G

Accord de traitement
des données à caractère personnel

Annexe aux Conditions Générales de Services.

PRÉAMBULE

Le présent Accord de traitement des données à caractère personnel (ci-après le « DPA ») fait partie intégrante du Contrat conclu entre REFLECT et le Client et est conclu en application de l'article 28 du Règlement (UE) 2016/679 (« RGPD »). L'acceptation des Conditions Générales de Services REFLECT (les « CGS ») emporte acceptation du présent DPA par le Client. Les termes employés avec une majuscule et non définis au présent DPA ont le sens qui leur est donné dans les CGS.

ARTICLE 1 - DÉFINITIONS

Les termes « Données à caractère personnel », « Personne concernée », « Responsable du traitement », « Sous-traitant », « Traitement », « Violation de données à caractère personnel » et « Autorité de contrôle » ont le sens qui leur est donné par l'article 4 du RGPD.

Pour les besoins du présent DPA :

« Données » : les Données à caractère personnel traitées par REFLECT pour le compte du Client dans le cadre de la fourniture de la Solution et des Services, telles que décrites à l'Annexe 1

« Données anonymisées » : les données issues d'un processus d'anonymisation irréversible ne permettant plus, par des moyens raisonnables, la réidentification d'une personne physique ; elles ne constituent pas des Données à caractère personnel au sens du RGPD

« Réglementation Données » : le RGPD, la loi n° 78-17 du 6 janvier 1978 modifiée et toute réglementation applicable en matière de protection des Données à caractère personnel

« Règlement IA » : le Règlement (UE) 2024/1689 du 13 juin 2024 établissant des règles harmonisées concernant l'intelligence artificielle

« Sous-traitant ultérieur » : tout sous-traitant engagé par REFLECT, au sens de l'article 28 §4 du RGPD, pour réaliser des activités de traitement spécifiques pour le compte du Client, lié par des obligations de protection des données au moins équivalentes à celles du présent DPA

« Sources » : les logiciels et services tiers du Client auxquels la Solution se connecte, sur autorisation du Client, afin d'en collecter les données, au sens des CGS

« Transfert » : tout traitement, transfert matériel ou accès à distance à des Données depuis ou vers une entité établie hors de l'Espace économique européen (« EEE »)

ARTICLE 2 - OBJET ET CHAMP D'APPLICATION

Le présent DPA a pour objet d'encadrer, conformément à l'article 28, paragraphes 3 et 4 du RGPD, les opérations de Traitement que REFLECT réalise en qualité de Sous-traitant, pour le compte du Client agissant en qualité de Responsable du traitement, dans le cadre de la fourniture de la Solution et des Services.

Le présent DPA ne s'applique pas aux Traitements que REFLECT met en œuvre en qualité de Responsable du traitement, pour ses propres finalités, et qui sont régis par sa Politique de confidentialité, notamment :
- les Traitements liés à la gestion de la relation client et commerciale (gestion du compte, facturation, support, prospection, statistiques d'audience et d'utilisation) ;
- les Traitements visant à assurer le fonctionnement, la sécurité, la supervision et la maintenance de la Solution et des Services, notamment la journalisation ;
- les Traitements visant à mesurer, améliorer et développer la Solution, les Services et leurs Fonctionnalités IA, réalisés à partir de Données anonymisées dans les conditions de l'Article 8.

ARTICLE 3 - HIÉRARCHIE

En cas de contradiction entre le présent DPA et les autres documents contractuels relativement à la protection des Données à caractère personnel, le présent DPA prévaut. Le présent DPA annule et remplace toute convention antérieure ayant le même objet.

ARTICLE 4 - RÔLES DES PARTIES

Le Client détermine seul les finalités et les moyens des Traitements réalisés au moyen de la Solution. Il agit en qualité de Responsable du traitement des Données des Personnes concernées (notamment ses salariés, collaborateurs, candidats et Utilisateurs), ou, le cas échéant, en qualité de sous-traitant agissant pour le compte de ses propres clients, auquel cas il se porte fort du respect des obligations correspondantes.

Pour les Données traitées au moyen de la Solution et des Services, REFLECT agit en qualité de Sous-traitant du Client et ne traite ces Données que pour les besoins de la fourniture des Services et sur instructions documentées du Client.

