Règles de confidentialité

Version 1.8

1. DONNÉES PERSONNELLES TRAITÉES PAR LE PRESTATAIRE POUR SON COMPTE

Le Prestataire enregistre les données personnelles (prénom, nom, société, coordonnées professionnelles, adresse e-mail) des représentants personnes physiques du Client.

Le Prestataire traite ces données personnelles pour les besoins de la fourniture des Services, de la gestion du Contrat, de la gestion de la facturation, du recouvrement et, plus généralement pour les besoins de la relation avec le Client. Ce traitement est ainsi basé sur l’exécution du Contrat.

Les données personnelles ci-dessus sont destinées uniquement aux mandataires sociaux et salariés du Prestataire en charge de ces tâches. Elles peuvent être transmises à des cocontractants du Prestataire intervenant au titre de ces tâches.

Le Prestataire conserve ces données personnelles pour une durée de trois (3) ans à compter de la fin du Contrat. Le Prestataire conserve ensuite en archives intermédiaires les données personnelles anonymisées nécessaires à l’exercice d’un droit et à la preuve de ce droit pour la durée des délais de prescription applicables ou en vertu des obligations légales auxquelles il est soumis.

Le Prestataire stocke ces données personnelles sur ses serveurs situés en France.

Conformément à la législation applicable en France à la protection des données personnelles, à savoir la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés telle que modifiée par les lois subséquentes et le Règlement du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après la « Législation applicable »), tout représentant personne physique concerné par ce traitement de données personnelles peut, dans les limites et conditions de la Législation applicable :

  • obtenir communication et, le cas échéant, rectification ou effacement des données personnelles le concernant ;
  • obtenir la limitation du traitement de ses données personnelles ;
  • s’opposer au traitement de ses données personnelles ;
  • obtenir une copie de ses données personnelles dans un format structuré et courant aux fins de transmission à un autre responsable de traitement ;
  • faire part au Prestataire de ses directives particulières sur le sort de ses données personnelles en cas de décès ; à défaut, ses héritiers pourront faire valoir les droits qu’ils tiennent de la Législation applicable.

La personne physique concernée peut exercer l’un ou l’autre de ces droits en s’adressant au Prestataire par e-mail à l’adresse contact@yootalent.fr, et en justifiant de son identité. Les frais liés à l’exercice de ces droits, notamment de réalisation d’une extraction ou d’une copie des données personnelles, seront facturés par le Prestataire en cas de demande injustifiée ou excessive.

Par ailleurs, le Prestataire pourra interrompre la fourniture des Services ou résilier le Contrat de plein droit et sans formalité judiciaire, par lettre recommandée avec demande d’avis de réception, dans le cas où il ne disposerait plus des données personnelles nécessaires à son exécution par suite de l’exercice de l’un ou l’autre des droits ci-dessus.

La personne physique concernée dispose également du droit d’introduire une réclamation auprès de la CNIL ou de toute autre autorité de contrôle compétente en cas de litige concernant les traitements ci-dessus de ses données personnelles.

2. DONNÉES PERSONNELLES TRAITÉES POUR LE COMPTE DU CLIENT

2.1. Identification du traitement sous-traité

Le Client effectue un traitement de données personnelles de ses salariés pour gérer leurs contrats, leurs entretiens, leurs formations, leur évolution de carrière, leur rémunération.

Le Client reconnaît qu’il détermine seul la finalité et les moyens de ces traitements de données personnelles de ses salariés, de sorte qu’il a la qualité de responsable de ces traitements.

Au titre du Contrat, le Client donne instruction au Prestataire de traiter, pour son compte, des données personnelles de ses salariés, pour gérer gérer leurs contrats, leurs entretiens, leurs formations, leur évolution de carrière, leur rémunération à l’aide de la Solution et pour la durée du Contrat. Ce traitement sous-traité s’inscrit dans le traitement ci-dessus dont le Client est responsable.

Le Client reconnaît de ce fait que le Prestataire a la qualité de sous-traitant.

Les catégories de personnes dont les données personnelles sont traitées par la Solution sont les salariés du Client (ci-après les « Personnes concernées »).

