Se connecter

ANNEXE  - ACCORD SUR LE TRAITEMENT DES DONNÉES PERSONNELLES

Article préliminaire. Définitions 

Dans le cadre du DPA, les termes suivants signifient :

Données Personnelles : toute information se rapportant à une personne physique identifiée ou identifiable ; est réputée « identifiable » une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale (RGPD, art. 4.1).

Personne Concernée : la personne physique à laquelle se rapportent les Données Personnelles traitées (RGPD, art. 4.1).

Autorité de contrôle : l’autorité publique indépendante instituée par un État membre en vertu de l’article 51 du RGPD, chargée de surveiller l’application du RGPD (par ex. la CNIL en France) (RGPD, art. 4.21 et 51 s.).

Violation de Données : une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de Données Personnelles transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données (RGPD, art. 4.12).

Responsable du Traitement : la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du Traitement, au sens du RGPD.

RGPD : le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des Données Personnelles et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) et toute loi relative à la protection des Données Personnelles applicable dans le pays où la Solution et les Services sont utilisés.

Sous-Traitant : s’entend au sens du RGPD et désigne la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des Données Personnelles pour le compte du Responsable du Traitement ;

Sous-Traitant Ultérieur : tout sous-traitant engagé par le Sous-traitant (au sens de l’art. 4.8 du RGPD) pour réaliser des activités de traitement spécifiques pour le compte du Responsable du Traitement, tel qu’autorisé conformément à l’article 28, §2 et §4 du RGPD. Le Sous-traitant ultérieur est lié par un contrat imposant des obligations de protection des données au moins équivalentes à celles prévues dans le présent DPA, et le Sous-traitant demeure pleinement responsable à l’égard du Responsable du Traitement de l’exécution des obligations du Sous-traitant ultérieur.

Traitement : s’entend au sens du RGPD et désigne toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des Données Personnelles ou des ensembles de Données Personnelles, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction ;

1. Rôles et relations des Parties en matière de Traitement de Données Personnelles

Dans le cadre de l’exécution du Contrat et du DPA, les Données Personnelles sont traitées avec des rôles distincts.

1.1. Skello en tant que Responsable du Traitement 

Skello agit en qualité de Responsable du Traitement des Données Personnelles des Clients (y compris leurs représentants et contacts), tel que détaillé dans la Politique de Confidentialité (https://www.skello.io/landing/politique-de-confidentialite). 

Ces traitements ont pour finalités la gestion de la relation contractuelle et commerciale, la facturation, le support (pour les données du Client), la prospection commerciale, les statistiques d'audience et d'utilisation du Site et des Services. 

Les bases légales de ces traitements sont l'exécution du Contrat, les obligations légales et l'intérêt légitime de Skello, ou le consentement du Client le cas échéant.

1.2. Skello en tant que Sous-Traitant du Client

Pour les Données Personnelles des Utilisateurs traitées par le biais de l'utilisation de la Solution et des Services par le Client, le Client agit en qualité de Responsable du Traitement, et Skello en qualité de Sous-Traitant. 

Les Données Personnelles concernées incluent notamment les données d’identification, les données liées à l’emploi (plannings, horaires de travail, absences, contrats de travail), les données contractuelles, les données liées aux éléments de paie et au temps de travail, ainsi que toute donnée renseignée dans la Solution par le Client. 

Ces données sont traitées exclusivement pour les besoins de la fourniture des Services et selon les instructions documentées du Client.

2. Traitement des Données Personnelles par Skello en qualité de Sous-Traitant

Pour l’exécution du Contrat, Skello est autorisée à traiter, pour le compte du Client, les Données Personnelles nécessaires pour fournir les Services auxquels le Client a souscrit tels que décrits dans le Contrat.

Les Données Personnelles traitées concernent notamment :

  • les salariés, collaborateurs et représentants du Client ;
  • les utilisateurs autorisés de la Solution ;
  • les prospects intégrés par le Client ;
  • les administrateurs RH et managers désignés par le Client.

