Apprendice 1 aux Conditions Générales pour les clients professionnels
PRÉAMBULE
JobCloud traite les données personnelles du client professionnel (ci-après “Client”) conformément aux Conditions Générales de JobCloud pour les clients professionnels (ci-après “CG”).
La présente Annexe aux CG précise les obligations des parties contractantes en matière de protection des données. Elle s’applique à toutes les activités de traitement de JobCloud pour le compte du Client.
Le présent Accord relatif au traitement contractuel de données personnelles a pour but de garantir que le traitement contractuel de données est conforme aux lois applicables en matière de protection des données (en particulier la Loi fédérale suisse sur la protection des données).
Les Annexes suivantes font partie intégrante du présent Accord relatif au traitement des données contractuelles :
Annexe 1: Description du traitement des données
Annexe 2: Sous-traitants ultérieurs
Annexe 3: Mesures techniques et organisationnelles
1. OBJET ET CONDITIONS DE L’ACCORD
Les services suivants, fournis dans le cadre des CG de JobCloud, comprennent le traitement de données personnelles par JobCloud en tant que sous-traitant :
– Annonces d’emploi programmatiques: Si le Client conclut un accord relatif aux annonces d’emploi programmatiques, les données personnelles sont traitées pour la facturation à la performance, le contrôle de la distribution et l’optimisation de l’efficacité des annonces d’emploi basées sur les données de performance, par exemple les adresses IP et le type d’appareil des personnes qui cliquent sur les offres d’emploi ou qui répondent à une offre d’emploi. Voir l’Annexe 1 A.
– Système de suivi des candidats (SSC): Si le Client utilise un outil de gestion des candidats SSC fourni par JobCloud ou le SSC du Client intégré dans les plateformes de JobCloud, JobCloud traite les données personnelles des candidats. Voir l’Annexe 1 B.
Les activités de traitement des données énumérées ci-dessus sont spécifiées dans l’Annexe 1. Les activités qui seront utilisées dans un cas spécifique seront déterminées par les services utilisés par le Client conformément aux CG.
Le présent Accord est conclu pour une durée indéterminée et demeurera en vigueur aussi longtemps que le Client utilisera les services de JobCloud.
2. DROITS ET OBLIGATIONS DE JOBCLOUD
JobCloud traite les données personnelles exclusivement conformément aux accords conclus en vertu des CG et aux instructions écrites ou documentées électroniquement du Client. Les instructions verbales doivent être confirmées immédiatement par écrit ou par voie électronique. Le Client est responsable du respect des dispositions légales en matière de protection des données, en particulier de la licéité du traitement des données par JobCloud. JobCloud informe immédiatement le Client si JobCloud est d’avis qu’une instruction est contraire au droit applicable.
JobCloud rectifiera ou effacera les données qui font l’objet du présent Accord immédiatement sur instruction du Client, à moins que JobCloud ne soit obligé, en vertu des lois applicables, de poursuivre le traitement des données.
Dans son domaine de responsabilité, JobCloud conçoit son organisation interne de manière à répondre aux exigences particulières de la protection des données. JobCloud met en place les mesures techniques et organisationnelles spécifiées à l’Annexe 3 du présent Accord afin d’assurer une protection appropriée des données du Client. JobCloud est autorisé à modifier les mesures de sécurité, mais doit veiller à ce qu’elles ne soient pas inférieures au niveau de protection convenu. JobCloud garantit qu’elle se conformera aux obligations qui lui incombent en vertu des lois applicables en matière de protection des données et qu’elle mettra en œuvre une procédure permettant d’examiner régulièrement l’efficacité de ses mesures techniques et organisationnelles.
JobCloud aide le Client, dans la mesure du possible, à répondre aux demandes et aux réclamations des personnes concernées en vertu des lois applicables en matière de protection des données, ainsi qu’à respecter les obligations légales liées aux signalements de violations de la protection des données personnelles et aux analyses d’impact relatives à la protection des données, ainsi qu’à d’autres obligations, dans la mesure où JobCloud est tenue de le faire en vertu des lois applicables en matière de protection des données.
JobCloud garantit que les personnes impliquées dans le traitement des données personnelles du Client se sont engagées à respecter la confidentialité ou sont soumises à une obligation légale appropriée de confidentialité.
