Politique de confidentialité

« Abonnement » : désigne les abonnements à la Solution tels que souscrits par le Client auprès de PEETCHR.

« Cookies » : désigne les cookies HTTP, les cookies de session, les identifiants techniques permettant de tracer le terminal et tout autre mécanisme équivalent.

« Données à caractère personnel » ou « Données » : toute information se rapportant à une personne physique identifiée ou identifiable.

« Personne Concernée » : la personne physique à laquelle les Données se rapportent.

« Responsable de Traitement » : la personne morale qui détermine les finalités et les moyens du traitement des Données.

« Sous-traitant » : la personne morale qui traite les Données pour le compte du Responsable de Traitement.

« Traitement » : toute opération ou ensemble d’opérations appliquées à des Données.

Le Responsable de Traitement est :

• PEETCHR SAS, 38 rue des Mathurins, 75008 Paris, France
• RCS Paris n° 980 220 164
• Représentant légal : Raphaël BÉNICHOU, Président
• Délégué à la Protection des Données : sg@ghemam-avocat.com

PEETCHR intervient dans deux qualités distinctes :

(a) En qualité de Responsable de Traitement, pour les traitements suivants couverts par la présente Politique de Confidentialité :

• Gestion de la relation B2B avec ses Clients (administrateurs, interlocuteurs commerciaux et techniques) ;
• Facturation, gestion des contrats et de la relation contractuelle ;
• Marketing et prospection commerciale (sous réserve du consentement ou de l’intérêt légitime applicable) ;
• Sécurité de la Solution, journaux techniques, supervision continue ;
• Amélioration produit, anonymisation des données d’usage à des fins analytiques ;
• Respect des obligations légales et réglementaires.

(b) En qualité de Sous-traitant au sens de l’article 28 du RGPD, pour le traitement des données candidats et données des utilisateurs du Client, opéré pour le compte du Client (Responsable de Traitement). Les modalités de ce traitement sont décrites à l’Annexe 1 des Conditions Générales et dans le DPA.

Les Données traitées par PEETCHR en qualité de Responsable de Traitement sont :

• Données d’identification : nom, prénom
• Coordonnées professionnelles : adresse email, numéro de téléphone, société, fonction
• Données de connexion : identifiants techniques, adresse IP, journaux d’activité
• Données d’utilisation : pages consultées, fonctionnalités utilisées (sous forme agrégée ou pseudonymisée)
• Données de facturation et de gestion administrative du Client

Conformément au principe de limitation de la conservation prévu à l’article 5(1)(e) du RGPD, les Données sont conservées pour des durées limitées à la réalisation des finalités présentées ci-dessus :

• Données d’identification et coordonnées des Utilisateurs du Client : pendant la durée du contrat, puis archivage intermédiaire de 3 ans à compter de la fin de la relation contractuelle pour des motifs probatoires.
• Données de facturation : conservation pendant 10 ans en application des obligations comptables et fiscales (article L. 123-22 du Code de commerce).
• Données de prospection commerciale : 3 ans à compter du dernier contact émanant du prospect.
• Données de connexion et journaux techniques : 6 mois à 12 mois selon la nature des journaux et les besoins de sécurité (en cohérence avec l’article 12 de l’AI Act pour les journaux du système d’IA).
• Cookies soumis à consentement : 6 mois maximum.
• Cookies exemptés de consentement : 13 mois maximum.

Les Données sont traitées exclusivement au sein de l’Union européenne :

• Hébergement back-end et bases de données : Amazon Web Services, région EU-West-1 (Irlande) ;
• Hébergement front-end : Vercel, région Paris (France) ;
• Hébergement des fichiers candidats et opérations d’inférence Vertex AI : Google Cloud Platform, région Francfort (Allemagne).

Les transferts éventuels vers des sous-traitants ultérieurs situés hors Union européenne sont encadrés par des Clauses Contractuelles Types (CCT) adoptées par la Commission européenne en vertu de l’article 46(2)(c) du RGPD, ainsi que par les mesures supplémentaires appropriées post-Schrems II le cas échéant. La liste complète des sous-traitants ultérieurs est fournie dans l’Annexe 1 des Conditions Générales.

