1 mois offert sur votre 1ère annonce · code 1MOIS

Apyjob
Créer un espace Espace entreprise

Accord de traitement des données (ATD / DPA)

Service « Apyjob » — https://www.apyjob.com

Version 2026-06-08

Le présent accord de traitement des données personnellesATD » ou « DPA ») complète les conditions générales d’utilisation (CGU) de Apyjob et s’applique aux données personnelles traitées par M. Rasse (SIRET 510 572 746 00038, 49 Cours Mirabeau, 13100 Aix-en-Provence, France) en qualité de sous-traitant pour le compte du commerçant utilisateur du service en qualité de responsable de traitement, au sens du règlement (UE) 2016/679 (RGPD).

Acceptation. La création d’un compte commerçant ou la poursuite de l’utilisation de Apyjob pour le recrutement vaut acceptation du présent ATD conjointement aux CGU. Le présent accord ne couvre pas les données pour lesquelles Apyjob agit en responsable de traitement (compte commerçant, facturation, etc.) — voir la politique de confidentialité.

1. Définitions

  • Responsable de traitement — le commerçant (compte / établissement) qui détermine les finalités et les moyens du traitement des données des candidats.
  • Sous-traitant — Apyjob, édité par M. Rasse, assurant l’hébergement et le traitement technique.
  • Données personnelles — toute information se rapportant à un candidat ou à toute personne concernée identifiée ou identifiable dans le périmètre recrutement.
  • Service — la plateforme SaaS Apyjob (offres, formulaires de candidature, espace commerçant, notifications, exports).
  • Sous-traitant ultérieur — tout tiers mandaté par le Sous-traitant pour traiter des données pour le compte du Responsable de traitement.

2. Objet et durée

Le Sous-traitant traite des données personnelles uniquement sur instruction documentée du Responsable de traitement, pour la fourniture du Service. Le présent ATD s’applique pendant toute la durée de la relation contractuelle (abonnement / utilisation du Service) et jusqu’à la suppression ou la restitution des données conformément à l’article 11.

3. Nature et finalités du traitement

Le Sous-traitant réalise notamment les opérations suivantes pour le compte du Responsable de traitement :

  • Hébergement et stockage des offres, questionnaires et candidatures ;
  • Collecte via formulaires publics (réponses écrites, pièces jointes, photos, enregistrements audio) ;
  • Transmission au Responsable de traitement (tableau de bord, notifications e-mail, export PDF) ;
  • Transcodage audio optionnel (ffmpeg) pour optimiser le stockage ;
  • Statistiques techniques (scans QR, vues d’offres — IP limitée à un enregistrement par jour) ;
  • Assistance technique pour les demandes de suppression adressées au prestataire.

Finalités déterminées par le Responsable de traitement : recrutement, étude des candidatures, prise de contact avec les candidats, respect des obligations du droit du travail applicables au Responsable de traitement. Le Sous-traitant ne décide pas des suites données aux candidatures.

4. Catégories de données et personnes concernées

4.1 Personnes concernées

  • Candidats à un emploi (y compris candidatures spontanées) ;
  • Personnes dont le CV est importé manuellement par le Responsable de traitement dans l’espace commerçant.

4.2 Catégories de données personnelles

  • État civil et coordonnées (nom, prénom, e-mail, téléphone) ;
  • Contenu de candidature (réponses aux questions personnalisées, texte libre, poste / contrat souhaité) ;
  • Pièces jointes et photos transmises par le candidat ;
  • Enregistrements audio lorsque le Responsable de traitement active ce type de question ;
  • Preuves de consentement (acceptation politique de confidentialité, opt-in offres similaires le cas échéant) ;
  • Métadonnées techniques (date de dépôt, durée optionnelle de remplissage, statut dans l’espace commerçant) ;
  • Adresse IP du visiteur (statistiques : une entrée par IP et par jour pour QR / vues d’offres).

Catégories particulières (article 9 RGPD) : le Service n’est pas conçu pour collecter des données sensibles. Le Responsable de traitement ne doit pas configurer de questions sollicitant la santé, l’origine, les convictions religieuses ou d’autres données de catégories particulières sauf base légale et conformité au droit applicable. Le Responsable de traitement est seul responsable du contenu des offres et des questions.

5. Instructions du responsable de traitement

Le Sous-traitant ne traite les données personnelles que sur instruction documentée du Responsable de traitement, notamment : (a) paramétrage des établissements, offres et questions ; (b) utilisation de l’espace commerçant (consultation, archivage, suppression, export des candidatures) ; (c) les CGU et le présent ATD ; (d) le droit applicable lorsque le Sous-traitant doit y satisfaire de manière indépendante.

Si le Sous-traitant estime qu’une instruction enfreint le RGPD ou une autre règle de protection des données, il en informe le Responsable de traitement dans les meilleurs délais.

6. Obligations du sous-traitant

Le Sous-traitant s’engage à :

  • Ne traiter les données personnelles que sur instruction documentée du Responsable de traitement ;
  • Garantir la confidentialité des personnes autorisées à traiter les données ;
  • Mettre en œuvre des mesures techniques et organisationnelles appropriées (article 7) ;
  • Ne faire appel à un autre sous-traitant qu’aux conditions de l’article 8 ;
  • Aider le Responsable de traitement à répondre aux demandes des personnes concernées (article 9) ;
  • Aider en matière de sécurité, notification de violation et analyses d’impact le cas échéant (article 10) ;
  • Supprimer ou restituer les données en fin de Service (article 11) ;
  • Fournir les informations nécessaires pour démontrer le respect du présent ATD et permettre des audits (article 12).

