Traitement des Données Accord
1. Définitions
1.1. Accord désigne les conditions générales standard conclues entre vous en tant que "Client" et nous en tant que Concédant (tel que défini dans l'Accord).
1.2. Législation sur la Protection des Données désigne toute législation en matière de protection des données et de la vie privée qui s'applique à vous et/ou à nous, en vigueur de temps à autre. Cela peut inclure (dans la mesure applicable) :
Règlement général sur la protection des données de l'UE (2016/679) (RGPD)
Le RGPD tel que défini dans la section 3(10) (tel que complété par la section 205(4)) de la DPA 2018 (RGPD britannique)
The UK's Data Protection Act 2018 (DPA 2018)
California Consumer Privacy Act, Cal. Civ. Code § 1798.100 et seq., et ses règlements d'application, tels que modifiés par la California Privacy Rights Act
Loi sur la protection des données des consommateurs de Virginie
Loi sur la protection de la vie privée du Colorado
Loi sur la confidentialité des informations biométriques de l'Illinois (BIPA)
Loi canadienne sur la protection des renseignements personnels et les documents électroniques (PIPEDA)
Loi générale brésilienne sur la protection des données (LGPD)
Loi australienne sur la protection de la vie privée de 1988 (Cth)
Loi sur la protection des données personnelles de Singapour (PDPA)
Loi japonaise sur la protection des informations personnelles (APPI)
Loi indienne sur la protection des données personnelles numériques
1.3. Contrôleur, Personne Concernée, Données Personnelles, Violation de Données Personnelles, Sous-traitant, Traitement/Processus/Traité et Autorité de Contrôle sont définis dans le RGPD.
1.4. Dispositions relatives au transfert de données désigne les clauses contractuelles types pour le transfert de données personnelles vers des pays tiers conformément au RGPD, adoptées par la Commission européenne en vertu de la décision de la Commission (UE) 2021/914 (clauses types de l'UE) et l'addendum britannique au transfert international des clauses types de l'UE (addendum britannique).
1.5. FADP désigne la Loi fédérale suisse sur la protection des données.
1.6. Services désigne les services d'entretien vidéo alimentés par l'IA que nous vous fournissons en vertu de l'Accord.
1.7. Données biométriques désigne les données personnelles résultant d'un traitement technique spécifique relatif aux caractéristiques physiques, physiologiques ou comportementales permettant une identification unique, y compris les données de reconnaissance faciale et les motifs vocaux.
2. Description du traitement
2.1. Les parties reconnaissent que cet Accord de Traitement de Données (ATD) s'applique uniquement aux Données Personnelles que nous traitons selon les instructions de notre Client, et en lien avec ce traitement :
2.1.1.Rôles: Nous agissons en tant que Traitement du Client dans notre fourniture des Services;
2.1.2. Catégories de Données Personnelles : Dans la fourniture des Services au Client, les catégories de Données Personnelles que nous traitons incluent :
Données clients telles que définies dans l'Accord (y compris le nom, le numéro de téléphone, l'adresse e-mail)
Enregistrements vidéo et enregistrements audio des entretiens
Données biométriques comprenant les traits du visage et les motifs vocaux
Réponses et transcriptions des entretiens
Cotes d'évaluation et analyses
Autres données personnelles fournies directement par des individus postulant à un emploi avec vous
Catégories spéciales de données personnelles (le cas échéant) telles que l'âge, la santé, le statut de handicap, l'origine raciale ou ethnique des sujets de données (uniquement si collectées avec un consentement explicite)
2.1.3. Catégories de sujets de données : Dans la fourniture de services à vous, les catégories de sujets de données dont nous traitons les données personnelles sont des employés ou des individus postulant à un emploi chez vous (Candidats) ; et
2.1.4. Nature et objectifs du traitement : Le traitement est effectué pour nous permettre de vous fournir les Services pendant la durée de l'Accord, à savoir :
i. Réaliser des entretiens vidéo alimentés par l'IA avec les candidats
ii. Enregistrer, stocker et analyser les sessions d'entretien vidéo
iii. Traiter les données biométriques pour la vérification de l'identité et les évaluations (le cas échéant et avec consentement)
iv. Appliquer des algorithmes d'IA pour évaluer les compétences en communication, les traits de comportement et la pertinence
v. Générer des scores d'évaluation, des rapports et des recommandations pour les décisions d'embauche
vi. Collecter les réponses des candidats à vos questions de suivi sur la diversité et l'inclusion (le cas échéant)
vii. Fournir des analyses sur les taux d'achèvement des entretiens, l'expérience des candidats et les métriques d'évaluation
viii. Permettre des aménagements d'accessibilité pour les candidats si nécessaire
2.2. Pendant la durée de l'Accord, les deux parties anticipent qu'elles échangeront des Données Personnelles agissant en tant que responsables de traitement indépendants concernant leurs employés, selon les besoins en lien avec des questions telles que la gestion de compte et le support technique. Chaque partie traitera ces Données Personnelles conformément à son propre avis de confidentialité. Notre avis de confidentialité est disponible à l'adresse suivante : https://welocity.ai/privacy-policy/.
