Sous-traitants et accords de traitement

Dernière mise à jour : 7 mai 2026 · Conforme RGPD article 28

Pourquoi cette page existe. L'article 28 du RGPD vous donne le droit de savoir quelles entreprises tierces traitent vos données pour le compte de Vigil.AI. Cette page liste tous nos sous-traitants, leur rôle, leur localisation, et les garanties juridiques mises en place. Toute évolution est notifiée par email avec préavis de 30 jours.

1. Comment lire ce tableau

Chaque sous-traitant ci-dessous traite une catégorie de données précise pour Vigil.AI. La colonne « cadre juridique » indique le mécanisme qui rend le transfert légal :

UE : pas de transfert hors UE, conformité RGPD directe.
DPF (Data Privacy Framework) : entreprise certifiée USA-UE, transferts couverts par décision d'adéquation 2023/1795 de la Commission européenne.
CCT (clauses contractuelles types) : contrat type validé par la Commission européenne (décision 2021/914), utilisé pour les transferts hors UE / hors DPF.
Art. 49-1-a : consentement explicite de la personne concernée pour les transferts vers des pays tiers sans garantie adéquate (cas des clouds chinois EZVIZ et Tapo).

2. Liste des sous-traitants actifs

Liste des sous-traitants Vigil.AI : rôle, données traitées, localisation et cadre juridique applicable.
Sous-traitant	Rôle	Données traitées	Localisation	Cadre juridique
Hetzner Online GmbH	Hébergement serveur applicatif et base de données	Toutes les données utilisateur, snapshots caméra	Falkenstein, Allemagne (UE)	UE — pas de transfert
Google Ireland (Gemini API)	Analyse vision IA des snapshots pour détection de danger	Snapshots caméra (image), pas de PII textuelle	Irlande (UE) + USA	UE + DPF
Stripe Payments Europe Ltd	Traitement des paiements et abonnements	Email, nom, adresse facturation, montants, méthodes de paiement	Dublin, Irlande (UE)	UE — pas de transfert
Cloudflare, Inc.	DNS, anti-DDoS, certificat TLS	Adresse IP, métadonnées requêtes HTTP	San Francisco, USA	DPF
Resend Inc.	Envoi d'emails transactionnels (vérification, alertes)	Email, contenu des messages transactionnels	Delaware, USA	DPF
Telegram FZ-LLC	Réception des alertes par messagerie	Identifiant chat Telegram, snapshots des alertes	Dubaï, Émirats Arabes Unis	CCT (décision 2021/914)
EZVIZ / Hikvision	Cloud caméra (compte cam EZVIZ uniquement si l'utilisateur en possède une)	Email du compte EZVIZ, numéro de série, snapshots déclenchés par mouvement	Hangzhou, Chine	Art. 49-1-a (consentement explicite)
TP-Link / Tapo Care	Cloud caméra (compte cam Tapo uniquement si l'utilisateur en possède une)	Email du compte Tapo, numéro de série, vidéos courtes des événements motion	Shenzhen, Chine	Art. 49-1-a (consentement explicite)
Microsoft Clarity	Analyse comportementale anonyme du site (heatmaps, parcours)	Cookies anonymes, parcours navigation	Redmond, USA	DPF (chargé après consentement cookie banner)
GoatCounter	Statistiques de fréquentation sans cookie	Comptage anonyme des pages vues, pas d'IP stockée	Pays-Bas (UE)	UE — pas de transfert, pas de cookie

3. Comment obtenir une copie d'un DPA

Si vous voulez consulter le contrat de sous-traitance précis avec l'un des prestataires ci-dessus (par exemple pour votre propre conformité d'entreprise), envoyez votre demande à privacy@aivigils.com en précisant le sous-traitant concerné. Nous transmettons sous 30 jours :

Le DPA Google (Data Processing Addendum) signé pour l'API Gemini
Le DPA Hetzner (Auftragsverarbeitungsvertrag, art. 28 RGPD)
Le DPA Stripe (Customer Data Processing Agreement)
Le DPA Cloudflare (Data Processing Addendum)
Le DPA Resend (Data Processing Agreement)
Les CCT signées avec Telegram (clauses contractuelles types)

4. Cas particulier des clouds chinois

EZVIZ (Hikvision) et Tapo (TP-Link) hébergent leurs serveurs en Chine. La Chine n'est pas couverte par une décision d'adéquation de la Commission européenne. Par conséquent, le transfert de données vers ces clouds est légalement encadré par l'article 49-1-a du RGPD, qui autorise le transfert si la personne concernée a donné son consentement explicite après avoir été informée des risques possibles.

Concrètement, lorsque vous ajoutez une caméra EZVIZ ou Tapo à Vigil.AI, vous devez cocher une case de consentement explicite. Tant que cette case n'est pas cochée, l'ajout est techniquement bloqué côté serveur. Vous pouvez retirer ce consentement à tout moment depuis les paramètres de votre compte ; l'effet immédiat est la déconnexion du compte cloud cam et l'arrêt de la surveillance pour cette caméra.

5. Notifications de changement

Si nous ajoutons un nouveau sous-traitant ou changeons un sous-traitant existant pour une catégorie de données, nous vous notifions par email au moins 30 jours avant le changement. Vous pouvez vous opposer à ce nouveau sous-traitant ; dans ce cas, et si nous ne pouvons pas accommoder l'opposition, vous avez le droit de résilier votre abonnement avec remboursement prorata des jours restants.

6. Sous-traitants envisagés mais pas encore actifs

Cette section vous prévient des évolutions à court terme. Aucune donnée n'est encore transmise à ces prestataires :

Meta (Facebook / Instagram) : si nous activons un Pixel publicitaire, il sera précédé d'un opt-in granulaire dans le bandeau cookies. Vous pourrez refuser sans impact sur votre utilisation de Vigil.
Modèle IA local (Gemma / LLaVA) : envisagé pour réduire la dépendance à Gemini. Ne change rien à la nature des données traitées, mais supprimerait le sous-traitant Google sur la partie analyse vision.

7. Contact

Pour toute question sur cette page ou un sous-traitant en particulier, écrivez à privacy@aivigils.com. Si vous n'êtes pas satisfait de notre réponse, vous pouvez introduire une réclamation auprès de la CNIL.