Accueil
TarifsParler à un expert
Logo
Parler à un expert

Accord de traitement des données (DPA)

Mentions juridiques

Dernière mise à jour / 27 mai / 2026

1. Champ d'application et priorité

Le présent Accord de traitement des données ("DPA") fait partie intégrante de la relation contractuelle entre le Client et W&W Global Marketing Group GmbH ("W&W") au titre des Conditions générales d'utilisation, contrats de service et/ou bons de commande applicables (ensemble le "Contrat"). Il définit les conditions dans lesquelles W&W et le Client traitent les données personnelles dans le cadre des Services.

Le présent DPA comporte deux parties. La Partie A (sections 2 et 3) énonce les conditions applicables en tant que sous-traitant aux données personnelles que le Client téléverse, importe ou saisit dans les Services. La Partie B (section 4) énonce les conditions applicables de responsable du traitement à responsable du traitement lorsque W&W déverrouille ou divulgue au Client un candidat issu de sa propre base de données de talents.

Le DPA peut être mis à jour par W&W de temps à autre. Les modifications substantielles seront communiquées au Client par des canaux appropriés (par exemple par e-mail ou par notifications dans l'application) ou publiées sur le site web. En cas de conflit entre le DPA et le Contrat principal, les dispositions du présent DPA prévalent en ce qui concerne le traitement des données personnelles.

Le DPA demeure en vigueur aussi longtemps que W&W traite des données personnelles du Client au titre du Contrat. Les termes commençant par une majuscule qui ne sont pas définis dans le présent DPA ont le sens qui leur est donné dans le Contrat ou dans le droit applicable en matière de protection des données.

2. Définitions

"Données du Client / Données personnelles du Client" : les données personnelles que le Client téléverse, importe ou fournit ou saisit d'une autre manière dans les Services, et que W&W traite pour le compte du Client et sur ses instructions documentées. Cela n'inclut pas les données personnelles figurant dans la propre base de données de talents de W&W, que W&W collecte à partir de sources accessibles au public et contrôle de manière indépendante (telle que décrite dans la Politique de confidentialité).

"Traitement" : toute opération ou ensemble d'opérations effectuées sur des données personnelles, par exemple la collecte, la conservation, l'accès, l'utilisation ou la suppression.

"LPD" : la loi fédérale révisée sur la protection des données du 25 septembre 2020 (RS 235.1), en vigueur depuis le 1er septembre 2023, ainsi que son ordonnance d'exécution sur la protection des données (OPDo, RS 235.11).

"Personne concernée" : toute personne physique dont les données personnelles font l'objet d'un traitement.

"Responsable du traitement" : la partie qui, seule ou conjointement avec d'autres, détermine les finalités et les moyens du traitement.

"Sous-traitant ultérieur" : tout tiers mandaté par W&W pour le traitement de données personnelles.

"Violation de la sécurité des données" : une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données personnelles ou l'accès non autorisé à de telles données (art. 4, par. 12, RGPD).

"Catégories particulières de données personnelles" (données sensibles) : les données personnelles énumérées à l'art. 9, par. 1, RGPD et à l'art. 5 let. c LPD — à savoir les données révélant l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, ou l'appartenance syndicale ; les données génétiques, les données biométriques traitées aux fins d'identifier une personne de manière unique, les données concernant la santé, et les données concernant la vie sexuelle ou l'orientation sexuelle d'une personne.

3. Traitement des données personnelles du Client

3.1 Rôles et responsabilités

Le présent DPA régit les données personnelles que le Client téléverse, importe ou saisit dans les Services ("Données personnelles du Client"). À l'égard de ces données, le Client agit en qualité de responsable du traitement au sens de la LPD et, le cas échéant, du RGPD, et W&W agit en qualité de sous-traitant sur les instructions documentées du Client. Le Client est responsable de la licéité des données qu'il fournit ainsi que de la détermination de la finalité et de la base légale du traitement.

La propre base de données de talents de W&W, que W&W constitue à partir de sources professionnelles accessibles au public, n'est pas traitée pour le compte du Client : W&W est le responsable du traitement indépendant de ces données, tel que décrit dans sa Politique de confidentialité. Lorsqu'un candidat issu de la base de données de talents est déverrouillé ou divulgué d'une autre manière au Client, le Client devient un responsable du traitement indépendant des données qu'il reçoit ; cette relation de responsable du traitement à responsable du traitement est régie par la Partie B (section 4) du présent DPA.

