Table des matières
Modalités de sous-traitance de données à caractère personnel ou « DPA »
Ce document a été mis à jour pour la dernière fois le 24 octobre 2023.
Le présent accord sur le traitement des données (le "DPA") fait partie intégrante du contrat conclu entre CoderPad France, SA (le " Prestataire ") et Vous (le " Client "), dont l'objet est de définir les conditions applicables aux Services. Le DPA et les autres documents du Contrat sont complémentaires et s'expliquent mutuellement. Toutefois, en cas de contradiction, les règles de priorité sont définies dans le Contrat Client.
Le présent DPA conclu entre le Prestataire et le Client conformément à l'article 28 du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (" Règlement général sur la protection des données " ou " RGPD "), a pour objet de définir les conditions dans lesquelles, CoderPadle Prestataire, en tant que sous-traitant et dans le cadre des Services définis au Contrat, traite, sur instruction de Vous, le Client, des Données à caractère personnel telles que définies à l'article 4(1) du RGPD (" Données à caractère personnel ").
Le traitement des données à caractère personnel par le prestataire de services en tant que responsable du traitement n'entre pas dans le champ d'application du présent DPA. Les opérations de traitement pour lesquelles le prestataire de services est le responsable du traitement des données sont décrites dans la politique de confidentialité du site à l'adresse suivante : https://coderpad.io/privacy/
Aux fins du présent DPA, le Prestataire agit en tant que « Sous-traitant » et le Client est présumé agir en tant que « Responsable du traitement ». Les termes « Sous-traitant » et « Responsable du traitement » ont le sens qui leur est donné au sein du RGPD (respectivement article 4 (8) et article 4 (7) du RGPD.
Si le Client agit en tant que Sous-traitant pour le compte d’un tiers responsable du traitement, les Parties conviennent expressément que les conditions suivantes s’appliquent :
(a) Le Client s’est préalablement assuré que toutes les autorisations nécessaires pour conclure le présent DPA, y compris la nomination par le Client du Prestataire en tant que sous-traitant ultérieur, ont été obtenues du responsable du traitement ;
(b) Un contrat, qui est en parfaite adéquation avec les termes et conditions du Contrat (y compris le présent DPA), a été conclu avec le tiers responsable du traitement conformément à l’article 28 du RGPD ;
(c) Le Client respecte l’intégralité des dispositions du RGPD.
1. Respect de la réglementation applicable en matière de protection des données à caractère personnel
Chacune des Parties s’engage à respecter toutes les obligations résultant de l’application de toute réglementation applicable relative à la protection des Données à caractère personnel, en particulier les dispositions issues du RGPD.
À cette fin, elles reconnaissent être soumises à une obligation de collaboration renforcée pendant toute la durée du Contrat et s’engagent donc mutuellement à se transmettre sans délai toute information, renseignement, document ou fichier leur permettant de maintenir ou de démontrer leur conformité au RGPD et à s’informer immédiatement de tout manquement ou risque de manquement à la réglementation.
2. Droits et obligations du Prestataire et du Client
Dans le cadre du Contrat, le Prestataire s’engage à traiter les Données uniquement pour la ou les finalités des traitements mentionnées dans l’Appendice 1, et qui lui sont sous-traitées.
A ce titre, le Prestataire s'interdit toute utilisation de ces Données à son profit ou au profit de tiers, à l'exception des traitements liés au suivi de la relation commerciale avec le Client dont le Prestataire est responsable de traitement (cf. Politique de confidentialité).
En outre, le Prestataire s’engage à ne traiter les Données à caractère personnel que sur la base et conformément aux instructions documentées du Client.
Dans l’hypothèse où le droit européen et/ou le droit français viendrait en contradiction avec les instructions du Client ou ne permettrait pas au Prestataire de traiter les Données à caractère personnel conformément auxdites instructions, le Prestataire devra en informer le Client dans les meilleurs délais avant de procéder au traitement. Dans un tel cas, les Parties s’engagent à se rencontrer aux fins de trouver la solution amiable la plus adaptée au regard du Contrat et des droits et libertés de la personne concernée.
