Accord de Traitement des Données
En vigueur au 15/04/2024
La finalité du présent accord de protection des données (l’ « Accord »), conclu entre Skilify.ai, édité par la société Wekey SASU, Sous-Traitant, et le Client, Responsable de Traitement, conformément à l’article 28 du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (« RGPD »), est de définir les conditions dans lesquelles le Sous-Traitant traite, sur instruction du Responsable de Traitement, des Données Personnelles telles que définies dans le RGPD.
Le présent Accord vise à encadrer les Traitements de Données dans le cadre de la réalisation de prestations de services par le Sous-Traitant au bénéfice du Responsable de Traitement.
ARTICLE 1 - DEFINITIONS
Au sein du présent Accord, les mots ci-après, qu’ils soient au singulier ou au pluriel et dans la mesure où leur première lettre est en majuscule, sont définis comme suit :
Données Personnelles : désigne toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée « personne concernée ») ; est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
Incident : désigne tout incident de sécurité, d’origine malveillante ou non, se produisant de manière intentionnelle ou non, ayant comme conséquence de compromettre l’intégrité, la confidentialité ou la disponibilité des Données Personnelles.
Lois Applicables : désigne les lois et règlements relatifs au traitement et à la protection de Données Personnelles applicables dans le pays où le Sous-Traitant est établi. Loi Applicable signifie en particulier (a) le RGPD, (b) les lois et règlements d’un état membre de l’Union européenne relatifs au traitement et à la protection des Données Personnelles, intégrant ou complétant le RGPD ; (c) toute autre loi ou règlement applicable relatifs au traitement et à la protection des Données Personnelles dans le cadre de l’Accord.
Prestations : désigne les prestations de services rendues par le Sous-Traitant au Responsable de Traitement et qui impliquent un Traitement des Données pour le compte du Responsable de Traitement.
Traitement des Données : désigne toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de Données Personnelles, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction.
ARTICLE 2 - OBJET DE L’ACCORD
L’Accord vise à encadrer le traitement de données à caractère personnel mis en œuvre dans le cadre de l’exécution des Prestations fournies par le Sous-Traitant au Responsable de traitement.
ARTICLE 3 - CONFORMITE A LA REGLEMENTATION APPLICABLE
Les Parties s’engagent à respecter les Lois Applicables telles que définies dans le présent Accord.
Si le Sous-Traitant estime que tout ou partie des instructions du Responsable de Traitement constituent ou peuvent constituer une violation des Lois Applicables, il en informe le Responsable de Traitement rapidement afin d’obtenir des instructions modifiées, sauf à ce que les Lois Applicables interdisent la fourniture de telles informations.
Le Responsable de Traitement procède aux adaptations des instructions, avec l’assistance raisonnable du Sous-Traitant en vue de la mise en conformité aux Lois Applicables. Ces modifications sont susceptibles d’avoir un impact substantiel sur la réalisation des Prestations et nécessiter, en particulier, un réexamen du périmètre et des conditions financières de la fourniture des Prestations. Dans cette hypothèse, les Parties négocieront de bonne foi les révisions nécessaires, y compris notamment le délai de mise en œuvre des modifications réclamées par le Responsable de Traitement.
Le Responsable de Traitement reconnait expressément et accepte que le Sous-Traitant ne soit pas lié par ses instructions qui violeraient les Lois Applicables. Le Sous-Traitant se réserve le droit de suspendre l’exécution des Prestations jusqu’à ce que les instructions soient modifiées pour être conformes aux Lois Applicables. Dans une telle hypothèse le Sous-Traitant informera le Responsable de Traitement de la mise en œuvre de la suspension, au plus tard le jour de ladite suspension.
Sans préjudice de ce qui précède, les Parties reconnaissent que le Sous-Traitant ne pourra être tenu responsable d’une violation des Lois Applicables dès lors que le Traitement des Données est conforme aux instructions du Responsable de Traitement.