Les données personnelles traitées par la Solution sont les prénom, nom, date et lieu de naissance, adresse postale, adresse e-mail, numéro de téléphone, compétences, parcours scolaire et professionnel, formations, contenu des entretiens (ci-après les « Données personnelles » qui font partie des Données). Le Client donne, le cas échéant, instruction au Prestataire de collecter ces Données personnelles en connectant la Solution à l’annuaire de messagerie du Client.

Les opérations effectuées par la Solution sur les Données personnelles sont l’enregistrement, le stockage, la sauvegarde, le traitement et la consultation.

Les destinataires des Données personnelles traitées par la Solution sont les Utilisateurs du Client ainsi que les salariés du Prestataire habilités à administrer et maintenir la Solution uniquement dans l’hypothèse où ils devraient intervenir sur la base de Données dédiée au Client pour les besoins d’opérations d’administration ou de maintenance.

2.2. Obligations du Client

Le Client s’engage à respecter les obligations mises à la charge des responsables de traitements de données personnelles par la Législation applicable.

À cet égard, le Client s’engage notamment à délivrer aux Personnes concernées par le traitement sous-traité les informations prévues par la Législation applicable, notamment le fait que les Données personnelles sont transmises au Prestataire, à s’assurer que le traitement sous-traité repose valablement sur une des bases légales prévues par la Législation applicable, à permettre aux Personnes concernées d’exercer les droits qu’elles tiennent de la Législation applicable et à traiter leurs demandes.

Vis-à-vis du Prestataire, le Client est libre d’intégrer les Données dans la Solution. Il s’engage par ailleurs à documenter par écrit toute instruction concernant le traitement sous-traité et à superviser ce traitement.

2.3. Obligations du Prestataire

Le Prestataire s’engage à ne réaliser le traitement sous-traité que sur instruction documentée du Client. Le Prestataire s’engage à informer le Client dans les meilleurs délais dans le cas où il considèrerait qu’une instruction de celui-ci contrevient à la Législation applicable.

  • Confidentialité et sécurité des Données personnelles

Le Prestataire s’engage à ce que les mandataires sociaux et les salariés autorisés à intervenir au titre du traitement sous-traité respectent la confidentialité des Données personnelles en vertu de l’obligation de confidentialité visée à l’article 10.

Le Prestataire s’engage à mettre en place les mesures techniques et organisationnelles définies à l’article 5.3 pour assurer la sécurité et la confidentialité des Données personnelles compte tenu du niveau de risque présenté par le traitement sous-traité.

Dans le cas où le Client souhaiterait, préalablement à la mise en œuvre du traitement sous-traité, réaliser lui-même une analyse d’impact de celui-ci sur la protection des Données personnelles des Personnes concernées et, en cas de risque élevé, consulter l’autorité de contrôle dont le Client relève, le Prestataire s’engage à l’assister en lui communiquant toute information en sa possession que le Client pourrait requérir à ces fins.

Par ailleurs, dans le cas où le Client souhaiterait mettre lui-même en place des mesures complémentaires pour assurer la sécurité et la confidentialité des Données personnelles des Personnes concernées sur son système informatique et le réseau de communication électronique le reliant à la Solution, le Prestataire s’engage à l’assister en lui communiquant toute information en sa possession que le Client pourrait requérir à cet effet.

  • Documentation et vérification

Le Prestataire s’engage à inscrire le traitement sous-traité dans le registre qu’il tient à cet effet.

Le Prestataire s’engage à mettre à la disposition du Client la documentation qu’il aura constituée pour démontrer qu’il respecte les obligations à sa charge au titre du présent article. En outre, le Client pourra réaliser ou faire réaliser des audits des mesures techniques et organisationnelles mises en œuvre par le Prestataire pour s’assurer qu’il respecte ces obligations, à l’aide notamment de la documentation remise par le Prestataire.