En outre, le Prestataire se porte fort envers le Client du respect, par ses collaborateurs autorisés à traiter les Données à caractère personnel, de la plus stricte confidentialité concernant les Données à caractère personnel traitées en exécution du présent Contrat ainsi que toutes les informations contenues dans l’Appendice 1. L’ensemble de ces informations est considéré comme des informations confidentielles. Le Prestataire garantit au Client qu’il a mis en place et maintient toutes les mesures nécessaires pour préserver et faire respecter par ses collaborateurs la confidentialité des Données à caractère personnel.
Ainsi, le Prestataire ne doit rendre les Données Personnelles accessibles et consultables qu'aux employés du Prestataire dûment autorisés, en vertu de leurs fonctions et qualités, à traiter les Données Personnelles dans la stricte limite de ce qui est nécessaire à l'accomplissement de leur mission.
Le prestataire de services déclare qu'il tient un registre écrit de toutes les catégories d'activités de traitement effectuées pour le compte du client.
Le Délégué à la protection des données du Prestataire, à la date de signature du Contrat, est identifié à l'Annexe 4 du présent DPA. En cas de changement, le Prestataire s'engage à en informer le Client dans les meilleurs délais et à lui fournir la nouvelle identité et les nouvelles coordonnées du Délégué à la protection des données.
De son côté, le Client s’engage à :
- Transmettre au Prestataire toute information ou document dont il aurait besoin pour exécuter ses obligations au titre du présent paragraphe ;
- Informer le Prestataire de toute requête, audit ou contrôle déclenché par une autorité de contrôle qui concernerait ou impliquerait directement le Prestataire en sa qualité de sous-traitant.
3. Description des traitements de Données à caractère personnel
L’Appendice 1 du DPA définit :
- L’objet, la nature et la finalité de chacun des traitements de Données à caractère personnel que le Prestataire effectue pour le compte du Client dans le cadre du Contrat ;
- Les catégories de Données à caractère personnel traitées ;
- Les catégories de personnes concernées au sens de l’article 4 (1) du Règlement par lesdits traitements ;
- La durée de conservation des Données à caractère personnel ;
- Les lieux de traitement des Données à caractère personnel situés en dehors de l’Espace économique européen.
4. Droit d’audit du Client et analyse d’impact
Afin de contrôler la conformité des Parties au GDPR, le Client dispose d'un droit d'audit qu'il peut exercer sous réserve d'un préavis de quinze (15) jours ouvrés. A ce titre, le Client désignera, à ses frais, un auditeur indépendant, non concurrent du Prestataire sur le marché du SaaS, qui sera validé par le Prestataire et qui signera un accord de confidentialité.
Cet audit spécifique sur la protection des données à caractère personnel par le prestataire de services se concentrera sur la conformité avec le GDPR et le présent DPA. L'audit peut ne pas couvrir les données financières, comptables et commerciales du prestataire de services.
L’audit sera mené à distance et durant les heures de travail du Prestataire.
Pendant cet audit, le Prestataire s’engage à collaborer de bonne foi avec l’auditeur et devra (i) lui transmettre toute la documentation visant à établir sa conformité au RGPD et au présent DPA et (ii) répondre à toutes ses questions.
Une copie du rapport d'audit préparé par l'auditeur est fournie à chaque partie.
Si le rapport d'audit révèle un ou plusieurs manquements du prestataire de services au GDPR ou au présent DPA, les parties conviennent de se rencontrer dans les plus brefs délais afin d'établir un plan d'action pour remédier au(x) manquement(s) identifié(s).
Par ailleurs, sur demande expresse du Client, le Prestataire s’engage à lui apporter toute l’assistance nécessaire dans le cas où le Client mène, pendant la durée du Contrat, une analyse d’impact en lien avec les Données à caractère personnel traitées par le Prestataire.
5. Notification des violations de Données à caractère personnel
Si le Prestataire a connaissance d’un incident affectant les Données à caractère personnel du Responsable du traitement (accès ou divulgation non autorisés, perte, destruction ou altération de Données, d’origine accidentelle ou illicite), le Prestataire en informe le Client dans les meilleurs délais, et, en tout état de cause, quarante-huit (48) heures au plus tard à compter de la prise de connaissance par le Prestataire d’un tel événement, précisant si la violation en question est susceptible d’engendrer un risque pour les droits et libertés des personnes concernées.
