Accord de sous-traitance (DPA)

Le présent Accord de sous-traitance des données personnelles (« DPA » pour Data Processing Agreement) encadre les traitements de données personnelles effectués par QuadCore SAS, immatriculée au RCS de Compiègne sous le numéro 101 694 016, dont le siège social est situé 5 Rue du Docteur Roux, 60180 Nogent-sur-Oise (« le Sous-traitant »), pour le compte du Client (« le Responsable de traitement ») dans le cadre de la fourniture de la plateforme SaaS QuadCore.

Il fait partie intégrante des Conditions Générales d'Utilisation et de Services et est conclu conformément à l'article 28 du RGPD.

1. Description du traitement

• Nature du traitement : hébergement, stockage, structuration, consultation, parsing par IA, restitution et suppression de données confiées par le Client.
• Finalités : fournir le service décrit dans les CGU/CGS (gestion consultants, CV Optimizer, CRM, CRA, facturation).
• Durée : pendant toute la durée de l'abonnement, augmentée d'une période de restitution de 30 jours.
• Catégories de personnes concernées : consultants (internes et externes du Client), salariés du Client, contacts clients / recruteurs, prospects.
• Catégories de données : identité, coordonnées professionnelles, CV, expériences, compétences, certifications, disponibilités, TJM, notes commerciales, temps saisis, factures.
• Aucune donnée sensible n'est traitée intentionnellement. Le Client s'engage à ne pas importer de données relevant des catégories particulières (art. 9 RGPD : santé, opinions religieuses, orientation sexuelle, etc.) sauf cadrage contractuel explicite.

2. Obligations du Sous-traitant (QUADCORE)

QUADCORE s'engage à :

• Traiter les données uniquement sur instruction documentée du Client, matérialisée par les CGU/CGS et les configurations choisies dans la Plateforme ;
• Garantir la confidentialité des données et imposer à ses personnels un engagement de confidentialité ;
• Mettre en œuvre les mesures techniques et organisationnelles décrites à l'Annexe 1 ;
• Assister le Client dans la réponse aux demandes d'exercice des droits des personnes concernées ;
• Notifier au Client toute violation de données dans les meilleurs délais et, au plus tard, sous 72 heures après en avoir pris connaissance, avec les informations nécessaires à sa propre notification CNIL ;
• Mettre à disposition toute information démontrant le respect des obligations et accepter un auditannuel sur pièces ou, pour les plans Enterprise, sur site sous réserve d'un préavis raisonnable ;
• Respecter les obligations en matière de transferts hors UE (voir article 5).

3. Obligations du Client (Responsable de traitement)

• Déterminer les finalités et moyens du traitement ;
• S'assurer de la licéité des données importées (base légale, consentements préalables, notamment pour les consultants et prospects) ;
• Informer les personnes concernées conformément aux articles 13 et 14 du RGPD ;
• Configurer la Plateforme (durées de conservation, accès, rôles) de manière conforme à ses obligations ;
• Payer les redevances dues pour la fourniture du service.

4. Sous-traitants ultérieurs

Le Client autorise QUADCORE à recourir aux sous-traitants ultérieurs listés ci-dessous. Toute modification substantielle (ajout, remplacement) sera notifiée par e-mail et via la Plateforme au moins 30 jours avant prise d'effet, le Client pouvant s'y opposer pour motif légitime.

5. Transferts hors Union européenne

Lorsqu'un transfert hors UE est nécessaire, QUADCORE met en place les garanties appropriées :

• Clauses Contractuelles Types (CCT) de la Commission européenne (décision 2021/914) ;
• EU-US Data Privacy Framework lorsque le sous-traitant y est certifié ;
• Mesures complémentaires : chiffrement TLS 1.2+, chiffrement au repos, minimisation, anonymisation lorsque possible.

6. Assistance du Sous-traitant

QUADCORE met à la disposition du Client des outils en libre-service pour l'aider à respecter ses obligations : export des données (JSON / CSV), suppression d'un compte utilisateur, purge sélective. Pour les demandes complexes non couvertes par les outils natifs, une assistance est fournie dans les conditions tarifaires du plan souscrit.

7. Violation de données

QUADCORE notifiera toute violation au Client par e-mail à l'adresse de contact renseignée sur son compte dans un délai maximum de 72 heures. La notification contiendra : description de la violation, catégories et volume approximatif de données concernées, conséquences probables, mesures prises ou proposées.

8. Fin du contrat — restitution et suppression

À la fin du contrat, le Client dispose d'une période de 30 jours pour exporter l'intégralité de ses données via les outils natifs de la Plateforme. À l'issue de cette période, QUADCORE procède à la suppression sécurisée des données, sauf obligation légale de conservation (facturation, logs de sécurité).

9. Audit

Le Client peut demander, à ses frais et avec un préavis raisonnable, la communication d'une attestation de conformité. Les audits sur site ne sont réalisables que pour les plans Enterprise, dans des conditions définies contractuellement, et ne doivent pas perturber le fonctionnement du service.

Annexe 1 — Mesures techniques et organisationnelles

• Chiffrement TLS 1.2+ pour toutes les communications.
• Chiffrement au repos AES-256 sur base de données et stockage.
• Authentification robuste, support SSO SAML/OIDC sur plan Enterprise.
• Isolation multi-tenant par Row Level Security (RLS) Supabase — aucune donnée ne peut transiter d'une organisation à une autre.
• Principe du moindre privilège appliqué aux accès internes.
• Logs d'audit, monitoring et alertes sur anomalies d'accès.
• Sauvegardes chiffrées quotidiennes conservées 30 jours.
• Procédure de gestion des incidents de sécurité documentée.
• Revues de sécurité code / dépendances automatisées.
• Sensibilisation régulière des équipes.

Dernière mise à jour : avril 2026