7. Mesures de sécurité

Compte tenu de l’état de l’art, des coûts, de la nature et des risques, le Sous-traitant met en œuvre notamment :

  • HTTPS en production (recommandé / requis pour les formulaires et le micro) ;
  • Hachage des mots de passe, gestion des sessions, protection CSRF sur les formulaires sensibles ;
  • Accès par rôles pour les utilisateurs d’équipe commerçant ;
  • reCAPTCHA et blocage des e-mails jetables sur les formulaires publics (si activés) ;
  • Limitation de taille des fichiers uploadés ; séparation des sessions admin et commerçant ;
  • Stockage des secrets hors configuration versionnée lorsque possible ;
  • Accès restreint à l’infrastructure et aux bases de production.

Le Responsable de traitement reste responsable de la confidentialité de ses identifiants, des invitations d’équipe et de l’usage licite des données exportées.

8. Sous-traitants ultérieurs

Le Responsable de traitement autorise le Sous-traitant à faire appel aux sous-traitants ultérieurs nécessaires au fonctionnement du Service. Liste à la date du présent document :

Sous-traitantActivitéLocalisation / transfert
HébergeurInfrastructure, base de données, stockage fichiersUnion européenne
Prestataire e-mail (ex. Resend)E-mails transactionnels (notification nouvelle candidature)Transfert hors EEE possible — DPA / CCT
Google reCAPTCHAAnti-spam sur formulaires de candidatureÉtats-Unis — conditions Google
Prestataire d’extraction documentaire (import CV)Extraction structurée lors d’un ajout manuel de CV par le commerçantÉtats-Unis — uniquement si la fonctionnalité est activée

Le Sous-traitant informe le Responsable de traitement de toute modification prévue de cette liste (mise à jour de la présente page ou notification par e-mail). Le Responsable de traitement peut s’opposer pour des motifs légitimes liés à la protection des données ; à défaut d’accord, chaque partie peut résilier la partie concernée du Service.

Hors sous-traitance des données candidats : Stripe (facturation commerçant), Google Analytics 4 (portail et espace commerçant uniquement, avec consentement), Google Maps (autocomplete adresse établissement) — ces services traitent des données commerçant ou visiteur sous d’autres rôles.

9. Droits des personnes concernées

Les demandes des candidats relatives à leur candidature doivent être adressées en priorité au Responsable de traitement (employeur). Le Sous-traitant assiste le Responsable de traitement, dans un délai raisonnable, lorsque celui-ci contacte le Sous-traitant (contact@apyjob.com) ou via les outils techniques (suppression dans l’espace commerçant, export).

Les candidats peuvent aussi utiliser le formulaire public de la politique de confidentialité ; le Sous-traitant transmettra les demandes liées au recrutement au Responsable de traitement concerné lorsque celui-ci est identifiable.

10. Violations de données personnelles

Le Sous-traitant notifie le Responsable de traitement dans les meilleurs délais après avoir pris connaissance d’une violation de données personnelles affectant les données du Responsable de traitement, en communiquant les informations raisonnablement disponibles pour permettre au Responsable de traitement de satisfaire ses obligations aux articles 33 et 34 du RGPD.

11. Conservation, suppression et restitution

11.1 Durées par défaut

  • Candidatures sur offre : 12 mois maximum à compter du dépôt, sauf suppression anticipée par le Responsable de traitement ou obligation légale ;
  • Candidatures spontanées : 6 mois maximum ;
  • Les consentements et la version de politique acceptée sont conservés avec la candidature.

Le Responsable de traitement peut supprimer des candidatures à tout moment depuis l’espace commerçant. Le Sous-traitant recommande un examen périodique des candidatures archivées.

11.2 Fin du contrat

À la résiliation du Service pour un établissement, le Sous-traitant procède, selon le choix du Responsable de traitement communiqué sous 30 jours : (a) à l’export des candidatures restantes via le Service tant que l’accès est maintenu ; puis (b) à la suppression des données personnelles des candidats sous 90 jours, sauf obligation légale de conservation au sens du droit de l’UE ou français.

Les sauvegardes techniques peuvent conserver des données pour une durée limitée ; le Sous-traitant ne restaure des données supprimées que si la loi l’exige.

12. Audits et informations

Le Sous-traitant fournit au Responsable de traitement, sur demande écrite et au plus une fois par an (sauf exigence d’une autorité de contrôle), les informations raisonnablement nécessaires pour démontrer le respect du présent ATD. Des audits sur site peuvent être réalisés aux frais du Responsable de traitement, avec préavis raisonnable, sous réserve des règles de confidentialité et de sécurité du Sous-traitant et de son hébergeur.

13. Transferts hors Union européenne

Lorsque des sous-traitants ultérieurs traitent des données hors EEE, le Sous-traitant s’assure de garanties appropriées (clauses contractuelles types, décision d’adéquation ou mécanisme équivalent proposé par le sous-traitant). Les détails figurent dans la documentation des sous-traitants concernés.

14. Responsabilité et droit applicable

La responsabilité entre les parties est régie par les CGU. Le présent ATD est soumis au droit français. En cas de contradiction entre les CGU et le présent ATD pour les données personnelles du périmètre recrutement, le présent ATD prévaut.

15. Contact

Sous-traitant : M. Rasse — Apyjob
49 Cours Mirabeau, 13100 Aix-en-Provence, France
Contact RGPD / ATD : contact@apyjob.com