Le Responsable de Traitement devra s’assurer que les Traitements de Données confiés au Sous-Traitant ont une base juridique appropriée et que les personnes concernées par ces traitements ont préalablement donné, si celui-ci est exigé, leur consentement conformément aux obligations imposées par les Lois Applicables.
ARTICLE 4 - OBLIGATIONS DU SOUS-TRAITANT
Dans le cadre de l’exécution de l’Accord, le Sous-Traitant agira uniquement sur les instructions documentées du Responsable de Traitement. A ce titre le Sous-Traitant s’engage à ne pas utiliser les Données Personnelles du Responsable de Traitement à d’autres fins que celles indiquées par le Responsable de Traitement ou pour son propre compte ou pour celui d’un tiers.
Si le Sous-Traitant ne peut se conformer aux instructions du Responsable de Traitement pour un quelconque motif, autre que la non-conformité aux obligations légales de ces instructions, le Responsable de Traitement en sera informé sans délai. Dans un tel cas les Parties conviendront des modifications que le Sous-Traitant sera en mesure de mettre en œuvre ou que le Responsable de Traitement pourrait apporter à ses instructions.
Seul le personnel qualifié, habilité et sensibilisé aux procédures de sécurité par le Sous-Traitant pourra être amené à intervenir dans le cadre du traitement confié par le Responsable de Traitement. Le Sous-Traitant s’assure que son personnel en charge du Traitement des Données est tenu à une obligation de confidentialité appropriée.
Le Sous-Traitant s’engage en outre à :
ce que les mesures de sécurité techniques et organisationnelles décrites en Annexe 1 soient appropriées au regard du traitement ; et,
ce que les mesures de sécurité techniques et organisationnelles soient adéquates compte tenu des risques de traitement et des finalités définies. Le Sous-Traitant s’engage en particulier à ne pas diminuer la sécurité globale du Traitement des Données pendant la durée de l’Accord sans le consentement préalable du Responsable de Traitement ; et,
fournir au Responsable de Traitement les informations raisonnablement accessibles et pertinentes concernant les Traitements de Données réalisés, telles que les informations nécessaires à la réalisation d’une étude d’impact sur le Traitement des Données ; et,
tenir un registre de toutes les catégories d’activité de Traitement des Données effectuées pour le compte du Responsable de Traitement et à le mettre à sa disposition sur demande ; et,
respecter les principes de protection des données dès la conception et par défaut ; et,
fournir au Responsable de Traitement la coopération et l’assistance nécessaire, pour répondre aux demandes des personnes concernées en particulier les droits d’accès, de rectification, d’effacement, de limitation ou de portabilité ; et,
mettre à disposition du Responsable de Traitement l’ensemble de la documentation justifiant du respect de ses obligations ; et,
traiter les Incidents en conformité avec le présent Accord en particulier avec l’Article « Traitement des Incidents ».
Dans le cadre de ses prestations, le Sous-Traitant utilise des technologies d'intelligence artificielle pour analyser les données de curriculum vitae (CV), lettres de motivation, et offres d'emploi téléchargées ou fournies par les utilisateurs du Responsable de Traitement.
Ces données sont traitées sur des serveurs externes conformément aux normes les plus élevées de protection des données. Les serveurs peuvent être situés en dehors de l'Espace Économique Européen, notamment au Canada et aux États-Unis. Le Sous-Traitant garantit que toutes les mesures appropriées sont prises pour assurer un niveau de sécurité adéquat et conformément à la législation applicable en matière de protection des données.
Le Sous-Traitant s'engage à mettre en œuvre et à maintenir des mesures de sécurité avancées pour protéger les Données Personnelles traitées, notamment celles traitées par des technologies d'intelligence artificielle sur des serveurs externes.
Ces mesures incluent, mais ne se limitent pas, au chiffrement des données dormantes et en transit, ainsi que des infrastructures physiques et logiques sécurisées. Le Sous-Traitant pourra réaliser régulièrement des audits de sécurité pour s'assurer de l'efficacité de ces mesures.
