DPA.
L'accord de sous-traitance, structuré selon les Annexes I et II des Clauses Contractuelles Types adoptées par la Commission Européenne le 4 juin 2021.
Version 2026-05 · Dernière mise à jour 04 mai 2026
§1Parties
- Responsable de traitement : le Client (recruteur ou candidat) au sens des CGV.
- Sous-traitant : la SAS RecruteUnVieux, identifiée dans les mentions légales.
§2Objet, durée, nature et finalité
Le sous-traitant traite les données personnelles pour le compte du responsable de traitement, exclusivement aux fins d'exploitation du service de mise en relation candidats / recruteurs : hébergement, indexation, recherche, mise en relation, notification, analyse statistique anonymisée pour l'amélioration du service.
L'accord prend effet à la création du compte et reste applicable pendant toute la durée d'utilisation du service, augmentée des durées de conservation post-résiliation.
§3Annexe I.B — Catégories de données traitées
- Authentification : email, mot de passe haché (bcrypt), jetons de session, jetons de vérification email.
- Profil candidat : prénom, nom, intitulé, résumé, localisation, CV, fourchette salariale, années d'expérience, âge déclaré facultatif (Q2 — non requis à l'inscription).
- Profil recruteur : prénom, nom, email, société, fonction.
- Contenu de candidature : lettre, CV, notes recruteur.
- Données comportementales (sous consentement) : pages consultées, événements analytiques, identifiants techniques anonymisés.
§4Annexe I.B — Catégories de personnes concernées
Candidats inscrits, recruteurs inscrits, prospects ayant déposé un formulaire de contact.
§5Annexe I.D — Sous-traitants ultérieurs autorisés
| Sous-traitant | Service | Localisation |
|---|---|---|
| Hetzner Online GmbH | Hébergement applicatif et base de données | Falkenstein / Nuremberg (Allemagne) |
| Resend Inc. | Emails transactionnels | UE (Irlande) |
| Sentry GmbH | Suivi d'erreurs | de.sentry.io (Allemagne) |
| PostHog Inc. | Analytics produit | EU Cloud (Francfort) |
Toute évolution de la liste est notifiée au Client par email avec un préavis raisonnable et un droit d'objection motivée.
§6Annexe II — Mesures techniques et organisationnelles
- Chiffrement en transit : TLS 1.3, HSTS activé.
- Chiffrement au repos : chiffrement disque géré par l'hébergeur ; secrets stockés sur le serveur applicatif avec permissions restreintes (chmod 600).
- Contrôle d'accès : MFA obligatoire pour l'équipe, journalisation d'audit append-only.
- Cloisonnement : environnements dev / staging / prod isolés, données réelles jamais utilisées en dev.
- Sauvegardes : snapshots disque quotidiens conservés 30 jours.
- Localisation : données stockées exclusivement dans l'UE.
- Pseudonymisation : les IP utilisées pour la traçabilité du consentement sont hachées (SHA-256) avant stockage.
- Tests : revue de sécurité préalable à toute mise en production touchant à l'authentification ou au stockage de données.
§7Notification de violation
Le sous-traitant notifie au responsable de traitement toute violation de données personnelles dans un délai maximal de 48 heures à compter de sa découverte.
§8Audits
Le responsable de traitement peut, une fois par an avec un préavis de trente jours, demander un rapport d'audit ou un certificat ISO 27001 / SOC 2 d'un sous-traitant ultérieur.
§9Restitution / suppression
À la fin du contrat, et sur demande, le sous-traitant restitue ou supprime les données personnelles dans un délai de trente jours. Suppression définitive après 90 jours, sauf obligation légale de conservation (comptabilité : 10 ans pour les factures).
§10Droit applicable
Le présent accord est régi par le droit français et soumis à la compétence du Tribunal de Commerce de Paris.
DOCUMENT LÉGAL · DPA · v2026-05 · sha256:910de1ed5e088478…