ACCORD RELATIF AUX DONNÉES

CONTEXTE ET OBJECTIF

Cubiks est un fournisseur spécialisé dans les outils et services d’évaluation RH destinés à permettre à ses clients de trouver et développer les meilleurs profils pour leur entreprise. Dans le cadre de ses services, Cubiks peut être amené à Traiter des Données personnelles concernant des individus soumis à une évaluation par le Contrôleur, telles que leur adresse électronique, leurs données biographiques ou les résultats des évaluations. L’objectif du présent Accord est d’assurer que ce Traitement des Données personnelles est effectué en toute sécurité et conformément aux Lois applicables.

Le présent Accord vient compléter le Contrat de services conclu entre le Contrôleur et le Processeur à compter du 25 mai 2018 et, à compter de cette date, il se substituera à tout accord de traitement des données existant.

1. PARTIES

1.1 Le Contrôleur est le client d’un membre du Groupe Cubiks.

1.2 Le Processeur est le membre du Groupe Cubiks avec lequel le Contrôleur conclut la relation contractuelle.

2 OBLIGATIONS DU PROCESSEUR

2.1 Se conformer aux Lois applicables.

2.2 Traiter les Données personnelles uniquement selon les instructions écrites du Contrôleur et conformément aux Informations pour les sujets des données, notamment en ce qui concerne les transferts de Données personnelles vers un pays tiers ou une organisation internationale, sauf sur injonction dans ce sens par les Lois applicables auxquelles le Processeur est assujetti. Dans pareil cas, le Processeur informera le Contrôleur de cette exigence légale avant le Traitement, sauf si les Lois applicables interdisent ces informations pour des raisons d’intérêt public.

2.3 Traiter les Données personnelles conformément aux Informations pour les sujets des données.

2.4 S’assurer que les personnes autorisées à Traiter les Données personnelles s’engagent en faveur de la confidentialité ou sont assujetties à une obligation légale de confidentialité adéquate.

2.5 Assurer la mise en place de mesures techniques et organisationnelles appropriées, de manière à ce que le Traitement par le Processeur réponde aux exigences des Lois applicables. Lorsque les Lois européennes relatives à la protection des données s’appliquent, le Processeur se conformera à l’Article 32 de la loi RGPD. Cubiks est certifié conforme à la norme ISO 27001 en matière de Management de la Sécurité des Informations (numéro de certificat IS 639040).

2.6 Le Processeur peut divulguer les Données personnelles à d’autres membres du Groupe Cubiks et à des tiers de confiance tels que répertoriés dans la Liste des processeurs secondaires (anglais) (ci-après les « Processeurs secondaires »). Le Processeur informera le Contact nommé du Contrôleur de toute intention de modification concernant l’ajout ou le remplacement d’autres Processeurs secondaires impliqués dans le Traitement des Données personnelles, en donnant au Contrôleur l’opportunité de s’opposer à de telles modifications. Tous ces Processeurs secondaires seront soumis aux mêmes obligations que le Processeur. Toutefois, le Processeur demeurera pleinement responsable vis-à-vis du Contrôleur de sa conformité aux conditions générales exposées ici.

2.7 Aider le Contrôleur à veiller au respect de ses obligations en vertu des Lois applicables en ce qui concerne les droits des Sujets des données, la sécurité, les notifications de violation, les évaluations d’impact, la Suppression ou la restitution des données et les consultations avec les autorités de supervision ou de réglementation. Le Processeur fournira à chaque Contrôleur jusqu'à 4 heures d’assistance par an à titre gratuit. Des heures supplémentaires gratuites peuvent être fournies (sous réserve d’un accord préalable) pour les Contrôleurs qui gèrent des volumes élevés de Sujets des données. Dans le cas contraire, le Processeur se réserve le droit de percevoir une rétribution au titre des coûts raisonnables engagés. Lors de la discussion concernant les heures supplémentaires qui peuvent être nécessaires, les parties tiendront compte du fait que le Contrôleur a ou non accès aux outils en ligne de ce Processeur et doit donc gérer ses données, y compris leur effacement sur le serveur actif.