ARTICLE 5 - OBLIGATIONS DU RESPONSABLE DE TRAITEMENT
Le Responsable de Traitement assure détenir tous les consentements et droits nécessaires pour autoriser le Sous-Traitant à traiter les Données Personnelles listée ici pour son compte et conformément au présent Accord. Si le Responsable de Traitement agit pour le compte d’un tiers, il garantit le Sous-Traitant que les instructions qu’il donne au dit Sous-Traitant concernant le Traitement des Données, y compris la désignation du Sous-Traitant pour la réalisation des Prestations, ont été autorisées par son responsable de traitement.
Le Responsable de Traitement fournit au Sous-Traitant toutes les instructions nécessaires à la réalisation du Traitement des Données qui sont confiées au Sous-Traitant et à la création du registre des activités de traitement applicables aux Données Personnelles objets du présent Accord.
Dans le cas où le Responsable de Traitement souhaiterait modifier ses instructions, il les notifie au Sous-Traitant au moins trente (30) jours à l’avance afin de permettre aux Parties d’évaluer les modifications proposées.
Le Responsable de Traitement reconnaît que la fourniture desdites instructions par le Responsable de Traitement est nécessaire afin que le Sous-Traitant puisse assurer de manière adéquate les Traitements des Données qui lui sont confiés.
Le Responsable de Traitement est seul responsable des Traitements des Données réalisés par le Sous-Traitant conformément à ces instructions.
Le Responsable de Traitement reconnait en outre que toute modification des instructions est susceptible d’avoir un impact substantiel sur la réalisation des Prestations et nécessiter, en particulier, un réexamen du périmètre et des conditions financières de la fourniture desdites Prestations. Dans cette hypothèse, les Parties négocieront de bonne foi les révisions nécessaires, y compris notamment le délai de mise en œuvre des modifications réclamées par le Responsable de Traitement.
ARTICLE 6 - TRAITEMENT DES INCIDENTS
En cas d’Incident affectant les Données Personnelles, le Sous-Traitant s’engage à alerter le Responsable de Traitement, dans un délai de soixante-douze (72) heures à compter de la prise de connaissance de l’Incident en indiquant : la nature dudit Incident, les conséquences probables de l’Incident, les catégories et le nombre approximatif de personnes et de fichiers concernés.
Cette alerte doit être accompagnée de toute documentation utile afin de permettre au Responsable de Traitement, si nécessaire, de notifier cette violation à l’autorité de contrôle. Sauf obligation légale ou règlementaire contraire, le Sous-Traitant s’engage en outre à ne pas notifier un Incident à une autorité de contrôle sans l’accord préalable du Responsable de Traitement.
ARTICLE 7 - TRANSFERT DE DONNEES PERSONNELLES
Le Sous-Traitant s’engage à traiter les Données Personnelles du Responsable de Traitement en France et dans les pays figurant dans la liste des sous-traitants ultérieurs.
Dans le cas où le Traitement des Données par le Sous-Traitant impliquerait un transfert de Données Personnelles hors de l’Union européenne, le Sous-Traitant devra préalablement s’assurer que les sous-traitants tiers fournissent un niveau de protection adéquat aux Lois Applicables dans le cadre du Traitement des Données du Responsable de Traitement.
Le Sous-Traitant s’engage en outre à veiller à ce que tout sous-traitant dûment autorisé à traiter des Données Personnelles en dehors de l’Union européenne se soit engagé à respecter les obligations stipulées dans les Clauses contractuelles standard appropriées pour le transfert de Données Personnelles établies par la Commission européenne (ou toute autorité compétente), en particulier les Clauses contractuelles types « sous-traitant » de la Commission, conformément à la décision 2021/914, et mette en œuvre, le cas échéant, les mesures techniques, organisationnelles et juridiques supplémentaires lorsque l’analyse de la législation locale et des pratiques en matière de protection des données révèle qu’elles sont susceptibles de remettre en cause l’efficacité des garanties convenues entre les Parties.
À défaut, le Sous-Traitant s’engage à mettre en œuvre des moyens alternatifs aux Clauses contractuelles types afin d’assurer un niveau adéquat de protection des Données Personnelles.
