Accord de traitement des données

Dernière mise à jour : 31 mars 2026

Le présent Accord de traitement des données (« ATD ») fait partie intégrante des Conditions générales d'utilisation conclues entre Kit (« Sous-traitant », « nous ») et le Client (« Responsable du traitement », « vous ») et régit le traitement des données à caractère personnel effectué par Kit pour le compte du Client.

Le présent ATD prend effet à la date la plus précoce entre (a) l'acceptation des Conditions générales d'utilisation par le Client, ou (b) la première utilisation du Service par le Client. En cas de conflit ou d'incohérence, l'ordre de priorité est le suivant : (1) les Clauses contractuelles types applicables ; (2) le présent ATD ; (3) les Conditions générales d'utilisation ; (4) la Politique de confidentialité de Kit. Une copie contresignée du présent ATD est disponible sur demande pour les clients entreprise.

1. Définitions

Dans le présent ATD, les termes suivants ont la signification indiquée ci-dessous. Les termes non définis dans le présent document ont la signification qui leur est attribuée dans le RGPD ou dans les Conditions générales d'utilisation.

  • Données Client désigne toute donnée à caractère personnel que Kit traite pour le compte du Client dans le cadre de la fourniture du Service. Cela inclut les données relatives aux candidats et postulants, les données des membres de l'équipe de recrutement, et les données de communication soumises ou générées au sein de la plateforme.
  • Données de Compte désigne les données à caractère personnel relatives à la relation du Client avec Kit, y compris les informations de facturation, les analyses d'utilisation et les données d'administration du compte. Kit est le responsable du traitement des Données de Compte en vertu de sa Politique de confidentialité.
  • Responsable du traitement désigne la personne physique ou morale qui détermine les finalités et les moyens du traitement des données à caractère personnel (le Client).
  • Sous-traitant désigne la personne physique ou morale qui traite des données à caractère personnel pour le compte du Responsable du traitement (Kit).
  • Sous-traitant ultérieur désigne tout tiers engagé par le Sous-traitant pour traiter les Données Client.
  • Personne concernée désigne la personne physique identifiée ou identifiable à laquelle se rapportent les données à caractère personnel.
  • RGPD désigne le Règlement (UE) 2016/679 du Parlement européen et du Conseil (Règlement général sur la protection des données).
  • UK GDPR désigne le RGPD tel qu'incorporé dans le droit du Royaume-Uni par le Data Protection Act 2018 et le Data Protection, Privacy and Electronic Communications (Amendments etc) (EU Exit) Regulations 2019.
  • LPD suisse désigne la Loi fédérale suisse sur la protection des données (telle que révisée le 25 septembre 2020). Les références au « RGPD » dans le présent ATD incluent, le cas échéant, le UK GDPR et la LPD suisse.
  • Données à caractère personnel, Traitement, Violation de données à caractère personnel et Autorité de contrôle ont la signification qui leur est attribuée à l'article 4 du RGPD.
  • CCT désigne les Clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers adoptées par la Décision de la Commission européenne 2021/914.
  • Législation sur la protection des données désigne le RGPD, le UK GDPR, la LPD suisse, le California Consumer Privacy Act tel que modifié par le California Privacy Rights Act (« CCPA »), et toute autre législation applicable en matière de protection des données ou de vie privée.

2. Rôles des Parties

Les parties reconnaissent et conviennent que :

  • En ce qui concerne les Données Client, le Client est le Responsable du traitement et Kit est le Sous-traitant. Le présent ATD régit le traitement des Données Client par Kit.
  • En ce qui concerne les Données de Compte, Kit est un Responsable du traitement indépendant et traite ces données conformément à sa Politique de confidentialité.

Cette distinction garantit la clarté : les données à caractère personnel de vos candidats et postulants sont traitées exclusivement selon vos instructions, tandis que Kit gère de manière indépendante les données nécessaires à la tenue de votre compte et à la fourniture du Service.