2.8 Lorsque les Lois européennes sur la protection des données s’appliquent, ne transférer aucune donnée personnelle en dehors de l’Espace économique européen, sauf à destination d’un pays tiers dont la Commission européenne estime qu’il possède un niveau de protection adéquat, ou dans le cadre des services et si le Contrôleur ou le Processeur a fourni des garanties appropriées quant au transfert, et si le Sujet des données dispose de droits exécutoires et de recours légaux efficaces.

2.9 Notifier le contact nommé du Contrôleur sans retard indu et conformément aux Lois applicables s’il a connaissance d’une violation des Données personnelles ou d’une violation potentielle par le Processeur ou par tout autre Processeur secondaire.

2.10 Sur demande écrite du Contrôleur, Supprimer les Données personnelles et (aux frais du Contrôleur) restituer les Données personnelles et les copies de celles-ci au Contrôleur lors de la cessation de l’accord, sauf dans les cas requis par les Lois applicables en matière de stockage des Données personnelles. Sauf indication contraire, les Données personnelles anonymisées peuvent être conservées par Cubiks sous réserve du respect de l’Article 89 de la réglementation RGPD.

2.11 Maintenir une comptabilité complète et précise des enregistrements et informations afin de démontrer sa conformité aux Obligations du Processeur énoncées dans le présent paragraphe 2, et permettre la réalisation d’audits par le Contrôleur ou l’auditeur désigné par ce dernier.

2.12 Lorsque le contact nommé du Contrôleur sollicite une assistance concernant les droits des Sujets des données (y compris, sans limitation, les droits d’accès, de rectification, d’effacement, de restriction de Traitement et d’opposition au Traitement), le Processeur coopérera en vue d’aider le Contrôleur à se conformer à ses obligations en vertu des Lois applicables. Toutes ces demandes d’assistance devront être adressées à DataProcessingEnquiries@cubiks.com.

3 OBLIGATIONS DU CONTRÔLEUR

3.1 Se conformer aux Lois applicables.

3.2 S’assurer d’avoir mis en place des mesures techniques et organisationnelles destinées à faire en sorte que le Traitement réponde aux exigences des Lois applicables lorsque les Données personnelles sont soumises au Traitement par le Contrôleur ou par une tierce partie au nom du Contrôleur. Lorsque les Lois européennes sur la protection des données s’appliquent, le Contrôleur se conformera à l’Article 32 de la réglementation RGPD.

3.3 Lorsque le Contrôleur indique au Processeur de travailler en collaboration avec des fournisseurs d’interfaces de programmation d’applications (« API ») tiers, ou des intégrateurs ou parties similaires (ci-après les « Tierces Parties »), lesdites Tierces Parties ne seront pas des Processeurs secondaires du Processeur et le Processeur ne contrôlera pas leur Traitement ni ne garantira leur conformité aux Lois applicables. Le Contrôleur conclura tout accord avec de telles Tierces Parties pour le Traitement des Données personnelles conformément aux exigences éventuelles des Lois applicables.

3.4 Lorsque le Contrôleur a accès aux outils d’évaluation en ligne du Processeur, le Contrôleur Supprimera les Données personnelles lorsqu’elles ne seront plus nécessaires. Si le Contrôleur ne dispose pas d’un tel accès, le Contrôleur intimera le Processeur de Supprimer ou de lui restituer les Données personnelles.

3.5 Sous réserve de la mise en place de garanties appropriées visant à garantir le respect de la minimisation et de la sécurité des données, le Processeur pourra Traiter les Données personnelles à des Fins de recherche. Si le Processeur ne recueille pas de données biographiques sur les Sujets des données, le Contrôleur s’engage à les mettre à la disposition du Processeur à des Fins de recherche, sous réserve du respect par le Processeur de toutes les obligations énoncées dans le présent Accord à l’égard de ces données biographiques.

3.6 Le Contrôleur reconnaît et accepte que (i) le Traitement des Données personnelles fournies par le Contrôleur au Processeur est, et continuera d’être effectué par, ou au nom du Contrôleur conformément aux Lois applicables et que (ii) le Traitement des Données personnelles fournies par le Processeur au Contrôleur soit, sous réserve de l’alinéa (iii), effectué conformément aux Informations pour les sujets des données ; (iii) les Informations pour les sujets des données sont une notification standard incluse par Cubiks dans ses évaluations en ligne pour le compte du client en tant que Contrôleur des données. Il convient que le Contrôleur des données examine attentivement ces dispositions pour s’assurer qu’elles répondent globalement à ses besoins. Si le Contrôleur demande au Processeur de désactiver ou de modifier les Informations pour les sujets des données et/ou si le Contrôleur Traite des Données personnelles d’un type ou d’une manière non décrits dans les Informations pour les sujets des données (par exemple pour des évaluations en direct ou en vidéo), il incombe au Contrôleur de délivrer toute notification complémentaire ou alternative requise, de recueillir le consentement et de prendre les dispositions supplémentaires nécessaires pour faire en sorte que ces Données personnelles soient Traitées de façon licite, et pour s’assurer que le stockage et la production d’une preuve de Traitement sont licites.

