Modalités de sous-traitance de données à caractère personnel ou « DPA »

Ce document a été mis à jour le 2 juin 2021.

« Contrat », « CodinGame », « Vous », « Services », « Site », « Compte » ont les mêmes définitions que celles des Conditions Spécifiques de Vente du service CodinGame Assessment (ci-après désignée « CSV ») disponibles ici : https://www.codingame.com/work/fr/csv-codingame-assessment.

Le présent document (ci-après dénommé « DPA » en référence à l’acronyme de l’appellation anglaise « Data Processing Agreement ») fait partie intégrante du Contrat conclu entre CodinGame (le « Prestataire ») et vous (le « Client »), et ayant pour objet de définir les conditions applicables aux Services. Le DPA et les autres documents du Contrat sont complémentaires et s’expliquent mutuellement. Toutefois, en cas de contradiction, les règles de priorités sont définies dans les CSV.

La portée de ce DPA est limitée au service CodinGame Assessment.

La finalité du présent DPA conclu entre le Prestataire et le Client conformément à l’article 28 du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des Données à caractère personnel et à la libre circulation de ces Données (« Règlement général sur la protection des données » ou « RGPD »), est de définir les conditions dans lesquelles le Prestataire, en qualité de sous-traitant et dans le cadre des Services définis dans le Contrat, traite, sur instruction du Client, des Données à caractère personnel telles que définies à l’article 4 (1) du RGPD (« Données à caractère personnel »).

Les traitements de Données à caractère personnel effectués par le Prestataire en tant que responsable de traitement n’entrent pas dans le champ d’application du présent DPA. Les traitements dont le Prestataire est le responsable de traitement sont décrits dans la politique de confidentialité du Site CodinGame à l’adresse : https://www.codingame.com/work/fr/politique-de-confidentialite/.

Aux fins du présent DPA, le Prestataire agit en tant que « Sous-traitant » et le Client est présumé agir en tant que « Responsable du traitement ». Les termes « Sous-traitant » et « Responsable du traitement » ont le sens qui leur est donné au sein du RGPD (respectivement article 4 (8) et article 4 (7) du RGPD.

Si le Client agit en tant que Sous-traitant pour le compte d’un tiers responsable du traitement, les Parties conviennent expressément que les conditions suivantes s’appliquent :

(a) Le Client s’est préalablement assuré que toutes les autorisations nécessaires pour conclure le présent DPA, y compris la nomination par le Client du Prestataire en tant que sous-traitant ultérieur, ont été obtenues du responsable du traitement ;

(b) Un contrat, qui est en parfaite adéquation avec les termes et conditions du Contrat (y compris le présent DPA), a été conclu avec le tiers responsable du traitement conformément à l’article 28 du RGPD ;

(c) Le Client respecte l’intégralité des dispositions du RGPD.

1. Respect de la réglementation applicable en matière de protection des Données à caractère personnel

Chacune des Parties s’engage à respecter toutes les obligations résultant de l’application de toute réglementation applicable relative à la protection des Données à caractère personnel, en particulier les dispositions issues du RGPD.

À cette fin, elles reconnaissent être soumises à une obligation de collaboration renforcée pendant toute la durée du Contrat et s’engagent donc mutuellement à se transmettre sans délai toute information, renseignement, document ou fichier leur permettant de maintenir ou de démontrer leur conformité au RGPD et à s’informer immédiatement de tout manquement ou risque de manquement à la réglementation.

2. Droits et obligations du Prestataire et du Client

Dans le cadre du Contrat, le Prestataire s’engage à traiter les Données uniquement pour la ou les finalités des traitements mentionnées dans l’Appendice 1, et qui lui sont sous-traitées.

À ce titre, le Prestataire s’abstient de tout usage de ces Données à son profit ou au profit de tiers, à l’exception du traitement lié au suivi de la relation commerciale avec le Client pour lequel le Prestataire est responsable de traitement (voir Politique de confidentialité).

En outre, le Prestataire s’engage à ne traiter les Données à caractère personnel que sur la base et conformément aux instructions documentées du Client.