3. Portée et Finalité du Traitement

Kit traite les Données Client uniquement aux fins de la fourniture du service de suivi des candidatures et de gestion du recrutement tel que décrit dans les Conditions générales d'utilisation et tel que précisé à l'Annexe 1. Kit s'engage à :

  • Traiter les Données Client uniquement sur la base d'instructions documentées du Responsable du traitement, y compris en ce qui concerne les transferts de données à caractère personnel vers un pays tiers, sauf si le droit de l'Union européenne ou le droit d'un État membre auquel le Sous-traitant est soumis l'exige (article 28, paragraphe 3, point a), du RGPD).
  • Informer immédiatement le Responsable du traitement si, de l'avis de Kit, une instruction constitue une violation du RGPD ou d'autres dispositions applicables en matière de protection des données.

3.1 Lois californiennes et lois des États américains sur la vie privée

Dans la mesure où le California Consumer Privacy Act (CCPA) ou d'autres lois des États américains sur la vie privée s'appliquent au traitement des Données Client par Kit, Kit agit en qualité de « prestataire de services » (CCPA) ou de « sous-traitant » (tel que défini par la législation étatique applicable). Kit ne vendra ni ne partagera les Données Client, ne conservera, n'utilisera ni ne divulguera les Données Client, sauf dans la mesure nécessaire à la fourniture du Service, ou dans les cas autrement permis par la législation applicable.

4. Confidentialité

Kit s'assure que les personnes autorisées à traiter les Données Client se sont engagées à respecter la confidentialité ou sont soumises à une obligation légale appropriée de confidentialité (article 28, paragraphe 3, point b), du RGPD).

5. Mesures de sécurité

Kit met en œuvre des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, conformément à l'article 32 du RGPD. Ces mesures sont décrites en détail à l'Annexe 2 et comprennent, entre autres :

  • Le chiffrement des données à caractère personnel en transit (TLS 1.2+) et au repos
  • L'isolation des données multi-locataires par des requêtes de base de données limitées au compte
  • Le contrôle d'accès basé sur les rôles au sein des comptes employeurs
  • Le chiffrement au niveau applicatif des champs sensibles (Active Record Encryption)
  • Une infrastructure située dans l'UE (Hetzner Cloud, Nuremberg, Allemagne)
  • Des analyses de sécurité régulières et la gestion des vulnérabilités

Kit révise et met à jour régulièrement ces mesures afin de maintenir un niveau de protection adéquat. Les mesures décrites dans le présent document sont conformes aux pratiques de sécurité standard du secteur ; les certifications spécifiques, lorsqu'elles sont obtenues, seront référencées à l'Annexe 2.

6. Sous-traitants ultérieurs

6.1 Autorisation générale

Le Responsable du traitement donne une autorisation écrite générale à Kit pour faire appel à des Sous-traitants ultérieurs pour traiter les Données Client, sous réserve des conditions énoncées dans la présente Section 6 (article 28, paragraphe 2, du RGPD).

6.2 Sous-traitants ultérieurs actuels

La liste actuelle des Sous-traitants ultérieurs figure à l'Annexe 3. Le Responsable du traitement reconnaît et approuve les Sous-traitants ultérieurs qui y sont énumérés à la date d'entrée en vigueur du présent ATD.

6.3 Notification des modifications

Kit notifiera le Responsable du traitement par courriel au moins 30 jours avant de faire appel à un nouveau Sous-traitant ultérieur ou de remplacer un Sous-traitant ultérieur existant. La notification identifiera le Sous-traitant ultérieur, sa localisation et les activités de traitement à effectuer.

6.4 Droit d'opposition

Le Responsable du traitement peut s'opposer à la désignation d'un nouveau Sous-traitant ultérieur dans un délai de 15 jours à compter de la réception de la notification, en adressant un avis écrit à Kit avec des motifs raisonnables d'opposition. Si Kit ne peut raisonnablement donner suite à l'opposition, le Responsable du traitement peut résilier le Service concerné en adressant un avis écrit à Kit.

