Accord de transfert

Dernière mise à jour :

20 septembre 2023

Annexe 1 - Accord de transfert de données personnelles entre deux responsables de traitement indépendants

La présente convention est conclue entre MAKI et le Client et est considérée comme faisant partie des Conditions Générales de Vente (ci-après " CGV ").

Ce qui suit a été déclaré

Les Parties déclarent et reconnaissent que la négociation précédant la conclusion du présent Accord a été menée de bonne foi et qu'elles ont obtenu, au cours de la négociation précontractuelle, toutes les informations nécessaires et utiles pour leur permettre de conclure le présent Accord en toute connaissance de cause, et qu'elles se sont communiquées toutes les informations susceptibles de déterminer leur consentement et dont elles pouvaient légitimement ignorer l'existence.

Il a été convenu et déterminé comme suit

1 - Définition

Pour les besoins du présent accord, les termes ci-après ont la signification suivante :

- "Données personnelles" désigne toute information relative à un individu spécifique qui peut être identifié, directement ou indirectement, comme les noms, prénoms, adresses électroniques et postales d'un individu spécifique, son image sur une photographie ou une vidéo, une adresse IP, une donnée de localisation, une plaque d'immatriculation, etc. Pour déterminer si une personne peut être identifiée, il est nécessaire de considérer tous les moyens d'identification disponibles ou accessibles au Responsable du traitement ou à toute autre personne.
- "Personne concernée" se réfère à une personne physique dont les Données Personnelles sont traitées.
- "Contrôleur de données" désigne toute entité juridique définissant les finalités et les moyens du Traitement des données personnelles.
- "Processeur de données" fait référence à toute entité juridique traitant des Données à caractère personnel pour le compte ou suivant les instructions d'un Contrôleur de données.
- "Traitement" désigne toute opération ou ensemble d'opérations portant sur des Données à caractère personnel effectuées par un Responsable du traitement ou un Contrôleur des données, quel que soit le procédé utilisé, et notamment la collecte l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que la limitation, l'effacement ou la destruction.
- "Violation de données personnelles" désigne une violation de la sécurité entraînant la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès accidentel ou illégal à des Données personnelles transmises, stockées ou traitées d'une autre manière.

2 - Objet

Dans le cadre de la relation contractuelle entre Maki et le Client, chaque société agit en tant que Responsable de traitement indépendant. Ainsi, la présente convention a pour objet de définir les conditions dans lesquelles Maki et le Client s'engagent à réaliser entre eux des opérations de transfert de Données Personnelles, dans le respect de la législation en vigueur, et notamment du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 applicable au 25 mai 2018 (ci-après, " le Règlement européen sur la protection des données "), ainsi que de la loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés (ci-après, " Loi Informatique et Libertés "), telle que modifiée.

3 - Description du traitement faisant l'objet de transferts entre contrôleurs indépendants de données

Les candidats seront invités à passer des tests et des évaluations en ligne sur la plate-forme. Leur inscription sur la plate-forme peut se faire de plusieurs manières.

Dans le premier cas, le Client fournit à Maki l'email du Candidat. Dans ce cas, le Client transfère les Données Personnelles pertinentes (c'est-à-dire le prénom, le nom, l'adresse email) à Maki. Dans ce cas, le Client garantit à Maki qu'il effectuera ce transfert après avoir informé la Personne concernée préalablement au transfert, et conformément à une base juridique licite. A cet égard, le Client garantit Maki contre toute action judiciaire ou administrative liée à un manquement au droit applicable et soulevé par une Personne concernée.

Dans le second cas, le Client invite le Candidat à passer une Évaluation par le biais d'un email contenant un lien pour s'inscrire sur la Plateforme. Dans ce cas, Maki collecte directement les Données personnelles du Candidat en tant que Contrôleur de données indépendant. Dans le dernier cas, le Candidat s'est directement inscrit sur la Plateforme pour passer un test. Dans ce cas également, Maki est réputé être le Contrôleur de données unique.

Un autre cas concerne la configuration où le Client souhaiterait proposer à ses employés de réaliser des évaluations ou des tests sur Maki. Dans ce cas, le Client garantit à Maki que l'utilisation de la Plateforme par ses employés ne peut se faire que sous réserve de l'acceptation préalable par les employés des Conditions d'utilisation et de la Politique de confidentialité de Maki, comme pour tout autre Utilisateur de la Plateforme.

