En langage simple. Pour faire fonctionner EasyMark, SZTek Inc. fait appel à un petit nombre de fournisseurs de services tiers (appelés « sous-traitants »). Cette page énumère tous les sous-traitants que nous utilisons aujourd'hui, ce que chacun fait, quelles données il traite et où ces données résident. Nous gardons cette liste courte volontairement : moins de fournisseurs signifie une surface réduite pour vos renseignements personnels. La majeure partie de notre traitement demeure au Canada. Deux flux quittent le Canada de manière délibérée : (1) une vérification anti-robot rapide à l'inscription envoie votre adresse IP à Cloudflare (un fournisseur mondial) pendant quelques secondes; et (2) si vous choisissez l'IA gérée (où EasyMark utilise nos propres clés de fournisseur d'IA au lieu des vôtres), le texte que nous générons pour vous est envoyé au fournisseur d'IA qui traite cette demande. Ces deux flux sont décrits en détail ci-dessous, afin que le portrait de la résidence des données au Canada soit exact plutôt qu'exagéré. Si vous conservez le modèle « apportez votre propre IA » (votre propre clé d'API), le flux d'IA demeure régi par votre propre entente avec ce fournisseur et les fournisseurs ci-dessous ne sont pas nos sous-traitants pour votre compte. Si nous ajoutons, retirons ou substituons un sous-traitant, nous mettons à jour cette page et publions une nouvelle entrée de version dans notre registre de documents légaux; vous pouvez toujours consulter la liste actuelle ici.
1. Pourquoi cette page existe
La Loi 25 du Québec (article 7) et la LPRPDE exigent toutes deux que SZTek soit transparente quant aux tiers qui traitent des renseignements personnels en son nom. Notre Politique de confidentialité (Clause 7) renvoie à cette page comme étant la liste canonique actuelle. Cette page est elle-même un document légal versionné — elle est conservée, versionnée et publiée par l'intermédiaire du même registre legal_documents qui contient les Conditions d'utilisation, la Politique de confidentialité et la Politique relative aux témoins. Chaque modification importante de la liste entraîne une republication et une nouvelle entrée de version.
2. Sous-traitants actuels
À la date d'entrée en vigueur indiquée ci-dessus, SZTek utilise les sous-traitants suivants pour fournir EasyMark. Les quatre premiers sont toujours engagés. Les trois derniers (Anthropic, OpenAI, Fal.ai) ne sont engagés que lorsque vous choisissez l'IA gérée; sous le modèle « apportez votre propre IA », ils ne sont pas des sous-traitants de SZTek (voir la section 4).
| Sous-traitant | Finalité | Catégories de données | Posture transfrontalière | Fondement juridique |
|---|---|---|---|---|
| Oracle Cloud Infrastructure (OCI), Région Canada (Toronto) | Calcul (instances de conteneur), base de données (PostgreSQL), stockage d'objets, livraison de courriel SMTP, coffre-fort (gestion des secrets) | Toutes les données du Client ainsi que les catégories de renseignements personnels énumérées à la Clause 5 de la Politique de confidentialité | OCI Région Canada; l'essentiel du traitement des renseignements personnels du Service demeure au Canada dans le cours normal des activités (les exceptions délibérées sont la vérification Cloudflare Turnstile à l'inscription et le flux d'IA gérée décrits ci-dessous) | Entente sur le traitement des données entre SZTek et Oracle Corporation |
| Stripe Payments Canada, Ltd. | Traitement des paiements, facturation, suivi de l'utilisation IA mesurée | Données de facturation et fiscales (Clause 5 c) de la Politique de confidentialité); les données de titulaires de cartes sont tokenisées par Stripe — SZTek ne reçoit ni ne conserve jamais de numéros de carte complets, de CVV ou d'identifiants de compte bancaire | Entité basée au Canada; transfert transfrontalier limité vers les États-Unis à la discrétion de Stripe pour la surveillance de la fraude | Entente sur le traitement des données de Stripe; PCI-DSS niveau 1 |
| Cloudflare, Inc. | Protection contre les robots et les abus à l'inscription au moyen de Cloudflare Turnstile; routage de bordure et protection contre les DDoS pour le site Web public | Votre adresse IP et le jeton de défi Turnstile, transmis à Cloudflare au moment où s'exécute la vérification anti-robot à l'inscription. Aucun contenu de compte, document ou donnée marketing n'est envoyé à Cloudflare. | Flux transfrontalier délibéré et restreint. Cloudflare est un fournisseur de bordure mondial dont le siège social est aux États-Unis. L'appel de vérification Turnstile envoie votre adresse IP au point d'extrémité mondial siteverify de Cloudflare pendant la durée de la vérification. |