6.5 Obligations des Sous-traitants ultérieurs

Kit impose à chaque Sous-traitant ultérieur, par voie contractuelle, des obligations en matière de protection des données offrant un niveau de protection au moins équivalent à celui prévu par le présent ATD (article 28, paragraphe 4, du RGPD). Kit demeure pleinement responsable de l'exécution des obligations de chaque Sous-traitant ultérieur.

6.6 Sous-traitants désignés par le Client

Lorsque le Client configure des intégrations avec des services tiers en utilisant ses propres identifiants ou clés d'API (tels que des fournisseurs d'IA dans le cadre d'un dispositif d'apport de clé propre), ces fournisseurs sont des Sous-traitants désignés par le Client. Kit assure l'intégration technique mais ne sélectionne, ne contrôle et ne contracte pas avec ces fournisseurs. Le Client est responsable de s'assurer que son propre accord avec ces fournisseurs respecte les exigences applicables en matière de protection des données.

7. Droits des Personnes concernées

Kit assiste le Responsable du traitement, par des mesures techniques et organisationnelles appropriées et dans toute la mesure du possible, dans l'exécution de son obligation de donner suite aux demandes d'exercice des droits de la Personne concernée au titre du Chapitre III du RGPD (article 28, paragraphe 3, point e), du RGPD). Ces droits comprennent le droit d'accès, de rectification, d'effacement, de limitation du traitement, de portabilité des données et d'opposition.

Kit fournit les fonctionnalités suivantes au sein de la plateforme pour aider le Responsable du traitement à répondre à ces demandes :

  • Fonctionnalité d'exportation des données pour les dossiers individuels de candidats et les exportations à l'échelle du compte
  • Outils de suppression et d'anonymisation des données des candidats
  • Durées de conservation configurables avec expiration automatisée
  • Gestion du consentement avec suivi des renouvellements et des retraits

Kit ne répond pas directement aux demandes des Personnes concernées. Les candidats et postulants doivent adresser leurs demandes au Responsable du traitement (l'employeur). Kit notifiera rapidement le Responsable du traitement si Kit reçoit une demande d'une Personne concernée directement.

8. Transferts internationaux de données

L'infrastructure principale de Kit est située dans l'Union européenne (Hetzner Cloud, Nuremberg, Allemagne). Les Données Client sont stockées et traitées au sein de l'UE par défaut.

8.1 Mécanismes de transfert

Lorsque des Sous-traitants ultérieurs sont situés en dehors de l'Espace économique européen (EEE), Kit s'assure que des garanties appropriées sont mises en place pour le transfert des données à caractère personnel, notamment :

  • Cadre de protection des données UE-États-Unis (DPF) : lorsque le Sous-traitant ultérieur est certifié DPF.
  • Clauses contractuelles types (CCT) : les CCT de 2021 (Décision de la Commission 2021/914) sont incorporées par référence le cas échéant.
  • Décisions d'adéquation : lorsque la Commission européenne a reconnu que le pays tiers assure un niveau de protection adéquat.

Le mécanisme de transfert spécifique pour chaque Sous-traitant ultérieur est indiqué à l'Annexe 3.

8.2 Sélection des modules des CCT

Lorsque les CCT s'appliquent, les modules suivants sont utilisés :

  • Module 2 (Responsable du traitement vers Sous-traitant) : s'applique entre le Client (en qualité de Responsable du traitement) et Kit lorsque le Client est établi dans l'EEE et que Kit traite les Données Client en dehors de l'EEE.
  • Module 3 (Sous-traitant vers Sous-traitant ultérieur) : s'applique entre Kit et ses Sous-traitants ultérieurs hors EEE énumérés à l'Annexe 3.

Pour les deux modules : la Clause 7 (clause d'adhésion) est incluse ; la Clause 9, point a), Option 2 (autorisation écrite générale) est sélectionnée ; la Clause 17, Option 1 (droit d'un État membre de l'UE) est sélectionnée, le droit irlandais étant applicable.