Après que le Candidat ait complété l'évaluation, les Données Personnelles pertinentes, en connaissance de cause et sans y être limitées, les réponses du Candidat aux évaluations, tests de personnalité et questionnaires, la notation et le classement du Candidat, la notation manuelle du Recruteur, le temps passé à répondre au test, le statut du Candidat (invité, terminé, en cours), le téléchargement du CV du Candidat, les choix et, le cas échéant, les vidéos, seront collectées par Maki, en tant que Responsable de Traitement, sur la base de l'article 6.1.b du règlement européen sur la protection des données (voir la politique de confidentialité de Maki).

Pour l'exécution des Services faisant l'objet du présent Contrat, Maki peut transférer et mettre à disposition du Client les informations relatives aux Candidats ayant postulé à une offre d'emploi du Client. Ainsi, Maki reste le Contrôleur de données pour ce périmètre de Données à caractère personnel, et informera préalablement les Personnes concernées que leurs données seront transférées au Client, en tant que second Contrôleur de données indépendant pour ce strict périmètre de données.

Chaque responsable de traitement peut faire appel à un sous-traitant pour effectuer des activités de traitement spécifiques. Dans la mesure où cette sous-traitance a lieu pour un Traitement distinct et spécifique, elle peut être effectuée sans demander l'autorisation préalable respective.

4 - Obligation des contrôleurs indépendants des données

Pour l'exécution du service objet du présent contrat, le Responsable du traitement met à la disposition du second Responsable du traitement les informations dont la description détaillée du Traitement figure à l'annexe 1.

Chaque responsable de traitement déclare tenir un registre écrit de toutes les catégories d'activités de traitement effectuées.

Dans ce contexte, le premier contrôleur reconnaît et garantit :

1. que le Traitement est effectué conformément aux dispositions du Règlement européen sur la protection des données et de la Loi sur la protection des données, notamment que la Personne concernée a été informée de la finalité du Traitement, de ses droits, des destinataires des Données à caractère personnel et de la politique de protection de la vie privée et des Données à caractère personnel ;
2. que dans le cas où le Responsable du traitement traite des données " sensibles " telles que définies à l'article 9 du Règlement européen sur la protection des données (à savoir . le Traitement des données à caractère personnel qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, et le Traitement des données génétiques, des données biométriques aux fins d'identifier de manière unique une personne physique, des données relatives à la santé ou des données relatives à la vie sexuelle ou à l'orientation sexuelle d'une personne physique), le Responsable du traitement les a collectées régulièrement et, le cas échéant, exige du Responsable du traitement qu'il effectue leur Traitement dans le plein respect des dispositions dudit article 9 ;
3. qu'il répondra en temps utile à la demande d'information de la Commission nationale de l'informatique et des libertés (CNIL), si nécessaire ;
4. qu'il répondra en temps utile aux demandes de toute Personne concernée souhaitant obtenir des informations sur ses données à caractère personnel et qu'il donnera des instructions appropriées et en temps utile au Responsable du traitement ;
5. qu'il informera le second Responsable du traitement de toute violation de données à caractère personnel en temps utile, et au maximum 72 (soixante-douze) heures après en avoir eu connaissance. Cette notification sera accompagnée de toute documentation utile pour permettre au second Responsable de traitement, si nécessaire, de notifier la Brèche à l'autorité de contrôle compétente.
6. qu'il prendra toute mesure nécessaire pour identifier les causes de la Violation de Données Personnelles et mettra en œuvre tous les moyens qu'il jugera nécessaires pour remédier à l'origine de cette Violation lorsque cette remédiation est sous son contrôle. 


Le Responsable du traitement s'engage également à :
1. fournir au Responsable du traitement les Données visées à l'Annexe 1 du présent Contrat ;
2. consigner par écrit toute instruction concernant le Traitement des Données à caractère personnel par le Responsable du traitement ;
3. s'assurer, préalablement et tout au long du Traitement, que les obligations prévues par le Règlement européen sur la protection des données concernant le Responsable du traitement ;
4. superviser le Traitement, y compris en effectuant des audits et des inspections du Responsable du traitement.


