1. Introduction
L'objet de l'Accord de Protection des Données (ci-après « DPA ») est de réglementer l'utilisation des données personnelles du client, qui agit en tant que responsable du traitement (ci-après « Client »), par Hublead, qui agit en tant que sous-traitant (ci-après « Sous-traitant ») dans le cadre du Contrat (ci-après « Contrat »).
2. Engagements
Le Sous-traitant s'engage et certifie respecter toutes les dispositions des règles applicables en matière de protection des données, qui comprennent le Règlement Général sur la Protection des Données (ci-après le « RGPD » ; Règlement (UE) 2016/679 du 27 avril 2016) et la Loi française Informatique et Libertés (Loi n° 78-17 du 6 janvier 1978). Le Sous-traitant déclare offrir toutes les garanties suffisantes pour répondre aux exigences des règles applicables en matière de protection des données et, plus particulièrement, pour garantir la confidentialité et la protection des données du Client.
3. Instructions
Le Sous-traitant déclare et s'engage à n'utiliser les données du Client que sur ses instructions documentées décrites dans le Contrat.
Le Client s'engage à informer le Sous-traitant de toute modification des instructions concernant l'utilisation de ses données personnelles. Le Sous-traitant doit notifier le Client, par écrit et sans délai, si les instructions documentées de ce dernier constituent une violation des règles applicables en matière de protection des données.
4. Confidentialité
Le Sous-traitant déclare et certifie que tous ses employés qui traitent les données personnelles du Client sont liés par une clause de confidentialité ou par tout autre acte juridique garantissant la confidentialité des données personnelles du Client. Le Sous-traitant s'engage à former régulièrement ses collaborateurs sur les règles applicables en matière de protection des données.
5. Sécurité
Le Sous-traitant certifie et s'engage à garantir la sécurité des données personnelles du Client et à mettre en œuvre les mesures techniques et organisationnelles indiquées à l'Annexe 1 de ce DPA et nécessaires pour prévenir tout risque de violation de données.
6. Violation de données
Le Sous-traitant s'engage à notifier le Client, sans délai après en avoir pris connaissance, de toute violation de données pouvant affecter les données personnelles du Client. La notification doit spécifier toutes les informations nécessaires au Client pour traiter la violation de données décrite à l'article 28 du RGPD. En cas de violation de données, le Sous-traitant s'engage à prendre toutes les mesures requises pour remédier à l'impact de la violation. Sauf consentement exprès, préalable et écrit du Client, le Sous-traitant n'est pas autorisé à notifier les violations de données à l'autorité de contrôle ni aux personnes concernées par le traitement effectué dans le cadre du Contrat.
7. Aide et assistance en matière de sécurité
Le Sous-traitant fournira au Client toutes les informations nécessaires et requises sur les mesures de sécurité techniques et organisationnelles à mettre en œuvre dans le cadre du Contrat pour garantir la sécurité de ses données personnelles. Le Sous-traitant fournira au Client, sur demande écrite, toutes les informations nécessaires pour assurer la réalisation d'une analyse d'impact sur la vie privée (« PIA »). Le Sous-traitant n'a pas à assurer ou surveiller la sécurité du Client ni à réaliser une PIA pour le compte du Client.
8. Aide et assistance concernant les droits des personnes concernées
Le Sous-traitant fournira au Client, sur demande écrite, toutes les informations nécessaires pour permettre au Client de remplir son obligation de se conformer aux demandes des personnes concernées. Le Sous-traitant exécute, sur demande écrite du Client, les actions techniques à entreprendre pour que le Client remplisse son obligation. Cependant, le Sous-traitant n'a pas à traiter les demandes de droits des personnes en lieu et place et pour le compte du Client.
9. Sous-traitant ultérieur
Le Client accepte que le Sous-traitant puisse travailler avec les Sous-traitants ultérieurs listés à l'Annexe 2 de ce DPA, uniquement aux fins de l'exécution du Contrat. Le Sous-traitant doit informer le Client par email au moins deux mois avant la modification de la liste des Sous-traitants ultérieurs indiquée à l'Annexe 2 afin que le Client puisse s'y opposer.
Le Sous-traitant s'engage à ne recruter que des Sous-traitants ultérieurs offrant des garanties nécessaires et suffisantes pour assurer la sécurité et la confidentialité des données personnelles du Client. En tout état de cause, le Sous-traitant reste responsable des actions du Sous-traitant ultérieur dans le cadre du Contrat.
10. Sort des données personnelles
Le Client informera le Sous-traitant, par écrit et au plus tard un mois avant la fin du Contrat, de son choix (option 1) de restitution des données personnelles puis effacement, ou (option 2) d'effacement direct des données personnelles et de toutes les copies existantes, ou (option 3) de transfert des données personnelles à un nouveau prestataire puis effacement. Si le Client ne communique pas son choix dans le délai spécifié, le Sous-traitant se réserve le droit d'effacer directement les données et toutes les copies (option 2).
