Accord de Traitement des Données

DPA en libre-service : Ce DPA est disponible en mode acceptation par clic dans le cadre du Contrat de Services Principal Staffinity. Les clients entreprises nécessitant un PDF contresigné ou des conditions personnalisées peuvent contacter privacy@staffinity.io.

§1 Parties

En vigueur depuis le 15 mai 2026

Le présent Accord de Traitement des Données (« DPA ») est conclu entre :

Sous-traitant

Staffinity, Inc.

Société constituée selon les lois des États-Unis d'Amérique
Contact : privacy@staffinity.io
Questions de sécurité : security@staffinity.io

Responsable du Traitement

Le Client

L'entité ou la personne physique ayant conclu un Contrat de Services Principal Staffinity ou un Bon de Commande, désignée dans ces documents comme « Customer » ou « Client ».

Collectivement désignés par les « Parties ». Le présent DPA fait partie intégrante du Contrat de Services Principal Staffinity (« CSP ») ou du Bon de Commande applicable, et y est incorporé. En cas de conflit entre le présent DPA et le CSP, le présent DPA prévaut en ce qui concerne le traitement des Données Personnelles.

§2 Objet et Durée

2.1 Objet

Le présent DPA régit le traitement des Données Personnelles par Staffinity (« Sous-traitant ») pour le compte du Client (« Responsable du Traitement ») dans le cadre de la plateforme d'agent IA en milieu de travail de Staffinity, comprenant l'intégration Teams/Slack, l'infrastructure d'orchestration, la récupération de connaissances (RAG), la planification et les services associés (collectivement, les « Services »), tels que décrits à l'Annexe B.

2.2 Nature du Traitement

Les activités de traitement comprennent : la collecte, le stockage, la transmission, la récupération, l'utilisation et la suppression des Données Personnelles soumises par ou pour le compte du Responsable du Traitement via les Services. Les Données Personnelles sont traitées uniquement pour fournir les Services et non à des fins propres à Staffinity.

2.3 Durée

Le présent DPA prend effet à la date à laquelle le Client accepte le CSP ou le Bon de Commande et reste en vigueur pendant toute la durée des Services. À la résiliation, l'article 10 (Suppression des Données) s'applique.

2.4 Clarification des Rôles

Le Client est le Responsable du Traitement ; Staffinity est le Sous-traitant. Staffinity ne traite les Données Personnelles que sur la base des instructions documentées du Responsable du Traitement, sauf lorsque la loi applicable l'y oblige. Lorsque Staffinity estime raisonnablement qu'une instruction enfreint le RGPD ou d'autres lois applicables en matière de protection des données, Staffinity en informe promptement le Responsable du Traitement.

§3 Obligations du Responsable du Traitement

Le Responsable du Traitement déclare et garantit que :

Il dispose d'une base juridique valide en vertu de l'article 6 du RGPD (et de l'article 9, le cas échéant) pour chaque activité de traitement effectuée dans le cadre du présent DPA.
Il a fourni toutes les informations requises aux Personnes Concernées dont les Données Personnelles sont traitées dans le cadre du présent DPA et, lorsque nécessaire, a obtenu tous les consentements requis de celles-ci.
Il ne donnera pas au Sous-traitant d'instruction de traiter des Données Personnelles d'une manière qui amènerait le Sous-traitant à enfreindre la loi applicable.
Il coopérera avec le Sous-traitant pour faciliter le traitement des demandes d'exercice des droits des Personnes Concernées tel que décrit à l'article 7.
Il notifiera promptement le Sous-traitant de tout changement de la loi applicable affectant de manière substantielle les activités de traitement réalisées dans le cadre du présent DPA.
Il réalisera et maintiendra, lorsque cela est requis, une Analyse d'Impact relative à la Protection des Données (AIPD) pour les activités de traitement à haut risque, et consultera le Sous-traitant dans la mesure raisonnablement nécessaire.

§4 Obligations du Sous-traitant

4.1 Instructions

Staffinity ne traitera les Données Personnelles que sur la base des instructions documentées du Responsable du Traitement, y compris en ce qui concerne les transferts de Données Personnelles vers des pays tiers, sauf si la législation de l'Union ou d'un État membre applicable l'y oblige. Staffinity informera immédiatement le Responsable du Traitement si, de son avis, une instruction enfreint la législation applicable en matière de protection des données.

4.2 Confidentialité

Staffinity veillera à ce que les personnes autorisées à traiter les Données Personnelles se soient engagées à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité. L'accès aux Données Personnelles est limité au personnel qui en a besoin pour l'exécution des Services.

4.3 Sécurité

Staffinity mettra en œuvre et maintiendra des Mesures Techniques et Organisationnelles (« MTO ») appropriées afin de garantir un niveau de sécurité adapté au risque, notamment celles décrites à l'Annexe A. Les mesures de sécurité de Staffinity s'appuient sur les contrôles ISO 27001, le cadre AWS Well-Architected et les exigences CSA STAR.