8.3 Transferts vers le Royaume-Uni et la Suisse

Pour les transferts soumis au UK GDPR, l'Addendum relatif aux transferts internationaux de données aux CCT de l'UE (émis par l'Information Commissioner's Office du Royaume-Uni) s'applique. Pour les transferts soumis à la LPD suisse, les CCT s'appliquent avec les modifications requises par le Préposé fédéral suisse à la protection des données et à la transparence.

8.4 Mesures supplémentaires

Kit a réalisé des évaluations d'impact des transferts pour chaque Sous-traitant ultérieur hors EEE. À la date du présent ATD, Kit n'a reçu aucune demande d'accès gouvernementale concernant les Données Client. Kit s'engage à contester toute demande d'accès gouvernementale qu'il considère raisonnablement comme illicite ou disproportionnée, et à en informer le Responsable du traitement, sauf interdiction légale.

9. Notification de Violation de données

Kit notifie le Responsable du traitement dans les meilleurs délais après avoir pris connaissance d'une Violation de données à caractère personnel affectant les Données Client (article 28, paragraphe 3, point f), et article 33 du RGPD). La notification comprend :

  • Une description de la nature de la violation, y compris, dans la mesure du possible, les catégories et le nombre approximatif de Personnes concernées et d'enregistrements concernés
  • Le nom et les coordonnées du point de contact de Kit pour toute information complémentaire
  • Une description des conséquences probables de la violation
  • Une description des mesures prises ou proposées pour remédier à la violation, y compris les mesures visant à en atténuer les effets négatifs éventuels

Kit coopère avec le Responsable du traitement et prend les mesures raisonnables pour l'assister dans l'investigation, l'atténuation et la remédiation de la violation.

10. Analyses d'impact relatives à la protection des données

Kit fournit une assistance raisonnable au Responsable du traitement pour la réalisation d'analyses d'impact relatives à la protection des données et pour les consultations préalables auprès des autorités de contrôle, dans la mesure requise par les articles 35 et 36 du RGPD, compte tenu de la nature du traitement et des informations dont dispose Kit (article 28, paragraphe 3, point f), du RGPD).

11. Droits d'audit

Kit met à la disposition du Responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues à l'article 28 du RGPD et pour permettre la réalisation d'audits, y compris des inspections, effectués par le Responsable du traitement ou un auditeur mandaté par celui-ci (article 28, paragraphe 3, point h), du RGPD), et contribue à ces audits.

Les audits sont soumis aux conditions suivantes :

  • Le Responsable du traitement doit fournir un préavis écrit d'au moins 30 jours pour toute demande d'audit
  • Les audits sont effectués pendant les heures normales d'ouverture et ne doivent pas perturber de manière déraisonnable les opérations de Kit
  • Le Responsable du traitement supporte ses propres coûts liés à l'audit
  • Les audits sont limités à une fois par période de douze mois, sauf en cas de Violation de données à caractère personnel ou si une Autorité de contrôle exige un audit supplémentaire
  • Kit peut satisfaire les demandes d'audit en fournissant la documentation pertinente, des rapports de sécurité, des synthèses de tests d'intrusion ou des rapports d'audit tiers lorsqu'ils sont disponibles

Kit tient des registres des activités de traitement effectuées pour le compte du Responsable du traitement conformément à l'article 30, paragraphe 2, du RGPD et conserve ces registres pendant au moins trois (3) ans.

