En langage simple. Pour faire fonctionner EasyMark, SZTek Inc. fait appel à un petit nombre de fournisseurs de services tiers (appelés « sous-traitants »). Cette page énumère tous les sous-traitants que nous utilisons aujourd'hui, ce que chacun fait, quelles données il traite et où ces données résident. Nous gardons cette liste courte volontairement : moins de fournisseurs signifie une surface réduite pour vos renseignements personnels. La majeure partie de notre traitement demeure au Canada. Il y a une exception délibérée : lors de votre inscription, nous effectuons une vérification anti-robot rapide qui envoie votre adresse IP à Cloudflare (un fournisseur mondial) pendant quelques secondes afin de confirmer que vous êtes une personne réelle. Ce seul flux transfrontalier est décrit en détail ci-dessous, afin que le portrait de la résidence des données au Canada soit exact plutôt qu'exagéré. Si nous ajoutons, retirons ou substituons un sous-traitant, nous mettons à jour cette page et publions une nouvelle entrée de version dans notre registre de documents légaux; vous pouvez toujours consulter la liste actuelle ici.
1. Pourquoi cette page existe
La Loi 25 du Québec (article 7) et la LPRPDE exigent toutes deux que SZTek soit transparente quant aux tiers qui traitent des renseignements personnels en son nom. Notre Politique de confidentialité (Clause 7) renvoie à cette page comme étant la liste canonique actuelle. Cette page est elle-même un document légal versionné — elle est conservée, versionnée et publiée par l'intermédiaire du même registre legal_documents qui contient les Conditions d'utilisation, la Politique de confidentialité et la Politique relative aux témoins. Chaque modification importante de la liste entraîne une republication et une nouvelle entrée de version.
2. Sous-traitants actuels
À la date d'entrée en vigueur indiquée ci-dessus, SZTek utilise les sous-traitants suivants pour fournir EasyMark :
| Sous-traitant | Finalité | Catégories de données | Posture transfrontalière | Fondement juridique |
|---|---|---|---|---|
| Oracle Cloud Infrastructure (OCI), Région Canada (Toronto) | Calcul (instances de conteneur), base de données (PostgreSQL), stockage d'objets, livraison de courriel SMTP, coffre-fort (gestion des secrets) | Toutes les données du Client ainsi que les catégories de renseignements personnels énumérées à la Clause 5 de la Politique de confidentialité | OCI Région Canada; l'essentiel du traitement des renseignements personnels du Service demeure au Canada dans le cours normal des activités (la seule exception délibérée est la vérification Cloudflare Turnstile à l'inscription, décrite ci-dessous) | Entente sur le traitement des données entre SZTek et Oracle Corporation |
| Stripe Payments Canada, Ltd. | Traitement des paiements, facturation, suivi de l'utilisation IA mesurée | Données de facturation et fiscales (Clause 5 c) de la Politique de confidentialité); les données de titulaires de cartes sont tokenisées par Stripe — SZTek ne reçoit ni ne conserve jamais de numéros de carte complets, de CVV ou d'identifiants de compte bancaire | Entité basée au Canada; transfert transfrontalier limité vers les États-Unis à la discrétion de Stripe pour la surveillance de la fraude | Entente sur le traitement des données de Stripe; PCI-DSS niveau 1 |
| Cloudflare, Inc. | Protection contre les robots et les abus à l'inscription au moyen de Cloudflare Turnstile; routage de bordure et protection contre les DDoS pour le site Web public | Votre adresse IP et le jeton de défi Turnstile, transmis à Cloudflare au moment où s'exécute la vérification anti-robot à l'inscription. Aucun contenu de compte, document ou donnée marketing n'est envoyé à Cloudflare. | Flux transfrontalier délibéré et restreint. Cloudflare est un fournisseur de bordure mondial dont le siège social est aux États-Unis. L'appel de vérification Turnstile envoie votre adresse IP au point d'extrémité mondial siteverify de Cloudflare pendant la durée de la vérification. C'est le seul flux courant qui quitte le Canada. |
Entente sur le traitement des données de Cloudflare, intégrant les Clauses contractuelles types de l'UE; intérêt légitime à prévenir les abus automatisés et la fraude aux essais |
Plausible Analytics (auto-hébergé sur une instance OCI A1 Flex contrôlée par SZTek à analytics.easymark.ca) |
Analyses de pages vues axées sur la vie privée (sans témoin par conception) | Compteurs de pages vues agrégés seulement — aucune conservation d'IP, aucun témoin, aucun identifiant au niveau de l'utilisateur | Auto-hébergé dans la région OCI Canada; aucun transfert transfrontalier; Plausible Analytics est un fournisseur de logiciel uniquement dans cette configuration, et non un sous-traitant qui reçoit des renseignements personnels sur les utilisateurs du Service | Licence logicielle uniquement; aucune entente de traitement des données requise puisqu'aucun renseignement personnel n'est partagé avec le fournisseur (le logiciel s'exécute entièrement sur l'infrastructure de SZTek) |
3. Ce que fait chaque sous-traitant, en détail
a) Oracle Cloud Infrastructure (OCI) — région de Toronto. OCI héberge l'essentiel de l'infrastructure du service EasyMark à l'intérieur du locataire canadien de SZTek : calcul (instances de conteneur), base de données (PostgreSQL avec l'extension pgvector), stockage d'objets (documents téléversés, médias générés), livraison de courriel transactionnel et (lorsque consenti) marketing par l'intermédiaire de OCI Email Delivery SMTP, et gestion des secrets par l'intermédiaire de OCI Vault. OCI traite les renseignements personnels suivant les directives de SZTek aux seules fins de fournir le calcul, le stockage, la mise en réseau, le courriel transactionnel et la gestion des secrets sous-jacents. OCI est un sous-traitant de la région Canada; l'essentiel du traitement des renseignements personnels du Service demeure au Canada dans le cours normal des activités, sous réserve uniquement du flux restreint Cloudflare Turnstile décrit au paragraphe d).