2.3. Vous convenez par la présente que nous traitions les données clients pour les déidentifier aux fins de la législation sur la protection des données, afin que nous puissions utiliser ces données déidentifiées (qui n'incluent plus de données personnelles) pour développer et améliorer nos services, y compris :
i. Utiliser des données d'entretien déidentifiées pour améliorer nos modèles d'IA et réduire les biais
ii. Tester l'équité et la non-discrimination dans nos algorithmes comme l'exigent les réglementations sur l'IA applicables
iii. Former nos algorithmes d'IA pour améliorer la précision des évaluations
iv. Contribuer à la recherche scientifique sur les méthodes de recrutement et d'évaluation
3. Vos obligations
3.1. Vous conservez le contrôle des Données Personnelles que nous traitons pour votre compte et restez responsable de vos obligations de conformité en vertu de la législation sur la protection des données applicable, y compris :
Fournir les avis requis aux candidats concernant l'enregistrement vidéo et l'analyse par IA
Obtenir un consentement explicite pour la collecte de données biométriques le cas échéant
Assurer la conformité avec les lois sur l'emploi et la non-discrimination
Fournir des aménagements d'accessibilité si nécessaire
3.2. Vous garantissez et déclarez que notre utilisation prévue des Données Personnelles, telle que définie dans le présent Accord, sera conforme à la Législation sur la Protection des Données.
4. Nos Obligations
4.1. Nous ne traiterons les Données Personnelles que dans la mesure et de la manière qui est nécessaire pour fournir les Services conformément à cet Accord et à vos instructions. Nous vous informerons immédiatement si, à notre avis, votre instruction ne serait pas conforme à la législation sur la protection des données.
4.2. Nous veillerons à la confidentialité de toutes les Données Personnelles et ne divulguerons pas les Données Personnelles à des tiers sauf autorisation de votre part ou de cet Accord, ou si la loi applicable l'exige.
4.3. Nous vous aiderons raisonnablement à respecter vos obligations de conformité en vertu de la législation sur la protection des données, y compris en ce qui concerne les droits des personnes concernées, les évaluations d'impact sur la protection des données et le rapport aux autorités de contrôle.
4.4. Nous ne vendrons pas, ne partagerons pas pour la publicité comportementale inter-contextuelle, et nous ne divulguerons pas autrement les données clients à des tiers, sauf dans les cas autorisés au paragraphe 8. Nous ne combinerons pas les données clients avec des données personnelles provenant d'autres sources, sauf si cela est autorisé par la législation sur la protection des données.
4.5. Obligations spécifiques relatives aux données biométriques : Lorsque des données biométriques sont traitées, nous le ferons :
Obtenez le consentement explicite lorsque la loi l'exige
Mettez en œuvre des mesures de sécurité accrues pour les données biométriques
Limitez les périodes de conservation comme l'exigent des lois telles que la BIPA
Détruisez définitivement les données biométriques lorsqu'elles ne sont plus nécessaires
Ne vendez, ne louez, ne commerçez ni ne tirez profit des données biométriques
5. Sécurité
5.1. Nous veillerons à ce que tous nos employés et sous-traitants soient informés de la nature confidentielle des Données Personnelles et soient liés par des obligations de confidentialité.