Dans l’hypothèse où le droit européen et/ou le droit français viendrait en contradiction avec les instructions du Client ou ne permettrait pas au Prestataire de traiter les Données à caractère personnel conformément auxdites instructions, le Prestataire devra en informer le Client dans les meilleurs délais avant de procéder au traitement. Dans un tel cas, les Parties s’engagent à se rencontrer aux fins de trouver la solution amiable la plus adaptée au regard du Contrat et des droits et libertés de la personne concernée.

En outre, le Prestataire se porte fort envers le Client du respect, par ses collaborateurs autorisés à traiter les Données à caractère personnel, de la plus stricte confidentialité concernant les Données à caractère personnel traitées en exécution du présent Contrat ainsi que toutes les informations contenues dans l’Appendice 1. L’ensemble de ces informations est considéré comme des informations confidentielles. Le Prestataire garantit au Client qu’il a mis en place et maintient toutes les mesures nécessaires pour préserver et faire respecter par ses collaborateurs la confidentialité des Données à caractère personnel.

Ainsi, le Prestataire ne doit rendre accessibles et consultables les Données à caractère personnel qu’aux seuls collaborateurs du Prestataire dûment autorisés, en raison de leurs fonctions et qualités, pour traiter les Données à caractère personnel dans la stricte limite de ce qui leur est nécessaire à l’accomplissement de leurs fonctions.
Le Prestataire déclare tenir par écrit un registre de toutes les catégories d’activités de traitement effectuées pour le compte du Client.
Le délégué à la protection des Données du Prestataire, à la date de signature du Contrat est identifié dans l’Appendice 4 du présent DPA. En cas de changement, le Prestataire s’engage à en informer le Client dans les meilleurs délais et lui transmettre la nouvelle identité et les nouvelles coordonnées du délégué à la protection des Données.

De son côté, le Client s’engage à :

  • Transmettre au Prestataire toute information ou document dont il aurait besoin pour exécuter ses obligations au titre du présent paragraphe ;
  • Informer le Prestataire de toute requête, audit ou contrôle déclenché par une autorité de contrôle qui concernerait ou impliquerait directement le Prestataire en sa qualité de sous-traitant.

3. Description des traitements de Données à caractère personnel

L’Appendice 1 du DPA définit :

    • L’objet, la nature et la finalité de chacun des traitements de Données à caractère personnel que le Prestataire effectue pour le compte du Client dans le cadre du Contrat ;
    • Les catégories de Données à caractère personnel traitées ;
    • Les catégories de personnes concernées au sens de l’article 4 (1) du Règlement par lesdits traitements ;
    • La durée de conservation des Données à caractère personnel ;
    • Les lieux de traitement des Données à caractère personnel situés en dehors de l’Espace économique européen.

4. Droit d’audit du Client et analyse d’impact

Aux fins de contrôle de la conformité des Parties au RGPD, le Client dispose d’un droit d’audit, qu’il pourra exercer moyennant le respect d’un préavis de quinze (15) jours ouvrés. A ce titre, le Client désignera, à ses frais, un auditeur indépendant non concurrent du Prestataire sur le marché du SaaS qui devra être validé par le Prestataire, et qui devra signer un engagement de confidentialité.
Cet audit spécifique à la protection des Données à caractère personnel par le Prestataire portera sur le respect du RGPD et du présent DPA. L’audit ne pourra porter sur les Données financières, comptables et commerciales du Prestataire.

L’audit sera mené à distance et durant les heures de travail du Prestataire.

Pendant cet audit, le Prestataire s’engage à collaborer de bonne foi avec l’auditeur et devra (i) lui transmettre toute la documentation visant à établir sa conformité au RGPD et au présent DPA et (ii) répondre à toutes ses questions.

Un exemplaire du rapport d’audit rédigé par l’auditeur sera remis à chaque Partie.
Dans le cas où le rapport d’audit révélerait un ou plusieurs manquements du Prestataire au RGPD ou au présent DPA, les Parties conviennent de se réunir dans les meilleurs délais afin d’établir un plan d’action visant à remédier au(x) manquement(s) identifié(s).

Par ailleurs, sur demande expresse du Client, le Prestataire s’engage à lui apporter toute l’assistance nécessaire dans le cas où le Client mène, pendant la durée du Contrat, une analyse d’impact en lien avec les Données à caractère personnel traitées par le Prestataire.

