Dernière mise à jour : Mars 2026
Data Processing Agreement
Accord de Traitement des Données
1. Objet de l'accord
Le présent Accord de Traitement des Données (ci-après « DPA ») définit les conditions dans lesquelles Agentic Solutions (ci-après « le Sous-traitant ») traite les données à caractère personnel pour le compte du Client (ci-après « le Responsable de traitement ») dans le cadre de la fourniture du service 1sirh.io.
Ce DPA fait partie intégrante des Conditions Générales d'Utilisation et complète les dispositions de la Politique de Confidentialité.
Ce DPA est rédigé conformément à l'article 28 du Règlement (UE) 2016/679 (RGPD).
2. Définitions
« Responsable de traitement » : désigne le Client, personne morale ou physique qui détermine les finalités et les moyens du traitement des données à caractère personnel de ses employés et candidats via le Service.
« Sous-traitant » : désigne Agentic Solutions (SASU), éditeur et opérateur du service 1sirh.io, qui traite les données à caractère personnel pour le compte du Responsable de traitement.
« Sous-traitant ultérieur » : désigne tout prestataire tiers auquel le Sous-traitant fait appel pour traiter des données à caractère personnel pour le compte du Responsable de traitement.
« Données personnelles » : désigne toute information se rapportant à une personne physique identifiée ou identifiable, au sens de l'article 4 du RGPD.
« Violation de données » : désigne une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données personnelles.
3. Nature et finalité du traitement
Le Sous-traitant traite les données personnelles pour les finalités suivantes, uniquement sur instruction documentée du Responsable de traitement :
- Fourniture du service SIRH (gestion des employés, congés, formations, évaluations, paie)
- Gestion des processus de recrutement
- Génération de rapports et analyses RH
- Fonctionnalités d'intelligence artificielle (recommandations, analyses prédictives)
- Envoi de notifications et emails transactionnels
- Support technique
4. Types de données traitées
- Données d'identification (nom, prénom, email, téléphone)
- Données professionnelles (poste, département, contrats, rémunération)
- Données de connexion (adresse IP, logs, navigateur)
- Données d'évaluation (performance, tests psychométriques, objectifs)
- Données de congés et absences (demandes, soldes, historique)
- Documents (CV, contrats, justificatifs)
5. Catégories de personnes concernées
- Employés : salariés, stagiaires, alternants du Client
- Candidats : personnes postulant à des offres d'emploi via le module de recrutement
- Managers : responsables d'équipe et supérieurs hiérarchiques utilisant les fonctions de gestion
- Administrateurs : utilisateurs disposant de droits de gestion sur le compte Client
6. Obligations du Sous-traitant
6.1 Traitement sur instruction
Le Sous-traitant ne traite les données personnelles que sur instruction documentée du Responsable de traitement, y compris en ce qui concerne les transferts de données vers un pays tiers. Si le Sous-traitant estime qu'une instruction constitue une violation du RGPD, il en informe immédiatement le Responsable de traitement.
6.2 Confidentialité
Le Sous-traitant veille à ce que les personnes autorisées à traiter les données personnelles s'engagent à respecter la confidentialité ou soient soumises à une obligation légale de confidentialité appropriée.
6.3 Mesures techniques et organisationnelles
Le Sous-traitant met en œuvre les mesures de sécurité suivantes :
- Chiffrement des données en transit (TLS 1.3) et au repos
- Contrôle d'accès basé sur les rôles (RBAC)
- Journalisation des accès et des opérations sensibles
- Sauvegardes régulières avec tests de restauration
- Isolation des données entre clients (multi-tenant sécurisé)
- Authentification sécurisée et gestion des sessions
6.4 Sous-traitants ultérieurs
Le Sous-traitant fait appel aux sous-traitants ultérieurs suivants :
| Sous-traitant | Finalité | Localisation |
|---|---|---|
| Cloudflare, Inc. | Hébergement, CDN, sécurité, base de données, stockage | États-Unis / UE |
| Anthropic (Claude API) | Fonctionnalités IA | États-Unis |
| Resend | Emails transactionnels | États-Unis |
Le Responsable de traitement autorise le recours à ces sous-traitants ultérieurs. Le Sous-traitant s'engage à notifier le Responsable de traitement de tout changement de sous-traitant ultérieur, lui laissant un délai de 30 jours pour s'y opposer.
6.5 Assistance pour les droits des personnes
Le Sous-traitant aide le Responsable de traitement à répondre aux demandes d'exercice des droits des personnes concernées (accès, rectification, effacement, portabilité, opposition, limitation) dans les meilleurs délais et au plus tard dans un délai de 5 jours ouvrés.
6.6 Assistance pour les analyses d'impact (AIPD)
Le Sous-traitant aide le Responsable de traitement à mener les analyses d'impact relatives à la protection des données (AIPD) lorsque celles-ci sont nécessaires, en fournissant les informations requises sur les traitements mis en œuvre.
6.7 Notification de violation
En cas de violation de données personnelles, le Sous-traitant notifie le Responsable de traitement dans un délai de 48 heures suivant la découverte de la violation. Cette notification comprend :
- La nature de la violation
- Les catégories et le nombre approximatif de personnes concernées
- Les conséquences probables
- Les mesures prises ou envisagées
7. Transferts internationaux
Les transferts de données vers des pays situés en dehors de l'Espace Économique Européen (EEE) sont encadrés par :
- Clauses Contractuelles Types (SCC) : adoptées par la Commission européenne (Décision d'exécution 2021/914), signées avec chaque sous-traitant ultérieur
- Mesures techniques complémentaires : chiffrement des données en transit et au repos, pseudonymisation, minimisation des données transférées
Le Sous-traitant s'engage à informer le Responsable de traitement de toute demande d'accès aux données par une autorité gouvernementale et à contester les demandes qu'il estime illicites.
8. Audit
Le Sous-traitant met à la disposition du Responsable de traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues par le présent DPA et par le RGPD.
Le Responsable de traitement a le droit de réaliser ou de faire réaliser un audit annuel pour vérifier la conformité du Sous-traitant. L'audit est soumis aux conditions suivantes :
- Préavis écrit de 30 jours minimum
- Réalisation pendant les heures ouvrées
- Confidentialité des informations obtenues
- Non-perturbation des opérations du Sous-traitant
En alternative à un audit sur site, le Sous-traitant peut fournir un rapport d'audit réalisé par un tiers indépendant.
9. Durée
Le présent DPA prend effet à la date de souscription au Service et reste en vigueur pendant toute la durée du contrat de service entre le Responsable de traitement et le Sous-traitant. Les obligations de confidentialité et de sécurité survivent à la résiliation du contrat.
10. Sort des données à la fin du contrat
À la fin du contrat de service, le Sous-traitant s'engage à :
- Restitution : Sur demande du Responsable de traitement, restituer l'ensemble des données personnelles dans un format structuré, couramment utilisé et lisible par machine (JSON ou CSV), dans un délai de 30 jours suivant la demande.
- Suppression : Supprimer de manière irréversible toutes les données personnelles dans un délai de 90 jours suivant la fin du contrat, sauf obligation légale de conservation.
- Attestation : Fournir au Responsable de traitement une attestation écrite de destruction des données, sur demande.
Les données soumises à des obligations légales de conservation (comptables, fiscales) seront conservées pendant la durée légalement requise, puis supprimées.