ARTICLE 5 - DESCRIPTION DES TRAITEMENTS

Les catégories de Personnes concernées, les catégories de Données, la nature et les finalités des Traitements ainsi que leur durée sont décrites à l'Annexe 1, conformément à l'article 28 §3 du RGPD. Le Client garantit l'exactitude et l'exhaustivité de ces éléments au regard des Traitements qu'il met en œuvre.

ARTICLE 6 - OBLIGATIONS DE REFLECT

6.1 Instructions documentées

REFLECT ne traite les Données que sur instructions documentées du Client, y compris en matière de localisation de l'hébergement et de transferts, telles que figurant au Contrat, au présent DPA et à l'Annexe 1, ou communiquées ultérieurement par écrit, sauf obligation légale de l'Union ou d'un État membre.

Dans ce cas, REFLECT informe le Client de cette obligation avant le Traitement, sauf interdiction légale pour des motifs importants d'intérêt public. REFLECT informe le Client si une instruction constitue, selon elle, une violation de la Réglementation Données.

6.2 Finalités et durée

REFLECT ne traite les Données que pour les finalités décrites à l'Annexe 1 et pour la durée du Contrat, sauf instruction contraire du Client ou obligation légale de conservation. Le Responsable du traitement demeure seul garant de la légalité des durées de conservation qu'il détermine.

6.3 Confidentialité

REFLECT veille à ce que les personnes autorisées à traiter les Données s'engagent à en respecter la confidentialité, par des engagements survivant à la cessation de leurs fonctions, ou soient soumises à une obligation légale appropriée. REFLECT n'est pas responsable de la gestion, par le Client, des droits d'accès de ses Utilisateurs.

6.4 Sécurité

REFLECT met en œuvre les mesures techniques et organisationnelles appropriées décrites à l'Annexe 2 afin d'assurer un niveau de sécurité adapté au risque, conformément à l'article 32 du RGPD. Les Données sont hébergées et traitées au sein de l'Union européenne, auprès de fournisseurs cloud certifiés ISO/IEC 27001 et SOC 2. Le système de management de la sécurité de l'information de REFLECT fait lui-même l'objet d'une certification ISO/IEC 27001.

REFLECT peut faire évoluer ces mesures, notamment en fonction de l'état de l'art, des risques et de la réglementation, sous réserve de maintenir un niveau de sécurité équivalent.

6.5 Registre des traitements

REFLECT tient et maintient à jour, conformément à l'article 30 §2 du RGPD, un registre écrit des catégories d'activités de traitement effectuées pour le compte du Client, qu'elle tient à la disposition de l'Autorité de contrôle.

6.6 Sous-traitants ultérieurs

Le Client autorise REFLECT, de manière générale, à recourir à des Sous-traitants ultérieurs pour l'exécution des Services. La liste à jour et datée figure à l'Annexe 3 et est réputée acceptée par le Client. REFLECT informe le Client par écrit de tout ajout ou remplacement envisagé, moyennant un préavis d'au moins trente (30) jours calendaires, afin de lui permettre de s'y opposer pour un motif légitime et raisonnable tenant à la protection des Données. En cas d'opposition légitime persistante, REFLECT pourra, à son choix :
- proposer un autre Sous-traitant ultérieur ;
- renoncer au changement envisagé ;
- ou maintenir le changement, le Client pouvant alors résilier le Service concerné moyennant un préavis de trente (30) jours, sans indemnité de part et d'autre, les sommes dues restant exigibles.

REFLECT impose à ses Sous-traitants ultérieurs, par contrat, des obligations de protection des données au moins équivalentes à celles du présent DPA et demeure responsable, à l'égard du Client, de l'exécution de leurs obligations.

6.7 Localisation et transferts hors EEE

Le traitement effectif des Données est réalisé au sein de l'Union européenne. Certains Sous-traitants ultérieurs sont établis hors de l'EEE ; lorsqu'ils sont susceptibles de réaliser un traitement effectif hors EEE, ceux-ci ne reçoivent aucune donnée identifiante des salariés du Client. Tout Transfert hors EEE est encadré par un mécanisme conforme à la Réglementation Données, notamment les clauses contractuelles types de la Commission européenne, le Client donnant mandat à REFLECT pour les conclure en son nom lorsque cela est nécessaire. La localisation, le pays de traitement effectif et le cadre de transfert de chaque Sous-traitant ultérieur figurent à l'Annexe 3.