5. Notification des violations de Données à caractère personnel

Si le Prestataire a connaissance d’un incident affectant les Données à caractère personnel du Responsable du traitement (accès ou divulgation non autorisés, perte, destruction ou altération de Données, d’origine accidentelle ou illicite), le Prestataire en informe le Client dans les meilleurs délais, et, en tout état de cause, quarante-huit (48) heures au plus tard à compter de la prise de connaissance par le Prestataire d’un tel événement, précisant si la violation en question est susceptible d’engendrer un risque pour les droits et libertés des personnes concernées.

Cette notification est accompagnée de toute documentation utile afin de permettre au Client, si nécessaire, de notifier cette violation à l’autorité compétente.
A minima, la notification doit (i) décrire la nature de l’incident, et si possible le nombre de personnes concernées (ii) décrire les conséquences probables de l’incident, (iii) décrire les mesures prises ou proposées par le Prestataire en réponse à l’incident et (iv) préciser qui est l’interlocuteur privilégié chez le Prestataire vis-à-vis de cet incident.
D’une manière générale, il appartient au Client de communiquer directement à la personne concernée, la violation de Données à caractère personnel, lorsqu’elle est susceptible d’engendrer un risque élevé pour les droits et libertés d’une Personne concernée, sauf accord contraire et écrit des Parties.

6. Sous-traitants

Le Prestataire informe le Client qu’à la date de dernière mise à jour du présent DPA, il a recours aux sous-traitants identifiés dans l’Appendice 2 du présent DPA, ce que le Client accepte.

Le Prestataire déclare qu’à la date de dernière mise à jour du présent DPA, il a signé avec chacun de ces sous-traitants des contrats de traitements de Données à caractère personnel. Il s’engage envers le Client à maintenir en vigueur ces contrats pendant toute la durée du Contrat.

Le Prestataire garantit au Client qu’il a vérifié que ces sous-traitants présentent les garanties suffisantes quant à la mise en œuvre des mesures techniques et organisationnelles appropriées de manière à ce que les traitements identifiés dans l’Appendice 1 répondent aux exigences du RGPD.

Par ailleurs, le Prestataire s’engage à informer le Client et à recueillir son accord en cas de changement envisagé concernant l’ajout ou le remplacement de tout sous-traitant. La notification de changement sera faite par courrier électronique à l’adresse du Client prévue à cet effet et listée dans l’Appendice 4 de la présente annexe. En cas de désaccord du Client vis-à-vis d’un tel changement, les Parties se rencontreront et discuteront de bonne foi en vue de la résolution du désaccord.
En cas de non-réponse du Client dans les dix (10) jours ouvrables, le changement est considéré comme automatiquement accepté par le Client.

En outre, avant toute opération de sous-traitance, le Prestataire s’engage à signer avec son sous-traitant, un contrat conforme à l’article 28(4) du RGPD, qui reporte sur ce dernier, mutatis mutandis les obligations prévues au présent paragraphe, en particulier pour ce qui est de présenter des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences de la règlementation applicable.

7. Sécurité des Données à caractère personnel

Le Prestataire déclare avoir mis en place et maintenir en vigueur et à jour, pendant toute la durée du Contrat, et jusqu’à la destruction des Données à caractère personnel identifiées dans l’Appendice 1, toutes les mesures de sécurité appropriées en vue d’assurer la sécurité des Données dans l’objectif de les préserver de toute destruction, perte, altération, divulgation et accès non-autorisés, que ces actes soient d’origine accidentelle ou illicite.
Les mesures de sécurité identifiées à la date de dernière mise à jour du présent DPA sont listées dans l’Appendice 3 du présent DPA.
Les Parties se feront part, pendant toute la durée du Contrat, toute mise à jour ou modification nécessaire desdites mesures de sécurité notamment aux fins de répondre à toute nouvelle menace ou toute évolution de l’état de l’art ou de la réglementation

8. Droit d’information des personnes concernées

Il appartient au Client de fournir aux personnes concernées par les opérations de traitement au moment de la collecte des Données, les informations listées aux articles 13 et 14 du RGPD.
Le Prestataire aidera le Client à répondre à son obligation de donner suite aux demandes d’exercice des droits des Personnes concernées, qu’il s’agisse du droit d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du traitement, droit à la portabilité des Données ou du droit de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage), en lui fournissant toute information, renseignement, document ou fichier nécessaire.
Si les personnes concernées exercent auprès du Prestataire, des demandes d’exercices de leurs droits, le Prestataire doit adresser ces demandes dès réception par courrier électronique au contact Client visé à l’Appendice 4.