Dans le cadre des traitements opérés par PEETCHR en qualité de Responsable de Traitement, les Données peuvent être communiquées à :

• Les sous-traitants ultérieurs listés à l’Annexe 1 des Conditions Générales (hébergeurs, prestataires de sécurité, outils de communication) ;
• Les commissaires aux comptes, conseils juridiques et fiscaux dans le cadre de leurs missions ;
• Les autorités administratives et judiciaires compétentes, sur demande légalement fondée ;
• Les outils internes de PEETCHR (gestion de projets, communication, supervision applicative) à condition que ces outils n’aient pas accès aux Données candidats traitées pour le compte des Clients.

PEETCHR ne vend, ne loue, ni n’échange aucune Donnée à caractère personnel.

PEETCHR met en œuvre les mesures techniques et organisationnelles appropriées prévues à l’article 32 du RGPD pour garantir la confidentialité, l’intégrité, la disponibilité et la résilience des traitements. PEETCHR dispose notamment :

• D’un système de management de la sécurité de l’information (ISMS) aligné sur les standards SOC 2 Type II et en voie de certification ISO/IEC 27001 ;
• De mécanismes de chiffrement TLS 1.2+ en transit et AES-256 au repos ;
• D’un contrôle d’accès strict (SSO, MFA, RBAC) ;
• D’une supervision continue et d’alertes automatisées ;
• D’une journalisation horodatée des actions sensibles ;
• De tests d’intrusion annuels par des tiers indépendants ;
• D’un plan de continuité d’activité (PCA) et d’un plan de reprise d’activité (PRA) documentés et testés.

Conformément au RGPD et à la Loi Informatique et Libertés, chaque Personne Concernée dispose des droits suivants :

• Droit d’accès aux Données la concernant (article 15 RGPD) ;
• Droit de rectification des Données inexactes ou incomplètes (article 16 RGPD) ;
• Droit à l’effacement (« droit à l’oubli ») (article 17 RGPD) ;
• Droit à la limitation du traitement (article 18 RGPD) ;
• Droit à la portabilité des Données (article 20 RGPD) ;
• Droit d’opposition au traitement, notamment à la prospection commerciale (article 21 RGPD) ;
• Droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé produisant des effets juridiques ou affectant la personne de manière significative (article 22 RGPD) ;
• Droit de retirer son consentement à tout moment, sans porter atteinte à la licité du traitement fondé sur le consentement effectué avant ce retrait ;
• Droit de définir des directives relatives au sort des Données après décès (article 85 de la Loi Informatique et Libertés) ;
• Droit d’introduire une réclamation auprès d’une autorité de contrôle, notamment la Commission Nationale de l’Informatique et des Libertés (CNIL), 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07.

Ces droits peuvent être exercés en écrivant au Délégué à la Protection des Données de PEETCHR à l’adresse sg@ghemam-avocat.com, accompagné d’un justificatif d’identité lorsque le doute existe sur l’identité du demandeur (article 12(6) du RGPD). PEETCHR répondra dans un délai d’un mois, prorogeable de deux mois en cas de complexité (article 12(3) du RGPD).

La Solution PEETCHR est qualifiée de système d’IA à haut risque au titre de l’Annexe III, point 4(a) du Règlement (UE) 2024/1689 (AI Act), car elle est utilisée dans des processus de recrutement, d’évaluation et de gestion des talents.

Lorsque la Personne Concernée est un candidat ou un collaborateur évalué par la Solution dans le cadre d’une utilisation par un Client, elle dispose, en plus des droits généraux prévus à la section 10, des garanties suivantes :

(a) Information préalable (article 50 AI Act) : la Personne Concernée est informée qu’elle est évaluée par un système d’intelligence artificielle, dans un langage clair et accessible.

(b) Absence de décision exclusivement automatisée (article 22 RGPD) : la Solution produit des recommandations et des scorecards, mais aucune décision d’embauche ou d’écartement n’est prise de manière exclusivement automatisée. La décision finale appartient au recruteur humain sous l’autorité du Client.