Entente sur le traitement des données de Cloudflare, intégrant les Clauses contractuelles types de l'UE; intérêt légitime à prévenir les abus automatisés et la fraude aux essais |
Plausible Analytics (auto-hébergé sur une instance OCI A1 Flex contrôlée par SZTek à analytics.easymark.ca) |
Analyses de pages vues axées sur la vie privée (sans témoin par conception) | Compteurs de pages vues agrégés seulement — aucune conservation d'IP, aucun témoin, aucun identifiant au niveau de l'utilisateur | Auto-hébergé dans la région OCI Canada; aucun transfert transfrontalier; Plausible Analytics est un fournisseur de logiciel uniquement dans cette configuration, et non un sous-traitant qui reçoit des renseignements personnels sur les utilisateurs du Service | Licence logicielle uniquement; aucune entente de traitement des données requise puisqu'aucun renseignement personnel n'est partagé avec le fournisseur (le logiciel s'exécute entièrement sur l'infrastructure de SZTek) |
| Anthropic, PBC (IA gérée seulement) | Génère du texte marketing (stratégie, légendes, rédaction) lorsqu'un espace de travail utilise l'IA gérée pour le texte/raisonnement | Le contenu de la directive qu'EasyMark envoie pour générer votre contenu — des extraits de votre profil de marque, des extraits de vos documents d'affaires et les instructions de la pièce. Aucune donnée de facturation, aucun mot de passe, aucun magasin de documents complet. | Transfrontalier (IA gérée seulement). Anthropic a son siège social aux États-Unis; le contenu de la directive est transmis à l'API d'Anthropic pendant la durée de la demande de génération. Engagé uniquement si vous optez pour l'IA gérée; jamais sous le modèle « apportez votre propre IA ». | Conditions commerciales / Entente de traitement des données d'Anthropic; Anthropic n'entraîne pas ses modèles sur les données d'API commerciales par défaut |
| OpenAI, L.L.C. (IA gérée seulement) | Génère du texte marketing et/ou des images lorsqu'un espace de travail utilise l'IA gérée et que la demande est acheminée vers un modèle OpenAI | Le contenu de la directive qu'EasyMark envoie pour générer votre contenu, comme ci-dessus | Transfrontalier (IA gérée seulement). OpenAI a son siège social aux États-Unis; le contenu de la directive est transmis à l'API d'OpenAI pendant la durée de la demande. Engagé uniquement sous l'IA gérée. | Conditions commerciales / Entente de traitement des données d'OpenAI; OpenAI n'entraîne pas ses modèles sur les données d'API commerciales par défaut |
| Fal.ai (Features & Labels, Inc.) (IA gérée seulement) | Génère des images et des vidéos (p. ex. FLUX, Kling acheminé via Fal) lorsqu'un espace de travail utilise l'IA gérée pour la modalité image/vidéo | La directive de génération d'image/vidéo qu'EasyMark envoie — les instructions textuelles et tout actif de référence que vous fournissez pour la pièce | Transfrontalier (IA gérée seulement). Fal.ai a son siège social aux États-Unis; la directive de génération est transmise à l'API de Fal.ai pendant la durée de la demande. Engagé uniquement sous l'IA gérée. | Conditions d'utilisation / Entente de traitement des données de Fal.ai |
3. Ce que fait chaque sous-traitant, en détail
a) Oracle Cloud Infrastructure (OCI) — région de Toronto. OCI héberge l'essentiel de l'infrastructure du service EasyMark à l'intérieur du locataire canadien de SZTek : calcul (instances de conteneur), base de données (PostgreSQL avec l'extension pgvector), stockage d'objets (documents téléversés, médias générés), livraison de courriel transactionnel et (lorsque consenti) marketing par l'intermédiaire de OCI Email Delivery SMTP, et gestion des secrets par l'intermédiaire de OCI Vault. OCI traite les renseignements personnels suivant les directives de SZTek aux seules fins de fournir le calcul, le stockage, la mise en réseau, le courriel transactionnel et la gestion des secrets sous-jacents. OCI est un sous-traitant de la région Canada; l'essentiel du traitement des renseignements personnels du Service demeure au Canada dans le cours normal des activités, sous réserve uniquement du flux restreint Cloudflare Turnstile décrit au paragraphe d) et du flux d'IA gérée décrit au paragraphe e).