11. Audits
Le Client a le droit de réaliser un audit sous forme de questionnaire écrit une fois par an pour vérifier la conformité avec cet Accord. Le Client a également le droit de réaliser un audit sur site, à ses frais, une fois par an uniquement en cas de violation de données ou de non-conformité avec les règles applicables de protection des données et cet Accord.
12. Transferts de données personnelles hors de l'Union européenne
Le Sous-traitant certifie et s'engage à faire tout le nécessaire pour ne pas transférer les données personnelles du Client hors de l'Union européenne ni recruter de Sous-traitant ultérieur situé hors de l'Union européenne. Néanmoins, si de tels transferts s'avèrent nécessaires, le Sous-traitant certifie qu'il mettra en œuvre tous les mécanismes requis, notamment les règles d'entreprise contraignantes (« BCR ») ou les clauses contractuelles types adoptées par la Commission européenne.
13. Coopération avec les autorités de contrôle
Concernant les traitements mis en œuvre dans le cadre du Contrat, le Sous-traitant s'engage à fournir, sur demande, toutes les informations nécessaires pour que le Client puisse coopérer avec l'autorité de contrôle compétente.
14. Contact
Chacun du Client et du Sous-traitant désigne un interlocuteur chargé de cet Accord et destinataire des différentes notifications et communications. Si un Délégué à la Protection des Données (« DPO ») a été désigné, l'interlocuteur sera nécessairement le DPO.
15. Nullité
En cas de nullité du Contrat, quelle qu'en soit la cause, le Client doit communiquer au Sous-traitant, par écrit, dans un délai d'un mois à compter du prononcé de la nullité, sa décision concernant le sort de ses données, conformément à l'article 10 de cet Accord.
16. Modification
Le Client se réserve le droit de modifier cet Accord en cas de modifications des règles applicables en matière de protection des données ayant pour effet de modifier l'une de ses dispositions.
17. Droit applicable
Nonobstant toute disposition contraire contenue dans le Contrat, cet Accord est soumis au droit français. Tout litige relatif à l'exécution de cet Accord sera soumis à la compétence exclusive des tribunaux du ressort de la Cour d'appel du lieu de résidence du Client.
Annexe 1 – Mesures de sécurité
Hublead prend la sécurité très au sérieux. Notre équipe a implémenté les meilleures pratiques de sécurité à tous les niveaux.
Pratiques de sécurité dans notre équipe
Hublead ne vend aucune donnée client et notre politique est de respecter la vie privée de nos utilisateurs. Notre modèle économique repose sur les abonnements payants Hublead.
- L'authentification à deux facteurs est utilisée sur les services tiers utilisés par Hublead
- Chaque ordinateur exécutant les outils de développement Hublead est sécurisé et à jour
- Les employés pouvant accéder aux données clients via notre système interne ont différents niveaux de sécurité. Nous veillons à ce qu'ils n'accèdent qu'aux données pertinentes.
- Les ordinateurs des employés Hublead ne stockent pas de données clients
- Nous n'avons aucun serveur ni clé de sécurité dans nos bureaux. Ainsi, les données de Hublead et de ses utilisateurs ne sont pas en danger en cas d'intrusion dans nos locaux.
Infrastructure et sécurité des données
Voici quelques-unes de nos pratiques en matière d'infrastructure et de gestion des données :
- Tous les serveurs et services fonctionnent avec les dernières mises à jour de sécurité et sont patchés immédiatement lorsqu'une vulnérabilité kernel est publiée
- Les serveurs sont situés en France
- Nos bases de données sont sauvegardées quotidiennement
- Notre réseau est protégé par des pare-feu
- Notre système fonctionne avec un monitoring automatisé nous permettant d'être au courant des problèmes avant qu'ils n'affectent nos clients
- Authentification serveur par clés SSH protégées (l'authentification par mot de passe direct n'est pas possible)
- Les IP abusives sont automatiquement bannies ou limitées en débit (prévient les attaques par force brute sur les comptes)
- Tout le trafic est chiffré (TLS)
- Nos bases de données sont chiffrées au repos
- Les tokens CRM de nos utilisateurs disposent d'une couche de chiffrement supplémentaire
Annexe 2 – Prestataires
- GitHub : Versionnage et partage de code
- Google Workspace : Services email et Drive
- Google Cloud Platform: Cloud Hosting in European Union
- HubSpot: CRM
- Stripe: Payment service provider
- PostHog: Product analytics (EU Cloud)
Annexe 3 – Informations générales
Catégories de données personnelles traitées
Standard (nom, URL LinkedIn, email et téléphone publics, intitulé de poste, informations entreprise, compétences, pays, formation, ancienneté)
Durée de stockage
Moins d'une heure, pas stocké du tout dans la plupart des cas
Base légale
Exécution du contrat conclu avec le Client
Finalités
Transfert de données personnelles de LinkedIn vers un CRM