4.4 Absence d'Utilisation Secondaire

Staffinity ne traitera pas les Données Personnelles à d'autres fins que la fourniture des Services. Les données des clients ne sont jamais utilisées pour entraîner des modèles d'IA — cela est contractuellement imposé par les accords de Staffinity avec l'ensemble de ses fournisseurs de modèles d'IA.

4.5 Assistance

Compte tenu de la nature du traitement, Staffinity aidera le Responsable du Traitement, par des mesures techniques et organisationnelles appropriées, à s'acquitter de ses obligations de réponse aux demandes d'exercice des droits des Personnes Concernées, et à assurer le respect des articles 32 à 36 du RGPD (sécurité, notification de violation de données, AIPD et consultation préalable).

4.6 Registres

Staffinity tiendra un registre de toutes les activités de traitement effectuées pour le compte du Responsable du Traitement, conformément à l'article 30, paragraphe 2 du RGPD, et le mettra à la disposition du Responsable du Traitement sur demande.

§5 Sous-traitants Ultérieurs

Le Responsable du Traitement donne une autorisation générale à Staffinity pour faire appel à des sous-traitants ultérieurs. Staffinity imposera aux sous-traitants ultérieurs des obligations en matière de protection des données équivalentes à celles prévues dans le présent DPA, par voie de contrat écrit. Staffinity demeure pleinement responsable envers le Responsable du Traitement de l'exécution des obligations des sous-traitants ultérieurs.

Staffinity informera le Responsable du Traitement de tout changement prévu concernant l'ajout ou le remplacement de sous-traitants ultérieurs avec un préavis d'au moins 30 jours par e-mail à l'adresse de contact enregistrée du Responsable du Traitement, donnant à celui-ci la possibilité de s'y opposer. La liste actuelle des sous-traitants ultérieurs autorisés est la suivante :

Sous-traitant Ultérieur	Finalité	Lieu de Traitement	Garanties
Amazon Web Services (AWS) Amazon.com, Inc. — Seattle, WA, États-Unis	Infrastructure cloud, calcul ECS, RDS (pgvector), ElastiCache, S3, KMS, CloudWatch, GuardDuty. Tout traitement effectué dans us-east-2 (Ohio) par défaut, ou dans toute région AWS UE (par ex. eu-central-1 Francfort, eu-west-1 Irlande, eu-west-3 Paris) pour les clients basés en UE — sélectionné lors du déploiement.	États-Unis ou UE selon la région du client	ISO 27001 SOC 2 Type II GDPR DPA EU SCCs
Anthropic, PBC San Francisco, CA, États-Unis	Inférence IA (Claude Sonnet). Le contenu des messages est envoyé à l'API Anthropic pour la génération de réponses. Aucune donnée n'est utilisée pour entraîner des modèles dans le cadre de l'Accord Entreprise Anthropic.	États-Unis (API Anthropic)	Enterprise DPA GLBA Addendum EU SCCs No model training
Microsoft Corporation Redmond, WA, États-Unis	Livraison via Microsoft Teams, API Microsoft Graph (pour SharePoint, authentification Entra ID). Les données d'identité des employés (AAD Object ID, noms d'affichage) sont traitées uniquement à des fins d'autorisation.	UE/États-Unis (Frontière de données UE Microsoft pour les clients UE)	ISO 27001 SOC 2 Type II GDPR DPA EU Data Boundary
Perplexity AI, Inc. San Francisco, CA, États-Unis	Outil de recherche web (fonctionnalité optionnelle). Lorsque les agents effectuent des recherches web, les requêtes sont envoyées à l'API Perplexity. Les requêtes de recherche peuvent contenir du contexte issu des messages des utilisateurs. Ce sous-traitant ultérieur n'est actif que lorsque la fonctionnalité de recherche web est activée.	États-Unis	Perplexity DPA EU SCCs No model training
Cloudflare, Inc. San Francisco, CA, États-Unis	DNS, CDN et protection DDoS pour les domaines staffinity.io. Cloudflare traite les adresses IP et les métadonnées HTTP ; ne traite pas le contenu des messages.	Edge mondial (métadonnées uniquement)	ISO 27001 SOC 2 Type II GDPR DPA

Note pour les clients soumis à la réglementation HIPAA : Les DPA standard de Perplexity et Anthropic ne constituent pas des Accords d'Associé Commercial (BAA). Les déploiements avec activation HIPAA nécessitent des négociations BAA séparées avec ces fournisseurs. Contactez privacy@staffinity.io avant de traiter des Informations de Santé Protégées.