b) Stripe Payments Canada, Ltd. Stripe traite tous les paiements pour les abonnements EasyMark, les ententes d'accès 5 ans, les forfaits de crédits IA et la facturation à l'utilisation. Stripe reçoit les données de facturation et fiscales (votre nom de facturation, adresse, numéro d'enregistrement fiscal et métadonnées de mode de paiement) et traite les paiements selon ses propres conditions et son niveau de conformité PCI-DSS niveau 1. Les numéros de carte de paiement complets, les codes de sécurité (CVV) et les identifiants de compte bancaire sont recueillis directement par Stripe et ne sont jamais reçus ni conservés par SZTek. Stripe Payments Canada est une entité basée au Canada; un transfert transfrontalier limité vers les États-Unis peut survenir à la discrétion de Stripe à des fins de surveillance de la fraude en vertu de l'Entente sur le traitement des données de Stripe.
c) Plausible Analytics — auto-hébergé sur OCI A1 Flex. EasyMark utilise Plausible Analytics, un logiciel d'analyse de pages vues axé sur la vie privée, déployé par SZTek sur sa propre instance OCI A1 Flex à analytics.easymark.ca. Dans cette configuration auto-hébergée, Plausible Analytics ne reçoit aucune adresse IP, aucun témoin et aucun identifiant au niveau de l'utilisateur; les compteurs de pages vues agrégés sont stockés entièrement à l'intérieur du locataire OCI Région Canada de SZTek. Plausible Analytics (la société) est un fournisseur de logiciel dans cette configuration, et non un sous-traitant à l'égard des renseignements personnels des utilisateurs du Service. Aucun point d'extrémité infonuagique de Plausible ne reçoit le trafic d'EasyMark; le script et les points d'extrémité d'analyse résolvent tous deux vers une infrastructure OCI contrôlée par SZTek.
d) Cloudflare, Inc. EasyMark utilise Cloudflare Turnstile, une vérification « êtes-vous un humain ? » respectueuse de la vie privée, sur le flux d'inscription et de création de compte afin de prévenir les abus automatisés et la fraude aux crédits d'essai. Lorsque vous complétez la vérification, EasyMark envoie votre adresse IP et le jeton de défi à usage unique au point d'extrémité de vérification de Cloudflare (https://challenges.cloudflare.com/turnstile/v0/siteverify) afin que Cloudflare puisse confirmer l'authenticité du jeton. Cela transmet votre adresse IP à Cloudflare, un fournisseur de bordure mondial dont le siège social est aux États-Unis, pendant les quelques secondes que dure la vérification. Une vérification anti-robot côté serveur a besoin de l'adresse IP du demandeur pour faire son travail. Cloudflare agit comme sous-traitant de SZTek à cette fin en vertu de l'Entente sur le traitement des données de Cloudflare, qui intègre les Clauses contractuelles types de l'UE comme mécanisme de transfert transfrontalier. SZTek n'envoie à Cloudflare aucun contenu de compte, document téléversé, donnée de marque ou donnée marketing — uniquement l'adresse IP et le jeton nécessaires à la vérification. À l'interne, SZTek hache l'adresse IP avant de l'inscrire dans ses propres journaux, mais l'appel de vérification à Cloudflare lui-même utilise nécessairement l'adresse IP réelle. Cloudflare fournit également le routage de bordure et la protection contre les DDoS pour le site Web public easymark.ca.
