Accord sur le traitement des données
ACCORD SUR LE TRAITEMENT DES DONNÉES PERSONNELLES
Nous sommes Jobbatical OÜ, une société estonienne dont le code d'immatriculation est 12671900 (Jobbatical, nous, notre et nos). Nous exploitons une plateforme en ligne à l'adresse https://app.jobbatical.com (la Plateforme) pour fournir certains services relatifs à la relocalisation des employés/futurs employés, ainsi que des membres de leur famille, d'un pays vers le lieu d'emploi dans un autre pays (les Services).
Le terme "client" ou "vous" se réfère à une entité juridique désignée comme client dans l'accord de service signé par Jobbatical et le client (l'accord de service). Cet accord de traitement des données personnelles (le DPA) fait partie d'un accord de service entre Jobbatical et le client (chacun étant également une partie et collectivement les parties).
Dans le cadre de la fourniture des services prévus par le contrat de service, Jobbatical traite certaines données personnelles pour le compte du client. Afin de garantir un traitement sûr, correct et licite des données personnelles, les parties ont convenu de compléter le contrat de service et de conclure le présent DPA dans le cadre du contrat de service.
En cas de conflit entre tout autre document faisant partie de l'accord de service et le présent DPA concernant le traitement des données à caractère personnel, le DPA prévaut et s'applique.
1. DISPOSITIONS GÉNÉRALES
1.1 Les termes utilisés dans le RGPD sont utilisés dans le sens qui leur est donné à l'article 4 du règlement général sur la protection des données (UE) 2016/679 du Parlement européen et du Conseil (le GDPR) ou dans le sens qui leur est donné dans l'accord de service.
1.2 Dans le contexte de l'article 28 du GDPR, le client est le responsable du traitement des données personnelles transférées ou mises à la disposition de Jobbatical dans le cadre de la fourniture des services et Jobbatical est le responsable du traitement des données.
2. OBLIGATIONS GÉNÉRALES DE JOBBATICAL
2.1 Jobbatical traitera les données personnelles uniquement en conformité avec la loi applicable, les termes de l'accord de service, y compris les termes de ce DPA.
2.2 Jobbatical traite les données à caractère personnel uniquement aux fins décrites à l'annexe A du présent DPA.
2.3 Jobbatical traitera les données personnelles conformément aux instructions documentées du client, y compris celles contenues dans le présent DPA.
2.4 Si le droit applicable l'exige, Jobbatical désignera un délégué à la protection des données compétent conformément au droit applicable.
2.5 Jobbatical tiendra un registre de toutes les activités de traitement des données effectuées pour le compte du client. Les registres des activités de traitement des données doivent être conformes aux exigences énoncées à l'article 30, paragraphe 2, du GDPR.
2.6 A la demande du client, Jobbatical mettra à la disposition du client les documents décrits dans la section 2.5 concernant les données personnelles traitées au nom du client, immédiatement et gratuitement, mais au plus tard dans les 15 (quinze) jours ouvrables à compter de la demande du client.
2.7 Jobbatical doit, en tenant compte de la nature du traitement, fournir une coopération raisonnable pour aider le client par des mesures techniques et organisationnelles appropriées, dans la mesure du possible, à répondre à toute demande émanant d'individus ou d'autorités de protection des données applicables concernant le traitement des données à caractère personnel en vertu du RGPD. Dans le cas où une telle demande est adressée directement à Jobbatical, Jobbatical ne répondra pas directement à cette communication sans l'autorisation préalable du client, à moins qu'il ne soit légalement contraint de le faire. Si Jobbatical est tenu de répondre à une telle demande, Jobbatical en informera rapidement le client et lui fournira une copie de la demande, à moins que la loi ne l'interdise.
2.8 Jobbatical aidera le client à se conformer aux obligations découlant des articles 32 à 36 du GDPR en tenant compte de la nature du traitement et des informations dont Jobbatical dispose.
3. OBLIGATIONS GÉNÉRALES DU CLIENT
3.1 Le client garantit que lorsqu'il transfère des données personnelles à Jobbatical, il dispose d'une base légale appropriée pour soumettre ces données personnelles à Jobbatical.
3.2 Le client garantit qu'après avoir transféré des données personnelles à Jobbatical, Jobbatical est autorisé à traiter ces données personnelles dans le cadre de l'exécution du contrat de service.
3.3 Le client garantit que, lors du transfert de données personnelles à Jobbatical, toutes les données personnelles soumises par le client à Jobbatical sont exactes, véridiques, pertinentes et nécessaires à l'exécution de l'accord de service.
