Contrat de sous-traitance (DPA)
Conformément à l'art. 28 al. 3 phrase 1 RGPD pour le logiciel d'évaluation des compétences ValCom®
Télécharger le DPA en PDFRemarque : cette page française est fournie à titre purement informatif. Seule la version allemande d'origine ci-dessous fait foi sur le plan juridique. En cas de divergence, la version allemande prévaut.
Parties au contrat
Sous-traitant
oneclick Learning GmbH
Am Botten 7, 53179 Bonn
représentée par Roman Sauter
Responsable du traitement
Le partenaire contractuel respectif du contrat principal
Annexes : annexe 1 « Mesures techniques et organisationnelles », annexe 2 « Relations de sous-traitance ultérieure »
§1Objet, catégories de données et finalité du traitement
Type de données
- Données de base (prénom et nom)
- Coordonnées (adresse e-mail)
- Données d'utilisation (données de collecte et d'évaluation)
- Champs spécifiques aux utilisateurs définis par le responsable du traitement (par ex. données démographiques)
Les catégories particulières de données (art. 9, al. 1 RGPD) ne sont en principe pas traitées, sauf si le responsable du traitement configure des champs de collecte correspondants.
Catégories de personnes concernées
Collaborateurs, dirigeants et autres personnes désignées par le responsable du traitement.
Finalité du traitement
Le logiciel ValCom® collecte et évalue les compétences et les valeurs de personnes individuelles, d'équipes et d'autres groupes sur la base des modèles de valeurs et de compétences adaptés par le responsable du traitement.
Utilisation de fonctions assistées par IA
Le logiciel ValCom® utilise l'IA pour créer des profils de poste et analyser les relevés de compétences. Aucune donnée à caractère personnel n'est transmise à l'interface IA ; seules des informations factuelles sont traitées. Les données des utilisateurs ne sont pas utilisées pour entraîner des modèles d'IA.
§2Droit d'instruction
1. Le responsable du traitement est responsable, en tant que responsable au sens de l'art. 4, n° 7 RGPD, du respect des exigences en matière de protection des données.
2. Le sous-traitant traite les données uniquement dans le cadre du contrat principal et des instructions du responsable du traitement, sauf obligation contraire en vertu du droit applicable.
3. Le responsable du traitement peut à tout moment donner des instructions complémentaires relatives au traitement des données.
4. Si, de l'avis du sous-traitant, une instruction enfreint le droit applicable en matière de protection des données, il en informe immédiatement le responsable du traitement et est autorisé à suspendre son exécution.
§3Mesures de sécurité
1. Le sous-traitant prend des mesures techniques et organisationnelles (MTO) afin de garantir la confidentialité, l'intégrité et la disponibilité des données (art. 32 RGPD). Ces mesures sont décrites à l'annexe 1.
2. Les MTO peuvent être adaptées au progrès technique, à condition que le niveau de sécurité ne soit pas diminué.
3. Le sous-traitant veille à ce que les personnes autorisées au traitement soient tenues à la confidentialité (art. 28, al. 3, phrase 2, let. b RGPD).
§4Obligations d'information et de coopération
1. Les droits des personnes concernées doivent être exercés auprès du responsable du traitement. Le sous-traitant assiste le responsable du traitement à cet égard et l'informe des demandes entrantes (art. 28, al. 3, phrase 2, let. e RGPD).
2. Si le sous-traitant constate une violation de la protection des données à caractère personnel, il en informe immédiatement le responsable du traitement et prend les mesures de protection nécessaires (art. 33 et 34 RGPD).
3. Le sous-traitant informe le responsable du traitement des activités des autorités de contrôle susceptibles de concerner les données traitées.
4. Le sous-traitant met à disposition du responsable du traitement les informations nécessaires à l'exécution de ses obligations légales, y compris les obligations de responsabilité prévues à l'art. 5, al. 2 RGPD.
§5Pouvoirs de contrôle
1. Le responsable du traitement a le droit de contrôler le respect du présent contrat de sous-traitance dans la mesure nécessaire (art. 28, al. 3, let. h RGPD).
2. Les contrôles sur site doivent être annoncés avec un préavis d'au moins 14 jours.
3. Le sous-traitant peut alternativement se référer à des preuves équivalentes, par exemple des certifications ou audits réalisés par des tiers indépendants.
