Entente de traitement des données (ETD)

La présente Entente de traitement des données (« ETD ») est intégrée par renvoi :
(a) à toute convention-cadre d’abonnement ou tout bon de commande conclu entre Vesper Technologies Inc. (« Vesper », « nous », « notre ») et le client qui y est désigné (« Client », « responsable du traitement »), et
(b) aux documents en vigueur relatifs à la confidentialité et à la sécurité publiés dans le Centre de confiance de Vesper (https://askvesper.com/trust-center).

Vesper peut mettre à jour la présente ETD pour refléter les changements législatifs ou les pratiques de traitement. Si une mise à jour réduit de manière substantielle les droits du Client, Vesper donnera un préavis d’au moins trente (30) jours, soit via le Centre de confiance, soit par courriel. L’utilisation continue des Services après la date d’entrée en vigueur constitue une acceptation.

‍

1. Définitions

‍
« Données personnelles », « Personne concernée », « Responsable du traitement », « Sous-traitant », « Traitement » et « Violation de données personnelles » ont la signification prévue dans la législation applicable.

Lois sur la protection de la vie privée (ou « Loi applicable en matière de protection des données ») : toutes les lois, règlements et lignes directrices en matière de protection des données et de la vie privée qui régissent le traitement des données personnelles par l’une ou l’autre des parties, y compris, sans s’y limiter, le RGPD de l’UE, le RGPD du Royaume-Uni, la LPRPDE du Canada, la Loi 25 du Québec et les lois étatiques américaines sur la vie privée couvrant les données liées à l’emploi.

« Données personnelles du Client » : les données personnelles traitées par Vesper pour le compte du Client en vertu de la Convention.

« Clauses contractuelles types » (« CCT ») : les clauses types de l’UE 2021 et, le cas échéant, l’Addenda britannique sur les transferts internationaux de données.

Tout autre terme en majuscule a le sens qui lui est donné dans la Convention.

‍

2. Rôles et portée

‍

2.1 Responsable du traitement / Sous-traitant. Le Client est le Responsable du traitement des Données personnelles du Client ; Vesper agit en tant que Sous-traitant et ne traitera ces données que sur instructions documentées, sauf exigence contraire en vertu des Lois sur la protection de la vie privée.

‍

2.2 Activités en qualité de responsable indépendant. Pour des raisons de sécurité, d’intégrité du service, d’analyses désidentifiées et de conformité légale, Vesper agit en tant que Responsable du traitement indépendant, comme expliqué dans la Politique de confidentialité et le Centre de confiance.

‍

2.3 Les détails du traitement figurent à l’Annexe 1.

‍

3. Obligations de Vesper

‍

Vesper doit :

• traiter les Données personnelles du Client uniquement sur instructions documentées ;
• veiller à ce que le personnel soit tenu à la confidentialité ;
• mettre en œuvre et maintenir les mesures techniques et organisationnelles (« MTO ») décrites dans le Centre de confiance ;
• aider le Client à répondre aux demandes des personnes concernées, à réaliser des analyses d’impact sur la protection des données, à répondre aux autorités de contrôle et à gérer les incidents de sécurité, compte tenu de la nature du traitement ;
• à la fin du traitement, supprimer ou retourner les Données personnelles du Client, sauf obligation légale de conservation ;
• mettre à disposition les informations nécessaires pour démontrer la conformité et permettre les audits conformément à la Clause 8 ;
• informer le Client si nous estimons qu’une instruction enfreint les Lois sur la protection de la vie privée.

‍

4. Sous-traitants

‍

Autorisation générale. Le Client autorise Vesper à recourir à des sous-traitants ; la liste à jour figure dans le Centre de confiance.

Préavis. Vesper affichera ou enverra un avis au moins dix (10) jours avant d’ajouter ou de remplacer un sous-traitant. Le Client peut s’y opposer pour des motifs raisonnables liés à la vie privée.