Le Client devra avertir le Prestataire de la réalisation de tout audit avec un préavis d’au moins quinze (15) jours. Tout audit sera réalisé par principe par un auditeur indépendant du Client choisi d’un commun accord des Parties, ou directement par le Client avec l’accord exprès du Prestataire. L’auditeur choisi ne pourra démarrer sa mission qu’après avoir signé, avec le Prestataire et, le cas échéant, avec le Client, un accord de confidentialité définissant précisément le périmètre de sa mission et mettant des obligations de confidentialité appropriées à sa charge et, le cas échéant, à la charge du Client. Dans le cas où le rapport de l’auditeur révèlerait un manquement du Prestataire aux obligations susvisées, le Prestataire s’engage à y remédier dans les meilleurs délais. Les coûts de l’audit seront à la charge du Client. Concernant les audits dans les locaux du Prestataire, le Client ne pourra pas réaliser ou faire réaliser plus d’un (1) audit sur site par année civile.

  • Exercice des droits des Personnes concernées

Le Prestataire s’engage à aider le Client, dans la mesure du possible, à s’acquitter de son obligation de donner suite aux demandes des Personnes concernées par le traitement sous-traité visant à exercer les droits qu’elles tiennent de la Législation applicable (droit d’accès, droit de rectification, droit à la limitation, droit à l’effacement, droit de retirer leur consentement, droit d’opposition, droit à la portabilité de leurs données, droit de définir des directives sur le sort des données personnelles à leur décès, sous réserve des conditions d’application fixées par la Législation applicable).

Le Client reconnaît que la Solution lui permet de donner suite lui-même aux demandes des Personnes concernées par le traitement sous-traité visant à exercer les droits qu’elles tiennent de la Législation applicable, de sorte qu’il s’efforcera d’apporter lui-même une suite à ces demandes.

Dans le cas où le Client ne serait pas en mesure de donner lui-même suite à une demande d’une Personne concernée par le traitement sous-traité portant sur l’exercice d’un droit qu’elle tient de la Législation applicable, le Prestataire s’engage à effectuer, dans les meilleurs délais, sur les Données personnelles contenues dans la base de la Solution, toute action que le Client lui donnerait instruction de faire pour donner suite à cette demande. Dans ce cas, le Prestataire pourra facturer au Client les frais résultants du traitement de cette demande dans la mesure permise par la Législation applicable.

Par ailleurs, le Prestataire s’engage à répercuter au Client, dans les meilleurs délais, toute demande qu’une Personne concernée par le traitement sous-traité formerait directement auprès de lui pour exercer un droit qu’elle tient de la Législation applicable, afin que le Client puisse donner suite à cette demande comme il l’entend.

  • Violation des Données personnelles

Le Prestataire s’engage à assister le Client dans l’exécution de ses obligations de notification et de communication des violations des Données personnelles des Personnes concernées par le traitement sous-traité en lui notifiant toute violation de Données personnelles dans les meilleurs délais et, si possible dans les 48 heures, à partir du moment où il en a connaissance et en lui communiquant toute information en sa possession que le Client pourrait requérir pour se conformer à ses obligations de notification et de communication.

  • Sous-traitance ultérieure

Le Prestataire est autorisé à faire appel à un autre sous-traitant (ci-après le « Sous-traitant ultérieur ») pour réaliser une partie spécifique du traitement sous-traité pour le compte du Client. Dans ce cas, le Prestataire s’engage à informer préalablement le Client par écrit du recours à un Sous-traitant ultérieur ou du changement d’un Sous-traitant ultérieur existant. Au titre de cette information, le Prestataire indiquera la partie du traitement sous-traité confiée au Sous-traitant ultérieur, l’identité et les coordonnées de celui-ci ainsi que les dates du contrat de sous-traitance. Le Client disposera d’un délai de quinze (15) jours calendaires à compter de la réception de cette information pour s’opposer par écrit au recours ou au changement de Sous-traitant ultérieur. En l’absence d’opposition écrite dans ce délai, le recours ou le changement de Sous-traitant ultérieur sera réputé accepté par le Client.

Le Prestataire s’engage à faire ses meilleurs efforts pour soumettre tout Sous-traitant ultérieur aux mêmes obligations que celles à sa charge au titre du Contrat. Le Prestataire sera tenu responsable vis-à-vis du Client des manquements de tout Sous-traitant ultérieur à ces obligations.

À la date d’entrée en vigueur du Contrat, le Prestataire sous-traite l’hébergement des Données personnelles des Personnes concernées intégrées dans la base de la Solution au prestataire d’hébergement indiqué à l’article 5.3, ce que le Client accepte.