Les Données Personnelles concernées incluent :

  • données d’identification (nom, prénom, adresse électronique, adresse postale, numéros de téléphone, identifiants de connexion, adresse IP) ;
  • données liées à l’emploi (poste, horaires, plannings, absences, contrats de travail, statut, rémunération) ;
  • données contractuelles (contrats, avenants, documents liés à la relation de travail) ;
  • données liées à la paie et au temps de travail (éléments variables, heures travaillées, absences, congés, arrêts maladie) ;
  • toutes données saisies par le Client dans la Solution.

Les Traitements sont réalisés aux fins suivantes :

  • fourniture et exploitation de la Solution et des Services ;
  • gestion et suivi des plannings et du temps de travail ;
  • gestion des éléments variables de paie ;
  • hébergement, sauvegarde et stockage des données ;
  • support et assistance technique ;
  • notification et communication aux Utilisateurs ;
  • transmission aux prestataires du Client lorsque cela est nécessaire à l’exécution des Services.

La base légale des Traitements est :

  • l’exécution du Contrat conclu entre le Client et Skello ;
  • les obligations légales du Client ;
  • les instructions documentées du Client.

Les Données Personnelles sont conservées pendant la durée du Contrat et, à l’expiration du Contrat, elles sont archivées pendant trois ans, sauf instruction expresse de suppression du Client ou obligation légale de les conserver.

3. Les engagements de Skello en tant que Sous-Traitant

3.1. Instructions du Client et portée du Traitement 

Skello traite les Données Personnelles sur instruction documentée du Client conformément au Contrat. Si Skello est tenue de procéder à un traitement en vertu du droit de l’Union ou du droit d’un État membre, elle en informera le Client avant le traitement, sauf interdiction légale.

3.2. Confidentialité 

Skello s’assure que toute personne autorisée à traiter les Données Personnelles pour son compte est soumise à une obligation appropriée de confidentialité, légale ou contractuelle, et ne traite les Données Personnelles que dans la stricte mesure nécessaire à l’exécution de ses missions.

3.3. Mesures techniques et organisationnelles

Skello met en œuvre toutes les mesures techniques et organisationnelles appropriées afin de garantir la sécurité, l’intégrité et la confidentialité des Données Personnelles, et de prévenir tout accès non autorisé, perte, destruction ou altération.

Ces mesures incluent notamment, sans que cette liste ne soit exhaustive : 

  • l’hébergement de l’ensemble des données de Skello, incluant les Données Personnelles chez un hébergeur certifié PCI-DSS, HIPAA/HITECH, FedRAMP, FIPS 140-2 et NIST 800-171, SOC ISO 27001, ISO 27017 et ISO 27018 ;
  • la supervision de la sécurité par un Responsable dédié et audits réguliers de conformité ; 
  • l’attribution de droits d’accès aux préposés de Skello, selon le principe du moindre privilège ;
  • la procédure stricte de gestion du cycle de vie des comptes (création, modification, suppression en cas de départ) ;
  • l’authentification par SSO, mot de passe complexe et renouvellement régulier des préposés de Skello ;
  • l’authentification par identifiant et mot de passe, avec exigences de robustesse pour les Utilisateurs de Skello ;
  • la mise en place d’un système de gestion des rôles (RBAC) permettant de limiter l’accès aux seules données nécessaires selon le profil de l’Utilisateur ;
  • l’obligation contractuelle de confidentialité pour tous les préposés de Skello ;
  • une formation continue en matière de protection des données et de cybersécurité ;
  • le chiffrement des données au repos (AES-256) et en transit (TLS 1.2 ou supérieur) ;
  • la segmentation des environnements de développement, de test et de production ;
  • la surveillance et détection des intrusions sur l’infrastructure ;
  • les sauvegardes quotidiennes des Données ;
  • la redondance multi-AZ assurée par l’hébergeur choisi par Skello ;
  • les plans de reprise et de continuité d’activité testés régulièrement ;
  • la journalisation des accès et des actions sensibles ;
  • la mise à disposition d’informations nécessaires pour démontrer la conformité ;
  • la possibilité d’audit par le Client selon les modalités prévues dans cet Accord.