4. CONFIDENTIALITÉ
4.1 Jobbatical garantit la confidentialité des données personnelles traitées pour le compte du client.
4.2 Jobbatical s'assure qu'aucun tiers non autorisé ne puisse accéder aux données personnelles traitées pour le compte du client.
4.3 Jobbatical s'assure que tous les représentants, employés de Jobbatical et autres personnes qui, par l'intermédiaire de Jobbatical, entrent en contact avec les données personnelles traitées pour le compte du client sont soumis à l'obligation de confidentialité prévue par un contrat ou par la loi et Jobbatical s'assure que leurs représentants, employés et autres personnes agissant pour leur compte maintiennent l'entière confidentialité des données personnelles.
4.4 Jobbatical s'assurera que tous les représentants et employés de Jobbatical qui entrent en contact avec les données personnelles traitées pour le compte du client ont reçu une formation et des instructions appropriées pour le traitement des données personnelles conformément à l'accord de service, au RGPD et à la loi applicable.
5. MESURES DE SÉCURITÉ
5.1 Jobbatical assure la sécurité du traitement des données personnelles dans le but de protéger les données personnelles contre le traitement, la divulgation ou la destruction accidentels ou non autorisés en mettant en œuvre les mesures requises en vertu de l'article 32 du GDPR.
5.2 En tenant compte de l'état de l'art et des coûts de mise en œuvre, de la nature, de la portée, du contexte et des finalités du traitement des données personnelles, ainsi que du risque pour les droits et libertés des personnes physiques, de probabilité et de gravité variables, pouvant résulter du traitement des données personnelles, Jobbatical appliquera des mesures techniques et organisationnelles appropriées lors du traitement des données personnelles afin d'assurer la sécurité des données personnelles. Une description plus détaillée des mesures techniques et organisationnelles figure à l'annexe B du présent DPA.
6. AUDIT
6.1 Le client a le droit, une fois tous les douze (12) mois, moyennant un préavis écrit de quinze (15) jours ouvrables, d'auditer les opérations de Jobbatical en rapport avec l'exécution du DPA. Si la date proposée par le client ne convient pas à Jobbatical, le client peut désigner une autre date qui ne peut être postérieure de plus de quinze (15) jours ouvrables à la date initiale. La méthodologie d'audit sera précisée entre les parties avant la réalisation de l'audit. Les coûts de l'audit sont à la charge du Client.
6.2 L'audit doit être effectué un jour ouvrable pendant les heures de travail de Jobbatical, et ne doit pas perturber de manière déraisonnable le cours des affaires de Jobbatical ou mettre en péril la confidentialité des informations de tiers en possession de Jobbatical. Jobbatical s'engage à coopérer de bonne foi avec le client, à contribuer aux inspections et aux audits du client et à fournir au client les informations relatives à ce DPA que le client peut raisonnablement demander afin de démontrer qu'il a agi en conformité avec le GDPR.
7. VIOLATION DE DONNÉES À CARACTÈRE PERSONNEL
7.1 En cas de violation de données personnelles, Jobbatical en informera le client le plus rapidement possible. Jobbatical enverra au client une notification concernant la violation de données à caractère personnel, qui comprendra les informations suivantes :
7.1.1 une description de la nature de la violation de données à caractère personnel, y compris, si possible, les catégories et le nombre approximatif de personnes concernées, ainsi que les catégories et le nombre approximatif d'enregistrements de données à caractère personnel concernés ;
7.1.2 le nom et les coordonnées du responsable de la protection des données ou de toute autre personne de contact de Jobbatical, le cas échéant ;
7.1.3 les conséquences probables de la violation des données à caractère personnel, y compris les conséquences probables pour la personne concernée ;
7.1.4 les mesures prises ou proposées par Jobbatical pour remédier à la violation des données personnelles ou pour en atténuer les éventuels effets négatifs.
7.2. Jobbatical enverra la notification spécifiée dans la section 7.1 au client immédiatement et, si possible, au plus tard dans les 48 heures suivant la survenance de la violation de données à caractère personnel.
7.3. Si et dans la mesure où Jobbatical n'est pas en mesure de soumettre les informations décrites dans la section 7.1 au client dans le délai fixé dans la section 7.2, Jobbatical peut soumettre les informations au client par phases, mais sans retard excessif, accompagné d'une justification du retard.