Dans ce contexte, le second Contrôleur s'engage à :
- traiter les Données Personnelles aux seules fins faisant l'objet du présent Accord de Transfert de Données Personnelles et suivant l'Annexe 1 ;
- si le second Contrôleur est situé dans un pays tiers, il doit informer le premier Contrôleur de cette obligation légale avant le Traitement ;
- garantir la confidentialité des données personnelles traitées dans le cadre du présent Accord ;
- garantir que les personnes autorisées à traiter les Données Personnelles dans le cadre du présent Accord :
- s'engagent à respecter la confidentialité ou soient soumises à toute obligation légale de confidentialité pertinente ;
- reçoivent la formation nécessaire et appropriée sur la protection des données personnelles ;
- prennent en compte les principes de protection des données dès la conception et de protection des données par défaut pour ses outils, produits, applications ou services ;
- mettre en place et maintenir une documentation précise décrivant les mesures de protection et de confidentialité entourant les Données Personnelles et leur accès ;
- informer ses employés de leur responsabilité en matière de protection des Données Personnelles, y compris la confidentialité de ces données ;
- coopérer avec la CNIL en cas de demande d'information de la CNIL et qu'elle se conformera à toute recommandation de la CNIL relative au Traitement.

5 - Sous-traitement des données

Le processus de recrutement d'un Candidat sera suivi par les équipes du Client sur la Plateforme de Maki. A cette occasion, Maki traitera certaines Données Personnelles des employés ou du personnel du Client aux seules fins du suivi et de la gestion des candidatures. Pour ce traitement spécifique, Maki agira en tant que Responsable du traitement pour les finalités et le périmètre des données suivants :
- Pour la création du compte employé du Client (email, mot de passe) ;
- Pour le compte administrateur (noms des utilisateurs de l'entreprise ; statut (enregistré, invité) ; dernière période d'activité) ;
- Pour la facturation (numéro de carte de crédit, IBAN) ;
- Pour l'interconnexion avec l'ATS/SIRH ;
- Pour la gestion des évaluations par les équipes du Client (nom de l'employé, nom du recruteur, statut (actif, archivé, brouillon), nombre de candidats traités, dernière date d'activité) ;
- Pour la configuration d'une évaluation (nom du Hiring Manager, nom du Recruteur, vidéo, auteur de l'évaluation) ;
- Pour l'invitation des Candidats (nom, prénom, email) ;

Maki peut alors faire appel à un autre Responsable du traitement des données (ci-après, " le Sous-traitant ") pour mener ces activités de Traitement spécifiques. Le Responsable du traitement reconnaît qu'il accepte le recours au Sous-traitant par le Responsable du traitement des données. En cas de désaccord du Responsable de traitement avec le choix de l'un des Sous-traitants et en l'absence d'une alternative trouvée par les Parties dans un délai de 30 (trente) jours, le Responsable de traitement peut résilier le Contrat, sans pouvoir prétendre à aucune indemnité ou dommages et intérêts de ce fait. Le Sous-traitant est tenu de se conformer aux obligations du présent contrat pour le compte et selon les instructions du Responsable du traitement. Il appartient au Sous-Traitant initial de s'assurer que le Sous-Traitant présente les mêmes garanties suffisantes concernant la mise en œuvre de mesures techniques et organisationnelles appropriées afin que le Traitement réponde aux exigences du Règlement européen sur la protection des données. En cas de manquement du Sous-Traitant à ses obligations en matière de protection des données, le Sous-Traitant initial reste pleinement responsable à l'égard du Responsable du traitement de l'exécution de ses obligations par le Sous-Traitant.

Le Responsable du traitement notifie au Contrôleur toute Violation de données à caractère personnel dans les meilleurs délais et, au plus tard, 48 (quarante-huit) heures après en avoir pris connaissance. Cette notification est accompagnée de toute documentation utile pour permettre au Responsable du traitement, si nécessaire, de notifier la Brèche à l'autorité de contrôle compétente. Le Responsable du traitement prend toutes les mesures nécessaires pour identifier les causes de cette Violation de données à caractère personnel et prend toutes les mesures qu'il juge nécessaires et raisonnables pour remédier à l'origine de cette Violation lorsque cette remédiation est sous le contrôle du Responsable du traitement.

6 - Durée du contrat

Le présent Accord prend effet à compter de sa signature et pour la durée de la relation contractuelle prévue par les CGU. Certaines dispositions survivront à l'expiration de l'Accord, notamment celles relatives aux délais de conservation et aux obligations de chacune des Parties. La signature du présent Contrat est effectuée directement via la Plateforme Maki par une personne dûment habilitée à représenter le Responsable de traitement.