9. Transfert des Données à caractère personnel en dehors de l’Union européenne

Lors de la création du Compte, le Client peut décider où les Données à caractère personnel seront stockées et traitées : soit en Europe, soit aux Etats-Unis.

Les Données à caractère personnel de tout Compte créé avant le 15 mai 2021 sont stockées et traitées aux États-Unis. La migration du lieu de stockage et de traitement des États-Unis vers le lieu de stockage et de traitement européen peut être effectuée par le Prestataire si le Client lui en donne l'instruction à l'adresse privacy@codingame.com.

Pour tout Compte dont le lieu de stockage et de traitement sont les Etats-Unis, le Client est informé que le Prestataire recourt à des sous-traitants établis en dehors de l’Union européenne.

Les sous-traitants actuels sont listés dans l’Appendice 2 du présent DPA.

Sous réserve de l’accord préalable du Client, et dans la stricte limite nécessaire à l’exécution des Services prévus au Contrat, dans l’hypothèse où le Prestataire transférerait des Données à caractère personnel à destination d’un nouveau sous-traitant établi dans un ou des pays reconnus par la Commission européenne comme n’assurant pas un niveau de protection adéquat, y compris les États-Unis, le Prestataire s’engage d’une part, à mettre en œuvre des garanties suffisantes et appropriées pour encadrer leur sécurité et d’autre part, à signer avec ce sous-traitant les « clauses contractuelles types » de protection des Données adoptées par la Commission européenne (loi 2010/87/EU).

10. Données à caractère personnel en fin de Contrat

Au terme du Contrat, le Client pourra faire une demande de suppression de compte directement depuis le Site. La suppression du compte entraîne la destruction de toutes ses Données.

Le Prestataire s’engage également à détruire toutes les Données à caractère personnel sur instruction écrite du Client. Ces instructions peuvent intervenir à tout moment après la fin du Contrat dans une limite de un (1) an.

La destruction sera effectuée par le Prestataire dans un délai de cinq (5) jours ouvrés à compter de la date de réception des instructions, à l’exception :

      • des logs de sécurité qui seront effacés dans un délai maximum de six (6) mois après la réception des instructions ;
      • des backups de base de Données qui seront effacés dans un délai maximum de un (1) mois après la réception des instructions.

Dans le cas où le Prestataire n’aurait pas reçu d’instruction du Client trois ans après la fin du Contrat, le Prestataire procédera à la destruction des Données à caractère personnel, sauf accord contraire des Parties.

En tout état de cause, et sauf disposition contraire du droit européen ou du droit français, le Prestataire s’engage à ne conserver aucune copie des Données à caractère personnel et à transmettre au Client une attestation écrite de la destruction desdites copies.

APPENDICE 1 : IDENTIFICATION DES TRAITEMENTS DE DONNÉES À CARACTÈRE PERSONNEL

Finalité du traitement (et base légale) :

Bénéficier des Services : évaluer les compétences de Candidats (exécution du Contrat)

Catégories de Données personnelles traitées :

Identité des personnes concernées (email, nom)
Niveau de compétence des personnes concernées (score, rang)

Catégories de personnes concernées :

Candidats (tels que saisis par le Client dans CodinGame for Work)

Catégories de destinataires des Données:

Client

Durée de conservation des Données :

Le Client peut procéder à la destruction des Données à tout moment où positionner une limite de conservation des Données relatives aux Candidats. A défaut, conditions de fin de Contrat : voir chapitre 10

Lieu de traitement et stockage des Données :

AWS Irlande pour les Comptes ayant choisi l’Europe pour le lieu de stockage et de traitement

AWS États-Unis pour les Comptes ayant choisi les États-Unis pour le lieu de stockage et de traitement

Finalité du traitement (et base légale) :

Sécurité & détection de fraude (exécution du Contrat)

Catégories de Données personnelles traitées :

Informations de connexion (IP, Geoloc)
Journaux de navigation (IP, URL)