6.8 Assistance au Client

Compte tenu de la nature du Traitement et des informations à sa disposition, REFLECT assiste le Client, par des mesures techniques et organisationnelles appropriées et dans la mesure du possible, pour :
- donner suite aux demandes d'exercice des droits des Personnes concernées (accès, rectification, effacement, opposition, limitation, portabilité, non-décision automatisée) ; REFLECT transmet au Client toute demande reçue directement, sans y répondre lui-même ;
- fournir, à la demande du Client, une copie des Données dans un format prescrit par le Client, notamment aux fins de portabilité ;
- garantir le respect des obligations de sécurité (article 32 du RGPD) ;
- notifier les Violations de données à l'Autorité de contrôle et aux Personnes concernées (articles 33 et 34 du RGPD) ;
- réaliser les analyses d'impact relatives à la protection des données (article 35) et, le cas échéant, les consultations préalables de l'Autorité de contrôle (article 36).

Cette assistance est fournie dans la mesure du raisonnable, toute prestation excédant ce cadre peut faire l'objet d'une facturation dédiée, à des conditions convenues entre les Parties.

6.9 Notification des Violations de données

REFLECT notifie au Client toute Violation de données concernant les Données en tout état de cause, dans les quarante-huit (48) heures après en avoir pris connaissance.

La notification contient, dans la limite des éléments disponibles la description de l'événement, sa qualification provisoire et les premières mesures conservatoires engagées. REFLECT coopère avec le Client afin de lui permettre de satisfaire à ses obligations et communique, dans la mesure du possible :
- la description de la nature de la Violation, y compris, si possible, les catégories et le nombre approximatif de Personnes concernées et d'enregistrements concernés ;
- les coordonnées du délégué à la protection des données ou d'un autre point de contact ;
- les conséquences probables de la Violation et les mesures prises ou proposées pour y remédier et en atténuer les effets.

Toute communication publique ou notification officielle à l'Autorité de contrôle ou aux Personnes concernées est préalablement approuvée par le Client.

6.10 Documentation et audits

REFLECT met à la disposition du Client les informations nécessaires pour démontrer le respect de ses obligations au titre de l'article 28 du RGPD. À la demande du Client, REFLECT autorise et facilite la réalisation d'audits, y compris des inspections, une (1) fois par année contractuelle, moyennant un préavis raisonnable d'au moins trente (30) jours.

L'audit est conduit aux frais du Client, de préférence sur pièces, par le Client ou un tiers indépendant soumis à une obligation de confidentialité et non concurrent de REFLECT, à l'exclusion de tout document de nature financière ou comptable et de tout élément relatif aux autres clients de REFLECT. Les frais raisonnables exposés par REFLECT à l'occasion de l'audit sont à la charge du Client.

ARTICLE 7 - INTELLIGENCE ARTIFICIELLE

Dans le cadre des Services, REFLECT traite les Données au moyen de la fonctionnalité optionnelle d'intelligence artificielle « Prism », pour le compte et sur instructions du Client, à des fins d'analyse, de restitution et d'aide à la décision. Les caractéristiques de Prism, son hébergement au sein de l'Union européenne et sa classification au titre du Règlement IA figurent à l'Annexe IA [lien], qui fait partie intégrante du Contrat.

Prism n'est activé que sur action explicite et volontaire d'un Utilisateur ; en l'absence d'une telle action, aucune Donnée n'est transmise au modèle. Les Données du Client ne sont pas utilisées pour entraîner ou améliorer des modèles d'intelligence artificielle de tiers et ne sont pas conservées par le fournisseur du modèle à des fins de surveillance des abus.

Prism constitue un outil d'aide à la décision sous supervision humaine. Il ne met en œuvre aucune décision produisant des effets juridiques ou affectant significativement les Personnes concernées de manière similaire, fondée exclusivement sur un traitement automatisé au sens de l'article 22 du RGPD, la décision demeurant celle du Client.

ARTICLE 8 - ANONYMISATION

Le Client autorise expressément REFLECT à mettre en œuvre des procédés d'anonymisation des Données. Les Données anonymisées ne constituent plus des Données à caractère personnel et sont exclues du champ du présent DPA. REFLECT peut, en qualité de Responsable du traitement et sans limitation de durée, conserver et exploiter librement les Données anonymisées, ainsi que les statistiques et données d'usage agrégées qui en sont issues, à des fins de fonctionnement, de sécurité, de mesure, d'amélioration et de développement de la Solution, des Services et de leurs modèles d'intelligence artificielle. REFLECT garantit le caractère effectif et robuste de l'anonymisation, conformément à l'état de l'art et aux lignes directrices applicables.