§6Relations de sous-traitance ultérieure
1. Le sous-traitant peut faire appel à des sous-traitants ultérieurs et leur impose les mêmes obligations en matière de protection des données (art. 28, al. 2 et 4 RGPD).
2. Les relations de sous-traitance ultérieure existantes sont listées à l'annexe 2 et sont réputées approuvées.
3. Le sous-traitant informe le responsable du traitement des modifications concernant les sous-traitants ultérieurs. Le responsable du traitement peut s'y opposer dans le respect du principe de bonne foi.
§7Traitement dans des pays tiers
1. Le traitement des données a lieu exclusivement au sein de l'UE/EEE.
2. Un traitement dans des pays tiers requiert l'accord préalable du responsable du traitement et le respect des conditions prévues aux art. 44 et suivants du RGPD.
§8Durée, fin du contrat et suppression des données
1. La durée est déterminée par le contrat principal.
2. Le droit de résiliation extraordinaire reste réservé en cas de manquements graves.
3. À la fin du contrat, le sous-traitant supprime ou restitue toutes les données à caractère personnel, au choix du responsable du traitement (art. 28, al. 3, phrase 2, let. g RGPD), sauf obligation légale de conservation.
§9Responsabilité
1. Dans leurs relations internes, les parties contractantes répondent chacune des dommages résultant d'une violation du présent contrat de sous-traitance ou des dispositions applicables en matière de protection des données qui leur est imputable.
2. Si une partie contractante est sollicitée par une personne concernée conformément à l'art. 82 RGPD, elle peut demander compensation à l'autre partie dans la mesure où celle-ci a causé le dommage.
3. Les parties contractantes s'assistent mutuellement dans la défense contre les réclamations injustifiées.
§10Dispositions finales
1. Les modifications et compléments doivent être effectués par écrit.
2. Le droit de la République fédérale d'Allemagne s'applique. Le for juridique est Bonn.
Annexe 1 — Mesures techniques et organisationnelles
1. Sécurité de l'infrastructure (responsabilité : IONOS SE)
Le logiciel ValCom® est hébergé sur des serveurs d'IONOS en Allemagne (Berlin). IONOS est responsable de la sécurité physique et de l'infrastructure.
| Certification | Description |
|---|---|
| ISO/IEC 27001 | Système de management de la sécurité de l'information (SMSI) |
| BSI C5-Testat | Catalogue de contrôles de conformité cloud computing du BSI |
| IT-Grundschutz | ISO 27001 sur la base de l'IT-Grundschutz (BSI) |
| ISAE 3000 | Audit par des commissaires aux comptes reconnus |
| ISO 50001 | Gestion de l'énergie pour tous les centres de données |
2. Sécurité applicative (responsabilité : oneclick Learning GmbH)
- Chiffrement du transport : Toutes les transmissions de données sont chiffrées via HTTPS (TLS)
- Sécurité des mots de passe : Les mots de passe des comptes sont stockés sous forme hachée dans la base de données et ne sont lisibles en clair par personne
- Droits d'accès : Concept d'autorisations basé sur les rôles (administrateur, manager/coach, utilisateur) avec droits d'accès minimaux
- Séparation des clients : Chaque client reçoit un espace protégé propre avec sous-domaine séparé ; séparation logique des données clients
- Maintenance logicielle : Mises à jour régulières et correctifs de sécurité de l'application
- Confidentialité : Les collaborateurs n'ont pas accès aux contenus clients, sauf autorisation explicite du client à des fins de support
Annexe 2 — Relations de sous-traitance ultérieure
| Prestataire | Service | Localisation | Certifications |
|---|---|---|---|
| IONOS SE | Hébergement et exploitation de l'infrastructure serveur | Allemagne (Berlin) | ISO 27001, BSI C5, IT-Grundschutz, ISAE 3000 |
| Mailjet (Sinch Germany GmbH) | Envoi d'e-mails système (invitations, notifications) | Allemagne / Belgique (UE) | ISO 27001, conforme RGPD |
Tous les traitements de données ont lieu exclusivement au sein de l'UE. Mailjet est utilisé uniquement pour l'envoi d'e-mails système. Les données de collecte ne sont en aucun cas envoyées par e-mail. Le client a la possibilité d'utiliser son propre serveur de messagerie.
Dernière mise à jour : février 2026
Protection et sécurité des données
En savoir plus sur nos mesures de sécurité, notre infrastructure d'hébergement et notre utilisation de l'IA.
Vers la page de sécurité