Cet accord (« ATD ») définit les conditions dans lesquelles IAMI, éditeur de la plateforme IAMI, traite les données à caractère personnel pour le compte du Client, dans le cadre du contrat SaaS qui les lie. Il constitue une annexe contractuelle aux CGV.
1. Parties
- Responsable de Traitement : le Client, personne morale désignée dans le bon de commande.
- Sous-Traitant : IAMI, {ADRESSE_SIEGE}, SIREN {SIREN}.
- Point de contact RGPD : contact@iamisolutions.com.
2. Objet
Le Sous-Traitant est autorisé à traiter, pour le compte du Responsable, les données à caractère personnel nécessaires à l'exécution du service IAMI (gestion candidats, consultants, clients, prospects, entretiens, matching, assistant IA local, facturation, notes de frais, ordres de mission, DISC, dossiers de compétences).
3. Description du traitement
| Élément | Détail |
|---|---|
| Finalité | Fourniture du service SaaS IAMI |
| Nature des opérations | Collecte, stockage, consultation, modification, analyse (matching, IA locale), suppression, anonymisation, export |
| Catégories de personnes | Candidats, consultants, salariés du Client, contacts clients/prospects, répondants enquêtes |
| Catégories de données | Identité, coordonnées, parcours, compétences, CV, DISC, entretiens, authentification, logs, RH, financier |
| Catégories particulières (art. 9) | Non collectées — responsabilité du Client si saisie en champ libre |
| Durée | Durée du contrat + réversibilité (30 j) + suppression (90 j) |
4. Obligations du Sous-Traitant
- a) Traiter les données uniquement sur instruction documentée du Responsable (contrat, paramétrage, demandes support).
- b) Garantir la confidentialité : obligations contractuelles pour les personnes habilitées.
- c) Mettre en œuvre les mesures techniques et organisationnelles (voir Politique de sécurité).
- d) Aider le Responsable à répondre aux demandes d'exercice des droits (fonctions prévues dans la Plateforme, exports, support).
- e) Aider à respecter les obligations de sécurité, PIA/DPIA et consultation CNIL (art. 32 à 36).
- f) Notifier toute violation concernant les données du Responsable dans les 24 heures ouvrées suivant sa découverte.
- g) Supprimer ou restituer les données en fin de prestation.
- h) Mettre à disposition toute information nécessaire à démontrer le respect de l'art. 28 RGPD.
5. Sous-traitance ultérieure
Le Client autorise le Sous-Traitant à recourir à des sous-processeurs, sous réserve :
- de les soumettre aux mêmes obligations par contrat écrit ;
- de publier la liste à jour sur /legal/sous-traitants ;
- d'informer le Client au moins 30 jours à l'avance de tout changement.
Le Client dispose d'un droit d'opposition motivé. À défaut d'accord, il peut résilier sans pénalité.
6. Transferts hors UE
Les données sont hébergées en France (OVHcloud, région GRA). Les transferts éventuels vers les sous-processeurs hors UE (DocuSign, GitHub, Google Maps si activés) sont encadrés par les Clauses Contractuelles Types adoptées par la Commission européenne (décision 2021/914), avec mesures complémentaires (chiffrement, minimisation).
7. Droits des personnes concernées
- Outils intégrés pour le traitement des demandes d'anonymisation et d'exercice des droits, selon les paramètres du Client.
- Traçabilité des demandes dans la Plateforme.
- Réversibilité de l'anonymisation pendant un délai configurable (30 jours par défaut).
- Exports structurés pour la portabilité (art. 20), lorsque applicable.
- Registre Article 30 configurable et exportable depuis l'espace conformité de la Plateforme.
Le Client reste le point de contact direct des personnes concernées. Assistance du Sous-Traitant dans un délai raisonnable, au maximum 10 jours ouvrés.
8. Sécurité et notification de violation
Voir la Politique de sécurité. Toute notification est faite à l'adresse RGPD communiquée par le Client à la signature.
9. Fin du traitement
- J+0 à J+30 — réversibilité : mise à disposition d'exports exhaustifs (CSV, JSON, dump SQL).
- J+30 à J+90 — archivage technique, données extractibles sur demande.
- J+90 — suppression définitive de production + sauvegardes dans les 30 jours suivants.
Une attestation de suppression signée est remise sur demande. Les données soumises à une obligation légale (factures 10 ans, etc.) sont conservées de manière isolée pour la durée nécessaire.
10. Audit
Le Client peut, au maximum une fois par an et avec préavis de 30 jours, demander un audit : questionnaire de sécurité, synthèses des contrôles internes (y compris tests de sécurité applicative), ou audit sur site (à ses frais, auditeur soumis à confidentialité).
11. Durée et modification
L'ATD prend effet à la signature du contrat et reste en vigueur tant que le Sous-Traitant traite des Données pour le compte du Responsable. Toute modification substantielle est proposée par écrit.
12. Responsabilité
Chaque Partie est responsable des dommages résultant d'un manquement à ses obligations respectives RGPD/ATD, dans les limites des CGV.
13. Droit applicable
Le présent ATD est régi par le droit français et le RGPD. Les litiges relèvent des juridictions compétentes selon les CGV.
Pour le Responsable de Traitement : le Client, nom, qualité, signature de son représentant.