Accord de traitement des données

Le présent DPA est conclu entre DivetIQ (le « Sous-traitant »), dont l'adresse enregistrée est 2810 N Church St, STE 88941, Wilmington, DE 19802, United States, et l'entité Client ayant signé un Bon de commande ou ayant autrement souscrit aux Services DivetIQ (le « Responsable de traitement »).

Le Responsable de traitement détermine les finalités et les moyens du traitement des Données personnelles ; DivetIQ traite les Données personnelles uniquement sur la base d'instructions documentées du Responsable de traitement, comme décrit plus en détail dans le présent DPA.

« Données personnelles », « traitement », « personne concernée », « responsable de traitement », « sous-traitant » et « autorité de contrôle » ont le sens qui leur est donné par le RGPD. « Données Client » désigne les données, y compris les Données personnelles, soumises par le Responsable de traitement ou en son nom aux Services DivetIQ. « Sous-traitant ultérieur » désigne tout tiers engagé par DivetIQ pour traiter des Données personnelles au nom du Responsable de traitement.

DivetIQ traitera les Données personnelles au nom du Responsable de traitement uniquement pour fournir les Services décrits dans l'Accord, y compris le support et la réponse aux incidents de sécurité. L'objet, la durée, la nature et la finalité du traitement, les types de Données personnelles et les catégories de personnes concernées sont décrits à l'Annexe I.

DivetIQ traitera les Données personnelles uniquement sur instructions documentées du Responsable de traitement, sauf si la loi applicable à DivetIQ l'exige autrement. Si DivetIQ estime qu'une instruction viole le RGPD ou d'autres lois sur la protection des données, il en informera le Responsable de traitement sans retard indu.

DivetIQ s'assure que les personnels autorisés à traiter des Données personnelles se sont engagés à respecter la confidentialité ou sont soumis à une obligation légale de confidentialité appropriée. L'accès aux Données personnelles est limité au strict besoin de connaître.

DivetIQ met en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, notamment :

• Chiffrement des Données personnelles au repos en AES-256 et en transit en TLS 1.3.
• Gestion de la sécurité de l'information alignée sur ISO 27001 et SOC 2 Type II.
• Contrôle d'accès basé sur les rôles avec extensions par attributs pour les règles de ligne, colonne et champ.
• Journaux d'audit immuables et en ajout seul, conservés selon les exigences légales.
• Tests d'intrusion, scan de vulnérabilités, WAF et protection DDoS.
• Continuité d'activité, reprise après sinistre et sauvegardes testées régulièrement.
• Un processus de réponse aux incidents documenté avec une astreinte 24/7.

Une description à jour des mesures techniques et organisationnelles de DivetIQ figure à l'Annexe II et est également disponible dans le Customer Trust Center.

Le Responsable de traitement donne à DivetIQ une autorisation générale d'engager des Sous-traitants ultérieurs. DivetIQ tient une liste à jour des Sous-traitants ultérieurs dans le Customer Trust Center et notifiera tout changement envisagé au moins trente (30) jours avant sa prise d'effet, donnant au Responsable de traitement la possibilité de s'y opposer pour des motifs raisonnables de protection des données.

DivetIQ impose à chaque Sous-traitant ultérieur des obligations de protection des données au moins aussi protectrices que celles du présent DPA et reste responsable envers le Responsable de traitement de l'exécution des obligations de chaque Sous-traitant ultérieur.

DivetIQ fournit des outils opérationnels permettant au Responsable de traitement de répondre aux demandes des personnes concernées en matière d'accès, de rectification, d'effacement, de limitation, de portabilité et d'opposition, y compris la prise en charge des DSAR, du droit à l'oubli et de la gestion du consentement. Lorsque DivetIQ reçoit une demande directement d'une personne concernée, il la transmet sans retard indu au Responsable de traitement et ne répond pas sauf instruction de ce dernier.

