Accord de Traitement des Données
DPA — Dernière mise à jour : avril 2026 — À faire relire par un juriste avant publication
Préambule
Cet Accord de Traitement des Données (« DPA ») est conclu entre StaffKit, éditeur du service StaffKit (ci-après « StaffKit », « nous »), et tout client (« vous », « le Responsable du traitement ») utilisant nos services. Il complète nos Conditions Générales d'Utilisation et s'applique dès lors que nous traitons des données personnelles en votre nom.
1. Objet et champ d'application
Cet accord régit le traitement des données personnelles effectué par StaffKit en tant que sous-traitant pour votre compte, dans le cadre de l'utilisation de nos services : reformatage automatique de CVs, analyse Mission Fit, génération de requêtes de sourcing booléen, création de devis commerciaux, et gestion d'équipe.
2. Nature des données traitées
StaffKit peut traiter les catégories de données personnelles suivantes :
- Adresse e-mail, nom, nom de la société
- Contenu des CVs uploadés (informations professionnelles des consultants)
- Données techniques (navigateur, OS, appareil)
- Données d'usage (transformations effectuées, analyses réalisées)
- Autres informations transmises volontairement par l'utilisateur
Aucune donnée sensible au sens du RGPD (données de santé, opinions politiques, convictions religieuses, etc.) ne doit être intentionnellement transmise via le service.
3. Sous-traitants autorisés
Vous autorisez StaffKit à recourir aux sous-traitants suivants :
| Sous-traitant | Rôle | Localisation |
|---|---|---|
| Anthropic | Traitement IA des CVs | États-Unis (DPA conforme RGPD) |
| Stripe | Traitement des paiements | États-Unis (certifié PCI DSS) |
| Railway | Hébergement de l'application et base de données | États-Unis |
| Cloudflare R2 | Stockage des fichiers | États-Unis |
| Resend | Envoi d'emails transactionnels | États-Unis |
StaffKit veille à ce que chaque sous-traitant respecte des engagements de confidentialité et de sécurité conformes au présent DPA. Les données transmises à Anthropic ne sont pas utilisées pour entraîner les modèles d'IA.
4. Instructions et responsabilités
StaffKit ne traite les données personnelles que selon vos instructions documentées, sauf obligation légale contraire. Vous êtes seul responsable de la licéité, de la finalité et de l'exactitude des données collectées via notre service, notamment de vous assurer que les consultants dont les CVs sont traités ont consenti au traitement de leurs données.
5. Transferts hors UE
Si les données proviennent de l'Espace Économique Européen (EEE), StaffKit garantit un niveau de protection adéquat en appliquant les Clauses Contractuelles Types (SCCs) validées par la Commission Européenne avec ses sous-traitants établis aux États-Unis.
6. Mesures de sécurité
StaffKit applique des mesures techniques et organisationnelles appropriées :
- Chiffrement des données sensibles en base (Fernet/AES-128-CBC)
- Tokens d'authentification hachés (SHA-256) — jamais stockés en clair
- Contrôle d'accès basé sur les rôles (RBAC)
- Rate limiting sur les endpoints sensibles
- Headers de sécurité HTTP (HSTS, X-Frame-Options, CSP)
- Vérification des fichiers uploadés (magic bytes, taille max)
- Transfert chiffré (TLS/HTTPS) pour toutes les communications
7. Droits des personnes concernées
StaffKit vous aide, dans la limite du raisonnable, à répondre aux demandes de vos utilisateurs finaux concernant : l'accès à leurs données, leur rectification ou suppression, leur portabilité, l'opposition au traitement. Toute demande doit faire l'objet d'instructions écrites de votre part adressées à [email protected].
8. Conservation et suppression des données
- CVs uploadés : accessibles dans l'historique utilisateur — supprimés à la clôture du compte
- Données de compte : conservées pendant la durée de la relation contractuelle + 3 ans
- Données de facturation : conservées 10 ans (obligation légale comptable)
Après clôture du compte, les données sont supprimées dans un délai raisonnable, sauf obligation légale contraire.
9. Suppression & portabilité sur demande
Sur demande écrite adressée à [email protected], StaffKit s'engage à : fournir une copie des données personnelles dans un format lisible par machine ; supprimer définitivement les données, sauf si une loi impose leur conservation.
10. Audits
En cas d'obligation légale expresse d'une autorité compétente, StaffKit coopérera raisonnablement, à distance et avec préavis raisonnable.
11. Notification d'incident
En cas de violation de données personnelles susceptible d'affecter vos utilisateurs, StaffKit vous en informera sans délai excessif et vous transmettra les éléments nécessaires à vos obligations légales de notification.
12. Droit applicable
Ce DPA est régi par le droit français et le Règlement Général sur la Protection des Données (RGPD — Règlement UE 2016/679). En cas de litige, les parties s'efforceront de trouver une solution amiable. À défaut, le litige sera soumis aux tribunaux compétents de [VILLE].
13. Modifications du DPA
StaffKit peut mettre à jour ce DPA en cas d'évolution légale ou opérationnelle. Une notification par email sera envoyée en cas de changement substantiel. L'utilisation continue du service après notification vaut acceptation du DPA révisé.
14. Contact
Pour toute question concernant ce DPA : StaffKit — [email protected]
[...] sont à compléter avant publication. Ce document doit être relu et validé par un juriste spécialisé en droit du numérique.