7.4. Jobbatical coopère pleinement avec le client afin de prévenir les violations de données à caractère personnel. En cas de violation de données à caractère personnel, Jobbatical coopérera pleinement avec le client pour remédier à la violation de données à caractère personnel aussi efficacement et rapidement que possible et/ou pour en atténuer les effets négatifs éventuels.
7.5. Jobbatical documente toutes les violations de données à caractère personnel, y compris les faits relatifs à la violation de données à caractère personnel, ses effets et les mesures correctives prises.
8. RETOUR, SUPPRESSION ET DESTRUCTION DES DONNÉES À CARACTÈRE PERSONNEL
1. A chaque demande du client et/ou après la résiliation de l'accord de service, Jobbatical supprimera toutes les données personnelles traitées au nom du client dans un délai de quatorze (14) jours calendaires, à moins que Jobbatical ne dispose d'une base légale pour conserver certaines données.
9. SOUS-TRAITANTS ET TRANSFERT DE DONNÉES À CARACTÈRE PERSONNEL VERS DES PAYS TIERS
9.1. Le client accorde à Jobbatical une autorisation générale de sous-traiter à des sous-traitants le traitement de données à caractère personnel effectué en vertu du présent DPA, à condition que :
9.1.1. l'engagement du sous-traitant est nécessaire à la fourniture des services ;
9.1.2. Jobbatical a conclu un accord écrit contenant des obligations en matière de protection des données qui ne sont pas moins protectrices que celles contenues dans le présent DPA. Jobbatical est responsable de tout manquement de la part du sous-traitant ultérieur aux termes du présent DPA ;
9.1.3. Jobbatical évaluera les pratiques de sécurité, de confidentialité et de respect de la vie privée d'un sous-traitant avant de le sélectionner afin d'établir qu'il est capable d'assurer le niveau de protection des données personnelles requis par le présent RGPD. Lorsque les données personnelles sont transférées en dehors de l'Espace économique européen, Jobbatical s'assurera que les données personnelles sont transférées vers un pays pour lequel la Commission européenne a décidé que le pays assure un niveau de protection adéquat ou, s'il n'y a pas de décision d'adéquation concernant le pays, le territoire ou le secteur pour le transfert, Jobbatical s'assurera que le transfert est soumis à des garanties appropriées énumérées dans le GDPR.
9.2. La liste des sous-traitants approuvés par le client au moment de la conclusion du présent DPA figure à l'annexe C du présent DPA. Jobbatical informera le client de tout changement prévu concernant l'ajout ou le remplacement d'autres sous-traitants, donnant ainsi au client la possibilité de s'opposer à ces changements. Le client est réputé avoir accepté les changements de sous-traitants secondaires s'il n'a pas formulé d'objection dans les dix (10) jours ouvrables suivant la réception de l'avis.
9.3. Si Jobbatical fait appel à des sous-traitants, Jobbatical assume l'entière responsabilité du traitement des données à caractère personnel par le sous-traitant conformément à la loi applicable et au présent DPA.
10. RESPONSABILITÉ JA INDEMNISATION DES DOMMAGES
1. Jobbatical assume la responsabilité des dommages, des amendes administratives ou de toute autre réclamation concernant la violation par Jobbatical de l'accord de service, de la DPA ou des exigences de la loi applicable.
2. Jobbatical n'est en aucun cas responsable d'une amende administrative imposée au client, d'un dommage causé au client ou d'une réclamation introduite à l'égard du client si ceux-ci sont basés sur une violation par le client et/ou si Jobbatical n'a pas commis une telle violation.
3. Le client assume la responsabilité des dommages, des amendes administratives ou de toute autre réclamation liée à la violation par le client du contrat de service, du DPA ou des exigences de la loi applicable.
11. VALIDITÉ
1. Le DPA est valable à partir de la conclusion du contrat de service jusqu'à ce que Jobbatical traite des données à caractère personnel pour le compte du client ou jusqu'à la fin de la durée du contrat de service, la date la plus tardive étant retenue.
12. DISPOSITIONS FINALES
1. Le DPA est régi par les lois de la République d'Estonie.
2. Les litiges découlant du DPA sont résolus par voie de négociation ou devant les tribunaux estoniens, le tribunal de comté de Harju étant le tribunal de première instance.
________________
ANNEXE A du DPA
1. FINALITÉ DU TRAITEMENT DES DONNÉES
Fourniture des services de relocalisation au client conformément à l'accord de service.