Cette notification est accompagnée de tous les documents pertinents afin de permettre au client, le cas échéant, de notifier cette violation à l'autorité compétente.
Au minimum, la notification doit (i) décrire la nature de l'incident et, si possible, le nombre de personnes impliquées (ii) décrire les conséquences probables de l'incident, (iii) décrire les mesures prises ou proposées par le prestataire de services en réponse à l'incident et (iv) préciser qui est la personne de contact privilégiée du prestataire de services pour l'incident.
En général, il incombe au client de communiquer directement à la personne concernée la violation de données à caractère personnel lorsqu'elle est susceptible d'engendrer un risque élevé pour les droits et libertés d'une personne concernée, sauf accord écrit contraire entre les parties.
6. Sous-traitants
Le Prestataire informe le Client qu’à la date de dernière mise à jour du présent DPA, il a recours aux sous-traitants identifiés dans l’Appendice 2 du présent DPA, ce que le Client accepte.
Le Prestataire déclare qu’à la date de dernière mise à jour du présent DPA, il a signé avec chacun de ces sous-traitants des contrats de traitements de Données à caractère personnel. Il s’engage envers le Client à maintenir en vigueur ces contrats pendant toute la durée du Contrat.
Le Prestataire garantit au Client qu’il a vérifié que ces sous-traitants présentent les garanties suffisantes quant à la mise en œuvre des mesures techniques et organisationnelles appropriées de manière à ce que les traitements identifiés dans l’Appendice 1 répondent aux exigences du RGPD.
En outre, le Prestataire s'engage à informer le Client et à obtenir son accord en cas de changement prévu concernant l'ajout ou le remplacement d'un sous-traitant. La notification de la modification se fera par courrier électronique à l'adresse du Client prévue à cet effet et figurant à l'annexe 4 de la présente annexe. En cas de désaccord du Client sur une telle modification, les Parties se rencontrent et discutent de bonne foi en vue de résoudre le désaccord.
En cas de non-réponse du client dans un délai de dix (10) jours ouvrables, la modification est considérée comme automatiquement acceptée par le client.
En outre, avant toute opération de sous-traitance, le Prestataire s’engage à signer avec son sous-traitant, un contrat conforme à l’article 28(4) du RGPD, qui reporte sur ce dernier, mutatis mutandis les obligations prévues au présent paragraphe, en particulier pour ce qui est de présenter des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences de la règlementation applicable.
7. Sécurité des Données à caractère personnel
Le Prestataire déclare avoir mis en place et maintenir en vigueur et à jour, pendant toute la durée du Contrat, et jusqu'à la destruction des Données Personnelles identifiées à l'Annexe 1, toutes les mesures de sécurité appropriées pour assurer la sécurité des Données afin de les protéger contre toute destruction, perte, altération, divulgation et accès non autorisé, que ces actes soient d'origine accidentelle ou illégale.
Les mesures de sécurité identifiées à la date de la dernière mise à jour du présent DPA sont énumérées à l'annexe 3 du présent DPA.
Les Parties s'informent mutuellement, pendant toute la durée du Contrat, de toute mise à jour ou modification nécessaire desdites mesures de sécurité, notamment pour répondre à toute nouvelle menace ou à tout changement de l'état de l'art ou de la réglementation.
8. Droit d’information des personnes concernées
Il appartient au Client de fournir aux personnes concernées par les traitements, au moment de la collecte des données, les informations énumérées aux articles 13 et 14 du GDPR.
Le Prestataire aidera le Client à remplir son obligation de se conformer aux demandes d'exercice des droits des Personnes concernées, qu'il s'agisse du droit d'accès, de rectification, d'effacement et d'opposition, du droit à la limitation du traitement, du droit à la portabilité des Données ou du droit de ne pas faire l'objet d'une décision individuelle automatisée (y compris le profilage), en lui fournissant toute information, tout renseignement, tout document ou tout fichier nécessaire.
Si les personnes concernées font des demandes au Prestataire pour exercer leurs droits, le Prestataire doit envoyer ces demandes dès qu'il les reçoit par courrier électronique au contact du Client visé à l'annexe 4.
9. Données à caractère personnel à la fin du contrat
À la fin du contrat, le client peut demander la suppression de son compte par courrier électronique à l'adresse suivante [email protected].