JobCloud informe immédiatement le Client s’il a connaissance d’une violation de ses données personnelles. JobCloud prend les mesures nécessaires pour sécuriser les données et atténuer les éventuelles conséquences négatives pour les personnes concernées et consulte immédiatement le Client à cet égard. En cas de réclamation contre le Client par une personne concernée en vertu des lois applicables en matière de protection des données, JobCloud s’engage à aider le Client à défendre la réclamation dans la mesure du possible.
3. OBLIGATION DU CLIENT
Le Client est tenu d’informer complètement et immédiatement JobCloud s’il constate des erreurs ou des irrégularités au regard des dispositions relatives à la protection des données dans les résultats du traitement.
4. DEMANDES DE LA PERSONNE CONCERNÉE
Si une personne concernée contacte JobCloud avec une demande de rectification, d’effacement ou d’accès, JobCloud renverra cette personne concernée au Client, à condition que JobCloud soit en mesure de faire correspondre la personne concernée au Client. JobCloud transmettra immédiatement la demande de la personne concernée au Client. JobCloud ne sera pas responsable si le Client ne répond pas à la demande de la personne concernée, s’il n’y répond pas correctement ou s’il n’y répond pas en temps voulu.
5. POSSIBILITÉS DE FOURNIR DES PREUVES
JobCloud fournira au Client la preuve, par des mesures appropriées, du respect par JobCloud des obligations énoncées dans le présent Accord.
Si, dans des cas particuliers, des inspections par le Client ou un auditeur engagé par le Client s’avèrent nécessaires, elles seront effectuées pendant les heures ouvrables normales, moyennant un préavis raisonnable et sans perturber les opérations commerciales de JobCloud. JobCloud a le droit de procéder à de telles inspections moyennant la signature d’un accord de confidentialité.
6. SOUS-TRAITANTS ULTÉRIEURS
Le Client accepte que JobCloud fasse appel à des sous-contractants (sous-traitants ultérieurs). JobCloud informera le client avant d’engager ou de remplacer tout sous-traitant ultérieurs et accordera au Client un délai de 30 jours pour s’y opposer.
Le Client peut s’opposer à la modification dans le délai de notification de 30 jours pour des motifs valables. S’il ne s’y oppose pas dans ce délai, il est réputé avoir accepté la modification.
Si JobCloud fait appel à des sous-traitants ultérieurs, JobCloud est tenu d’imposer à ces sous-traitants ultérieurs ses obligations en matière de protection des données en vertu du présent accord.
7. DIVERS
Les modifications ou addenda au présent Accord et à ses éléments constitutifs doivent être convenus par écrit, ce qui peut également se faire par voie électronique (sous forme de texte); les dispositions relatives à la modification des CG ne s’appliquent pas.
La nullité de certaines parties du présent Accord n’affecte pas la validité du reste de l’Accord.
Zurich, septembre 2023
ANNEXE 1 – DESCRIPTION DU TRAITEMENT DES DONNÉES
ANNEXE 1 A – PROGRAMMATIC JOB ADVERTISING
1. CATÉGORIES DE PERSONNES CONCERNÉES
☒ Employé/personne de contact du Client
☒ Demandeur d’emploi
2. CATÉGORIES DE DONNÉES PERSONNELLES
☒ Informations sur l’employé/la personne de contact du Client : coordonnées telles que le nom, la fonction, l’adresse électronique et le numéro de téléphone ; mot de passe du tableau de bord (crypté à sens unique/haché), appareils et navigateurs utilisés, données comportementales (nombre et durée des visites).
☒ Demandeur d’emploi: adresse IP (anonymisée après 30 jours), données comportementales (sur le site internet du Client : nombre et durée des visites, limitées aux pages spécifiées par le Client et liées au formulaire de candidature, appareils et navigateurs utilisés, dernière page visitée)
3. BUT DU TRAITEMENT
Publication et paiement des annonces d’emploi en fonction des performances.
4. TYPE DE TRAITEMENT
☒ Réception
☒ Stockage
☒ Divulgation
☒ Suppression (selon instructions)
☒ Anonymisation (selon instructions)
☒ Modification (selon instructions)
☒ Restriction (selon instructions)
☒ Utilisation
5. CONSERVATION DES DONNÉES / PÉRIODES DE STOCKAGE
Nous traitons les données personnelles aussi longtemps que nécessaire pour exécuter les services.