5.2. Nous mettrons toujours en œuvre des mesures techniques et organisationnelles appropriées contre le traitement non autorisé ou illégal, y compris :
Cryptage des données personnelles en transit et au repos
Pseudonymisation des données personnelles, le cas échéant
Contrôles d'accès et mécanismes d'authentification
évaluations régulières de la sécurité et tests d'intrusion
Procédures de suppression sécurisée pour les enregistrements vidéo et les données biométriques
Systèmes de journalisation et de surveillance des audits
5.3. Nous mettrons en œuvre des mesures pour garantir un niveau de sécurité approprié au risque, y compris :
Conformité à la norme ISO 27001 ou SOC 2 (le cas échéant)
Formation régulière à la sécurité pour le personnel
Procédures de réponse aux incidents
Plans de continuité des activités et de reprise après sinistre
Tests réguliers des mesures de sécurité
6. Violation de données personnelles
6.1. Sans retard excessif, et en tout état de cause dans les 24 heures, nous vous informerons si nous prenons connaissance d'une violation de données personnelles concernant les données du client.
6.2. Nous vous fournirons toutes les informations pertinentes concernant la violation, y compris :
Nature de la violation
Catégories et nombre approximatif de personnes concernées par les données
Catégories et nombre approximatif d'enregistrements de données personnelles concernés
Conséquences probables de la violation
Mesures prises ou proposées pour remédier à la violation
6.3. Nous coopérerons avec vous pour enquêter et atténuer la violation, et nous coordonnerons sur toutes les notifications nécessaires aux autorités de contrôle ou aux personnes concernées.
6.4. Nous documenterons toutes les violations de données personnelles, y compris les faits, les effets et les mesures correctives prises.
7. Transferts transfrontaliers de données personnelles
7.1. Si une mesure de protection adéquate pour le transfert international de Données Personnelles est requise en vertu de la législation sur la protection des données applicable, les Dispositions de Transfert de Données seront intégrées dans ce DPA comme indiqué dans l'Annexe sur les Transferts Internationaux.
7.2. Pour les transferts soumis à la LPD suisse, les dispositions sur le transfert de données s'appliqueront avec les modifications spécifiées pour les transferts suisses.
7.3. Nous reconnaissons que des données personnelles peuvent être transférées et traitées dans :
États-Unis (centre de données principal)
Emplacements des fournisseurs de services cloud dans le monde
Emplacements des sous-traitants comme indiqué
8. Sous-traitants
8.1. Nous ne pouvons autoriser un tiers (sous-traitant) à traiter les Données Personnelles que si :
8.1.1. Vous êtes informé raisonnablement des modifications apportées à nos sous-traitants, avec la possibilité de s'y opposer dans les dix (10) jours ;
8.1.2. Nous concluons un contrat écrit avec le sous-traitant contenant des obligations équivalentes en matière de protection des données;
8.1.3. Nous conservons le contrôle sur toutes les données personnelles confiées au sous-traitant.
8.2. Vous nous autorisez à utiliser les sous-traitants listés sur https://welocity.ai/subprocessors/ y compris :
Fournisseurs de cloud hosting (AWS, Google Cloud, Azure)
Services de streaming et de stockage vidéo
Services de traitement IA/ML
Fournisseurs d'analytique
Fournisseurs de support technique
8.3. Nous restons pleinement responsables de la performance de tout sous-traitant.
9. Plaintes, demandes des personnes concernées et droits des tiers
9.1. Nous vous assisterons à vos frais pour répondre à :
Demandes d'accès des personnes concernées
Demandes de rectification, d'effacement ou de restriction du traitement
Demandes de portabilité des données
Objections au traitement
Droits liés à la prise de décision automatisée
9.2. Si nous recevons une demande d'un Sujet de données directement, nous vous informerons rapidement et redirigerons le Sujet de données pour vous contacter.
9.3. Nous coopérerons pleinement pour répondre à toutes les plaintes, avis ou communications des autorités de surveillance.