En cas de demande de suppression du compte, toutes les données à caractère personnel liées au compte seront supprimées dans un délai de 30 jours.
Le Prestataire s’engage également à détruire toutes les Données à caractère personnel sur instruction écrite du Client. Ces instructions peuvent intervenir à tout moment après la fin du Contrat dans une limite de un (1) an.
La destruction est effectuée par le prestataire de services dans un délai de 30 jours à compter de la date de réception des instructions, à l'exception de :
- des registres de sécurité qui seront supprimés dans un délai maximum d'un an après la réception des instructions ;
- des backups de base de Données qui seront effacés dans un délai maximum de un (1) mois après la réception des instructions.
Dans le cas où le Prestataire n’aurait pas reçu d’instruction du Client trois ans après la fin du Contrat, le Prestataire procédera à la destruction des Données à caractère personnel, sauf accord contraire des Parties.
En tout état de cause, et sauf disposition contraire du droit européen ou du droit français, le Prestataire s’engage à ne conserver aucune copie des Données à caractère personnel et à transmettre au Client une attestation écrite de la destruction desdites copies.
APPENDICE 1 : IDENTIFICATION DES TRAITEMENTS DE DONNÉES À CARACTÈRE PERSONNEL
- Finalité du traitement (et base légale) :
Bénéficier des Services : évaluer les compétences de Candidats (exécution du Contrat)
Catégories de Données personnelles traitées :
Identité des personnes concernées (email, nom)
Niveau de compétence des personnes concernées (score, rang)
Catégories de personnes concernées :
Candidats (tels que saisis par le client)
Catégories de destinataires des Données:
Client
Durée de conservation des Données :
Maximum 3 ans : voir chapitre 10
Lieu de traitement et stockage des Données :
AWS, ÉTATS-UNIS
AWS, Irlande
GCP, ÉTATS-UNIS
Heroku, États-Unis
- Finalité du traitement (et base légale) :
Sécurité & détection de fraude (exécution du Contrat)
Catégories de Données personnelles traitées :
Informations de connexion (IP, Geoloc)
Journaux de navigation (IP, URL)
Catégories de personnes concernées :
Candidats (tels que saisis par le client)
Catégories de destinataires des Données:
CoderPad équipe d'assistance, clients
Durée de conservation des Données :
Maximum 3 ans : voir chapitre 10
Lieu de traitement et stockage des Données :
AWS, Irlande
AWS, ÉTATS-UNIS
GCP, ÉTATS-UNIS
Heroku, États-Unis
Toutes les données à caractère personnel stockées dans AWS font l'objet de sauvegardes quotidiennes. Ces sauvegardes sont détruites un mois après leur création.
- Finalité du traitement (et base légale) :
Améliorer la qualité du produit / apporter un soutien aux utilisateurs (intérêt légitime)
Catégories de Données personnelles traitées :
Identité des personnes concernées (email, nom)
Informations de connexion (IP, Geoloc)
Journaux de navigation (IP, URL)
Catégories de personnes concernées :
Candidats (tels que saisis par le client)
Catégories de destinataires des Données:
CoderPad équipe de support et de développement
Durée de conservation des Données :
2 semaines
Lieu de traitement et stockage des Données :
Datadog, États-Unis
- Finalité du traitement (et base légale) :
Améliorer la qualité du produit / apporter un soutien aux utilisateurs (intérêt légitime)
Catégories de Données personnelles traitées :
Identité des personnes concernées (email, nom)
Informations de connexion (IP, Geoloc)
Journaux de navigation (IP, URL)
Catégories de personnes concernées :
Candidats (tels que saisis par le client)
Catégories de destinataires des Données:
CoderPad équipe de support et de développement
Durée de conservation des Données :
Rétention de l'analyse des produits : 12 mois
Conservation des sessions de rediffusion : 1 mois
Lieu de traitement et stockage des Données :
FullStory, États-Unis
- Finalité du traitement (et base légale) :
Améliorer la qualité des produits / apporter un soutien aux utilisateurs (intérêt légitime) - uniquement en cas de contact avec le service d'assistance via [email protected]
Catégories de Données personnelles traitées :
Identité des personnes concernées (email, nom)
Informations de connexion (IP)