Skello s’engage à maintenir et à adapter ces mesures en fonction de l’évolution de l’état de l’art, des risques et de la réglementation.

3.4. Sous-traitance ultérieure 

Le Client autorise Skello à engager des Sous-Traitants ultérieurs pour la fourniture des Services.  

Skello informera le Client de tout ajout ou remplacement d'un Sous-Traitant ultérieur par écrit dans un délai raisonnable. Le Client disposera d’un délai de dix (10) jours calendaires pour formuler des objections raisonnables. À défaut, le Sous-Traitant sera réputé approuvé.

Skello impose contractuellement à ses Sous-Traitants des obligations de protection des données équivalentes à celles prévues au présent Article et demeure pleinement responsable vis-à-vis du Client de leur respect.

Société Nature de la sous-traitance Lieu Garanties & DPA
Aircall Outil de téléphonie 🇫🇷 France DPA
Amazon Web Services Hébergement du logiciel (SaaS) 🇮🇪 Irlande DPA
Anthropic (via AWS) LLM 🇮🇪 Irlande DPA
Atlassian (JIRA) Gestion des bugs tickets 🇺🇸 États-Unis DPA avec CCTData Privacy Framework
Brevo Envoi des emails aux utilisateurs 🇫🇷 France DPA avec CCT
Calendly Planification de RDV en ligne 🇺🇸 États-Unis Privacy Notice
ChargeBee Facturation des clients 🇺🇸 États-Unis DPA avec CCT
Chift API vers logiciels tiers (caisse, comptabilité, e-commerce, facturation) 🇧🇪 Belgique DPA avec CCT
Cloudflare Service DNS 🇺🇸 États-Unis DPA avec CCTData Privacy Framework
Intercom Support client 🇺🇸 États-Unis DPA avec CCTData Privacy Framework
Kombo Intégrateur d'API pour HRIS 🇩🇪 Allemagne CCT
Salesforce.com SAS CRM 🇫🇷 France CCT
SmsMode Envoi des SMS aux utilisateurs 🇫🇷 France CCT
Snowflake Data Warehouse 🇮🇪 Irlande CCT
Yousign Signature Électronique intégrée à la Solution 🇫🇷 France DPA

3.5. Assistance au Responsable du Traitement 

Skello fournit au Client l’assistance nécessaire pour qu'il puisse s'acquitter de ses obligations en tant que Responsable du Traitement :

  1. Exercice des droits des personnes concernées : Skello assistera raisonnablement le Client  pour lui permettre de répondre aux demandes d’exercice de droits formulées par les personnes concernées. Toute demande reçue directement par Skello sera immédiatement transmise au Client, sans y répondre, sauf instruction contraire ou obligation légale.
  2. Violations de Données Personnelles : Skello notifiera le Client de toute violation de Données Personnelles dont elle aurait connaissance, par écrit et dans les meilleurs délais après en avoir pris connaissance. Skello prendra toutes mesures correctives utiles et coopérera avec le Client afin de lui fournir les informations nécessaires au respect de ses obligations de notification auprès de l’autorité de contrôle et, le cas échéant, des personnes concernées. 
  3. Analyses d'impact et consultations : Skello fournira une assistance raisonnable au Client pour la réalisation d'analyses d'impact relatives à la protection des données et pour la consultation préalable de l'autorité de contrôle, si le Client est tenu de le faire, dans la mesure où les informations sont à la disposition de Skello et ne sont pas déjà incluses dans la Documentation.

3.6. Audit et documentation 

Skello mettra à la disposition du Client toutes les informations nécessaires pour démontrer le respect de ses obligations au titre du RGPD. Le Client pourra réaliser un audit par an, exclusivement à distance, sur la base de la documentation fournie par Skello. Tout audit additionnel ou toute demande spécifique donnera lieu à facturation par Skello sur la base de son tarif en vigueur. Ces audits seront réalisés aux frais du Client, après un préavis de trente (30) jours et communication de l'identité de l'auditeur (non concurrent de Skello) et du plan d'audit.