e) Fournisseurs d'IA gérée — Anthropic, OpenAI, Fal.ai. EasyMark offre deux façons d'alimenter l'IA qui rédige votre marketing : « apportez votre propre IA » (vous fournissez votre propre clé d'API — voir la section 4 a)) et l'IA gérée (EasyMark utilise ses propres clés de fournisseur et vous facture l'utilisation). Lorsque, et seulement lorsque, vous choisissez l'IA gérée pour une tâche donnée, EasyMark transmet la directive de cette tâche — les extraits de profil de marque et de documents d'affaires ainsi que les instructions de génération nécessaires — au fournisseur d'IA qui la traite : Anthropic (texte et raisonnement), OpenAI (texte et certaines images) et/ou Fal.ai (images et vidéos). Ces fournisseurs ont leur siège social aux États-Unis, de sorte que le flux d'IA gérée envoie le contenu de la directive hors du Canada pour la durée de chaque demande de génération. SZTek engage chaque fournisseur en vertu de ses propres conditions commerciales et de son Entente de traitement des données; Anthropic et OpenAI n'entraînent pas leurs modèles sur les données d'API commerciales par défaut. SZTek n'envoie que le contenu nécessaire à la génération de la pièce demandée — jamais vos données de facturation, votre mot de passe, votre magasin de documents complet ni les données d'un autre espace de travail. Si vous n'activez jamais l'IA gérée, aucun de ces trois fournisseurs n'est engagé en votre nom et aucun n'est un sous-traitant de SZTek pour votre compte.
4. Ce qui n'est PAS un sous-traitant de SZTek
Plusieurs tiers couramment supposés être des sous-traitants n'en sont pas, parce qu'EasyMark soit i) ne partage pas de renseignements personnels avec eux, soit ii) vous considère comme le responsable du traitement pour cette intégration, soit iii) ne les utilise pas dans les configurations décrites ci-dessous :
a) Fournisseurs d'IA que vous configurez dans le cadre du modèle « apportez votre propre IA » (OpenAI, Anthropic, Fal.ai, Kling AI, ElevenLabs, Stability AI et tout autre fournisseur d'IA pour lequel vous fournissez vos propres identifiants d'API). Lorsque vous utilisez le modèle « apportez votre propre IA », les directives et les contenus sont transmis au fournisseur d'IA dont vous avez configuré les identifiants, en vertu de votre propre entente avec ce fournisseur. SZTek n'est pas le responsable du traitement pour ce traitement et n'est pas responsable de la manière dont ce fournisseur traite les renseignements personnels. Cette exclusion s'applique uniquement au parcours « apportez votre propre IA ». Lorsque vous choisissez plutôt l'IA gérée, ces mêmes fournisseurs agissent comme sous-traitants de SZTek et sont énumérés à la section 2 et décrits à la section 3 e).
b) Canaux de publication que vous connectez (Meta / Facebook / Instagram, Google, LinkedIn, X / Twitter, TikTok, Pinterest, YouTube et tout fournisseur de livraison de courriel que vous connectez dans le cadre du modèle « apportez votre propre courriel »). Lorsque vous connectez un canal, vous autorisez la plateforme de canal en vertu de ses propres conditions; SZTek transmet les jetons OAuth de canaux et le contenu que vous demandez à EasyMark de publier, mais la plateforme de canal n'est pas un sous-traitant de SZTek à l'égard des renseignements personnels de votre auditoire.
c) Google Analytics 4, Google Tag Manager, Meta Pixel et autres traceurs d'analyse ou de publicité de tiers similaires. EasyMark n'utilise délibérément aucun de ces outils sur ses pages marketing ou dans le produit. Notre Politique relative aux témoins confirme l'absence totale de traceurs publicitaires ou marketing.