2. SUJETS DE DONNÉES
Les utilisateurs de la plate-forme désignés par le client.
3. CATÉGORIES DE DONNÉES À CARACTÈRE PERSONNEL
Nom, prénom, adresse électronique.
4. OPÉRATIONS DE TRAITEMENT
Jobbatical traite les données personnelles de la plate-forme pour permettre aux employés du client et à d'autres contractants d'utiliser la plate-forme dans le cadre de l'exécution du contrat de service.
5. DÉLAI DE TRAITEMENT
La durée de l'accord de service et au maximum quatorze (14) jours après la résiliation de l'accord de service, à moins qu'en vertu de la loi applicable, Jobbatical ait le droit ou l'obligation de conserver les données pendant une période plus longue.
________________
ANNEXE B du DPA - Mesures techniques et organisationnelles
1. PRATIQUES ET PRINCIPES EN MATIÈRE DE SÉCURITÉ DE L'INFORMATION
1. Jobbatical assure une gestion méthodologique et ciblée de la sécurité de l'information dans son organisation, de préférence sur la base d'une norme largement acceptée (telle que ISO/IEC 27001, CIS Security Controls, la norme nationale estonienne de sécurité de l'information E-ITS), garantissant :
1. la gestion des risques liés à la sécurité de l'information ;
2. les rôles et responsabilités attribués en matière de sécurité de l'information ;
3. la gestion de l'accès ;
4. la gestion des incidents liés à la sécurité de l'information ;
5. gestion de la sécurité des points d'accès ;
6. gestion de la cryptographie ;
7. l'examen périodique des mesures de sécurité de l'information.
2. Le personnel de Jobbatical doit avoir suivi une formation à la sécurité de l'information au moins une fois par an ou garantir ses compétences en matière de sécurité de l'information par d'autres moyens (comme le maintien de certificats de sécurité de l'information).
3. Jobbatical met en œuvre les exigences de gestion de la sécurité de l'information dans l'ensemble de sa chaîne d'approvisionnement pertinente dans la mesure où cela peut affecter les données à caractère personnel du client.
4. Le client a le droit d'auditer le système de gestion de la sécurité de l'information de Jobbatical et les mesures de sécurité de l'information dans la mesure où elles peuvent affecter les données personnelles du client.
2. GESTION DE L'INFORMATION ET DE L'ACCÈS
1. Jobbatical doit empêcher l'accès non autorisé aux informations confidentielles.
2. Les documents doivent être marqués avec des étiquettes de classification si des instructions spécifiques ont été reçues du client.
3. Les informations stockées dans les systèmes d'information du client et destinées à y être traitées strictement ne peuvent être copiées dans les systèmes de Jobbatical, sauf accord contraire.
4. La gestion de l'accès aux informations confidentielles doit être basée sur le besoin de savoir et le principe du moindre privilège.
5. Les informations confidentielles ne peuvent être transmises sur l'internet que sous forme cryptée (pièces jointes cryptées, sessions web HTTPS, outils de collaboration protégés par TLS, connexions VPN).
6. Les informations confidentielles ne peuvent être stockées que sous une forme cryptée (cryptage complet du disque dur, fichiers cryptés, base de données cryptée).
7. Jobbatical informera immédiatement le client de la nécessité de fermer le compte utilisateur si l'un des membres du personnel de Jobbatical n'est plus impliqué dans l'exécution des services.
3. GESTION DES INCIDENTS DE SÉCURITÉ DE L'INFORMATION
1. Jobbatical doit notifier au client, dans les 48 heures, tout incident de sécurité de l'information enregistré qui pourrait affecter les données personnelles du client.
2. La notification contient des informations détaillées sur la nature, l'étendue et les caractéristiques techniques de l'incident permettant au client de mettre en œuvre des mesures supplémentaires pour protéger les données à caractère personnel.
3. Les informations relatives aux incidents de sécurité de l'information sont considérées comme confidentielles et doivent être transmises sous forme cryptée.
4. Jobbatical n'entreprendra pas d'actions sur la communication publique dans la mesure où cela permet d'identifier le Client et ses mesures de sécurité.
5. Jobbatical coopère pleinement avec le client dans la gestion des incidents de sécurité de l'information, y compris l'analyse, l'isolement et le rétablissement de la situation normale.
6. Les personnes de contact chargées de signaler les incidents liés à la sécurité de l'information et de transmettre des messages cryptés sont : dpo@jobbatical.com pour Jobbatical, et [...] pour le client.