Liste des sous-traitants
Dernière mise à jour : 27 mai 2026
Fitness Vendor SAS (RCS Cherbourg 921 713 418, 41 Les Bertrands, 50470 Tollevast, France) tient à jour la liste exhaustive des sous-traitants intervenant dans le traitement des données personnelles effectué dans le cadre de la plateforme AdCoach AI.
Cette page constitue la source de vérité versionnée référencée par la Politique de confidentialité §6 et le DPA §7, conformément à l’article 28.2 du Règlement Général sur la Protection des Données (RGPD).
Sous-traitants actifs
| Sous-traitant | Service fourni | Localisation des données | Encadrement du transfert | DPA / Lien |
|---|---|---|---|---|
| Supabase Inc. | Base de données PostgreSQL, authentification (Auth), stockage chiffré des tokens OAuth Meta (Vault). Projet dédié AdCoach sliknnlswswkfjpxlssc, région eu-west-3 Paris. | AWS Paris (eu-west-3) - Union européenne | DPA signé - données en UE, pas de transfert | supabase.com/legal/dpa |
| Vercel Inc. | Hébergement de l’application Next.js, CDN, fonctions serverless (API routes, Cron). Calcul en région cdg1 (Paris, UE). | Edge EU (cdg1, Paris) - siège US | DPA + Clauses Contractuelles Types (CCT 2021/914) | vercel.com/legal/dpa |
| Anthropic, PBC | API Claude (modèle de langage IA) pour le Coach IA conversationnel. Données transmises pseudonymisées (aucun identifiant direct). Engagement non-entraînement des modèles sur les données utilisateurs. | États-Unis | CCT (2021/914) + EU-US Data Privacy Framework | anthropic.com/legal/commercial-terms |
| Meta Platforms Ireland Limited | API Graph Marketing Meta : lecture des comptes publicitaires, campagnes, insights de performance, leads (via OAuth). Via service intermédiaire integrations.fitness-vendor.com. Responsable conjoint (art. 26 RGPD) pour la connexion OAuth ; sous-traitant pour les données publicitaires. | Irlande (UE) / États-Unis | CCT + décision d’adéquation (Irlande) + EU-US DPF | facebook.com/privacy/policy |
| Stripe Payments Europe Limited | Paiements récurrents, facturation, gestion de l’abonnement mensuel. Certification PCI-DSS niveau 1. Aucune donnée bancaire brute ne transite par AdCoach AI. | Irlande (Dublin) - Union européenne | DPA + données en UE (pas de transfert) + PCI-DSS L1 | stripe.com/legal/dpa |
| Resend Inc. | Envoi des emails transactionnels (lien magique d’authentification, notifications de paiement, alertes). Configuration sans suivi de comportement destinataire (pas de pixel d’ouverture). | États-Unis | DPA + EU-US Data Privacy Framework | resend.com/legal/dpa |
| OVH SAS | Registraire DNS pour les domaines adcoachai.com et fitness-vendor.com. Aucune donnée personnelle applicative traitée. | France - Union européenne | Données en UE, pas de transfert | ovhcloud.com/fr/personal-data-protection |
| Functional Software, Inc. (Sentry) | Monitoring d’erreurs applicatives en temps réel. Instance EU (fitnessvendor.sentry.io). Scrubbing PII automatique activé : aucune donnée personnelle identifiable n’est conservée dans les rapports d’erreur. | États-Unis | CCT (2021/914) + DPA signé | sentry.io/privacy |
| Upstash, Inc. | Cache Redis distribué pour la gestion des nonces HMAC anti-rejeu (TTL 6 minutes). Données non-personnelles (hash de nonce uniquement). | États-Unis / UE | CCT (2021/914) | upstash.com/trust/privacy.pdf |
| Inngest, Inc. | Orchestration des tâches asynchrones et planifiées (synchronisation Meta, génération de rapports, envoi des emails, suppression de compte). Traite des identifiants utilisateur, adresses email et données de campagne le temps de l’exécution. | États-Unis | CCT (2021/914) | inngest.com/privacy |
| Amazon Web Services (AWS) | Infrastructure de calcul et de stockage sous-jacente à Supabase. Région eu-west-3 Paris. Fitness Vendor SAS n’est pas client direct d’AWS - ce sous-traitant est engagé par Supabase en tant que sous-traitant ultérieur de rang 2. | Union européenne (eu-west-3 Paris) | CCT + décision d’adéquation + DPA AWS-Supabase | aws.amazon.com/fr/compliance/gdpr-center |
Information préalable et droit d’opposition
Conformément à l’article 28.2 du RGPD et à l’article 7 du DPA, Fitness Vendor SAS s’engage à :
- Notifier les Utilisateurs par email au moins 30 jours avant l’ajout de tout nouveau sous-traitant susceptible de traiter leurs données personnelles ;
- Indiquer dans cette notification : l’identité du nouveau sous-traitant, sa localisation, le service rendu et les garanties de transfert hors UE applicables ;
- Permettre aux Utilisateurs d’exercer leur droit d’opposition dans ce délai de 30 jours, en adressant un email motivé à contact@fitness-vendor.com ;
- En cas d’opposition légitime non résolue, permettre à l’Utilisateur de résilier son abonnement sans frais.
Pour toute question sur la liste des sous-traitants : contact@fitness-vendor.com
Historique des modifications
| Date | Sous-traitant | Action | Motif |
|---|---|---|---|
| 2026-05-27 | Supabase Inc., Vercel Inc., Anthropic PBC, Meta Platforms Ireland Ltd, Stripe Payments Europe Ltd, Resend Inc., OVH SAS, Functional Software Inc. (Sentry), Upstash Inc., Amazon Web Services | Publication initiale | Mise en conformité article 28.2 RGPD - première version complète et versionnée de la liste des sous-traitants AdCoach AI |
Voir aussi : Politique de confidentialité · DPA