5. Comment cette liste évolue
La liste actuelle des sous-traitants correspond à la version identifiée en haut de cette page. SZTek peut, à sa seule discrétion sous réserve de la loi applicable, ajouter, retirer ou substituer des sous-traitants à mesure que le Service évolue. Chaque changement entraîne une republication de cette page et une nouvelle entrée de version dans le registre legal_documents de SZTek. Les ajouts ou substitutions importants sont communiqués lors de la prochaine mise à jour de la Politique de confidentialité ou, lorsque le changement est important sur le plan opérationnel avant cette date, par un avis dans le produit. L'utilisation continue du Service après la mise à jour constitue une acceptation de la substitution dans la mesure permise par la loi applicable.
Comment être avisé. Si vous exercez vos activités dans un secteur réglementé et avez besoin d'un préavis des changements de sous-traitants, écrivez à privacy@easymark.ca et SZTek vous inscrira, sur demande et sous réserve de confidentialité, à une liste de notification tenue par le Responsable de la protection des renseignements personnels.
6. Posture transfrontalière, en termes simples
La conception délibérée des sous-traitants de SZTek vise à conserver vos renseignements personnels au Canada dans le cours normal de l'exploitation d'EasyMark. L'hébergement (OCI), la base de données, le stockage d'objets, le courriel transactionnel, la gestion des secrets et l'analyse de pages vues sont tous situés dans la région Canada. La facturation (Stripe Payments Canada) est assurée par une entité basée au Canada, avec un flux transfrontalier limité à des fins de surveillance de la fraude. Deux flux courants quittent le Canada : (1) la vérification anti-robot Cloudflare Turnstile à l'inscription, qui transmet votre adresse IP à Cloudflare (un fournisseur mondial dont le siège social est aux États-Unis) pendant quelques secondes; et (2) le flux d'IA gérée, qui — uniquement si vous optez pour l'IA gérée — transmet la directive de génération à un fournisseur d'IA dont le siège social est aux États-Unis (Anthropic, OpenAI ou Fal.ai) pendant la durée de chaque demande. Le flux Cloudflare est régi par l'Entente sur le traitement des données de Cloudflare et ses Clauses contractuelles types et se limite à l'IP et au jeton. Le flux d'IA gérée est régi par les conditions commerciales et l'Entente de traitement des données de chaque fournisseur et se limite au contenu de la directive nécessaire à la génération de votre pièce. Si vous conservez le modèle « apportez votre propre IA », le flux d'IA est régi par votre propre entente avec le fournisseur et n'est pas un flux de sous-traitance de SZTek. La Clause 8 de la Politique de confidentialité établit la posture transfrontalière complète et le cadre d'évaluation des facteurs relatifs à la vie privée prévu à l'article 17 applicable à ces flux et à tout autre sous-traitant non canadien que SZTek pourrait introduire à l'avenir.
7. Pour nous joindre
Des questions sur un sous-traitant figurant sur cette liste, vous souhaitez un préavis avant que SZTek en ajoute un nouveau ou estimez qu'une relation de sous-traitance doit être réexaminée ? Écrivez au Responsable de la protection des renseignements personnels à privacy@easymark.ca. Adresse postale : SZTek Inc., à l'attention du Responsable de la protection des renseignements personnels, Vaughan, Ontario, L6A 3A1, Canada.
Modifications de cette liste. Chaque modification de la liste des sous-traitants entraîne une republication de cette page et une nouvelle entrée de version dans le registre des documents légaux de SZTek. Après l'approbation du conseiller juridique canadien, l'état de révision juridique de cette page est mis à jour vers un état horodaté « révisé par un conseiller juridique canadien » et une nouvelle version du document est créée.