ANNEXE 1 B – Système de suivi des candidats (SSC)
1. CATÉGORIES DE PERSONNES CONCERNÉES
☒ Demandeur d’emploi
2. CATÉGORIES DE DONNÉES PERSONNELLES
☒ Informations sur le demandeur d’emploi en fonction des informations spécifiques fournies par le demandeur d’emploi ; en particulier, les données personnelles suivantes peuvent être concernées :
· Adresse postale:
Numéro et rue, lignes d’adresse supplémentaires, code postal, ville, canton, pays
· Informations personnelles:
Prénom, nom, titres académiques, sexe, date de naissance, lieu de naissance, numéros de téléphone, numéros de fax, adresses e-mail, sites web, liens vers les réseaux sociaux
· Périodes de travail et de projets:
Date d’entrée dans l’entreprise, date de sortie de l’entreprise, nom de l’entreprise, adresse postale de l’entreprise, emploi, temps de travail hebdomadaire, secteur (NACE), domaine d’activité, poste, compétences, sites web et ressources internet
· Périodes d’éducation:
Date d’entrée à l’école, date de sortie de l’école, nom de l’école/institution académique, adresse postale, domaine/cours/centre d’intérêt, type de programme éducatif, classification CITE
· Publications académiques:
Date de publication, titre, sujet, institut, conférences, liste des auteurs, adresse postale de la conférence, compétences, domaine de travail, secteur (NACE), sites web et ressources internet
· Informations complémentaires:
Autres compétences, intérêts personnels / hobbies, références écrites et recommandations, autres sites web et ressources Internet
· Objectifs du poste:
Salaire, date de disponibilité, poste, adresse postale
3. BUT DU TRAITEMENT
Mise à disposition du SSC et soutien par la direction des demandes d’emploi.
4. TYPE DE TRAITEMENT
☒ Réception
☒ Stockage
☒ Divulgation
☒ Suppression (selon instructions)
☒ Anonymisation (selon instructions)
☒ Modification (selon instructions)
☒ Restriction (selon instructions)
☒ Utilisation
5. CONSERVATION DES DONNÉES/PÉRIODES DE STOCKAGE/DIVERS
Les données sont supprimées par le Client manuellement ou conformément aux paramètres de suppression du SSC utilisé par le Client.
ANNEXE 2 – SOUS-TRAITANTS ULTÉRIEURS
JobCloud utilise les services de tiers qui traitent les données en son nom (“sous-traitants ultérieurs”) pour le traitement des données au nom du Client. Il s’agit des sociétés suivantes :
| Entreprise | Lieu de traitement des données | Services |
|---|---|---|
| Aiven Oy Ltd | UE | Transfert de données entre différentes applications techniques, y compris les annonces d’emploi et les demandes d’emploi |
| Amazon Web Services, Luxembourg | UE | Hébergement; l’extraction de données (données relatives aux demandes d’emploi et références aux CV) |
| eRecruiter GmbH | UE | Fournisseur SSC (pour la plateforme jobcloud.ai) |
| IP-Max SA | Suisse | Hébergement pour SSC (pour plateforme jobup.ch) |
| SMG Swiss Marketplace Group AG | Suisse | Hébergement pour SSC (pour plateforme jobscout24.ch) |
| Netiva GmbH | Suisse | Développement de produits (jobscout24.ch platform) |
| Joveo Inc. | US | Click pixels, dans les cas où l’offre d’emploi a été affichée sur une plateforme d’emploi externe, (pour les clients programmatiques) |
| Snowflake Computing Netherlands B.V. | UE | Entrepôt de données ; données statistiques des annonces d’emploi (pour les Clients programmatiques) |
| ScyllaDB ltd Israel | UE | Base de données, stockage des données relatives aux emplois (pour les Clients programmatiques) |
ANNEXE 3 – Mesures techniques et organisationnelles
Contrôle d’accès physique :
· Assuré par le fournisseur d’hébergement du serveur (DPA disponible).
Contrôle d’accès au système :
· Le système génère automatiquement un mot de passe pour la/les plateforme(s) au moment de l’inscription du Client, conformément aux lignes directrices considérées comme sûres dans l’état actuel de la technique, et le mot de passe n’est divulgué qu’au Client. La transmission initiale du mot de passe se fait par un canal sécurisé.
