Accord de Sous-traitance des Données Personnelles (DPA)
Annexe aux CGUV — Version 1.0 — Dernière mise à jour : 18/06/2026
Préambule
Le présent Accord de Sous-traitance (ci-après le « DPA ») a pour objet d'encadrer, conformément à l'article 28 du Règlement (UE) 2016/679 (ci-après « RGPD »), les conditions dans lesquelles PCE (Société Coopérative et Participative — SCOP SA à capital variable, RCS Aix-en-Provence n° 423 194 307, siège social 645 rue Mayor de Montricher, 13290 Aix-en-Provence), éditeur du service DAHUNT sous CAPE n° C1578 (ci-après le « Sous-traitant ») traite des données à caractère personnel pour le compte du Client (ci-après le « Responsable de traitement ») dans le cadre de la fourniture du Service DAHUNT.
Ce DPA fait partie intégrante des CGUV et prévaut en cas de contradiction pour les stipulations relatives aux données personnelles.
1. Description des traitements
1.1 Nature et finalités
Le Sous-traitant traite les données personnelles dans le cadre du Service DAHUNT, aux fins suivantes :
- Hébergement, stockage et restitution des CV de bénéficiaires déposés par le Client ;
- Matching algorithmique entre profils de bénéficiaires et offres d'emploi ;
- Fourniture de restitutions aux Utilisateurs du Client ;
- Production de logs techniques et de métriques d'usage.
1.2 Durée
La durée du traitement correspond à la durée de l'abonnement du Client au Service, augmentée des délais d'export et de suppression prévus à l'article 8.4 des CGUV.
1.3 Catégories de personnes concernées
- Bénéficiaires du Client (demandeurs d'emploi, personnes accompagnées par l'organisme) ;
- Utilisateurs du Client (conseillers, administrateurs de l'organisme).
1.4 Catégories de données traitées
Concernant les Bénéficiaires (données pseudonymisées côté Client avant dépôt) :
- Parcours professionnel (expériences, employeurs, dates, intitulés de poste) ;
- Formations, diplômes, certifications ;
- Compétences techniques et linguistiques ;
- Mobilité géographique, disponibilité ;
- Le cas échéant : données sensibles au sens de l'article 9 RGPD — notamment mention d'une RQTH (reconnaissance de la qualité de travailleur handicapé), restrictions de santé affectant l'aptitude au poste.
Concernant les Utilisateurs :
- Identité (nom, prénom), email professionnel, rattachement organisationnel ;
- Données de connexion et logs d'activité.
1.5 Opérations effectuées
Collecte, enregistrement, organisation, structuration, conservation, adaptation, consultation, utilisation, communication par transmission, rapprochement ou interconnexion (matching), limitation, effacement ou destruction.
2. Obligations du Sous-traitant
2.1 Traiter les données uniquement sur instruction documentée
Le Sous-traitant ne traite les données personnelles que sur instructions documentées du Responsable de traitement, y compris pour les transferts hors UE. Les présentes CGUV, la Politique de confidentialité et les paramètres configurés par le Client via l'interface du Service constituent ces instructions documentées.
Si le Sous-traitant estime qu'une instruction constitue une violation du RGPD ou d'une autre disposition applicable, il en informe immédiatement le Responsable de traitement.
2.2 Confidentialité
Le Sous-traitant veille à ce que les personnes autorisées à traiter les données s'engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée.
2.3 Sécurité
Le Sous-traitant met en œuvre les mesures techniques et organisationnelles appropriées (art. 32 RGPD) décrites à l'Annexe 2.
2.4 Sous-traitance ultérieure
Le Sous-traitant est autorisé à faire appel à des sous-traitants ultérieurs. La liste en est tenue à jour à l'Annexe 1.
Le Sous-traitant informe le Responsable de traitement de tout projet d'ajout ou de remplacement de sous-traitant ultérieur par email et/ou publication sur sa page dédiée, au moins 30 jours avant mise en œuvre. Le Responsable de traitement dispose de ce délai pour formuler des objections motivées. En cas d'objection non levée, le Responsable de traitement peut résilier sans pénalité.
Le Sous-traitant impose à chaque sous-traitant ultérieur, par contrat, les mêmes obligations que celles prévues au présent DPA.
2.5 Assistance au Responsable de traitement
Le Sous-traitant assiste le Responsable de traitement :
- Pour répondre aux demandes d'exercice de droits des personnes concernées (art. 15 à 22 RGPD) — via les fonctionnalités du Service (export, suppression, etc.) ;
- Pour garantir le respect des obligations des articles 32 à 36 RGPD (sécurité, notification de violation, analyse d'impact, consultation préalable) ;
- Dans l'évaluation d'analyses d'impact relatives à la protection des données (AIPD), en fournissant la documentation pertinente.
2.6 Notification de violation de données
En cas de violation de données personnelles, le Sous-traitant notifie le Responsable de traitement sans retard excessif et dans un délai maximum de 48 heures après en avoir pris connaissance.
La notification comprend au minimum :
- La nature de la violation ;
- Les catégories et volumes approximatifs de personnes et de données concernées ;
- Les conséquences probables ;
- Les mesures prises ou proposées pour y remédier.
2.7 Sort des données à la fin du contrat
À la fin du contrat, le Sous-traitant, au choix du Responsable de traitement :
- Restitue les données dans un format structuré, couramment utilisé et lisible par machine (CSV, JSON) via les fonctionnalités d'export du Service — le Responsable dispose de 30 jours pour effectuer cet export à compter de la date d'effet de la résiliation ;
- Supprime ensuite les données des systèmes de production ainsi que, selon le cycle de rotation de 90 jours maximum, des sauvegardes.