3.7 Fournir au Processeur des détails précis sur l’identité et les coordonnées du Contrôleur et (le cas échéant) du représentant du Contrôleur et (le cas échéant) les coordonnées du Délégué à la protection des données du Contrôleur, et informer le Processeur de toute mise à jour de ces détails. Si le Contrôleur omet de fournir les informations relatives à l’identité et aux coordonnées du Contrôleur, le Processeur pourra informer les Sujets des données que le Contrôleur est la personne, l’organisation ou l’entreprise qui a conclu l’accord en vue de la prestation des services.

3.8 Informer le Processeur de toute requête de Sujet des données par laquelle le Contrôleur sollicite l’assistance du Processeur dans les 7 jours qui suivent la réception d’une telle requête, et donner des instructions appropriées au Processeur en temps opportun.

4 PROFILAGE AUTOMATIQUE ET PRISE DE DÉCISION AUTOMATISÉE

Les évaluations en ligne de Cubiks font appel au profilage automatisé. La prise de décision automatisée a lieu lorsqu’une décision est prise sur la base du profil automatisé sans aucune intervention humaine. La prise de décision automatisée qui produit des effets légaux sur le Sujet des données, ou qui l’affectent de façon significative, doit être effectuée de façon licite et s’appuyer sur des motifs sûrs, et il est essentiel d’offrir au Sujet des données le droit à une intervention humaine s’il en fait la demande. Si le Contrôleur propose l’utilisation de profils automatisés fournis par le Processeur pour la prise de décision automatisée (ce qui n’est pas mentionné dans les Informations pour les sujets des données), il est recommandé que le personnel respectivement en charge de la conformité chez le Contrôleur et chez le Processeur soient consultés afin d’assurer la conformité aux conditions nécessaires pour le Traitement licite, y compris les exigences de notification supplémentaires.

5 ANNEXES

Les Annexes du présent Accord font partie intégrante de celui-ci.

6 CONTACTS

Tous les contacts entre les Parties concernant le présent Accord doivent être établis entre les personnes désignées à l’Annexe 2, ainsi qu’avec les autres personnes que les Contacts désignés peuvent autoriser de temps à autre par écrit. Toute modification des Contacts nommés de l’une des parties doit être notifiée au(x) Contact(s) nommé(s) de l’autre partie.

7 APPARTENANCE DES DONNÉES

Toutes les Données personnelles stockées et Traitées selon les termes du présent Accord par le Processeur au nom du Contrôleur sont et demeurent la propriété exclusive du Contrôleur.

8 CONSIDÉRATION

La prise en considération du présent Accord doit être énoncée dans l’Accord de services et les obligations mutuelles des parties doivent être énoncées dans le présent Accord.

9 RESPONSABILITÉ

9.1 Nulle disposition du présent Accord n’est de nature à limiter ou exclure les responsabilités qui ne peuvent être limitées ou exclues par les Lois applicables.

9.2 Sous réserve du paragraphe qui précède, la responsabilité totale maximale du Processeur et de tout Processeur secondaire dans le cadre du présent Accord et de tout Accord de services sera limitée à cent dix pourcent (110 %) des sommes effectivement payées par le Contrôleur au Processeur conformément à l’Accord de services dont le présent Accord est complémentaire au cours de l’année civile où la responsabilité survient (ou pendant la durée de l’Accord de services si cette durée est plus courte).

9.3 Ni le Processeur, ni tout Processeur secondaire ne sera tenu responsable (i) dans un Cas de Force majeure ; (ii) pour des dommages indirects ou imprévisibles (y compris la perte de profits, d’économies anticipées ou d’opportunités commerciales).

