Accord RGPD

Vous êtes entre de bonnes mains - myHR est conforme au RGPD de bout en bout. Cet accord de traitement des données définit les conditions contractuelles dans lesquelles nous traitons les données personnelles pour votre compte.

Dernière mise à jour: 02/09/2024

Vous restez le responsable de traitement

Vous - le client - restez le responsable de traitement des données personnelles de vos collaborateurs. Nous agissons en qualité de sous-traitant, en suivant vos instructions documentées.

  • Client = responsable de traitement
  • myHR = sous-traitant
  • Traitement selon vos instructions

Mesures techniques robustes

Chiffrement, contrôles d'accès, journaux d'audit, sauvegardes régulières, due-diligence des sous-traitants - toutes les mesures requises par l'article 32 du RGPD sont en place.

  • Chiffrement au repos & en transit
  • Sous-traitants audités
  • Revues de sécurité annuelles

Les droits de vos personnes concernées

Nous vous aidons à répondre aux demandes d'accès, de rectification, d'effacement et de portabilité de vos collaborateurs - dans les délais fixés par le RGPD.

  • Accès & rectification (art. 15-16)
  • Effacement & limitation (art. 17-18)
  • Portabilité (art. 20)

L'Accord de Traitement des Données de myHR (“ATD”) régit le traitement des données personnelles lors de l'utilisation des Services myHR conformément aux Conditions d'Utilisation de myHR. Sauf accord contraire, myHR agit en tant que sous-traitant de données (“Sous-Traitant”) au nom du client (“vous”), le responsable de traitement (“Responsable”). Le Sous-Traitant et le Responsable sont collectivement désignés comme les “Parties.”

Considérant que :

  • Le Responsable a accès aux données personnelles de divers clients (ci-après : “Personnes Concernées”);
  • Le Responsable demande au Sous-Traitant d'effectuer des tâches spécifiques de traitement conformément à l'Accord SaaS;
  • Le Responsable détermine les finalités et les moyens du traitement des données personnelles régis par cet ATD;
  • Le Sous-Traitant accepte de se conformer à cet ATD et à la législation luxembourgeoise sur la protection des données et la vie privée, y compris le RGPD.

Les Parties conviennent de ce qui suit :

1. Objectifs du Traitement

  1. Le Sous-Traitant s'engage à traiter les données personnelles pour le compte du Responsable conformément aux conditions énoncées dans cet ATD.
  2. Le traitement sera effectué exclusivement dans le cadre de l'Accord SaaS et pour les finalités convenues par la suite.
  3. Le Sous-Traitant ne doit pas utiliser les données personnelles à d'autres fins que celles spécifiées par le Responsable.
  4. Toutes les données personnelles traitées pour le compte du Responsable restent la propriété du Responsable et/ou des Personnes Concernées.
  5. Le Sous-Traitant ne doit pas prendre de décisions unilatérales concernant le traitement des données, y compris le partage des données avec des tiers ou la durée de conservation.

2. Obligations du Sous-Traitant

  1. Le Sous-Traitant doit respecter toutes les lois et réglementations applicables, y compris celles relatives à la protection des données, telles que le RGPD.
  2. Le Sous-Traitant doit fournir au Responsable, sur demande, des détails sur les mesures prises pour se conformer à cet ATD et au RGPD.
  3. Les obligations du Sous-Traitant en vertu de cet ATD s'appliquent également à tout tiers traitant des données personnelles sous les instructions du Sous-Traitant.

3. Transmission des Données Personnelles

  1. Le Sous-Traitant ne traitera pas et ne transférera pas de données personnelles vers des pays en dehors de l'UE.

4. Répartition des Responsabilités

  1. Le Sous-Traitant est responsable du traitement des données personnelles en vertu de cet ATD, conformément aux instructions du Responsable.
  2. Le Sous-Traitant n'est pas responsable d'autres traitements, y compris ceux non signalés par le Responsable ou effectués par des tiers.
  3. Le Responsable garantit qu'il dispose de bases légales pour traiter les données personnelles concernées et dégage le Sous-Traitant de toute responsabilité en cas de réclamations connexes.

5. Recours à des Tiers ou Sous-Traitants

  1. Le Sous-Traitant peut faire appel à des tiers pour le traitement dans le cadre de l'accord, sans nécessiter l'approbation préalable du Responsable.
  2. Le Sous-Traitant doit informer le Responsable de tout tiers engagé sur demande.
  3. Le Sous-Traitant doit s'assurer que ces tiers s'engagent par écrit aux mêmes obligations convenues entre le Responsable et le Sous-Traitant.

