ACCORD DE TRAITEMENT DES DONNÉES (DPA)

Le présent Accord a pour objet de définir les conditions dans lesquelles la société Spiribase (ci-après le "Sous-traitant") s'engage à effectuer pour le compte du Client (ci-après le "Responsable de Traitement") les opérations de traitement de données à caractère personnel définies ci-après.

Dans le cadre de leurs relations contractuelles, les Parties s'engagent à respecter la réglementation en vigueur applicable au traitement de données à caractère personnel et, en particulier, le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (ci-après, "le RGPD").

• Responsable de Traitement (Client) : L'entité qui détermine les finalités et les moyens du traitement.
• Sous-traitant (Spiribase) : L'entité qui traite des données à caractère personnel pour le compte du Responsable de Traitement.
• Données Personnelles : Toute information se rapportant à une personne physique identifiée ou identifiable (candidats, recruteurs).

Le Sous-traitant est autorisé à traiter pour le compte du Responsable de Traitement les données personnelles nécessaires pour fournir les Services de recrutement assistés par IA.

Le Sous-traitant s'engage à :

1. Traiter les données uniquement sur instruction documentée du Responsable de Traitement, y compris en ce qui concerne les transferts vers un pays tiers.
2. Garantir la confidentialité des données traitées et veiller à ce que les personnes autorisées à traiter les données s'engagent à respecter la confidentialité.
3. Prendre toutes les mesures de sécurité requises (Art. 32 RGPD), notamment :
   • Chiffrement des données sensibles (AES-256) et des communications (TLS).
   • Moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes.
   • Procédures de rétablissement de la disponibilité (Backups).
   • Procédures d'évaluation régulière (Audits).
4. Ne pas recruter un autre sous-traitant sans l'autorisation écrite préalable ou générale du Responsable de Traitement.
   Le Client accepte par la présente la liste des sous-traitants ultérieurs mentionnés dans l'Annexe des CGVU (AWS, OpenAI, etc.).
5. Assister le Responsable de Traitement, dans la mesure du possible, à s'acquitter de son obligation de donner suite aux demandes d'exercice des droits des personnes concernées (accès, rectification, effacement, portabilité).
6. Notifier au Responsable de Traitement toute violation de données personnelles dans un délai maximum de 72 heures après en avoir pris connaissance.
7. Selon le choix du Responsable de Traitement, supprimer toutes les données personnelles ou les renvoyer au terme de la prestation, et détruire les copies existantes.

Le Responsable de Traitement s'engage à :

• Fournir au Sous-traitant les données visées par le présent contrat de manière licite (base légale valide).
• Documenter par écrit toute instruction concernant le traitement des données.
• Veiller, au préalable et pendant toute la durée du traitement, au respect des obligations prévues par le RGPD.
• Superviser le traitement (audit).

Certains traitements (notamment via les modèles d'IA générative comme OpenAI ou Anthropic) peuvent impliquer des transferts de données vers des pays tiers (USA).

Le Sous-traitant garantit que ces transferts sont encadrés par des mécanismes de protection appropriés, tels que les Clauses Contractuelles Types (CCT) de la Commission Européenne ou le cadre de protection des données UE-USA (Data Privacy Framework).