateur (chiffres), contexte des appels d'outils | US (transferts CCT) | Lien |
| Exa Labs Inc. | Recherche web semantique pour la prospection IA dans le CRM | Requetes de recherche (anonymisees), zero-retention | US (transferts CCT) | Lien |
| Wistia (Wistia, Inc.) (prevu) | Hebergement video alternatif (LMS Formation, alternative à Mux) | Fichiers video uploades, metadata de lecture | US (transferts CCT) | Lien |
| n8n (n8n GmbH) | Workflow runtime externe (action-plan progress webhook). | IDs projet/agency + action-plan progress payload (HMAC-signed) | EU (Berlin) | Lien |
Lorsqu'un sous-traitant est situe hors UE, le transfert est encadre par :
Tous nos fournisseurs IA (OpenRouter, Deepgram, Replicate) operent en mode zero-retention : vos prompts et contenus ne sont pas stockes au-dela de la duree strictement necessaire au traitement de la requete, et ne sont jamais utilises pour entrainer leurs modeles.
Vous pouvez vous opposer a un transfert specifique en nous contactant a privacy@aurentia.fr. Nous vous proposerons une alternative dans la mesure du possible (par exemple : desactivation des bots, choix d'un modele IA alternatif).
Certains de nos sous-traitants ont eux-memes recours a des prestataires (ex : AWS pour Resend). La liste complete est disponible dans le DPA de chaque sous-traitant. Ils sont tous tenus contractuellement aux memes obligations RGPD.