10 MÉDIATION ET JURIDICTION COMPÉTENTE

10.1 Les Parties conviennent qu’en cas de différend entre un Sujet des données et le Contrôleur, et si ce différend n'est pas réglé à l’amiable, ils coopéreront en vue d’offrir au Sujet des données l’opportunité de soumettre ce différend à la médiation par une personne indépendante ou, le cas échéant, par le Superviseur.

10.2 Le paragraphe 10.1 s’applique sans préjudice des droits du Sujet des données d’exercer un recours devant un tribunal conformément aux Lois applicables.

11 RÉSILIATION DE L’ACCORD DE SERVICES

11.1 Les Parties conviennent que la résiliation de l’Accord de services intervenant à tout moment, en toutes circonstances et pour un quelconque motif, ne les dispense nullement des obligations et/ou dispositions visées par l’Accord concernant le Traitement des Données personnelles.

11.2 Sous réserve d’un intervalle de temps raisonnable permettant d’assurer que le Contrôleur prenne des dispositions alternatives en vue du Traitement des Données personnelles du Contrôleur, et sous réserve que la mise en oeuvre de ces dispositions soit satisfaisante, le Processeur doit, dans la mesure du possible, supprimer toutes les copies des Données personnelles du Contrôleur détenues et Traitées par le Processeur.

11.3 Si les Données personnelles du Contrôleur ne peuvent, pour des raisons de commodité, être supprimées, le Processeur doit prendre des dispositions appropriées pour veiller à ce que ces Données personnelles ne soient pas ultérieurement Traitées, divulguées ou utilisées d’une manière autre que par des moyens de Suppression ultérieure, si cela devenait possible.

12 VARIATIONS DU PRÉSENT ACCORD

Si les instructions du Contrôleur sont incompatibles avec la fonctionnalité établie des outils d’évaluation de Cubiks, les Parties s’engagent à négocier de bonne foi un accord supplémentaire en vue de répondre aux exigences du Contrôleur par d’autres moyens, y compris par le biais d’honoraires raisonnables fondés sur les tarifs de Cubiks en vigueur. Dans le cas contraire, les parties s’engagent à ne pas apporter de variations ni de modifications aux termes du présent Accord, autres que :

  • pour corriger les déficiences qui peuvent apparaître dans le présent Accord en ce qui concerne (i) l’application au Traitement des Lois applicables, y compris les Lois européennes sur la protection des données, ou leur interprétation par l’État membre auquel le Contrôleur est soumis, ou
  • toute modification rendue nécessaire par une réglementation subsidiaire pertinente, ou par tout amendement aux Lois européennes sur la protection des données ; ou
  • toute variation apportée aux exigences de Traitement du Contrôleur ; ou
  • toute autre modification rendue nécessaire par injonction légale.

13 DÉFINITIONS

Lois applicables : Lois européennes sur la protection des données ou autres Lois applicables, selon les cas.

Année contractuelle : chaque période de douze (12) mois à compter de la date d’entrée en vigueur ou de toute date de renouvellement.

Contrôleur : client d’un membre du Groupe Cubiks.

Groupe Cubiks : la société Cubiks Group Limited et les filiales que celle-ci contrôle. Ces sociétés sont répertoriées sur le site https://www.cubiks.fr/presence-internationale.

Sujet des données : personne vivante, identifiée ou identifiable dont les Informations personnelles sont détenues. Une personne physique identifiable est un individu qui peut être identifié, directement ou indirectement, notamment par référence à un identificateur tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne ou via un ou plusieurs facteurs spécifiques à l’identité physique, physiologique, génétique, mentale, économique, culturelle ou sociale de cette personne physique.

Supprimer : effacer ou anonymiser des Données personnelles de sorte qu’elles ne soient plus identifiables. Les termes « Supprimé » et « Suppression » doivent être interprétés en conséquence.

Directive : la Directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995, visant « la protection des personnes à l’égard du Traitement des Données personnelles et à la libre circulation de ces données », ainsi que toute modification de cette directive ou de toute directive de remplacement.

Lois européennes sur la protection des données : (i) Directive européenne 95/46/CE et (ii) à compter du 25 mai 2018, la Loi RGPD qui s’applique (a) au Traitement des Données personnelles par un Contrôleur ou par le Processeur au sein de l’Union européenne et/ou (b) au Traitement des données de Sujets des données résidant au sein de l’Union européenne par un Contrôleur ou un Processeur non établi dans l’Union européenne, où le Traitement se rapporte à l’offre de biens ou de services à des Sujets des données situés dans l’Union européenne, ou à la surveillance du comportement de Sujets des données au sein de l’Union européenne.