6. Obligation de Notification

  1. En cas de violation de sécurité ou de fuite de données, le Sous-Traitant doit en informer le Responsable sans retard injustifié.
  2. Le Responsable décidera s'il convient d'informer les Personnes Concernées ou les autorités de régulation compétentes.
  3. Le Sous-Traitant veillera à ce que les informations fournies sur la violation soient complètes, correctes et exactes.
  4. Si la loi l'exige, le Sous-Traitant coopérera pour notifier les autorités compétentes et/ou les Personnes Concernées.
  5. Le Responsable reste responsable des obligations légales en la matière.
  6. L'obligation de notification inclut l'obligation de signaler la survenue de la violation, notamment :
    • La cause (présumée) de la violation ;
    • Les conséquences actuellement connues et/ou anticipées ;
    • La solution (proposée) ;
    • Les mesures déjà prises.

7. Sécurité

  1. Le Sous-Traitant doit mettre en œuvre des mesures techniques et organisationnelles adéquates pour protéger les données personnelles contre tout traitement illicite.
  2. Le Sous-Traitant s'efforcera de garantir que les mesures de sécurité soient raisonnables, compte tenu de la sensibilité des données et des coûts associés.
  3. Le Responsable ne fournira les données personnelles au Sous-Traitant que lorsqu'il sera assuré que les mesures de sécurité nécessaires sont en place.
  4. Le Responsable est responsable de veiller au respect des mesures de sécurité convenues entre les Parties.

8. Gestion des Demandes des Personnes Concernées

  1. Si une Personne Concernée soumet une demande au Sous-Traitant concernant ses données personnelles, le Sous-Traitant transmettra la demande au Responsable.
  2. Le Responsable traitera la demande, et le Sous-Traitant peut informer la Personne Concernée que sa demande a été transmise.

9. Non-divulgation et Confidentialité

  1. Toutes les données personnelles reçues par le Sous-Traitant du Responsable en vertu de cet ATD sont soumises à des obligations de confidentialité.
  2. Cette obligation de confidentialité ne s'applique pas si le Responsable autorise la divulgation ou s'il existe une obligation légale de divulguer les informations.

10. Audit

  1. Le Responsable peut réaliser un audit pour confirmer le respect de cet ATD en nommant un tiers indépendant.
  2. Tout audit doit respecter les exigences de sécurité du Sous-Traitant et ne pas interférer de manière déraisonnable avec les activités du Sous-Traitant.
  3. L'audit ne peut être réalisé que s'il existe des motifs spécifiques de soupçonner un usage abusif des données personnelles.
  4. L'audit ne peut être réalisé qu'après que le Responsable ait donné un préavis écrit au Sous-Traitant au moins deux semaines à l'avance.
  5. Les résultats de l'audit seront discutés et évalués par les Parties, et les actions nécessaires seront mises en œuvre en conséquence.
  6. Le Responsable supportera les coûts de l'audit.

11. Durée et Résiliation

  1. Cet ATD est valide pour la durée spécifiée dans l'Accord SaaS ou pour la durée de la coopération entre les Parties.
  2. Cet ATD ne peut être résilié à mi-terme.
  3. Toute modification de cet ATD doit être convenue mutuellement par les Parties.
  4. Le Sous-Traitant coopérera pour modifier cet ATD en cas de nouvelle législation ou réglementation en matière de confidentialité.

12. Divers

  1. Cet ATD et son application seront régis et interprétés conformément aux lois du Luxembourg.
  2. Toute action en justice découlant de cet ATD sera exclusivement portée devant les tribunaux situés au Luxembourg, et les Parties acceptent cette juridiction.
  3. En cas d'incohérence entre les documents, l'ordre de priorité suivant s'appliquera :
    1. Le contrat signé entre le Sous-Traitant et le Responsable ;
    2. Cet Accord de Traitement des Données ;
    3. Les conditions supplémentaires, le cas échéant.
  4. Les journaux et mesures pris par le Sous-Traitant seront considérés comme authentiques, sauf si le Responsable fournit des preuves contraires convaincantes.

Besoin d'un DPA signé ?

Nous vous envoyons avec plaisir une copie contresignée de notre DPA standard, ou négocions une version personnalisée avec votre équipe juridique.

Demander un DPA signé → Lire notre protection des données