Amazon Web Services EMEA SARL
L-1855 Luxembourg
Service d’envoi d’e-mails (Amazon SES) utilisé pour les e-mails produit et transactionnels, y compris au nom du responsable du traitement dans le cadre des services.
Comment Join traite les données personnelles pour votre compte. Votre rôle en tant que responsable du traitement, le nôtre en tant que sous-traitant, et nos engagements écrits.
Préambule
JOIN s’est donné pour mission de connecter les chercheurs d’emploi et les entreprises dans le monde entier. Les entreprises peuvent utiliser la plateforme JOIN sur https://join.com/ (ci-après désignée la “Plateforme”) pour publier des postes vacants et gérer les candidatures reçues en un seul endroit. Nos services sont conçus pour faciliter le processus de recrutement aussi bien pour les entreprises que pour les candidats, notamment pour l’attribution de candidats appropriés et la simplification de la procédure de candidature.
La Société peut publier des offres d’emploi et gérer les procédures de candidature associées sur la Plateforme à l’aide d’un outil de gestion en ligne (“Outil de Gestion des Candidatures”). Dans ce contexte, les données personnelles générées par la Société pour le processus de candidature respectif sont traitées par JOIN agissant en tant que sous-traitant pour la Société en tant que responsable du traitement au sens de la législation en vigueur sur la protection des données. La Société vise à recruter des candidats pour ces offres d’emploi et utilise la Plateforme de JOIN à cette fin.
Pour les autres services de JOIN, tels que l’attribution de candidats appropriés ou les offres destinées aux candidats, les données personnelles sont traitées par JOIN en tant que responsable du traitement au sens de la législation en vigueur sur la protection des données. Veuillez-vous référer à la Politique de Confidentialité de JOIN pour plus d’informations.
Le présent DPA a pour objet de protéger les parties contre l’utilisation abusive des données personnelles traitées dans l’Outil de Gestion des Candidatures, d’assurer la protection des données par JOIN en raison des données personnelles que la Société lui a communiquées, et de respecter les exigences légales dans l’hypothèse où la relation commerciale entre la Société et JOIN serait qualifiée de traitement de données.
Le présent DPA fait partie intégrante de tout accord de service entre les parties, sauf accord contraire expressément stipulé dans un contrat à conclure après la conclusion du présent DPA. Ce document, y compris toutes les annexes, précise également les obligations de protection des données des parties découlant de l’accord de service sous-jacent comme suit :
Section 01
Section 02
Section 03
Les dispositions du présent DPA font partie intégrante de l’accord de service entre les parties et prévalent sur les autres accords contractuels des parties en matière de protection des données, notamment les autres contrats contenant des dispositions qui s’écartent de celles du présent DPA au détriment de la Société. La clause 1.1 reste inchangée. Les dispositions du présent DPA ne s’appliquent pas au traitement des données personnelles que JOIN, en tant que responsable du traitement, fournit à la Société ou à tout autre utilisateur individuel dans le cadre de l’accord de service.
Section 04
Les parties conviennent par la présente que la finalité du traitement des données est l’accomplissement des objectifs contractuels conformément à l’accord de service, notamment la mise en œuvre et la gestion de processus de candidature spécifiques, auxquels la Société peut accéder via l’Outil de Gestion des Candidatures sur la Plateforme JOIN. La portée et la nature de la collecte, du traitement et/ou de l’utilisation des données personnelles sont déterminées par les dispositions de l’accord de service ainsi que par les services effectivement utilisés par la Société.
Section 05
Les personnes concernées par le traitement des données personnelles dans le cadre de l’accord de service comprennent :
Section 06
Les types de données suivants sont particulièrement concernés par le traitement sous-traité :
Si ces données sont traitées dans le cadre d’autres services JOIN, tels que l’attribution de candidats appropriés ou les services destinés aux candidats, cela ne relève pas du champ d’application du présent DPA. Dans ces cas, JOIN traitera ces données en tant que responsable du traitement au sens de la législation en vigueur sur la protection des données. Référence est faite à la Politique de Confidentialité de JOIN.
Section 07
Section 08
Traitement des données. JOIN est tenue de traiter les données personnelles dans le cadre du présent DPA uniquement conformément au présent accord et/ou à l’accord de service sous-jacent et aux instructions de la Société.