ARTICLE 9 - OBLIGATIONS DU CLIENT

Le Client, en qualité de Responsable du traitement, garantit le respect de la Réglementation Données. Il garantit en particulier la licéité, la loyauté et la transparence des Traitements, la pertinence des Données transmises à REFLECT, l'information des Personnes concernées et l'existence d'une base légale appropriée. Il garantit que les Données et les contenus traités pour son compte ne portent pas atteinte aux droits des tiers ni à la réglementation applicable. Le Client documente par écrit toute instruction de Traitement adressée à REFLECT et garantit REFLECT contre tout recours de tiers résultant d'un manquement du Client à ses obligations au titre du présent DPA.

ARTICLE 10 - SORT DES DONNÉES EN FIN DE CONTRAT

Au terme du Contrat, REFLECT, selon le choix du Client exprimé par écrit, restitue les Données dans un format standard exploitable puis les efface, ou les efface et certifie cet effacement, sauf obligation légale de conservation. À défaut d'instruction du Client dans un délai de trente (30) jours suivant la fin du Contrat, REFLECT conserve les Données pendant une durée maximale de trois (3) mois, puis procède à leur effacement, sous réserve des obligations légales applicables et des Données anonymisées qui demeurent exclues du présent DPA.

ARTICLE 11 - DÉLÉGUÉ À LA PROTECTION DES DONNÉES ET CONTACT

REFLECT a désigné un délégué à la protection des données (DPO), déclaré auprès de la CNIL : Monsieur Baptiste Jan (baptiste@getreflect.io), 3 rue Villebois-Mareuil, 75017 Paris. Le DPO exerce ses missions en toute indépendance conformément aux articles 37 à 39 du RGPD. Tout changement de DPO est notifié au Client dans les quinze (15) jours calendaires. Cette adresse est réservée aux questions relatives à la protection des données et ne traite pas les demandes de support fonctionnel ou contractuel.

ANNEXE 1

La présente annexe décrit, conformément à l'article 28 §3 du RGPD, les Traitements réalisés par REFLECT en qualité de Sous-traitant pour le compte du Client. Les Traitements sont réalisés au sein de l'Union européenne.

Annexe 1 - Description des traitements

RubriqueDescription
Catégories de Personnes concernées
  • salariés, anciens salariés, collaborateurs, intérimaires et stagiaires du Client ;
  • candidats et prospects intégrés par le Client ;
  • intervenants externes (consultants, prestataires) ;
  • représentants, dirigeants et mandataires sociaux ;
  • Utilisateurs, Administrateurs RH et managers désignés par le Client.
Catégories de Données
  • identification (civilité, nom, prénom, adresse postale et électronique, téléphone, date et lieu de naissance) ;
  • connexion et données techniques (identifiants, logs, adresse IP, identifiants de terminaux) ;
  • vie professionnelle (poste, fonction, service, établissement, statut, ancienneté, type de contrat, manager, CSP) ;
  • données contractuelles (contrats, avenants, documents liés à la relation de travail) ;
  • données économiques et financières (rémunération, salaires, primes, avantages, éléments variables de paie) ;
  • temps de travail (plannings, horaires, présences, absences, congés, arrêts, absentéisme) ;
  • recrutement (CV, candidatures, parcours, statut dans le processus) ;
  • évaluation, formation et performance professionnelle ;
  • contacts en cas d'urgence ;
  • diversité et égalité professionnelle nécessaires aux rapports de conformité (notamment Index Egapro) ;
  • données de localisation, le cas échéant et sur instruction du Client ;
  • données générées ou enrichies par la fonctionnalité IA Prism ;
  • plus généralement, toute Donnée saisie par le Client ou collectée depuis les Sources sur autorisation du Client.
Catégories particulières de Données le Client s'abstient, sauf instruction documentée et base légale appropriée, de transmettre des données sensibles au sens de l'article 9 du RGPD ; le cas échéant, leur Traitement relève de la seule responsabilité du Client.
Nature des Traitements
  • collecte, enregistrement, organisation, structuration, conservation ;
  • adaptation, modification, extraction, consultation, utilisation ;
  • agrégation, rapprochement et interconnexion des données issues des Sources ;
  • analyse, profilage statistique et restitution, y compris au moyen de Prism ;
  • communication par transmission et mise à disposition (Tableaux de bord, exports, rapports) ;
  • pseudonymisation, anonymisation, limitation, effacement et destruction.
Finalités
  • fourniture, exploitation et maintenance de la Solution et des Services ;
  • connexion sécurisée aux Sources et agrégation des données RH du Client ;
  • production de Tableaux de bord, d'analyses et d'indicateurs de pilotage RH ;
  • pilotage des effectifs et suivi du recrutement ;
  • contrôle et amélioration de la qualité des données RH ;
  • production de rapports de conformité (notamment BDESE, Index Egapro, CSRD) ;
  • analyse et restitution au moyen de l'agent d'intelligence artificielle Prism ;
  • hébergement, sauvegarde et stockage des Données ;
  • support, assistance et notifications aux Utilisateurs ;
  • transmission aux prestataires et Sources du Client lorsque nécessaire à l'exécution des Services.
Durée des Traitements la durée du Contrat, augmentée des durées de conservation prévues à l'Article 10 et des obligations légales applicables.