(c) Supervision humaine garantie (article 14 AI Act) : aucun candidat n’est écarté automatiquement de la sélection ; tous les candidats restent visibles du recruteur, indépendamment du score produit.

(d) Faculté d’opt-out : tout candidat peut s’opposer à l’évaluation par la Solution à tout moment, sans préjudice sur sa candidature. L’évaluation est alors conduite de manière entièrement humaine par le Client.

(e) Droit à l’explication (article 86 AI Act) : la Personne Concernée peut demander à obtenir des explications claires et significatives sur le rôle joué par la Solution dans une décision la concernant, sur les principaux éléments ayant fondé la recommandation, et sur les paramètres généraux du traitement. Cette demande est à adresser en priorité au Client (Responsable de Traitement et Déployeur), avec le concours de PEETCHR si nécessaire.

(f) Droit à l’intervention humaine, à l’expression d’un point de vue et à la contestation (article 22(3) RGPD) : la Personne Concernée peut demander qu’une décision la concernant soit réexaminée par un humain, exprimer son point de vue et contester la recommandation.

(g) Exclusion des variables sensibles : le moteur d’évaluation de la Solution n’utilise pas comme critères d’évaluation les variables suivantes : âge, genre, nationalité, origine ethnique, données de santé, opinions politiques, religieuses ou philosophiques, appartenance syndicale, orientation sexuelle. Aucune captation biométrique, aucune reconnaissance d’émotion et aucune analyse comportementale n’est mise en œuvre.

La Solution peut, sur instruction du Client agissant en qualité de Responsable de Traitement et sous réserve d’une base légale appropriée définie par le Client, enrichir le profil d’un candidat à partir des informations publiquement accessibles sur sa page LinkedIn (parcours professionnel et formation publiés par la personne elle-même).

Cet enrichissement est réalisé via le sous-traitant ultérieur Unipile, dont le DPA et les garanties sont décrits à l’Annexe 1 des Conditions Générales.

Le Client est responsable, en qualité de Responsable de Traitement, de la définition de la base légale applicable à cet enrichissement (typiquement, intérêt légitime documenté par une mise en balance des intérêts au sens de l’article 6(1)(f) du RGPD, ou consentement explicite du candidat le cas échéant) et de l’information préalable des candidats sur ce traitement, conformément aux articles 13 et 14 du RGPD et à la doctrine de la CNIL en matière d’enrichissement de profils.

La Solution utilise des Cookies pour assurer son bon fonctionnement, mesurer l’audience et améliorer l’expérience Utilisateur, conformément aux dispositions de l’article 82 de la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.

PEETCHR a mis en place un plan de réponse aux incidents (Incident Response Plan) documenté et testé. En cas de violation de Données à caractère personnel au sens de l’article 4(12) du RGPD :

• PEETCHR notifie la CNIL dans un délai de 72 heures suivant la découverte de la violation (article 33 RGPD), lorsque la violation est susceptible d’engendrer un risque pour les droits et libertés des personnes ;
• Les rapports d’analyse des causes racines sont communiqués en interne dans un délai de 7 jours suivant la résolution de l’incident ;
• Les Personnes Concernées sont informées directement lorsque la violation est susceptible d’engendrer un risque élevé pour leurs droits et libertés (article 34 RGPD).

Les incidents sont qualifiés selon une matrice de criticité P0 / P1 / P2 / P3 et sont résolus dans les SLA définis dans le DPA.

PEETCHR se réserve le droit de modifier la présente Politique de Confidentialité à tout moment, notamment pour tenir compte des évolutions réglementaires, jurisprudentielles, techniques ou organisationnelles. La date de dernière mise à jour est indiquée en pied de document.

En cas de modification substantielle affectant les droits des Personnes Concernées, PEETCHR en informera les Utilisateurs par tout moyen utile.

Toute question, demande d’information ou demande d’exercice de droit peut être adressée au Point de contact en matière de protection des données de PEETCHR :

• Par email : sg@ghemam-avocat.com
• Par courrier : PEETCHR SAS, Délégué à la Protection des Données, 38 rue des Mathurins, 75008 Paris, France