Droits des personnes concernées. JOIN aidera la Société dans toute la mesure du possible dans l’exercice des droits des personnes concernées, notamment en ce qui concerne la rectification, la limitation du traitement et la suppression, la notification et la fourniture d’informations.
JOIN devra, sur instruction de la Société, rectifier, supprimer ou limiter le traitement des données personnelles traitées pour le compte de la Société. Cette obligation ne s’applique pas aux données personnelles que JOIN traite en tant que responsable du traitement dans le cadre des services qu’elle propose via la Plateforme.
Si une personne concernée contacte JOIN directement pour demander la rectification, la suppression ou la limitation du traitement de ses données personnelles, JOIN transmettra cette demande à la Société immédiatement à réception. La Société reste responsable de l’exécution des demandes.
Obligations de contrôle interne. JOIN mettra en œuvre les mesures de contrôle appropriées, p.ex. des audits internes, un concept de protection des données, etc., afin de s’assurer que les données personnelles traitées dans le cadre du présent DPA le sont conformément au présent accord et aux instructions correspondantes.
Obligation d’information. JOIN, en tant que sous-traitant, informera la Société si, selon sa propre évaluation, une instruction viole les dispositions légales. JOIN sera alors habilitée à suspendre l’exécution de l’instruction correspondante jusqu’à ce qu’elle soit modifiée par la Société. Cela ne justifie pas pour autant l’obligation de contrôle ou de notification de JOIN.
JOIN notifiera la Société de toute violation des réglementations en matière de protection des données, au plus tard 48 heures après en avoir pris connaissance, des réglementations établies dans l’accord de service et l’accord et/ou les instructions émises, survenant au cours du traitement des données par JOIN, les personnes qu’elle emploie ou les autres tiers chargés du traitement, si cela déclenche les obligations de notification en matière de protection des données en vigueur. Cette notification devra inclure, au minimum :
Si l’accès aux données personnelles que la Société a transmises à JOIN pour le traitement des données est mis en péril par des mesures prises par des tiers (p.ex. mesures prises par un administrateur d’insolvabilité, saisie par les autorités fiscales, etc.), JOIN est tenue d’en notifier la Société.
JOIN ne transmettra des informations à une partie demandant des informations qu’après accord préalable avec la Société, sauf si JOIN est tenue de fournir des informations en vertu de mesures gouvernementales ou de décisions judiciaires.
Établissement d’un registre de traitement. Sur demande, JOIN aidera la Société à établir une liste des activités de traitement dans le cadre de l’DPA et du traitement des données en cours, et fournira les informations nécessaires de manière appropriée.
JOIN tiendra également son propre registre de toutes les catégories d’activités de traitement effectuées pour le compte de la Société, conformément aux dispositions de la législation en vigueur sur la protection des données.
Obligations de déclaration et de coopération. JOIN aidera la Société sur demande dans :
Lieu de traitement des données. Sauf accord contraire entre les parties, le traitement et l’utilisation des données par JOIN ont lieu en Suisse, dans l’Union européenne ou dans un autre État partie à l’Accord sur l’Espace économique européen. Tout transfert des activités de traitement des données de JOIN vers un pays tiers n’est autorisé que si les exigences spéciales du Chapitre V du RGPD ou de la Section 2 de la LFPD sont respectées. La Société accepte que lorsque JOIN fait appel à un sous-traitant ultérieur conformément au présent accord pour effectuer des activités de traitement spécifiques (pour le compte de la Société) dans un pays tiers et que ces activités de traitement impliquent un transfert de données personnelles au sens du RGPD ou de la LFPD, selon le cas, JOIN et le sous-traitant ultérieur peuvent utiliser les clauses contractuelles types adoptées par la Commission sur la base de l’article 46(2) RGPD afin de satisfaire aux exigences du Chapitre V du RGPD, à condition que les conditions d’utilisation de ces clauses soient remplies et qu’une évaluation interne ait conclu que ce transfert répond au niveau de protection des données du RGPD et de la LFPD.
Suppression des données personnelles après la résiliation de l’accord. Après la résiliation de l’accord de service, JOIN est tenue à la demande de la Société de remettre à la Société toutes les données personnelles, documents et résultats de traitement et d’utilisation qui relèvent du présent DPA et qui sont liés à la relation contractuelle, ainsi que de supprimer conformément aux directives de protection des données et de sécurité des données et aux instructions de la Société ce que JOIN n’est pas contractuellement ou légalement habilitée ou tenue de continuer à traiter. Cette obligation de suppression ne s’applique pas aux données personnelles que JOIN traite en tant que responsable du traitement dans le cadre des services qu’elle propose via la Plateforme.