Les Services comprennent du profilage au sens de l'art. 4, par. 4, RGPD et de l'art. 5 let. f LPD (tels que des scores de pertinence et d'autres évaluations fondées sur l'IA). Les résultats d'un tel profilage constituent des éléments consultatifs destinés aux décideurs humains du Client ; en tant que responsable du traitement, le Client s'engage à ne pas utiliser les Services pour prendre des décisions produisant des effets juridiques ou des effets significatifs similaires à l'égard d'une personne physique sur le seul fondement d'un traitement automatisé au sens de l'art. 22, par. 1, RGPD ou de l'art. 21 al. 1 LPD, et à fournir les garanties exigées par ces dispositions. Cela reflète la section 4 des Conditions générales d'utilisation.

3.2 Instructions et étendue du traitement

W&W traite les données personnelles du Client exclusivement selon les instructions documentées du Client (DPA + contrat de service). Toute instruction supplémentaire doit faire l'objet d'un accord écrit et peut nécessiter des adaptations de l'étendue, du calendrier ou du prix.

Les instructions documentées incluent toute instruction relative au transfert de Données personnelles du Client vers un pays tiers, sauf si W&W est tenu de procéder au transfert en vertu du droit applicable (auquel cas W&W informera le Client de cette obligation légale avant le traitement, à moins que le droit ne l'interdise pour des motifs importants d'intérêt public). W&W informera immédiatement le Client si, à son avis, une instruction enfreint la LPD, le RGPD ou un autre droit applicable en matière de protection des données.

3.3 Traitement autorisé

Les données sont traitées exclusivement aux fins de la fourniture des Services convenus contractuellement. Tout traitement allant au-delà de cette finalité (y compris la divulgation à des tiers) n'a lieu que s'il est légalement requis ou expressément autorisé contractuellement.

Remarque : W&W ne traite ni n'infère de données sensibles (relevant de catégories particulières) (par exemple les données révélant l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, ou l'appartenance syndicale ; les données génétiques ou biométriques ; les données concernant la santé ; ou les données concernant la vie sexuelle ou l'orientation sexuelle, telles que définies à l'art. 9 RGPD et à l'art. 5 let. c LPD), et ne tire aucune conclusion sur de telles caractéristiques ; toute conclusion de ce type relève de la seule responsabilité du Client.

3.4 Assistance pour les droits des personnes concernées

W&W assiste le Client dans le traitement des demandes des personnes concernées (accès, rectification, suppression). Le Client reste responsable du traitement ; l'assistance de W&W est fournie sur demande écrite. Les coûts liés aux demandes complexes ou fréquentes peuvent être facturés séparément.

Compte tenu de la nature du traitement et des informations à sa disposition, W&W assiste également le Client dans le respect de ses obligations au titre des articles 32 à 36 RGPD et des articles 8, 22, 23 et 24 LPD — y compris la sécurité des données, la gestion des violations de la sécurité des données, les analyses d'impact relatives à la protection des données et la consultation préalable de l'autorité de surveillance compétente.

3.5 Sous-traitants ultérieurs

Le Client autorise W&W à mandater des sous-traitants ultérieurs pour traiter les Données personnelles du Client. W&W mandate actuellement :

  • Google Cloud — infrastructure cloud et stockage des données, hébergés en Suisse ;
  • Google Cloud Vertex AI (Gemini) — services de grand modèle de langage utilisés pour générer des scores et des évaluations, exécutés dans une région suisse ; seules des données professionnelles dépersonnalisées sont transmises, et les données ne sont utilisées pour entraîner aucun modèle ;
  • Lemlist SAS (France) — enrichissement des données de contact, effectué au moment où un candidat est déverrouillé au Client ;
  • PostHog — analyse du site web et du produit, sur PostHog Cloud EU (Frankfurt, Allemagne).

Chaque sous-traitant ultérieur est lié par un contrat écrit lui imposant des obligations de protection des données substantiellement identiques à celles énoncées dans le présent DPA. W&W tient à jour une liste des sous-traitants ultérieurs, comprenant les noms des entités et leurs localisations, dans sa Liste des sous-traitants ultérieurs publique, et donnera au Client un préavis de tout ajout ou remplacement. Dans un délai de trente (30) jours à compter de ce préavis, le Client peut s'y opposer pour des motifs raisonnables de protection des données ; si les parties ne parviennent pas à résoudre l'opposition de bonne foi, le Client peut résilier les Services concernés sans pénalité. W&W demeure responsable du respect des obligations par ses sous-traitants ultérieurs.