Effet direct. Vesper impose à chaque sous-traitant des conditions de protection des données au moins aussi protectrices que celles de la présente ETD et demeure responsable de leurs actes.

‍

5. Transferts internationaux

‍

Les transferts hors de la juridiction d’origine suivent un mécanisme reconnu :

• UE/EEE → hors EEE : CCT (Modules 2 et 3)
• Royaume-Uni → hors Royaume-Uni : Addenda IDTA britannique
• Données suisses : CCT adaptées

Les annexes des CCT, les MTO et les évaluations d’impact sur les transferts figurent dans le Centre de confiance. La signature de la présente ETD vaut signature des CCT/Addenda pour les transferts concernés.

‍

6. Certification de fournisseur de services en Californie

‍

Pour les Données personnelles de Californie, Vesper agit comme « fournisseur de services/contractant » au sens de la CPRA. Vesper ne :
a) vendra ni ne partagera ces Données personnelles ;
b) ne conservera, utilisera ou divulguera ces données à d’autres fins que la prestation des Services ou celles permises par la loi ;
c) ne les combinera avec d’autres données, sauf dans les cas autorisés par la CPRA.

‍

7. Incidents de sécurité

‍

Vesper informera le Client sans délai indu après avoir confirmé une Violation de données personnelles et fournira les détails, les mesures d’atténuation et la coopération exigés par les Lois sur la protection de la vie privée.

‍

8. Audits

‍

Une fois par période de douze mois, ou après une Violation confirmée de données personnelles, le Client peut auditer la conformité de Vesper. À la discrétion de Vesper, l’audit peut être satisfait par un rapport SOC 2 Type II, ISO 27001 ou équivalent, un questionnaire rempli, ou une visite sur site (préavis de 30 jours, heures ouvrables, confidentialité requise).

‍

9. Responsabilité et durée

‍

La responsabilité en vertu de la présente ETD est plafonnée conformément à la clause de limitation de responsabilité de la Convention. La présente ETD demeure en vigueur aussi longtemps que Vesper traite des Données personnelles du Client dans le cadre de la Convention.

‍

10. Primauté

‍

En cas de conflit entre la présente ETD et la Convention, la présente ETD prévaut dans la mesure du conflit en matière de protection des données.

‍

Annexe 1 – Détails du traitement

‍

• Personnes concernées : Candidats/finalistes fournis par le Client
• Catégories de données personnelles : Audio/vidéo d’entrevue, transcriptions, noms, coordonnées, données de CV, identifiants de poste, métadonnées de planification, scores et classements IA, réponses démographiques facultatives
• Données sensibles : Non collectées intentionnellement ; si fournies, traitées ou supprimées conformément aux Lois sur la protection de la vie privée
• Finalité : Capturer et évaluer les réponses aux entrevues ; présenter les résultats au Client ; sécurité, assistance, analyses désidentifiées d’exactitude et d’équité ; conformité légale
• Durée : Pour la durée de la Convention ou selon les instructions du Client ; suppression/renvoi à la fin
• Lieux de traitement : Hébergement principal au Canada et aux États-Unis ; autres emplacements figurant dans le Centre de confiance

‍

Annexe 2 – Incorporation des CCT / IDTA

‍

Les CCT (Modules 2 et 3) et l’Addenda IDTA britannique sont intégrés par renvoi.

‍

Références des annexes :

‍

• Annexe I(A) – Parties : Client (exportateur) ; Vesper (importateur)
• Annexe I(B) & (C) – Voir Annexe 1 et MTO du Centre de confiance
• Annexe II – Mesures techniques et organisationnelles : Centre de confiance
• Annexe III – Liste des sous-traitants : Centre de confiance

‍

Pour la Clause 9(a) (changements de sous-traitants), le délai de préavis est de dix (10) jours. Droit applicable à la Clause 17 : Irlande. Tribunaux compétents pour la Clause 18 : Dublin.