Accord de traitement des données (DPA)
Version 1.2 — En vigueur au 1er mai 2026 — Conforme au RGPD (UE 2016/679)
1. Objet
Le présent DPA définit les conditions dans lesquelles CertiCV, en qualité de sous-traitant au sens de l'article 28 du RGPD, traite des données à caractère personnel pour le compte du Responsable de traitement dans le cadre de la fourniture du service de vérification de CV et d'antécédents professionnels.
2. Nature et finalité des traitements
CertiCV traite les données personnelles pour les finalités suivantes :
- Vérification des diplômes, expériences professionnelles et références auprès de tiers autorisés
- Analyse de cohérence documentaire assistée par IA (EU AI Act conforme)
- Génération de rapports de vérification sécurisés et horodatés
- Gestion du portail candidat et du recueil du consentement
- Envoi de notifications et communications liées au dossier
- Conservation sécurisée des données conformément aux durées légales
3. Types de données traitées
- Données d'identité : nom, prénom, date de naissance, pièce d'identité (référence uniquement)
- Coordonnées : adresse email, téléphone professionnel
- Données professionnelles : CV, diplômes, relevés de notes, lettres de référence
- Données de traçabilité : logs d'accès, horodatage des actions, checksums de documents
4. Obligations de CertiCV (sous-traitant)
- Traiter les données uniquement sur instruction documentée du Responsable de traitement
- Garantir la confidentialité par des engagements contractuels avec tous les employés ayant accès aux données
- Mettre en œuvre les mesures techniques et organisationnelles définies à l'article 7 ci-dessous
- Ne pas recruter de sous-traitants ultérieurs sans information préalable du Responsable
- Assister le Responsable dans le respect des droits des personnes concernées (accès, rectification, effacement, portabilité)
- Notifier toute violation de données dans un délai de 72 heures conformément à l'article 33 RGPD
- Supprimer ou restituer toutes les données à l'expiration ou résiliation du contrat
5. Obligations du Responsable de traitement
- Documenter et assumer la légalité de la base juridique du traitement (recrutement, consentement candidat)
- Informer les candidats conformément aux articles 13 et 14 du RGPD avant tout traitement
- Fournir à CertiCV uniquement les données strictement nécessaires aux vérifications
- Notifier CertiCV de toute demande d'exercice de droits reçue dans les meilleurs délais
- Ne pas demander à CertiCV de traiter des données dans des conditions illégales
6. Sous-traitants ultérieurs
CertiCV fait appel aux sous-traitants ultérieurs suivants, tous situés dans l'EEE ou couverts par une garantie appropriée :
| Sous-traitant | Rôle | Localisation | Garantie |
|---|---|---|---|
| OVH SAS | Hébergement cloud (VPS, stockage) | France (Roubaix) | Établissement UE |
| Resend Inc. | Envoi d'emails transactionnels | USA | SCCs + DPA |
| Anthropic, PBC | IA analyse documentaire | USA | DPA spécifique |
7. Mesures de sécurité
- Chiffrement AES-256 des données au repos et TLS 1.3 en transit
- Authentification forte (MFA) obligatoire pour tous les accès administrateur
- Journalisation exhaustive de tous les accès aux données personnelles
- Backups chiffrés quotidiens avec rétention 30 jours
- Tests de pénétration annuels par un prestataire indépendant
- Procédure de gestion des incidents avec notification sous 72h
- Contrôle d'accès RBAC avec principe du moindre privilège
8. Durée et suppression
CertiCV conserve les données de vérification pendant la durée du contrat, augmentée d'une période de 2 ans (durée légale de conservation en droit du travail français). À l'expiration, les données sont supprimées par processus automatisé certifié ou restituées sur demande dans un format portable standard (JSON/PDF).
9. Contact DPO
Pour toute question relative au présent DPA : dpo@certicv.com
CertiCV SAS — 1 rue de la Paix, 75001 Paris, France