Catégories de personnes concernées :

Candidats (tels que saisis par le Client dans CodinGame for Work)

Catégories de destinataires des Données:

Support CodinGame

Durée de conservation des Données :

Le Client peut procéder à la destruction des Données à tout moment où positionner une limite de conservation des Données relatives aux Candidats. A défaut, conditions de fin de Contrat : voir chapitre 10
Pour les journaux de navigation, 6 mois

Lieu de traitement et stockage des Données :

AWS Irlande pour les Comptes ayant choisi l’Europe pour le lieu de stockage et de traitement

AWS États-Unis pour les Comptes ayant choisi les États-Unis pour le lieu de stockage et de traitement

L’ensemble des Données à caractère personnel fait l’objet de backups journaliers. Ces backups sont détruits au bout de un (1) mois à compter de leur création.

La destruction des Données à caractère personnel au-delà des durées de conservation définies ci-dessus se traduit au niveau technique par une anonymisation : les Données d’identification sont détruites (email, nom, prénom, IP, etc.) alors que les Données associées, qui ne permettent pas l’identification d’une personne au sens de l’article 4 (1) du RGPD, sont conservées (par exemple, le score et le rang d’un Candidat) dans un objectif d’amélioration continue des Services. Ces Données anonymisées ne constituent plus des Données à caractère personnel.

APPENDICE 2 : LISTE DES SOUS-TRAITANTS APPROUVÉS

Sous-traitants spécifiques pour les Comptes ayant choisi “Europe” pour le lieu de stockage et de traitement

Sous-traitant :

Amazon Data Services Ireland Ltd, 1 Burlington Plaza Burlington Road Dublin 4, D04RH96 Irlande

Finalité du traitement :

Hébergement des serveurs et stockage des données

Pays du sous-traitant :

Irlande

Traitement en dehors de l’Union européenne :

Oui

Outils de protection pour les transferts :

Clauses contractuelles types et certification "Privacy Shield EU-US" (bouclier de protection des données)

Sous-traitants spécifiques pour les Comptes ayant choisi “États-Unis” pour le lieu de stockage et de traitement

Sous-traitant :

AMAZON WEB SERVICES, INC., 10 Terry Avenue North, Seattle, WA. 98109-5210, United States

Finalité du traitement :

Hébergement des serveurs et stockage des données

Pays du sous-traitant :

États-Unis

Traitement en dehors de l’Union européenne :

Oui

Outils de protection pour les transferts :

Clauses contractuelles types et certification "Privacy Shield EU-US" (bouclier de protection des données)

APPENDICE 3 : DESCRIPTION DES MESURES DE SÉCURITÉ

      • Toutes les communications entre le serveur et les clients sont encryptées (HTTPS).
      • Les mots de passe stockés dans la base de données du Prestataire sont encryptés de manière non-réversible (one-way hash).
      • Les tentatives de connexion infructueuses sont loguées et déclenchent des alertes.
      • Les formulaires de connexion sont protégés par un mécanisme de Captcha
      • Les mots de passe des Comptes doivent être “forts”
      • L’accès à la base de données du Prestataire est restreint à certaines IP autorisées.
      • L’accès aux Données à caractère personnel par les employés du Prestataire est autorisé en fonction de rôles tels que définis dans la Politique de sécurité du Prestataire (par exemple l’équipe support est habilitée à accéder aux Données à caractère personnel en cas de bug).
      • Les accès sont techniquement gérés par un LDAP sécurisé.

APPENDICE 4 : POINTS DE CONTACT PRESTATAIRE ET CLIENT

DPO du Prestataire :

Charlotte GALICHET
c.galichet@avocatspi.com
Avocat au barreau de Paris
4, place de Valois - 75001 Paris
01 86 95 18 81

Contact du Prestataire pour toutes demandes ou instructions relatives au présent DPA :

Frédéric TREGON
contact@codingame.com
09 54 39 85 49

Contact Client pour notification de violation de la protection des Données à caractère personnel :

L’adresse email saisie par le Client à cet effet depuis l’onglet Protection des données du Site (par défaut, l’adresse email utilisée par le Client à la création de son compte)

Contact Client pour toute autre demande CodinGame relative au présent DPA :

L’adresse email utilisée par le Client au moment de la création de son compte