Accord de sous-traitance (DPA)

1. Objet et durée

Traitement des données personnelles exclusivement pour fournir les prestations convenues, pour la durée de la relation d'utilisation.

2. Nature et finalité

Stockage, structuration, analyse (y compris IA) et mise à disposition de données d'appels d'offres, d'entreprise et d'offres.

3. Catégories

• Collaborateurs et utilisateurs du responsable ;
• données personnelles contenues dans les références, CV et offres ;
• données d'utilisation et de journalisation.

4. Obligations du sous-traitant

• Traitement uniquement sur instruction documentée ;
• confidentialité des personnes autorisées ;
• mesures techniques et organisationnelles appropriées ;
• assistance pour les demandes des personnes concernées ;
• suppression ou restitution après la fin.

5. Sous-traitants ultérieurs

Le responsable approuve les sous-traitants mentionnés dans la déclaration de protection des données. Les clients Enterprise peuvent remplacer le sous-traitant IA via « Bring-Your-Own-Key ».

6. Mesures techniques et organisationnelles

Chiffrement TLS, séparation des locataires (RLS), contrôle d'accès, 2FA/SSO, AES-256 pour les clés sensibles, journalisation d'audit, sauvegardes.

7. Suppression et restitution

Après la fin, suppression ou restitution, sauf obligation légale de conservation. Libre-service via export et suppression du compte.

8. Transfert vers des pays tiers

Transferts uniquement sous garanties appropriées, notamment les clauses contractuelles types (CCT).

9. Responsabilité

Les règles de responsabilité des CG s'appliquent. En matière de protection des données, ce DPA prévaut. Droit suisse, for Zoug.