Sous-traitants
CRA Evidence fait appel aux sous-traitants tiers suivants pour fournir nos services. Cette liste est maintenue conformément à l'article 28 du RGPD et à notre Accord de Traitement des Données.
Notification de Changement
Nous notifierons les clients au moins 30 jours avant l'ajout ou le remplacement d'un sous-traitant. Vous pouvez vous abonner aux mises à jour en contactant privacy@craevidence.com.
Si vous vous opposez à un nouveau sous-traitant, vous pouvez le faire dans les 30 jours suivant la réception de l'avis en contactant privacy@craevidence.com.
Sous-traitants d'Infrastructure
| Sous-traitant | Finalité | Données Traitées | Localisation |
|---|---|---|---|
| Amazon Web Services (AWS) | Hébergement cloud, calcul et stockage | Toutes les données clients | eu-west-1 (Dublin, Irlande) |
| Amazon RDS | Base de données PostgreSQL gérée | Toutes les données structurées (comptes, produits, vulnérabilités) | eu-west-1 (Dublin, Irlande) |
| Amazon S3 | Stockage d'objets | SBOMs, documents techniques, images firmware | eu-west-1 (Dublin, Irlande) |
| Amazon CloudFront | Diffusion de contenu et sécurité en périphérie | Actifs statiques, routage des requêtes | Points de présence UE |
| Amazon SES | Envoi d'e-mails transactionnels | Adresses e-mail, contenu des notifications | eu-west-1 (Dublin, Irlande) |
Sous-traitants Applicatifs
| Sous-traitant | Finalité | Données Traitées | Localisation |
|---|---|---|---|
| Google Workspace | Relais SMTP pour la livraison d'e-mails | Adresses e-mail, contenu des e-mails | Infrastructure mondiale Google (SCCs UE incluses) |
| Stripe | Traitement des paiements | Nom de facturation, e-mail, moyen de paiement | États-Unis (SCCs UE / DPF) |
| Cloudflare Turnstile | Protection contre les bots lors de l'inscription et de la connexion | Adresse IP, empreinte du navigateur | Traitement en périphérie (aucune PII stockée) |
| Tailscale | VPN zero-trust pour l'accès administratif à l'infrastructure | Métadonnées des appareils des employés, journaux d'accès réseau (aucun contenu client) | Serveur de coordination : Canada/États-Unis ; trafic de données : WireGuard peer-to-peer au sein d'AWS UE |
| PostHog | Analyse produit (mode sans cookies sur les pages publiques, analyse complète pour les utilisateurs authentifiés avec consentement) | Pages vues, utilisation des fonctionnalités, données d'interaction anonymisées | UE (eu.posthog.com, Francfort, Allemagne) |
Composants Auto-hébergés
| Composant | Finalité | Données Traitées | Localisation |
|---|---|---|---|
| Trivy (Aqua Security) | Analyse des vulnérabilités des SBOMs | Contenu SBOM, métadonnées de paquets | Auto-hébergé dans notre infrastructure AWS (eu-west-1) |
Notes
- Toutes les données clients sont stockées exclusivement dans l'UE (AWS eu-west-1, Dublin, Irlande).
- Stripe traite les données de paiement aux États-Unis sous Clauses Contractuelles Types (SCCs) et le Cadre de Protection des Données UE-US (DPF).
- Google Workspace est couvert par le Cloud Data Processing Addendum (CDPA), qui inclut des Clauses Contractuelles Types pour les transferts internationaux.
- Cloudflare Turnstile traite les données en périphérie uniquement pour la protection contre les bots. Aucune donnée personnelle n'est stockée.
- Trivy fonctionne entièrement au sein de notre propre infrastructure et n'envoie aucune donnée à des services externes.
- Le serveur de coordination de Tailscale gère uniquement l'identité des appareils et l'échange de clés. Tout le trafic de données transite en peer-to-peer avec chiffrement WireGuard au sein de notre infrastructure AWS. Aucune donnée client ne passe par les serveurs de Tailscale.
- PostHog fonctionne en mode sans cookies sur les pages publiques, ne collectant que des données anonymisées de pages vues sans placer de cookies ni utiliser le stockage local. Pour les utilisateurs authentifiés ayant consenti à l'analyse, PostHog fournit des informations sur l'utilisation des fonctionnalités. Toutes les données sont traitées dans l'UE (Francfort, Allemagne).
Contact
Pour toute question concernant nos sous-traitants, contactez privacy@craevidence.com.
Dernière mise à jour : Février 2026.