3.7. Durée de conservation

Au terme du Contrat, Skello cessera tout traitement et, au choix du Client, restituera ou supprimera l’ensemble des Données Personnelles traitées pour son compte, sauf obligation légale de conservation. À défaut d’instruction expresse, les Données Personnelles seront conservées pour une durée maximale de trois (3) ans après la fin du Contrat, sous réserve des obligations légales applicables.

3.8. Transferts hors UE/EEE 

Lorsqu’elle transfère des Données Personnelles en dehors de l’Union européenne ou de l’EEE, Skello met en place les garanties appropriées conformément à l’article 46 du RGPD, notamment les Clauses Contractuelles Types adoptées par la Commission européenne, et, le cas échéant, des mesures techniques supplémentaires (telles que la pseudonymisation).

4. Engagements du Client en tant que Responsable du Traitement

Le Client, en tant que Responsable du Traitement, est seul et unique responsable des traitements de Données Personnelles qu'il met en œuvre via la Solution ou dans le cadre des Services. Il lui incombe de s'assurer de la licéité, de la pertinence et de la proportionnalité de ces traitements au regard des finalités qu'il détermine. Skello n'assume aucune responsabilité quant à la conformité des traitements de données décidés et mis en œuvre par le Client avec la réglementation en vigueur, notamment le RGPD. En qualité de responsables de traitement, les Clients doivent répondre aux Utilisateurs pour leur permettre d’exercer notamment leurs droits d’accès, de rectification ou à l’oubli.

Le Client s’engage à (i) fournir à Skello les Données Personnelles nécessaires à l’exécution des Services, en s'assurant qu'elles ont été collectées licitement et qu'il dispose des bases légales appropriées pour leur traitement et leur communication à Skello ; (ii) documenter par écrit toute instruction concernant le traitement des Données Personnelles par Skello ; (iii) s'assurer de la conformité de ses propres traitements de données, y compris la mise en œuvre des informations prévues aux articles 13 et 14 du RGPD auprès des personnes concernées et le recueil de leur consentement si nécessaire ; (iv) superviser le traitement effectué par Skello, y compris réaliser les audits et les inspections.

5. Délégué à la Protection des Données (DPO)

5.1. DPO de Skello. 

Skello a désigné un délégué à la protection des données : Carole Franco, privacy@skello.io. 

Ce point de contact est dédié aux sujets « protection des données » (demandes d’exercice de droits, notifications d’incident, questions de conformité). Il ne traite pas les demandes de support fonctionnel ou contractuel.

5.2. DPO du Client. 

Le Client s’engage à communiquer à Skello, au plus tard à la souscription de l’Abonnement (ou dès sa désignation), les coordonnées de son DPO au sens de l’article 37 du RGPD ou, à défaut de DPO, d’un contact référent “protection des données” (nom, fonction, e-mail professionnel). Le Client notifie sans délai et au plus tard sous quinze (15) jours toute modification de ces coordonnées.

5.3. Canal de communication incidents & droits. 

Les Parties conviennent d’utiliser privacy@skello.io (et l’adresse DPO/Privacy du Client) comme canal prioritaire pour (i) les notifications de Violation de Données et (ii) les demandes d’exercice de droits. À défaut, toute notification envoyée au contact contractuel principal est réputée valable.

5.4. Base légale et finalité. 

Les coordonnées des DPO ou contact référent sont traitées par chaque Partie aux fins de conformité RGPD (gestion des incidents, réponses autorités, droits des personnes), sur la base des obligations légales et/ou de l’intérêt légitime de la Partie destinataire. Ces données sont conservées pour la durée du Contrat, augmentée des délais légaux applicables.

Annexes

Conditions Générales de Services 2023
Accord sur le traitement des données personnelles
© Skello, 69-71 rue Beaubourg,
75003 Paris
Paramètres des cookies