b) Stripe Payments Canada, Ltd. Stripe traite tous les paiements pour les abonnements EasyMark, les ententes d'accès 5 ans, les forfaits de crédits IA et la facturation à l'utilisation. Stripe reçoit les données de facturation et fiscales (votre nom de facturation, adresse, numéro d'enregistrement fiscal et métadonnées de mode de paiement) et traite les paiements selon ses propres conditions et son niveau de conformité PCI-DSS niveau 1. Les numéros de carte de paiement complets, les codes de sécurité (CVV) et les identifiants de compte bancaire sont recueillis directement par Stripe et ne sont jamais reçus ni conservés par SZTek. Stripe Payments Canada est une entité basée au Canada; un transfert transfrontalier limité vers les États-Unis peut survenir à la discrétion de Stripe à des fins de surveillance de la fraude en vertu de l'Entente sur le traitement des données de Stripe.
c) Plausible Analytics — auto-hébergé sur OCI A1 Flex. EasyMark utilise Plausible Analytics, un logiciel d'analyse de pages vues axé sur la vie privée, déployé par SZTek sur sa propre instance OCI A1 Flex à analytics.easymark.ca. Dans cette configuration auto-hébergée, Plausible Analytics ne reçoit aucune adresse IP, aucun témoin et aucun identifiant au niveau de l'utilisateur; les compteurs de pages vues agrégés sont stockés entièrement à l'intérieur du locataire OCI Région Canada de SZTek. Plausible Analytics (la société) est un fournisseur de logiciel dans cette configuration, et non un sous-traitant à l'égard des renseignements personnels des utilisateurs du Service. Aucun point d'extrémité infonuagique de Plausible ne reçoit le trafic d'EasyMark; le script et les points d'extrémité d'analyse résolvent tous deux vers une infrastructure OCI contrôlée par SZTek.
d) Cloudflare, Inc. EasyMark utilise Cloudflare Turnstile, une vérification « êtes-vous un humain ? » respectueuse de la vie privée, sur le flux d'inscription et de création de compte afin de prévenir les abus automatisés et la fraude aux crédits d'essai. Lorsque vous complétez la vérification, EasyMark envoie votre adresse IP et le jeton de défi à usage unique au point d'extrémité de vérification de Cloudflare (https://challenges.cloudflare.com/turnstile/v0/siteverify) afin que Cloudflare puisse confirmer l'authenticité du jeton. Cela transmet votre adresse IP à Cloudflare, un fournisseur de bordure mondial dont le siège social est aux États-Unis, pendant les quelques secondes que dure la vérification. C'est le seul flux courant du Service qui envoie des renseignements personnels hors du Canada, et il est délibéré : une vérification anti-robot côté serveur a besoin de l'adresse IP du demandeur pour faire son travail. Cloudflare agit comme sous-traitant de SZTek à cette fin en vertu de l'Entente sur le traitement des données de Cloudflare, qui intègre les Clauses contractuelles types de l'UE comme mécanisme de transfert transfrontalier. SZTek n'envoie à Cloudflare aucun contenu de compte, document téléversé, donnée de marque ou donnée marketing — uniquement l'adresse IP et le jeton nécessaires à la vérification. À l'interne, SZTek hache l'adresse IP avant de l'inscrire dans ses propres journaux (de sorte que l'IP brute n'est pas conservée dans les dossiers de SZTek), mais l'appel de vérification à Cloudflare lui-même utilise nécessairement l'adresse IP réelle. Cloudflare fournit également le routage de bordure et la protection contre les DDoS pour le site Web public easymark.ca; à ce titre, il traite les métadonnées de connexion standard (y compris l'IP) que tout mandataire inverse voit afin d'acheminer et de protéger le trafic Web.
