Data Processing Agreement

Le présent Data Processing Agreement encadre les traitements de données personnelles opérés par Castellum, société éditrice du service ÉgalitéPro, pour le compte du client dans le cadre de la fourniture du service de calcul, de génération de rapports et d'assistance à la conformité en matière d'égalité professionnelle et de transparence salariale.

Le client agit en qualité de responsable de traitement. Castellum, via le service ÉgalitéPro, agit en qualité de sous-traitant au sens de l'article 4 du RGPD et traite les données uniquement sur instruction documentée du client, sauf obligation légale contraire.

Nature et finalité du traitement : collecte sécurisée des données nécessaires au calcul des indicateurs, traitement statistique, génération du rapport, préparation des supports déclaratifs et conservation des éléments probants liés à la conformité réglementaire.

• Sous-traitant : Castellum, service ÉgalitéPro.
• Personnes concernées : salariés, anciens salariés et utilisateurs habilités du client.
• Catégories de données : sexe, date de naissance, catégorie socio-professionnelle, rémunération, congé maternité, données de compte, journaux techniques.
• Durée du traitement : pendant la relation contractuelle, puis selon les durées de conservation applicables au service et aux obligations légales du client.

Castellum traite les données personnelles exclusivement pour fournir le service commandé, maintenir la sécurité de la plateforme, générer les livrables attendus et exécuter les instructions documentées du client. Toute instruction complémentaire ou exceptionnelle doit être formulée par écrit.

Si une instruction donnée par le client paraît manifestement contraire au RGPD ou à une autre disposition applicable en matière de protection des données, Castellum en informe le client sans délai avant de poursuivre le traitement concerné, sauf interdiction légale.

Castellum veille à ce que les personnes autorisées à traiter les données personnelles s'engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité. Les habilitations sont limitées aux personnels ayant besoin d'accéder aux données pour exécuter le service ou assurer la sécurité de la plateforme.

Castellum met en œuvre des mesures adaptées au risque, tenant compte de l'état des connaissances, des coûts de mise en œuvre, de la nature des données et des risques pour les droits et libertés des personnes concernées.

• Chiffrement des données en transit et protection des stockages au repos.
• Contrôle d'accès logique et gestion d'habilitations selon le besoin d'en connaître.
• Journalisation des accès et opérations sur les données.
• Isolation logique des données par entreprise cliente pour prévenir tout accès croisé.
• Procédures de sauvegarde, de supervision, de correction et de gestion des incidents de sécurité.

Castellum peut recourir à des sous-traitants ultérieurs pour l'hébergement, la journalisation, la génération de documents, l'envoi de notifications ou l'exploitation technique de la plateforme. Ces sous-traitants n'interviennent que dans la mesure nécessaire à la fourniture du service.

• Hébergeur principal : OVHcloud (OVH SAS), 2 rue Kellermann, 59100 Roubaix, France.
• Les données du service ÉgalitéPro sont hébergées en France, dans l'Union européenne.
• Tout sous-traitant ultérieur est soumis à des obligations de protection des données équivalentes à celles prévues au présent accord.

Compte tenu de la nature du traitement, Castellum assiste le client, par des mesures techniques et organisationnelles appropriées, dans la mesure du possible, pour s'acquitter de son obligation de répondre aux demandes d'exercice des droits des personnes concernées.

Lorsqu'une demande est reçue directement par Castellum et qu'elle se rattache manifestement à un traitement réalisé pour le compte d'un client, elle est transmise au client concerné sans réponse au fond, sauf instruction contraire ou obligation légale.

Castellum assiste le client pour respecter ses obligations relatives à la sécurité du traitement, à la notification des violations de données personnelles, aux analyses d'impact et aux consultations préalables, dans la mesure où ces obligations sont pertinentes au regard du service fourni et des informations dont Castellum dispose.

En cas de violation de données personnelles affectant les traitements réalisés pour le compte du client, Castellum notifie celui-ci dans les meilleurs délais et lui communique les informations utiles raisonnablement disponibles afin de lui permettre de satisfaire à ses obligations réglementaires.

Castellum met à disposition du client les informations nécessaires pour démontrer le respect des obligations prévues par l'article 28 du RGPD. Des audits raisonnables peuvent être organisés pendant les heures ouvrées, sous réserve d'un préavis écrit, d'un périmètre proportionné et d'engagements de confidentialité adaptés.

Au terme du contrat, et selon l'instruction du client, Castellum restitue les données personnelles encore disponibles dans un format usuel ou procède à leur suppression sécurisée, sauf obligation légale de conservation, nécessité probatoire ou conservation de journaux techniques pendant la durée strictement nécessaire à la sécurité et au respect des obligations applicables.

Les traitements couverts par le présent accord sont réalisés dans l'Union européenne, sur une infrastructure hébergée par OVHcloud en France. Aucun transfert hors Union européenne n'est opéré sans base juridique appropriée et sans information préalable du client lorsque celle-ci est requise.

Le présent DPA prend effet à la date d'acceptation des conditions contractuelles du service et demeure applicable pendant toute la durée du traitement de données personnelles réalisé pour le compte du client. En cas de contradiction, ses stipulations relatives à la protection des données prévalent sur toute clause moins protectrice du contrat principal pour le périmètre concerné.