JOIN traite les données personnelles dans le cadre de l'outil de gestion des candidatures en tant que sous-traitant pour l'Entreprise agissant en tant que responsable du traitement, conformément au RGPD et à la loi suisse sur la protection des données (DSG). Le présent accord sur le traitement des données (AVV) fait partie intégrante de tout contrat de service conclu entre les parties.
Champ d'application
Les dispositions de l'AVV s'appliquent uniquement aux services JOIN qui constituent un traitement de données dans le cadre du contrat de service, en particulier l'outil de gestion des candidatures.
Finalité et durée du traitement
JOIN traite les données personnelles exclusivement pour le compte de l'Entreprise et conformément à ses instructions, pour la gestion des candidatures, conformément au contrat de service et à l'art. 28 du RGPD.
Personnes concernées et types de données
Les personnes concernées par le traitement incluent les candidats à des postes publiés par l'Entreprise et les employés de l'entreprise. Les types de données traitées comprennent les données de base personnelles des candidats (nom, date de naissance, e-mail, téléphone), les données de candidature (CV, références, certificats), les informations liées au processus de candidature enregistrées dans l'outil (messages, avancement), les métadonnées (durée du processus, nombre de candidats), les interactions avec l'outil de gestion, et les données des employés de l'entreprise (nom, fonction, e-mail, données d'accès).
Droits et obligations de l'Entreprise
L'Entreprise est seule responsable d'évaluer l'admissibilité du traitement, de remplir les obligations d'information envers les candidats, d'obtenir le consentement nécessaire et de respecter les délais de suppression. L'Entreprise est autorisée à donner des instructions sur la nature, la portée et la procédure du traitement des données, et peut effectuer des contrôles de conformité (au plus une fois par an, avec un préavis de 30 jours).
Obligations de JOIN
JOIN s'engage à traiter les données uniquement conformément à l'accord et aux instructions de l'Entreprise, à assister l'Entreprise pour répondre aux droits des personnes concernées (rectification, limitation, suppression), à notifier toute violation de données, à assurer la confidentialité et à appliquer les mesures techniques et organisationnelles décrites en Annexe 1.
Mesures techniques et organisationnelles (Annexe 1)
JOIN garantit les mesures suivantes :
Confidentialité : contrôle d'accès physique (carte à puce, transpondeur), connexion à deux facteurs pour les services critiques, chiffrement des communications et des supports de données, pare-feu, politique de mot de passe, gestion actualisée des utilisateurs, séparation des systèmes (test/staging/production), pseudonymisation (chiffrement des données sensibles en base de données, HTTPS, OAuth).
Intégrité : attribution de comptes utilisateurs personnels, droits d'accès limités, transmission chiffrée (SSL/SSH/SFTP/VPN), authentification mutuelle à 2 facteurs pour tous les systèmes critiques, journalisation des accès conservée au moins 3 ans.
Disponibilité : sauvegardes régulières avec tests de récupération, système de détection d'incendie, climatisation des salles techniques, infrastructure 100 % cloud (aucun serveur sur site).
Fiabilité : surveillance du système, redondances, alertes automatiques, gestion des versions.
Sous-traitants (Annexe 2)
Les sous-traitants mandatés par JOIN sont : Amazon Web Services Europe (services cloud, Luxembourg), Google Europe (services cloud, Irlande), Mailchimp (plateforme marketing et e-mails, États-Unis), Stripe Payments Europe Ltd. (prestataire de paiement, Irlande), Kombo (API, Allemagne).
JOIN informera l'Entreprise au moins deux semaines avant tout changement de sous-traitant. L'Entreprise dispose de deux semaines pour s'y opposer.
Lieu du traitement
Le traitement et l'utilisation des données par JOIN ont lieu exclusivement en Suisse, dans l'Union européenne ou dans l'Espace économique européen, sauf accord contraire.
Droit applicable
Le présent accord est régi par le droit suisse. Pour les clients établis dans l'Union européenne, le droit de l'État membre dans lequel l'Entreprise a son siège social s'applique.