3.6 Mesures techniques et organisationnelles (MTO)

W&W met en œuvre des mesures appropriées pour protéger les données du Client : chiffrement, restriction des accès, surveillance des systèmes, sauvegardes et journaux d'audit. W&W veille à ce que les personnes autorisées à traiter les Données personnelles du Client soient soumises à une obligation de confidentialité contractuelle ou légale et reçoivent une formation appropriée en matière de protection des données.

3.7 Transferts transfrontaliers de données

Les Données personnelles du Client sont hébergées et conservées en Suisse sur l'infrastructure Google Cloud. Le traitement par IA qui génère les scores et les évaluations est exécuté sur Google Cloud Vertex AI dans une région suisse, ne reçoit que des données professionnelles dépersonnalisées, et n'est utilisé pour entraîner aucun modèle.

Les sous-traitants ultérieurs de W&W ne traitent les Données personnelles du Client qu'en Suisse ou dans l'UE/EEE (voir §3.5). Les États membres de l'UE et de l'EEE sont reconnus comme assurant un niveau adéquat de protection des données à l'Annexe 1 de l'ordonnance sur la protection des données (OPDo), de sorte que les communications de la Suisse vers ces sous-traitants ultérieurs sont autorisées en vertu de l'art. 16 al. 1 LPD sans garanties supplémentaires. W&W respecte les articles 16 et 17 LPD et ne transfère pas de Données personnelles du Client vers les États-Unis.

3.8 Suppression ou restitution après la fin du contrat

À la fin des Services, ou à tout autre moment sur demande écrite du Client, W&W procédera, au choix du Client, à la restitution ou à la suppression sécurisée de toutes les Données personnelles du Client, y compris les copies existantes, dans un délai de trente (30) jours, sauf si le droit de l'Union, d'un État membre ou le droit suisse exige une conservation ultérieure (auquel cas W&W isolera et protégera les données conservées et les supprimera une fois l'obligation de conservation expirée). Si le Client ne communique pas son choix dans un délai de trente (30) jours à compter de la fin du contrat, W&W supprimera de manière sécurisée les Données personnelles du Client. W&W fournira une confirmation écrite de la restitution ou de la suppression sur demande.

3.9 Violation de la sécurité des données

W&W maintient des procédures internes de détection et de réponse aux violations de la sécurité des données. W&W notifiera au Client toute violation de la sécurité des données affectant les Données personnelles du Client sans retard injustifié après en avoir pris connaissance, et en tout état de cause dans un délai suffisant pour permettre au Client de respecter son obligation de notification dans les 72 heures au titre de l'art. 33 RGPD (ou l'obligation correspondante au titre de l'art. 24 LPD, le cas échéant). La notification comprendra, dans la mesure des informations connues : (a) la nature de la violation, y compris si possible les catégories et le nombre approximatif de personnes concernées et d'enregistrements concernés ; (b) les conséquences probables ; (c) les mesures prises ou proposées pour y remédier et en atténuer les effets ; et (d) un point de contact pour de plus amples informations. Lorsque toutes les informations ne sont pas disponibles en même temps, elles peuvent être fournies par phases sans nouveau retard injustifié.

3.10 Divulgations légalement requises

W&W informera immédiatement le Client de toute décision officielle ou judiciaire, sauf interdiction légale. Une assistance sera fournie pour répondre à de telles demandes.

3.11 Analyse des Services

W&W peut analyser des données agrégées et non identifiables relatives à la performance et à l'utilisation des Services. Les données du Client ne seront pas identifiables.

3.12 Responsabilité (accountability)

W&W tient un registre des activités de traitement conformément à l'art. 12 LPD. W&W met à la disposition du Client toutes les informations raisonnablement nécessaires pour démontrer le respect du présent DPA et de l'art. 28 RGPD / de l'art. 9 LPD, et permet et contribue à la réalisation d'audits — y compris des inspections sur site moyennant un préavis raisonnable (au plus une fois tous les 12 mois, sauf cause particulière) — menés par le Client ou par un auditeur indépendant mandaté par le Client et tenu par la confidentialité. W&W peut satisfaire à cette obligation en premier lieu en fournissant des certifications ou des rapports d'audit de tiers en vigueur (par exemple ISO 27001 ou SOC 2) couvrant l'étendue pertinente.

4. Conditions de responsable du traitement à responsable du traitement — Candidats déverrouillés (Partie B)

La présente Partie B s'applique lorsqu'un candidat issu de la propre base de données de talents de W&W est déverrouillé ou divulgué d'une autre manière au Client par l'intermédiaire des Services. Elle ne concerne pas les données que le Client téléverse ou importe, lesquelles sont régies par la Partie A ci-dessus.