Section 09
Section 10
JOIN est habilitée à confier le traitement des données à des sous-traitants ultérieurs conformément aux dispositions suivantes :
Section 11
Section 12
Section 13
Section 14
Section 15
Annexe 1
JOIN assure avoir mis en place les mesures techniques et organisationnelles suivantes.
Mesures qui empêchent physiquement les personnes non autorisées d’accéder aux systèmes informatiques et aux systèmes de traitement des données traitant des données personnelles, ainsi qu’aux fichiers confidentiels et aux supports de données.
Mesures pour empêcher les personnes non autorisées de traiter ou d’utiliser des données protégées par la législation sur la protection des données.
Mesures garantissant que les personnes autorisées à utiliser les procédures de traitement des données ne peuvent accéder qu’aux données personnelles relevant de leur autorisation d’accès, afin que les données ne puissent pas être lues, copiées, modifiées ou supprimées sans autorisation lors du traitement, de l’utilisation et du stockage.
Mesures pour s’assurer que les données collectées à des fins différentes sont traitées séparément et sont séparées des autres données et systèmes de telle manière que ces données ne puissent pas être utilisées par inadvertance à d’autres fins.
Mesures réduisant l’attribution directe des données personnelles à une personne concernée spécifique lors du traitement, de telle sorte que l’identification d’une personne concernée spécifique n’est possible qu’avec l’inclusion d’informations supplémentaires. Ces informations supplémentaires doivent être stockées séparément du pseudonyme à l’aide de mesures techniques et organisationnelles appropriées.
Mesures garantissant que les données personnelles ne peuvent pas être lues, copiées, modifiées ou supprimées sans autorisation lors de la transmission électronique ou lors de leur transport ou stockage sur des supports de données, ainsi que des mesures permettant de vérifier et de déterminer où les données personnelles doivent être transmises.
Mesures garantissant que l’accès, la modification ou la suppression de données personnelles dans les systèmes informatiques peut être vérifié et déterminé ultérieurement.
Mesures garantissant que les données personnelles sont protégées contre la destruction ou la perte accidentelle.
Mesures garantissant la capacité de restaurer rapidement la disponibilité et l’accès aux données personnelles en cas d’incident physique ou technique.
Mesures garantissant un traitement conforme à la protection des données et sécurisé.
Mesures garantissant que toutes les fonctions du ou des système(s) sont disponibles et que les dysfonctionnements survenant sont signalés.
Mesures garantissant que les données personnelles collectées à des fins différentes peuvent être traitées séparément.
Annexe 2
Les tiers ci-dessous aident JOIN à fournir le service. Chacun est contractuellement tenu à un standard de protection des données au moins équivalent à celui du présent DPA.
Service d’envoi d’e-mails (Amazon SES) utilisé pour les e-mails produit et transactionnels, y compris au nom du responsable du traitement dans le cadre des services.
Pare-feu d’applications web (WAF), CDN et protection DDoS pour les services JOIN.
Plateforme de communication client utilisée pour gérer les boîtes de réception partagées, les interactions de support et les flux d’e-mails.
Surveillance des erreurs et suivi des performances de l’application JOIN. Peut traiter des données techniques dans les journaux.
Hébergement et stockage pour la plateforme JOIN, incluant machines virtuelles (Compute Engine), bases de données managées (Cloud SQL / Firestore), stockage objet (Cloud Storage), réseau et sauvegardes.
Suite e-mail et productivité (Gmail, Drive, Docs, Sheets, Meet, Calendar) utilisée pour les opérations internes et les communications client.
Plateforme d’e-mailing utilisée pour envoyer des e-mails marketing, produit et transactionnels aux utilisateurs et au nom du responsable du traitement.
Outil de suivi des tickets et de gestion produit utilisé pour gérer le développement produit, le suivi des bugs et les flux internes.
Plateforme de tests pré-embauche utilisée pour évaluer les compétences des candidats via des tests et évaluations en ligne durant le processus de recrutement.
Des questions sur cet accord, nos sous-traitants ou une demande relative aux droits des personnes ? Contactez notre équipe juridique à [email protected] ou via join.com/contact.