Espace économique européen : l’Union européenne ou la Zone européenne de libre-échange, à l’exclusion de la Suisse.

Cas de Force majeure : situations dans lesquelles l’une ou l’autre partie est empêchée, entravée ou retardée dans l’observance ou l’exécution de ses obligations en raison d’un acte échappant à son contrôle raisonnable.

RGPD : le Règlement général sur la protection des données (UE 2016/679) et les dispositions de mise en oeuvre au niveau national.

Informations pour les sujets des données : la politique visée à l’Annexe 1.

État membre : État membre de l’Espace économique européen.

Contact nommé : voir l’Annexe 2.

Autres lois applicables : réglementation sur la protection des données ou de la vie privée qui peut s’appliquer au Contrôleur et/ou au Traitement, autre que les Lois européennes sur la protection des données.

Données personnelles : toute information concernant un Sujet des données. Les Données personnelles se réfèrent aussi bien aux données Traitées sur un ordinateur qu’à certains types de données Traitées manuellement, telles que les données d’évaluation en direct lors d’un exercice conduit dans un centre d’évaluation et/ou des supports d’entretien.

Traitement : toute opération ou série d’opérations exécutée sur des Données personnelles ou des ensembles de Données personnelles, par des moyens automatiques ou non, comme la collecte, l’enregistrement, l’organisation, la structuration, le stockage, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la divulgation par transmission, la diffusion ou autre mise à disposition, l’alignement ou la combinaison, l’effacement ou la destruction. Les termes « Traiter » et « Traité » doivent être interprétés en conséquence.

Données de recherche : données personnelles utilisées à des Fins de recherche.

Fins de recherche : objectifs de surveillance, de validation, de statistique, d’analyse comparative, de développement de produits, d’historique et de gestion.

Accord de services : tout accord auquel s’applique le présent Accord sur le Traitement des données, qui est conclu entre le Contrôleur et le Processeur pour l’utilisation des services d’évaluation des ressources humaines (y compris les outils en ligne) fournis conformément à un accord de Logiciel en tant que Service (SaaS), une licence ou un autre accord ou ordre.

Superviseur : l’Autorité de surveillance de la protection des données, au sens de l’Article 28 de la Directive, de l’État membre dans lequel le Contrôleur est établi. Si le Contrôleur est établi dans plusieurs États membres, il doit rendre compte à l’Autorité de surveillance de la protection de données de l’État membre dans lequel le Contrôleur agit pour les besoins du présent Accord.

ANNEXE 1

Informations pour les sujets des données (anglais)

ANNEXE 2

Contacts nommés -

Pour le compte du Contrôleur : le délégué à la protection des données du Contrôleur ou représentant notifié par le Contrôleur au Processeur (dans les deux cas avec une adresse électronique).

Pour le compte du Processeur : DataProcessingEnquiries@cubiks.com.

ANNEXE 3

Previous versions:

JUNE 2016 CUBIKS DATA CONTROLLER & PROCESSOR AGREEMENT FOR THE EUROPEAN ECONOMIC AREA - English

JUNE 2016 CUBIKS DATA CONTROLLER & PROCESSOR AGREEMENT FOR COUNTRIES OUTSIDE THE EUROPEAN ECONOMIC AREA - English

JUNE 2013 CUBIKS DATA CONTROLLER & PROCESSOR AGREEMENT FOR THE EUROPEAN ECONOMIC AREA (EEA) - English

JUNE 2013 CUBIKS DATA CONTROLLER & PROCESSOR AGREEMENT FOR THE EUROPEAN ECONOMIC AREA (EEA) - Spanish

JUNE 2013 CUBIKS DATA CONTROLLER & PROCESSOR AGREEMENT FOR COUNTRIES OUTSIDE OF THE EUROPEAN ECONOMIC AREA - English

JUNE 2013 CUBIKS DATA CONTROLLER & PROCESSOR AGREEMENT FOR COUNTRIES OUTSIDE OF THE EUROPEAN ECONOMIC AREA - Spanish

Fin

© 2018 Cubiks Intellectual Property Limited