Le Sous-traitant certifie cette suppression sur demande écrite du Responsable de traitement.
2.8 Auditabilité
Le Sous-traitant met à disposition du Responsable de traitement toutes les informations nécessaires pour démontrer le respect des obligations du présent DPA (registres, rapports de sécurité, certifications).
Le Responsable de traitement peut réaliser un audit, limité à une fois par an sauf incident avéré, sous réserve d'un préavis de 30 jours et aux frais du Responsable. L'audit peut prendre la forme d'un questionnaire documentaire, d'une audio-conférence, ou le cas échéant d'une visite sur site.
3. Obligations du Responsable de traitement
Le Responsable de traitement :
- Garantit la licéité des traitements qu'il met en œuvre, notamment en matière de base légale, d'information des personnes concernées et de minimisation ;
- Respecte son obligation d'information et, le cas échéant, de recueil du consentement des bénéficiaires, préalablement au dépôt de leurs CV dans le Service ;
- Documente ses instructions et les communique au Sous-traitant par les canaux prévus ;
- S'abstient de charger dans le Service des données identifiantes directes (nom, prénom, date de naissance précise, adresse exacte) sauf accord exprès préalable ;
- Tient son registre des activités de traitement en y incluant DAHUNT en tant que sous-traitant.
4. Transferts hors Union européenne
Un seul transfert hors UE existe à ce jour : Resend, Inc. (États-Unis) pour l'envoi d'emails transactionnels — données : nom, prénom, email professionnel, organisation des prospects.
Ce transfert est encadré par les Clauses Contractuelles Types adoptées par la Commission européenne (décision 2021/914), via le DPA signé avec Resend.
L'ensemble des traitements IA (structuration via Mistral AI, matching via Gemini/Vertex AI) est réalisé exclusivement sur le territoire de l'Union européenne — aucun transfert hors UE à ce titre.
5. Responsabilité
Chaque partie est responsable des conséquences de ses propres manquements au RGPD et au présent DPA, dans les conditions prévues à l'article 82 RGPD et à l'article 9 des CGUV.
6. Durée et modification
Le présent DPA prend effet à la date d'acceptation des CGUV et demeure en vigueur pendant toute la durée du contrat, augmentée des délais de restitution/suppression des données.
Toute modification du présent DPA fait l'objet d'une notification au Responsable de traitement au moins 30 jours avant prise d'effet.
Annexe 1 — Sous-traitants ultérieurs autorisés
| Sous-traitant | Rôle | Pays / Localisation | Garanties de transfert |
|---|---|---|---|
| Scaleway SAS | Hébergement du site vitrine, de l'application, de la base de données et du stockage | France / UE (région fr-par, datacenter PAR1, Paris) | N/A — UE |
| Mistral AI | Modèles IA — traitement et structuration des profils candidats (extraction, embeddings, enrichissement sémantique des CV pseudonymisés) | France / UE | N/A — UE |
| Google Ireland Ltd. — Gemini via Vertex AI | Modèles IA — matching entre profils et offres d'emploi | France / UE (région europe-west, Vertex AI) | N/A — UE |
| Resend, Inc. | Envoi d'emails transactionnels | États-Unis | CCT (DPA Resend) |
| Stripe Payments Europe, Ltd. | Facturation et encaissement (à l'ouverture commerciale) | Irlande / UE | N/A — UE |
La version à jour de cette annexe est accessible à l'URL dahunt.cime-ai.fr/dpa et remplace la présente à chaque mise à jour notifiée.
Annexe 2 — Mesures techniques et organisationnelles
Mesures techniques
- Chiffrement TLS 1.3 en transit ;
- Chiffrement AES-256 au repos (bases de données, stockages, sauvegardes) ;
- Authentification forte et hachage des mots de passe (argon2 / bcrypt) ;
- Support de l'authentification multi-facteurs (MFA) ;
- Cloisonnement logique des données par Client (multi-tenant avec isolation au niveau applicatif et base) ;
- Surveillance des accès, journalisation et alerting sur événements anormaux ;
- Sauvegardes chiffrées avec rétention maîtrisée et tests de restauration périodiques ;
- Gestion des secrets via coffre-fort dédié ;
- Mises à jour de sécurité appliquées selon un cycle défini ;
- Environnements de production et de développement strictement séparés, sans données réelles en dev sauf anonymisées.
Mesures organisationnelles
- Principe du moindre privilège pour les accès internes ;
- Engagement de confidentialité signé par les collaborateurs et prestataires ;
- Sensibilisation régulière à la sécurité et à la protection des données ;
- Procédure documentée de gestion des incidents et violations de données ;
- Revue périodique des accès et des sous-traitants ;
- Clauses de sécurité dans les contrats avec les sous-traitants ultérieurs.
Annexe 3 — Description des transferts
- Responsable de traitement (exportateur) : le Client (organisme de placement) identifié dans le Service.
- Sous-traitant (importateur) : PCE (SCOP SA à capital variable, RCS Aix-en-Provence n° 423 194 307) pour le compte duquel le projet DAHUNT est porté sous CAPE n° C1578.
- Finalité : voir article 1.1.
- Catégories de personnes et de données : voir articles 1.3 et 1.4.
- Fréquence du transfert : en continu, pendant la durée de l'abonnement.
- Durée de conservation : voir Politique de confidentialité §4.
Pour toute question relative au présent accord, contactez-nous à contact@cime-ai.fr.