Catégories de personnes concernées :
Candidats (tels qu'inscrits sur le formulaire de soutien ou communiqués par le candidat ou le client)
Catégories de destinataires des Données:
CoderPad équipe de support et de développement
Durée de conservation des Données :
Maximum 3 ans après la fin du contrat : voir chapitre 10
Lieu de traitement et stockage des Données :
Hubspot, Allemagne
- Finalité du traitement (et base légale) :
Améliorer la qualité des produits : analyse (intérêt légitime)
Catégories de Données personnelles traitées :
Identité des personnes concernées (email, nom)
Informations de connexion (IP, Geoloc)
Journaux de navigation (IP, URL)
Catégories de personnes concernées :
Candidats (tels que saisis par le client)
Catégories de destinataires des Données:
CoderPad équipe de support et de marketing
Durée de conservation des Données :
Maximum 3 ans après la fin du contrat : voir chapitre 10
Lieu de traitement et stockage des Données :
Google Cloud Platform (Looker), États-Unis
- Finalité du traitement (et base légale) :
Bénéfice des services : courriels transactionnels (exécution du contrat)
Catégories de Données personnelles traitées :
Identité des personnes concernées (courriel, nom)
Catégories de personnes concernées :
Candidats (tels que saisis par le client)
Catégories de destinataires des Données:
Client
Durée de conservation des Données :
30 jours
Lieu de traitement et stockage des Données :
Mailgun Technologies, Inc, États-Unis
- Finalité du traitement (et base légale) :
Améliorer la qualité des produits (intérêt légitime)
Catégories de Données personnelles traitées :
Identité des personnes concernées (email, nom)
Informations de connexion (IP)
Catégories de personnes concernées :
Candidats (tels que saisis par le client)
Catégories de destinataires des Données:
CoderPad équipe de support et de développement
Durée de conservation des Données :
90 jours
Lieu de traitement et stockage des Données :
Sentry, États-Unis
- Finalité du traitement (et base légale) :
Améliorer la qualité des produits : transfert de données (intérêt légitime)
Catégories de Données personnelles traitées :
Identité des personnes concernées (email, nom)
Informations de connexion (IP)
Catégories de personnes concernées :
Candidats (tels que saisis par le client)
Catégories de destinataires des Données:
CoderPad équipe de support et de marketing
Durée de conservation des Données :
Si nécessaire pour le transfert des données (max. 7 jours)
Lieu de traitement et stockage des Données :
Stitch, États-Unis
- Finalité du traitement (et base légale) :
Récompenser les clients élus / les candidats qui participent à la recherche sur les produits uniquement (consentement)
Catégories de Données personnelles traitées :
Identité des personnes concernées (courriel, nom)
Catégories de personnes concernées :
Candidats (tels que communiqués par le candidat)
Catégories de destinataires des Données:
CoderPad équipe de support et de marketing
Durée de conservation des Données :
10 ans (transaction "monétaire")
Lieu de traitement et stockage des Données :
Tremendous, États-Unis
- Finalité du traitement (et base légale) :
Bénéficier des Services : évaluer les compétences de Candidats (exécution du Contrat)
Catégories de Données personnelles traitées :
Flux vidéo
Catégories de personnes concernées :
Candidats (tels qu'ils apparaissent sur la vidéo)
Catégories de destinataires des Données:
Client
Durée de conservation des Données :
Pas de stockage
Lieu de traitement et stockage des Données :
Twilio, États-Unis
- Finalité du traitement (et base légale) :
Améliorer la qualité des produits - recherche sur les produits (consentement)
Catégories de Données personnelles traitées :
Identité des personnes concernées (email)
Catégories de personnes concernées :
Candidats (tels que communiqués par le candidat)
Catégories de destinataires des Données:
CoderPad équipe de support et de marketing
Durée de conservation des Données :
Maximum 3 ans : voir chapitre 10
Lieu de traitement et stockage des Données :
TypeForm, États-Unis
APPENDICE 2 : LISTE DES SOUS-TRAITANTS APPROUVÉS
Sous-traitants spécifiques pour les comptes utilisant le site de stockage et de traitement "États-Unis" uniquement**.