7 - Droit à l'information des personnes concernées

Il incombe à chaque Responsable du traitement de fournir des informations aux personnes concernées par les activités de Traitement au moment de la collecte des données, et de permettre leur transfert au second Responsable du traitement conformément à toutes les exigences légales. Chaque Responsable du traitement garantit l'autre Partie contre toute action à cet égard.

8 - Exercice des droits des personnes concernées

Chaque Responsable de traitement traite les demandes d'exercice des droits des Personnes concernées (droit d'accès, de rectification, d'effacement et d'opposition, de limitation du Traitement, de portabilité des données, droit de ne pas faire l'objet d'une décision individuelle automatisée, y compris le profilage) le concernant.

9 - Mesures de sécurité

Chaque responsable de traitement s'engage à mettre en œuvre des mesures techniques et organisationnelles pour garantir un niveau de sécurité adapté aux risques exposés.

Chaque Responsable du traitement doit à tout moment mettre en place des mesures techniques et organisationnelles pour empêcher l'accès non autorisé aux Données personnelles et l'utilisation des Données personnelles à des fins autres que celles convenues pour leur transfert. Chaque Responsable du traitement doit protéger et maintenir la sécurité des Données personnelles en tant qu'informations confidentielles.

Les mesures de sécurité qui doivent être mises en œuvre par chaque Responsable de Traitement pour assurer la sécurité des Données Personnelles collectées et traitées comprennent, sans s'y limiter, les mesures suivantes :
- L'ensemble du personnel doit être formé et régulièrement informé des évolutions en matière de sécurité des données et de protection des Données Personnelles ;
- Afin de protéger la confidentialité des Données Personnelles, le Responsable du Traitement doit inclure une clause dans les contrats de travail signés par les membres du personnel qui ont accès aux Données Personnelles, obligeant ces membres du personnel à reconnaître leur devoir de protéger la confidentialité de toutes les Données Personnelles auxquelles ils ont accès dans le cadre du Contrat ;
- Seul le personnel autorisé peut avoir accès aux Données Personnelles, à condition que cet accès soit nécessaire. Des mesures visant à empêcher l'accès aux Données Personnelles par des personnes non autorisées doivent être mises en œuvre ;
- Une méthode d'accès aux Données Personnelles doit être développée, et un niveau d'autorisation approprié doit être requis ;
- Les mots de passe et les noms d'utilisateur doivent être demandés avant d'accéder à tout environnement électronique dans lequel des Données Personnelles sont stockées et un registre d'accès doit être mis en place et tenu à jour. Le Responsable du Traitement doit mettre en œuvre une politique de mots de passe appropriée pour accéder aux Données Personnelles ;
- Tous les appareils et logiciels sur lesquels les Données Personnelles sont stockées doivent être régulièrement mis à jour et protégés contre les logiciels malveillants et les accès non autorisés, grâce à des logiciels de protection (tels que des logiciels antivirus) ;
- Les Données Personnelles ne doivent pas être stockées dans des environnements (tels que l'Internet) accessibles à des tiers et qui ne sont pas autorisés par le Responsable du Traitement ;
- Des mesures précises (ex.) doivent être mises en œuvre pour assurer la sécurité de l'interface entre les environnements accessibles aux tiers et les espaces de stockage de l'entreprise, ainsi que des mesures pour lutter contre les attaques virtuelles menaçant la sécurité des données (IDS/IPS, etc.) ;
- Les Données Personnelles sont supprimées grâce à des méthodes appropriées. L'effacement des Données Personnelles stockées dans un environnement électronique doit rendre impossible la récupération des données. Les données personnelles stockées physiquement (documents, etc.) sont détruites à l'aide de méthodes ou d'équipements appropriés (broyeur, etc.).

10 - Résiliation du contrat

Les Parties reconnaissent que la résiliation de l'Accord à tout moment et pour quelque raison que ce soit ne les libère pas de leurs obligations au titre du Règlement européen sur la protection des données et de la loi française sur la protection des données concernant le Traitement conformément à l'Accord.

11 - Droit applicable et langue de la convention

Les parties conviennent expressément que le présent accord est régi par le droit français et que la langue officielle du contrat est le français.

En cas de litige, cette version anglaise ainsi que toute autre traduction ne font pas foi. Conformément à la disposition des présentes, seule la version française fait foi.

12 - Résolution des litiges

Pour tout litige découlant de l'exécution du présent accord, la partie la plus diligente saisira les tribunaux compétents.