Data Processing Addendum

Le Sous-traitant traite, pour le compte du Responsable de traitement, les données personnelles strictement nécessaires à la fourniture du Service. La durée du traitement correspond à la durée de l'abonnement actif.

• Nature :requête en temps réel sur des sources publiques d'offres d'emploi, déduplication et restitution
• Finalité :permettre au Responsable de traitement de fournir un service de recherche d'emploi à ses propres utilisateurs finaux
• Catégories de données :requêtes de recherche transmises à l'API (titre du poste, localisation, séniorité). Aucune donnée personnelle identifiant directement un utilisateur final n'est requise par défaut. Si le Responsable de traitement choisit d'envoyer une telle donnée (CV, profil), il doit s'assurer d'avoir le consentement approprié.
• Catégories de personnes concernées : utilisateurs finaux du produit du Responsable de traitement

Le Sous-traitant a recours aux sous-traitants ultérieurs suivants, listés à la date du présent addendum :

• Hetzner Online GmbH(Allemagne, UE) : hébergement
• Stripe Payments Europe Ltd(Irlande, UE) : traitement des paiements
• Google Ireland Ltd(Irlande, UE) : authentification OAuth, uniquement si l'utilisateur final choisit cette option

Tout ajout ou changement de sous-traitant ultérieur sera notifié au Responsable de traitement par email avec un préavis de 30 jours, période pendant laquelle il peut s'opposer par écrit (et résilier le contrat sans pénalité en cas de désaccord matériel).

Le Sous-traitant met en œuvre :

• Chiffrement des transferts (TLS 1.2+)
• Chiffrement au repos pour les données sensibles
• Hash bcrypt des mots de passe utilisateur
• Hash SHA-256 + préfixe public pour les clés API
• Accès aux serveurs limité par clé SSH avec rotation
• Sauvegardes quotidiennes chiffrées
• Journalisation des accès administratifs
• Politique de divulgation des vulnérabilités

Le Sous-traitant prête assistance au Responsable de traitement pour répondre aux demandes des personnes concernées (accès, rectification, effacement, portabilité, opposition). La demande doit être adressée à dpo@jobydoo.io.

Le Sous-traitant notifie au Responsable de traitement toute violation de données dans un délai maximal de 72 heures après en avoir pris connaissance, conformément à l'article 33 du RGPD.

Le Responsable de traitement peut demander une fois par an, avec un préavis de 30 jours et à ses frais, un audit ciblé des mesures de sécurité du Sous-traitant. Le Sous-traitant peut présenter une certification SOC 2 ou ISO 27001 en substitution lorsque celle-ci couvre le périmètre demandé.

À la fin du contrat, et au choix du Responsable de traitement, le Sous-traitant supprime ou restitue toutes les données personnelles dans un délai de 30 jours, sauf obligation légale de conservation (factures : 10 ans).

Aucun transfert hors Union européenne n'est effectué dans le cadre normal d'exploitation. En cas de transfert futur, le Sous-traitant s'engage à utiliser un mécanisme de transfert reconnu (clauses contractuelles types, décision d'adéquation) et à en informer le Responsable de traitement.

Pour signer formellement cet addendum dans le cadre d'un contrat Enterprise ou pour toute autre demande, contactez enterprise@jobydoo.io. Une version PDF avec champs de signature électronique sera fournie sous 48 heures.