Sous-processeur | Pays de transformation | Finalité du traitement | Durée du traitement |
Amazon Web Services | ÉTATS-UNIS* | Services d'hébergement en nuage public | En cours |
Amazon Data Services Ireland Ltd | Irlande | Services d'hébergement en nuage public | En cours |
Datadog | ÉTATS-UNIS* | Services d'analyse et d'instrumentation | En cours |
Histoire complète | ÉTATS-UNIS* | Permettre un soutien pendant la durée du service | En cours |
Google Cloud Platform | ÉTATS-UNIS* | Services d'hébergement en nuage public Analyse | En cours |
Heroku | ÉTATS-UNIS* | Services d'hébergement en nuage public | En cours |
Hubspot | Allemagne | Soutenir les opérations commerciales | En cours |
Technologies Mailgun | ÉTATS-UNIS* | Courriels transactionnels | En cours |
Sentinelle | ÉTATS-UNIS* | Permettre un soutien pendant la durée du service | En cours |
Point | ÉTATS-UNIS* | Transfert de données | En cours |
Formidable | ÉTATS-UNIS* | La recherche, c'est gratifiant | En cours |
Twilio | ÉTATS-UNIS* | Fournir des fonctionnalités vidéo dans les services | En cours |
Typeform | ÉTATS-UNIS* | Soutenir les opérations commerciales | En cours |
* Les transferts de données de l'UE vers les États-Unis sont effectués dans le cadre des clauses contractuelles types (CCN) de l'UE. Clauses contractuelles types de l'UE (SCC)
** Quelle que soit votre situation géographique, si vous utilisez le produit CoderPad Interview, vous utilisez le site de stockage et de traitement des États-Unis pour les données propres au produit Interview.
Sous-traitants spécifiques pour les comptes utilisant le site de stockage et de traitement "Europe" uniquement**.
Sous-processeur | Pays de transformation | Finalité du traitement | Durée du traitement |
Amazon Data Services Ireland Ltd | Irlande | Services d'hébergement en nuage public | En cours |
Datadog | ÉTATS-UNIS* | Services d'analyse et d'instrumentation | En cours |
Hubspot | Allemagne | Soutenir les opérations commerciales | En cours |
Google Cloud Platform | Belgique ou Pays-Bas | Visualisation des données | En cours |
Point | ÉTATS-UNIS* | Pipeline de données | En cours |
Formidable | ÉTATS-UNIS* | Récompense de l'utilisateur | En cours |
Twilio, Inc | ÉTATS-UNIS* | Transport vidéo (pas de stockage) | En cours |
APPENDICE 3 : DESCRIPTION DES MESURES DE SÉCURITÉ
- Toutes les communications entre le serveur et les clients sont cryptées (TLS 1). Les données au repos sont cryptées (AES256).
- Les mots de passe stockés dans la base de données du Prestataire sont encryptés de manière non-réversible (one-way hash).
- Les tentatives de connexion infructueuses sont loguées et déclenchent des alertes.
- Les mots de passe des Comptes doivent être “forts”
- L’accès aux Données à caractère personnel par les employés du Prestataire est autorisé en fonction de rôles tels que définis dans la Politique de sécurité du Prestataire (par exemple l’équipe support est habilitée à accéder aux Données à caractère personnel en cas de bug).
- L'accès est techniquement géré par un référentiel de compte central.
- L'AMF est activée sur les infrastructures critiques
- L'infrastructure fait l'objet d'une analyse de vulnérabilité hebdomadaire et d'un test de pénétration annuel.
APPENDICE 4 : POINTS DE CONTACT PRESTATAIRE ET CLIENT
DPO du Prestataire :
Charlotte GALICHET
Admis au Barreau de Paris
4, place de Valois - 75001 Paris
01 86 95 18 81
Contact du Prestataire pour toutes demandes ou instructions relatives au présent DPA :
Frédéric THIRARD
09 54 39 85 49
Contact Client pour notification de violation de la protection des Données à caractère personnel :
L'adresse électronique saisie par le client dans l'interface utilisateur de CoderPad (par défaut, l'adresse électronique utilisée par le client lors de la création de son compte).
Contact client pour toute autre demande de CoderPad liée à cette DPA :
L’adresse email utilisée par le Client au moment de la création de son compte