Le Sous-Traitant s'engage à informer le Responsable de Traitement de tout transfert de Données Personnelles traitées via intelligence artificielle à des serveurs situés hors de l'Union européenne, et à obtenir son accord préalable pour de tels transferts.
Ces transferts sont réalisés en conformité avec les exigences du RGPD, y compris l'emploi de Clauses Contractuelles Types lorsque nécessaire, et accompagnés de mesures de sécurité supplémentaires pour protéger les données contre tout accès ou traitement non autorisés.
ARTICLE 8 - RECOURS A LA SOUS-TRAITANCE
Le Sous-Traitant est expressément autorisé à faire appel à des sous-traitants ultérieurs dont la liste figure ici.
Sans préjudice ce qui précède, en cas de recours à la sous-traitance, le Sous-Traitant devra avoir recueilli préalablement l’accord écrit du Responsable de Traitement, après l’avoir informé de l’identité et de la nature du sous-traitant ultérieur ainsi que sa mission dans le cadre du Traitement des Données.
Le Sous-Traitant s’engage à signer avec ses sous-traitants ultérieurs éventuels un contrat reprenant les obligations et garanties du présent Accord à un niveau au moins équivalent aux garanties et obligations auxquelles s’engage le Sous-Traitant aux termes du présent Accord.
En cas de recours à la sous-traitance, le Sous-Traitant demeure seul et unique garant de la bonne exécution de l’Accord et pleinement responsable devant le Responsable de Traitement de l’exécution par le Sous-Traitant de ses obligations.
ARTICLE 9 - EXERCICE DES DROITS
Le Responsable de Traitement définit les moyens mis en œuvre pour traiter les demandes d’exercice de droits par les personnes concernées, mais le Sous-Traitant doit, conformément aux Lois Applicables et compte tenu du type de traitement concerné, assister dans la mesure du possible le Responsable de Traitement dans l’exécution de ses obligations en lien avec l’exercice des droits par les personnes concernées.
Lorsque le Sous-Traitant reçoit la demande de la personne concernée, elle ne répondra pas directement aux demandes et en informera le Responsable de Traitement au plus tard sept (7) jours ouvrés à compter de la réception de la demande d’exercice de droits. Le Sous-Traitant ne saurait être tenu responsable des conséquences qui découleraient d’une absence de réponse ou d’une réponse trop tardive, par le Responsable de Traitement, à une demande d’exercice de droits dès lors que ladite demande a été dûment transmise dans les délais par le Sous-Traitant au Responsable de Traitement conformément au présent Accord.
ARTICLE 10 - ENTREE EN VIGUEUR ET DUREE
Le présent Accord entre en vigueur à la dernière date de signature par les Parties et continuera à s’appliquer pendant toute la durée d’exécution des Prestations par le Sous-Traitant.
Les Parties conviennent que l’Article « Suppression et restitution des Données Personnelles » survivra à l’expiration de l’Accord, quelle qu’en soit la raison.
ARTICLE 11 - SUPPRESSION ET RESTITUTION DES DONNEES PERSONNELLES
Sauf demande écrite contraire du Responsable de Traitement ou obligation légale contraire, au plus tard un (1) mois à compter de la fin de la fourniture des Prestations, quelle qu’en soit la raison, le Sous-Traitant s’engage à supprimer toutes les Données Personnelles du Responsable de Traitement sur tout support.
À la demande du Responsable de Traitement, le Sous-Traitant fournit un certificat de destruction des Données Personnelles au dit Responsable de Traitement.
ARTICLE 12 - AUDIT
Les Parties conviennent que le droit du Responsable de Traitement d'auditer le Traitement des Données Personnelles réalisé par le Sous-Traitant (y compris aux fins des audits décrits dans l'Article 28(3)(h) du RGPD et la Clause 8.9 des Clauses contractuelles types) sera soumis aux conditions suivantes :
À la demande du Responsable de Traitement, et sous réserve des obligations de confidentialité applicables à la réalisation des Prestations, le Sous-Traitant mettra à la disposition du Responsable de Traitement les informations nécessaires à la démonstration de la conformité du Sous-Traitant avec les obligations énoncées dans le présent Accord.