12. Durée, Suppression et Restitution des données

Kit traite les Données Client pendant la durée des Conditions générales d'utilisation. À l'expiration ou à la résiliation des Conditions générales d'utilisation :

  • Kit prévoit une fenêtre de 30 jours pendant laquelle le Responsable du traitement peut exporter l'ensemble des Données Client en utilisant la fonctionnalité d'exportation de données de la plateforme
  • À l'issue de la fenêtre d'exportation, Kit supprime toutes les Données Client de ses systèmes, y compris des systèmes de sauvegarde, dans un délai raisonnable, sauf si le droit de l'Union européenne ou le droit d'un État membre exige une conservation prolongée (article 28, paragraphe 3, point g), du RGPD)
  • Le Responsable du traitement peut demander la suppression de Données Client spécifiques à tout moment pendant la durée de l'accord en utilisant les outils de suppression et d'anonymisation de la plateforme

Les données anonymisées et agrégées qui ne peuvent plus être attribuées à une Personne concernée ne constituent pas des données à caractère personnel et peuvent être conservées par Kit à des fins d'amélioration du produit et d'analyse.

13. Responsabilité

La responsabilité de chaque partie au titre du présent ATD est soumise aux limitations et exclusions de responsabilité prévues dans les Conditions générales d'utilisation. La responsabilité globale totale du Sous-traitant découlant du présent ATD ou en rapport avec celui-ci ne saurait excéder le montant total des frais payés par le Responsable du traitement au Sous-traitant au cours des douze (12) mois précédant l'événement à l'origine de la réclamation.

14. Droit applicable

Le présent ATD est régi par le même droit que celui qui régit les Conditions générales d'utilisation, sans tenir compte des règles de conflit de lois. Tout litige découlant du présent ATD est soumis à la compétence exclusive prévue dans les Conditions générales d'utilisation.

15. Contact

Pour toute question ou demande relative au présent ATD, veuillez nous contacter à l'adresse [email protected].

Annexe 1 : Détails du traitement

Catégories de Personnes concernées

  • Candidats et postulants
  • Utilisateurs employeurs (membres de l'équipe de recrutement, recruteurs, administrateurs)
  • Intervieweurs et évaluateurs

Catégories de données à caractère personnel

  • Données d'identité : nom, adresse courriel, numéro de téléphone, photo de profil
  • Données de candidature : CV, lettre de motivation, réponses aux formulaires de candidature, dossiers de portfolio
  • Données d'évaluation : notes d'entretien, scores d'évaluation, commentaires d'examen, soumissions d'exercices de code
  • Données de communication : correspondance par courriel, notes internes, messages de canaux Slack (le cas échéant)
  • Données relatives à l'emploi : employeur actuel, intitulé de poste, profil LinkedIn, historique professionnel
  • Données techniques : adresse IP (chiffrée), informations sur le navigateur/appareil pour les enregistrements de consentement
  • Documents et pièces jointes : fichiers téléchargés associés aux candidatures

Catégories particulières de données

Kit ne collecte pas intentionnellement de catégories particulières de données à caractère personnel (article 9 du RGPD). Toutefois, les CV et les documents de candidature soumis par les candidats peuvent contenir incidemment de telles données (par exemple, statut de handicap, origine ethnique, appartenance religieuse). Le Responsable du traitement est tenu de s'assurer qu'une base juridique existe pour le traitement de toute catégorie particulière de données pouvant être contenue dans les soumissions des candidats.

Finalité du traitement

Gestion du recrutement et du suivi des candidatures pour le compte du Responsable du traitement, y compris : la réception et le stockage des candidatures, la gestion des processus de recrutement, la facilitation de l'évaluation des candidats et de la collaboration d'équipe, la planification des entretiens, la gestion des offres et les flux de travail de recrutement associés.

Durée du traitement

Pendant la durée de l'accord entre le Responsable du traitement et Kit, plus la fenêtre de suppression post-résiliation décrite à la Section 12. Le Responsable du traitement peut configurer des durées de conservation plus courtes au sein de la plateforme, que Kit appliquera automatiquement.