10. Retour et destruction des données
10.1. Sur demande, nous vous fournirons une copie ou un accès aux Données Personnelles du Client dans un format électronique couramment accessible.
10.2. À la résiliation des Services, nous procéderons rapidement et en toute sécurité :
Supprimer toutes les données personnelles, y compris les enregistrements vidéo
Détruire définitivement toutes les données biométriques
Fournir une certification de suppression sur demande
10.3. Cette exigence ne s'applique pas aux données que nous devons conserver pour se conformer aux obligations légales ou réglementaires.
11. Enregistrements
11.1. Nous garderons des enregistrements écrits détaillés, précis et à jour de toutes les activités de traitement effectuées en votre nom.
12. Audit
12.1. Pas plus d'une fois par période de 12 mois, nous fournirons des informations pertinentes de nos audits de conformité pour démontrer notre conformité avec ce DPA.
12.2. Nous mettrons à disposition toutes les informations raisonnablement nécessaires pour démontrer la conformité avec la législation sur la protection des données.
12.3. Vous pouvez exercer vos droits d'audit par l'intermédiaire des autorités de supervision comme prévu par la législation sur la protection des données.
Annexe sur les Transferts Internationaux
Partie A : Clauses contractuelles types
Dans la mesure où un transfert restreint de Données Personnelles est effectué conformément au RGPD, cette Partie A s'applique :
(i) Module Un des Clauses Contractuelles Types si vous (Contrôleur) nous transférez (Contrôleur)
(ii) Module Deux des Clauses Contractuelles Types si vous (Contrôleur) nous transférez (Processeur)
13.3 LA RESPONSABILITÉ TOTALE NE DOIT PAS DÉPASSER LES FRAIS PAYÉS AU COURS DES 12 MOIS PRÉCÉDANT LA RÉCLAMATION.
Clauses supplémentaires
Données biométriques : Des mesures spéciales s'appliquent aux transferts internationaux de données biométriques, y compris un cryptage renforcé et des contrôles d'accès.
Évaluation de l'impact du transfert : L'exportateur de données reconnaît que l'importateur de données a fourni les informations nécessaires pour l'évaluation de l'impact du transfert.
Droit applicable : Pour les SCC de l'UE - Lois de l'Irlande ; Pour l'addendum du Royaume-Uni - Lois de l'Angleterre et du Pays de Galles
Annexe 1 - Liste des Parties
Exportateur de données
Nom : Client
Adresse : Comme indiqué dans l'Accord
Rôle : Contrôleur
Importateur de données
Nom : Netconnect Global INC (d/b/a welocity.ai)
Adresse : 415 Mission Street, San Francisco, CA 94105, États-Unis
Rôle : Processeur (pour les services) / Responsable (pour les données dé-identifiées)
Description du transfert
Catégories de sujets de données : Candidats à un emploi et employés
Catégories de données personnelles :
Données d'identification (nom, email, téléphone)
Enregistrements vidéo et audio
Données biométriques (caractéristiques faciales, motifs vocaux)
Réponses et évaluations de l'entretien
Catégories spéciales (si fournies) : âge, santé, ethnicité
Données sensibles : données biométriques et toutes les catégories spéciales fournies volontairement
Fréquence: Continue pendant la prestation de services
Nature et Objectif: Services d'entretiens vidéo et d'évaluation alimentés par l'IA
Période de conservation : Comme spécifié dans l'Accord, avec un maximum de 3 ans pour les données biométriques
Mesures de Sécurité: Comme décrit dans la Section 5 de ce DPA
Partie B : Addendum britannique
Pour les transferts selon le RGPD britannique, l'addendum britannique s'applique avec :
Date de début: Date d'entrée en vigueur de l'accord
Tableau 1: Parties comme dans l'annexe 1
Table 2: Modules 1 et 2 des SCC de l'UE
Tableau 3: Informations de l'annexe comme dans l'annexe 1
Table 4: Droits de résiliation si les modifications de l'addendum britannique augmentent considérablement les coûts ou les risques
Classification: Public
Version : 1.0
Date : [Date]
Version : 1.0
Netconnect Global INC
415 Mission Street
San Francisco, CA 94105
États-Unis