DivetIQ notifiera le Responsable de traitement sans retard indu, et en tout état de cause dans les soixante-douze (72) heures, après avoir pris connaissance d'une Violation de Données personnelles affectant les Données Client. La notification inclura les informations raisonnablement requises pour permettre au Responsable de traitement de satisfaire ses propres obligations de notification au titre de la loi applicable.

Compte tenu de la nature du traitement et des informations à la disposition de DivetIQ, DivetIQ fournira une assistance raisonnable au Responsable de traitement pour la réalisation des analyses d'impact relatives à la protection des données et la consultation des autorités de contrôle lorsque requise par les articles 35 et 36 du RGPD.

Lorsque des Données personnelles sont transférées en dehors de l'Espace économique européen, du Royaume-Uni ou de la Suisse vers un pays n'ayant pas fait l'objet d'une décision d'adéquation, le transfert est régi par les Clauses contractuelles types de la Commission européenne (Module Deux : Responsable de traitement vers Sous-traitant), l'Addendum britannique de transfert international de données et des mécanismes équivalents, complétés par des mesures techniques et organisationnelles supplémentaires.

Le Client peut, sur demande, choisir une résidence des données limitée à l'UE.

DivetIQ met à disposition du Responsable de traitement toutes les informations raisonnablement nécessaires pour démontrer la conformité au présent DPA. DivetIQ fournit, sur demande et sous réserve de confidentialité, des rapports d'audit annuels de tiers (y compris les certificats SOC 2 Type II et ISO 27001). Lorsque la loi impérative l'exige, le Responsable de traitement peut réaliser un audit au plus une fois par an, avec un préavis raisonnable et pendant les heures ouvrables, d'une manière qui n'interfère pas de manière déraisonnable avec les opérations de DivetIQ.

À la résiliation ou à l'expiration de l'Accord, DivetIQ restituera ou supprimera, au choix du Responsable de traitement, toutes les Données personnelles dans un délai de trente (30) jours, sauf exigence légale de conservation. Le Responsable de traitement reconnaît que des copies de sauvegarde peuvent être conservées pour une durée limitée conformément au calendrier de conservation documenté de DivetIQ et restent soumises aux protections du présent DPA.

Les Données Client ne sont jamais utilisées pour entraîner des modèles d'IA partagés ou tiers. Les fonctionnalités d'IA opérant sur des Données Client sont déployées dans le tenant du Responsable de traitement ou exécutées en inférence sans état contre un contexte par tenant non conservé à des fins d'entraînement. Lorsqu'une prise de décision automatisée produit des effets juridiques ou similairement significatifs, le Responsable de traitement est tenu de mettre en œuvre les garanties prévues à l'article 22 du RGPD et par les autres lois applicables (y compris le Règlement européen sur l'IA).

Objet : fourniture de la plateforme headless DivetIQ et des Services associés.

Durée : pendant la durée de l'Accord et toute période post-résiliation nécessaire à la restitution ou à la suppression des Données personnelles.

Nature et finalité : hébergement, stockage, transmission, analytique et opérations assistées par IA sur les Données Client, conformément aux instructions du Responsable de traitement via la configuration des Services.

Catégories de personnes concernées : employés, prestataires, clients, fournisseurs, candidats et autres personnes du Responsable de traitement dont les données sont téléversées dans les Services ou y sont traitées.

Catégories de Données personnelles : identifiants, données de contact, données d'emploi, données financières et d'achat, données de relation client, et toute autre catégorie que le Responsable de traitement choisit de traiter via les Services.

DivetIQ met en œuvre les mesures de sécurité décrites à la Section 6 (Mesures de sécurité) du présent DPA. Une description détaillée et à jour est maintenue dans le Customer Trust Center et mise à jour à mesure que notre posture de sécurité évolue. Toute réduction matérielle de ces mesures sera notifiée à l'avance.

Les questions concernant le présent DPA peuvent être envoyées à dpo@divetiq.com ou par courrier à 2810 N Church St, STE 88941, Wilmington, DE 19802, United States.