4.1 Responsables du traitement indépendants

W&W est le responsable du traitement indépendant de la base de données de talents, qu'il constitue et maintient à partir de sources professionnelles accessibles au public. Lorsque le Client déverrouille un candidat, le Client reçoit le profil identifié du candidat ainsi que les coordonnées obtenues par enrichissement des données de contact, et à compter de ce moment le Client est un responsable du traitement indépendant des données qu'il a reçues. Chaque partie détermine les finalités et les moyens de son propre traitement ; il ne s'agit pas d'une relation de sous-traitance, et aucune partie ne traite ces données sur les instructions de l'autre.

4.2 Responsabilités de chaque partie

Chaque partie est responsable du respect du droit applicable en matière de protection des données (la LPD et, le cas échéant, le RGPD) en ce qui concerne son propre traitement. Le Client traite les données déverrouillées à ses propres fins de recrutement, sur sa propre base légale, applique des mesures de sécurité techniques et organisationnelles appropriées, et ne divulgue pas les données à des tiers, sauf à des destinataires soumis à des obligations équivalentes de protection des données. En particulier, en tant que responsable du traitement indépendant, le Client assume ses propres obligations d'information et de transparence à l'égard des candidats déverrouillés au titre des art. 13, 14 et 21 RGPD et de l'art. 19 LPD, y compris le devoir de transparence vis-à-vis des candidats et la gestion de toute demande d'opposition ou de retrait (opt-out) concernant son propre traitement de ces données.

4.3 Droits des personnes concernées

W&W traite les demandes des personnes concernées relatives aux données personnelles conservées sur ses propres systèmes, y compris la base de données de talents. Le Client traite les demandes des personnes concernées relatives aux données qu'il a reçues et qu'il traite ultérieurement. Chaque partie informera l'autre sans retard injustifié de toute demande, réclamation ou enquête d'une autorité concernant le traitement de l'autre partie, et lui apportera une assistance raisonnable.

4.4 Transferts transfrontaliers

Lorsque des données déverrouillées sont transférées en dehors de la Suisse ou de l'UE/EEE, les parties se fondent sur une décision d'adéquation ou sur les clauses contractuelles types de la Commission européenne pour les transferts de responsable du traitement à responsable du traitement (décision (UE) 2021/914, Module 1). Pour les transferts soumis à la LPD, ces clauses s'appliquent avec les adaptations reconnues par le PFPDT : les références au RGPD s'entendent comme des références à la LPD ; l'autorité de surveillance compétente est le PFPDT ; les clauses sont régies par le droit suisse ; et les personnes concernées peuvent agir en justice devant les tribunaux du canton de Zoug.

Annexe 1 – Détails du traitement

Exportateur de données (responsable du traitement) : le Client.

Importateur de données (sous-traitant) : W&W Global Marketing Group GmbH, Landis + Gyr-Strasse 1, 6300 Zug, Suisse (UID CHE-165.987.703).

  • Personnes concernées : les personnes dont le Client téléverse, importe ou saisit les données personnelles dans les Services (par exemple, les propres candidats ou contacts du Client).
  • Catégories de données : les données personnelles contenues dans les enregistrements fournis par le Client — généralement le nom, le profil professionnel, l'expérience, la formation, les compétences et les coordonnées.
  • Finalité : le traitement des données fournies par le Client afin de délivrer les Services de recrutement et de mise en correspondance de talents sur les instructions du Client — en particulier, l'identification des candidats et le premier contact.
  • Durée : aussi longtemps que le Client utilise les Services, sous réserve des conditions de restitution/suppression du §3.8.
  • Sous-traitants ultérieurs : tels qu'énumérés au §3.5 et dans la Liste des sous-traitants ultérieurs publique, chacun étant lié par des obligations de protection des données substantiellement identiques.
  • Autorité de surveillance : Préposé fédéral à la protection des données et à la transparence (PFPDT).

Annexe 2 – Mesures techniques et organisationnelles

  • Hébergement sur l'infrastructure Google Cloud en Suisse (région suisse), avec sécurité physique et environnementale gérée par le fournisseur d'infrastructure
  • Chiffrement au repos (AES-256) et en transit (TLS)
  • Droits d'accès selon le principe du besoin d'en connaître, MFA pour les administrateurs
  • Analyses de sécurité régulières, tests d'intrusion, gestion des correctifs
  • Sauvegardes quotidiennes, plans de reprise après sinistre et de continuité
  • Suppression ou destruction sécurisée après la fin du contrat
  • Surveillance des systèmes, sauvegardes et journaux d'audit

Contact

Juridiction : Zoug, Suisse.