Annexe 2 : Mesures techniques et organisationnelles

Kit met en œuvre les mesures suivantes conformément à l'article 32 du RGPD :

Chiffrement

  • Toutes les données en transit sont chiffrées à l'aide de TLS 1.2 ou supérieur
  • Les champs de données à caractère personnel sensibles sont chiffrés au niveau applicatif à l'aide d'Active Record Encryption (chiffrement déterministe et non déterministe selon les besoins)
  • Les sauvegardes de base de données sont chiffrées

Contrôle d'accès

  • Isolation des données multi-locataires appliquée au niveau des requêtes de base de données (requêtes limitées au compte)
  • Contrôle d'accès basé sur les rôles au sein de chaque compte employeur (rôles propriétaire, administrateur, membre)
  • Authentification par gestion sécurisée des sessions avec authentification multi-facteurs configurable
  • Accès API contrôlé par des jetons d'API limités avec des permissions granulaires

Sécurité de l'infrastructure

  • L'ensemble de l'infrastructure est hébergé dans l'Union européenne (Hetzner Cloud, Nuremberg, Allemagne, centre de données nbg1-dc3)
  • Le trafic de base de données est isolé sur un réseau privé sans exposition à l'Internet public
  • Protection DDoS et pare-feu applicatif Web via Cloudflare
  • Analyses de sécurité automatisées régulières (Brakeman pour les vulnérabilités Rails, bundler-audit pour les vulnérabilités des gems, importmap audit pour les dépendances JavaScript)

Minimisation des données et conservation

  • Durées de conservation configurables par compte employeur
  • Anonymisation automatisée des dossiers de candidats à l'expiration du consentement
  • Gestion du consentement avec piste d'audit (enregistrements de consentement horodatés et journalisés par adresse IP)
  • Fonctionnalité complète d'exportation des données pour la portabilité des données

Réponse aux incidents

  • Surveillance des erreurs et alertes (Sentry)
  • Surveillance automatisée de la disponibilité avec page de statut publique
  • Procédures de réponse aux incidents définies, incluant les processus de notification de violation

Mesures organisationnelles

  • Obligations de confidentialité pour tout le personnel ayant accès aux données à caractère personnel
  • Principe du moindre privilège pour l'accès aux systèmes
  • Revue régulière des permissions d'accès

Annexe 3 : Liste des Sous-traitants ultérieurs

Les Sous-traitants ultérieurs suivants sont autorisés à traiter les Données Client à la date indiquée en tête du présent ATD :

Sous-traitant ultérieur Finalité Localisation Mécanisme de transfert
Hetzner Online GmbH Hébergement d'infrastructure, calcul, équilibrage de charge, stockage objet compatible S3 Nuremberg, Allemagne (UE) N/A (UE) — ATD Hetzner
Cloudflare, Inc. CDN, DNS, protection DDoS, pare-feu applicatif Web Mondial (traitement dans l'UE disponible) DPF + CCT — ATD Cloudflare
Stripe, Inc. Traitement des paiements États-Unis DPF + CCT — ATD Stripe
Functional Software, Inc. (Sentry) Surveillance des erreurs et suivi des performances États-Unis DPF + CCT — ATD Sentry

Sous-traitants désignés par le Client

Les intégrations suivantes sont activées et configurées par le Client en utilisant ses propres identifiants. Kit assure la connexion technique mais ne sélectionne pas et ne contracte pas avec ces fournisseurs :

Type d'intégration Finalité Responsabilité du Client
Fournisseurs d'IA (BYOK) Fonctionnalités assistées par l'IA (par exemple, évaluation des candidats, génération de contenu) lorsqu'elles sont activées par le Client Le Client est responsable de son propre accord de traitement des données avec le fournisseur d'IA de son choix. Kit n'envoie pas de données à caractère personnel de candidats aux fournisseurs d'IA, sauf sur initiative explicite du Client.
Slack Notifications de canaux de candidats et collaboration d'équipe (lorsque connecté par le Client) Le Client est responsable de son propre accord avec Slack/Salesforce.
GitHub Gestion des dépôts d'exercices de code (lorsque connecté par le Client) Le Client est responsable de son propre accord avec GitHub/Microsoft.

Pour recevoir des notifications concernant les modifications de cette liste de Sous-traitants ultérieurs, veuillez contacter [email protected].