· Le Client peut modifier le mot de passe après s’être connecté à la plateforme via une connexion sécurisée ou le mot de passe peut être réinitialisé par son superviseur ou un administrateur du système. L’accès est assuré au moins par une authentification à deux facteurs et un mot de passe, qui doit répondre à des exigences minimales en matière de longueur et de complexité.
· Outre l’authentification par mot de passe, l’authentification par jeton est également utilisée pour accéder au service web.
· L’accès à ces serveurs est limité à certains réseaux et ordinateurs. Pour l’authentification, JobCloud utilise soit l’authentification par clé publique, soit une procédure par mot de passe. Les deux procédures sont conformes aux lignes directrices considérées comme sûres dans l’état actuel de la technique.
· Les données sont stockées exclusivement sous forme cryptée. Il existe en outre des procédures, des lignes directrices et une gestion des clés. Il existe un concept d’autorisation écrite, utilisé en interne et soumis à des contrôles réguliers.
Contrôle d’accès aux données :
· Partiellement assurée par le fournisseur d’hébergement du serveur.
· Le personnel engagé pour effectuer des tâches administratives ne dispose que de droits d’accès et d’autorisations pour les données qui lui sont propres. Des règles relatives aux substituts sont définies.
· Les mesures visant à garantir que les personnes autorisées à utiliser les données pour les processus de traitement des données ne peuvent accéder aux données que conformément à leur autorisation d’accès aux données sont les suivantes :
· Mécanismes d’autorisation permettant de faire des distinctions précises
· Processus contraignant et à l’épreuve des audits pour l’octroi d’autorisations au personnel de JobCloud
· Séparation de l’approbation de l’autorisation (organisationnelle) par le chef de service/la direction/les cadres et de l’attribution de l’autorisation (technique) par le service informatique.
· Des mesures ont été définies pour identifier les tentatives d’accès non autorisé et les attaques de tiers via internet (par ex., les pare-feu). En outre, des contrôles de plateforme ont été mis en œuvre pour identifier et prévenir les comportements ostensibles ou potentiellement inappropriés (par ex., détection d’intrusion).
· Il existe des procédures qui régissent le traitement des violations potentielles de données personnelles et d’autres incidents.
Contrôle du transport :
· La communication entre la ou les plateforme(s) et les sources tierces se fait exclusivement via https ou via SSL ou TLS.
· Pour chaque système informatique contenant des données personnelles dans ou avec un réseau connecté à l’extérieur, les données de transmission sont enregistrées et contrôlées.
Contrôle des entrées :
· Toutes les tentatives réussies d’utilisation des services web sont stockées dans le système d’administration des utilisateurs à des fins de comptabilité. Les tentatives d’accès non valides sont conservées pendant 72 heures afin d’éviter tout abus ou dommage.
· Les droits d’entrée sont documentés et suivent les instructions internes de la direction.
Contrôle du traitement :
· L’Accord contient des informations détaillées sur la limitation des finalités des données personnelles du Client.
Contrôle de la disponibilité :
· Partiellement assuré par le fournisseur d’hébergement du serveur.
· Il existe un concept de sauvegarde et de récupération avec des sauvegardes périodiques de toutes les données pertinentes et un stockage à l’abri des catastrophes des supports de données cryptés.
· Des experts déploient des logiciels de protection des données (antivirus, pare-feu, programmes de cryptage, filtres anti-spam) et surveillent tous les serveurs concernés.
· Des contrôles physiques sont en place en ce qui concerne les tentatives d’accès non autorisé, les incendies, les inondations et les pannes de courant.
· L’efficacité de ces précautions est périodiquement testée et documentée (test de vulnérabilité).
· Il existe un concept écrit pour la surveillance des incidents liés à la sécurité (surveillance des événements de sécurité).
· Des processus sont en place pour traiter les incidents potentiels (réponse aux incidents).
Principe de séparation :
· Les données sont séparées logiquement des autres données lors de leur traitement. Il est garanti à tout moment que les Clients n’ont accès qu’à leurs propres données.
· Des mesures ont été prises pour garantir l’intégrité des données à tout moment pendant leur traitement et leur transfert.
Tests et audits :
· JobCloud soumet les mesures techniques et organisationnelles décrites ci-dessus à des tests et audits réguliers afin d’évaluer leur efficacité et leur pertinence (par ex., tests de pénétration des applications web).