4. Ce qui n'est PAS un sous-traitant de SZTek
Plusieurs tiers couramment supposés être des sous-traitants n'en sont pas, parce qu'EasyMark soit i) ne partage pas de renseignements personnels avec eux, soit ii) vous considère comme le responsable du traitement pour cette intégration, soit iii) ne les utilise pas dans les configurations décrites ci-dessous :
a) Fournisseurs d'IA que vous configurez dans le cadre du modèle « apportez votre propre IA » (OpenAI, Anthropic, Fal.ai, Kling AI, ElevenLabs, Stability AI et tout autre fournisseur d'IA pour lequel vous fournissez vos propres identifiants d'API). Lorsque vous utilisez le modèle « apportez votre propre IA », les directives et les contenus sont transmis au fournisseur d'IA dont vous avez configuré les identifiants, en vertu de votre propre entente avec ce fournisseur. SZTek n'est pas le responsable du traitement pour ce traitement et n'est pas responsable de la manière dont ce fournisseur traite les renseignements personnels.
b) Canaux de publication que vous connectez (Meta / Facebook / Instagram, Google, LinkedIn, X / Twitter, TikTok, Pinterest, YouTube et tout fournisseur de livraison de courriel que vous connectez dans le cadre du modèle « apportez votre propre courriel »). Lorsque vous connectez un canal, vous autorisez la plateforme de canal en vertu de ses propres conditions; SZTek transmet les jetons OAuth de canaux et le contenu que vous demandez à EasyMark de publier, mais la plateforme de canal n'est pas un sous-traitant de SZTek à l'égard des renseignements personnels de votre auditoire.
c) Google Analytics 4, Google Tag Manager, Meta Pixel et autres traceurs d'analyse ou de publicité de tiers similaires. EasyMark n'utilise délibérément aucun de ces outils sur ses pages marketing ou dans le produit. Notre Politique relative aux témoins confirme l'absence totale de traceurs publicitaires ou marketing.
5. Comment cette liste évolue
La liste actuelle des sous-traitants correspond à la version identifiée en haut de cette page. SZTek peut, à sa seule discrétion sous réserve de la loi applicable, ajouter, retirer ou substituer des sous-traitants à mesure que le Service évolue. Chaque changement entraîne une republication de cette page et une nouvelle entrée de version dans le registre legal_documents de SZTek. Les ajouts ou substitutions importants sont communiqués lors de la prochaine mise à jour de la Politique de confidentialité ou, lorsque le changement est important sur le plan opérationnel avant cette date, par un avis dans le produit. L'utilisation continue du Service après la mise à jour constitue une acceptation de la substitution dans la mesure permise par la loi applicable.
Comment être avisé. Si vous exercez vos activités dans un secteur réglementé et avez besoin d'un préavis des changements de sous-traitants, écrivez à privacy@easymark.ca et SZTek vous inscrira, sur demande et sous réserve de confidentialité, à une liste de notification tenue par le Responsable de la protection des renseignements personnels.
6. Posture transfrontalière, en termes simples
La conception délibérée des sous-traitants de SZTek vise à conserver vos renseignements personnels au Canada dans le cours normal de l'exploitation d'EasyMark. L'hébergement (OCI), la base de données, le stockage d'objets, le courriel transactionnel, la gestion des secrets et l'analyse de pages vues sont tous situés dans la région Canada. La facturation (Stripe Payments Canada) est assurée par une entité basée au Canada, avec un flux transfrontalier limité à des fins de surveillance de la fraude en vertu de l'entente de traitement des données de Stripe. Le seul flux courant qui quitte le Canada est la vérification anti-robot Cloudflare Turnstile à l'inscription, qui transmet votre adresse IP à Cloudflare (un fournisseur mondial dont le siège social est aux États-Unis) pendant quelques secondes pour confirmer que vous êtes une personne réelle. Ce flux est régi par l'Entente sur le traitement des données de Cloudflare et les Clauses contractuelles types de l'UE qui y sont intégrées, et il se limite à l'adresse IP et au jeton de défi — aucun contenu de compte n'est envoyé. Les fournisseurs d'IA et les canaux de publication ne sont pas des sous-traitants de SZTek et sont régis par vos propres choix « apportez votre propre IA » / « apportez votre propre canal ». La Clause 8 de la Politique de confidentialité établit la posture transfrontalière complète et le cadre d'évaluation des facteurs relatifs à la vie privée prévu à l'article 17 applicable au flux Cloudflare et à tout autre sous-traitant non canadien que SZTek pourrait introduire à l'avenir.
7. Pour nous joindre
Des questions sur un sous-traitant figurant sur cette liste, vous souhaitez un préavis avant que SZTek en ajoute un nouveau ou estimez qu'une relation de sous-traitance doit être réexaminée ? Écrivez au Responsable de la protection des renseignements personnels à privacy@easymark.ca. Adresse postale : SZTek Inc., à l'attention du Responsable de la protection des renseignements personnels, Vaughan, Ontario, L6A 3A1, Canada.
Modifications de cette liste. Chaque modification de la liste des sous-traitants entraîne une republication de cette page et une nouvelle entrée de version dans le registre des documents légaux de SZTek. Après l'approbation du conseiller juridique canadien, l'état de révision juridique de cette page est mis à jour vers un état horodaté « révisé par un conseiller juridique canadien » et une nouvelle version du document est créée.