Le Responsable de Traitement pourra en outre procéder à un audit sur site du Sous-Traitant, sous réserve (i) de notifier le Sous-Traitant dix (10) jours ouvrés au moins avant la date d’audit, et (ii) de ne procéder à cet audit qu’aux heures et jours ouvrés applicables au site du Sous-Traitant. Les Parties conviennent que la durée d’un audit sera limitée à deux (2) jours ouvrés et ne pourra concerner que la conformité du Sous-Traitant au présent Accord.
En tout état de cause, le Responsable de Traitement ne pourra planifier plus d’un (1) audit de conformité par an sauf en cas de risque imminent lié à la sécurité des Données Personnelles.
ARTICLE 13 - MESURES DE SÉCURITÉ ET ENGAGEMENT ENVERS LA CONFIDENTIALITÉ
Skilify, agissant en tant que Sous-Traitant, reconnaît l'importance cruciale de la sécurité et de la confidentialité des Données Personnelles traitées en son nom par le Responsable de Traitement.
Ainsi, Skilify s'engage à :
1. Appliquer ou faire appliquer par ses propres sous-traitants des mesures de sécurité conformes aux standards et meilleures pratiques de l'industrie, y compris, mais sans s'y limiter, à la norme ISO/IEC 27001. Ces mesures visent à protéger les Données Personnelles contre les accès, utilisations, divulgations, altérations ou destructions non autorisés.
2. Assurer la confidentialité des données, en garantissant que les Données Personnelles traitées ne soient ni vendues, ni transmises à des tiers sans l'autorisation explicite et préalable des parties concernées, sauf en cas d'obligation légale.
3. Maintenir une architecture de stockage des données et des procédures de chiffrement qui soient non seulement conformes aux exigences réglementaires, mais également alignées avec les besoins de sécurité spécifiques des clients de Skilify.
4. Revoir régulièrement les politiques et mesures de sécurité pour s'assurer qu'elles restent adaptées aux menaces en évolution et aux exigences réglementaires.
5. Collaborer étroitement avec le Responsable de Traitement pour mettre en œuvre les mesures de sécurité nécessaires et répondre de manière adéquate à tout incident de sécurité impliquant des Données Personnelles.
Le Responsable de Traitement reconnaît que ces engagements de Skilify en matière de sécurité et de confidentialité sont essentiels pour maintenir la confiance dans les services fournis et pour assurer la protection et le respect des Données Personnelles.
ARTICLE 14 - LOI APPLICABLE ET ATTRIBUTION DE COMPETENCE
Les Parties soumettent le présent Accord au droit français. Tous différends relatifs à la validité, à l'interprétation et à l'exécution du présent Accord qui ne pourrait être réglés de façon amiable entre les Parties, seront de la compétence exclusive du Tribunal de Commerce de Niort.
ARTICLE 15 - DISPOSITIONS GENERALES
15.1. Contact et notifications
Dans le cadre de l’application du présent Accord, les Parties auront la faculté de contacter et notifier l’autre Partie aux adresses figurant au présent Article.
Pour le Sous-Traitant :
Par courriel : contact@skilify.ai
Par courrier postal : Wekey, à l’attention du DPO, 347 avenue de Paris, 79000 Niort.
Pour le Responsable de Traitement : l’adresse de contact de la personne en charge de la protection des données sont identifiées dans le contrat.
15.2. Modification et hiérarchie des documents contractuels
Nonobstant toute formulation contraire dans l'Accord, en cas de conflit ou d'incohérence (i) entre tout autre contrat commercial signé entre les Parties pour la réalisation des Prestations et le présent Accord, le présent Accord prévaudra ; (ii) entre le présent Accord et les Clauses contractuelles types, les Clauses contractuelles types prévaudront.
Toute modification du présent Accord devra faire l’objet d’un avenant écrit signé par les Parties.
La version française de l’Accord prévaut sur toute autre version linguistique.