Annexe 2 - Mesures techniques et organisationnelles

CatégorieMesures
Sécurité des données
  • chiffrement des canaux de communication par TLS (1.2 ou supérieur) et chiffrement des Données au repos ;
  • relecture systématique du code avant déploiement ;
  • Content-Security-Policy limitant les contenus aux seuls Utilisateurs autorisés ;
  • accès à la base de données restreint au seul réseau privé de la Solution.
Confidentialité
  • séparation des tâches et des domaines de responsabilité ;
  • accès aux outils et interfaces d'administration limité aux personnes strictement habilitées ;
  • identifiant unique pour toute personne disposant d'un accès légitime ;
  • accès aux Données selon les principes du besoin d'en connaître et du moindre privilège ;
  • suppression définitive des Données lorsqu'elles quittent la zone de production.
Disponibilité et cloisonnement
  • identification des Données utiles à chaque processus métier ;
  • séparation logique des Données et gestion de droits d'accès différenciés par processus ;
  • réplication multi-zones au sein de l'Union européenne et plans de continuité et de reprise d'activité.
Intégrité mesures de prévention des attaques par injection (SQL, scripts) lors de l'écriture en base de données.
Authentification et gestion des accès
  • authentification déléguée à un fournisseur d'identité tiers via SSO, à l'exclusion de tout mode d'authentification local ;
  • authentification multifacteur (MFA) pour les comptes administrateurs accédant aux Données du Client ;
  • gestion des comptes et des droits via une interface d'administration dédiée, selon le moindre privilège.
Gestion des vulnérabilités et des correctifs
  • analyse statique du code et analyse continue des dépendances à chaque livraison ;
  • blocage de toute mise en production présentant une vulnérabilité de criticité élevée non résolue ;
  • délais de remédiation différenciés selon la criticité ;
  • test d'intrusion indépendant réalisé annuellement.
Journalisation, traçabilité et supervision
  • production et protection des journaux applicatifs, systèmes et d'accès couvrant les opérations sur les Données, avec une rétention minimale de douze (12) mois ;
  • garanties d'intégrité et de confidentialité des journaux ;
  • supervision native des hébergeurs cloud et outils dédiés de détection et d'alerting, y compris pour le composant d'IA.
Réponse aux incidents
  • notification interne au responsable sécurité et qualification de l'incident dans des délais courts ;
  • prise en charge et résolution selon des délais différenciés en fonction de la criticité ;
  • plan de réponse aux incidents documenté et tenu à disposition.
Sécurité du développement et de l'hébergement
  • relecture systématique du code avant déploiement ;
  • hébergement au sein de l'Union européenne auprès de fournisseurs cloud certifiés ISO/IEC 27001 et SOC 2 ;
  • chiffrement des flux et cloisonnement réseau de la base de données.
Personnel
  • engagements de confidentialité survivant à la cessation des fonctions et vérifications proportionnées préalables ;
  • accès régis par les principes du besoin d'en connaître et du moindre privilège ;
  • formation continue à la protection des données et à la cybersécurité.