§6 Transferts Internationaux de Données

6.1 UE/EEE vers les États-Unis

Le principal fournisseur d'inférence IA de Staffinity (Anthropic) et le fournisseur de recherche web (Perplexity) sont basés aux États-Unis. Les transferts de Données Personnelles depuis l'UE/EEE vers ces fournisseurs sont régis par les Clauses Contractuelles Types (CCT) conformément à la Décision d'Exécution de la Commission (UE) 2021/914 (« CCT 2021 »), et plus précisément les clauses du Module 2 (Responsable du Traitement vers Sous-traitant).

6.2 Clients Résidents UE — Option de Résidence des Données

Les clients ayant des exigences de résidence des données en UE peuvent demander un déploiement dans toute région AWS UE (y compris eu-central-1 Francfort, eu-west-1 Irlande, eu-west-3 Paris, eu-north-1 Stockholm, et d'autres). La région spécifique est convenue lors du déploiement et documentée dans le Bon de Commande applicable. Dans cette configuration, tout le traitement au niveau de l'infrastructure (calcul, stockage, bases de données, mise en cache) s'effectue au sein de l'UE. L'inférence IA (Anthropic) continue d'impliquer un traitement basé aux États-Unis dans le cadre des CCT décrites ci-dessus.

6.3 Évaluation de l'Impact des Transferts

Staffinity a conduit une Évaluation de l'Impact des Transferts (EIT) pour les transferts vers Anthropic et Perplexity. Principales conclusions : (a) les données transférées sont des messages de conversation, non des catégories spéciales de données ; (b) Anthropic et Perplexity opèrent selon des contrôles de sécurité robustes et se conforment aux lois fédérales américaines applicables en matière de confidentialité ; (c) les CCT offrent des garanties adéquates en conjonction avec des mesures techniques supplémentaires comprenant TLS 1.3 en transit et AES-256 au repos. L'EIT est disponible pour les Responsables du Traitement sur demande sous accord de confidentialité.

6.4 Absence de Transfert Non Autorisé vers des Pays Tiers

Staffinity ne transférera pas de Données Personnelles vers un pays tiers ou une organisation internationale non répertoriée à l'article 5 sans le consentement écrit préalable du Responsable du Traitement et sans s'assurer qu'une garantie appropriée au titre du Chapitre V du RGPD est en place.

§7 Droits des Personnes Concernées

Lorsque Staffinity reçoit directement d'une Personne Concernée une demande d'exercice de ses droits au titre des articles 15 à 22 du RGPD (accès, rectification, effacement, limitation, portabilité, opposition), Staffinity devra :

Ne pas répondre de manière indépendante à la Personne Concernée, mais transmettre promptement la demande au Responsable du Traitement ;
Aider le Responsable du Traitement à répondre à la demande, en fournissant l'assistance technique et organisationnelle pertinente dans la mesure raisonnablement requise ;
Ne pas facturer au Responsable du Traitement l'assistance standard fournie pour répondre aux demandes des Personnes Concernées (des coûts raisonnables peuvent s'appliquer pour les exportations à grande échelle ou les opérations techniques complexes).

La plateforme Staffinity est conçue pour aider le Responsable du Traitement à se conformer aux droits des Personnes Concernées, notamment :

Droit d'accès : L'historique des conversations et les données stockées sont récupérables sur demande ;
Droit à l'effacement : Staffinity supprimera toutes les Données Personnelles d'un utilisateur donné sur instruction documentée du Responsable du Traitement dans un délai de 30 jours ;
Droit à la limitation du traitement : Le traitement pour des utilisateurs spécifiques peut être suspendu sur instruction ;
Portabilité des données : L'exportation de l'historique des conversations est disponible au format JSON sur demande.

§8 Notification de Violation de Données

8.1 Notification du Sous-traitant

En cas de Violation de Données Personnelles (telle que définie à l'article 4, paragraphe 12 du RGPD) affectant les Données Personnelles traitées dans le cadre du présent DPA, Staffinity notifiera le Responsable du Traitement sans délai indu et, dans la mesure du possible, dans les 48 heures suivant la prise de connaissance de la violation. Ce délai soutient l'obligation du Responsable du Traitement de notifier l'autorité de contrôle compétente dans les 72 heures conformément à l'article 33 du RGPD.

8.2 Contenu de la Notification

La notification de violation de données comprendra, dans la mesure des informations disponibles au moment de la notification :

Une description de la nature de la violation, incluant (dans la mesure du possible) les catégories et le nombre approximatif de Personnes Concernées ainsi que les catégories et le nombre approximatif d'enregistrements concernés ;
Les coordonnées du responsable de la protection des données chez Staffinity ;
Une description des conséquences probables de la violation ;
Une description des mesures prises ou envisagées pour remédier à la violation, y compris les mesures visant à en atténuer les effets négatifs potentiels.

8.3 Coopération

Staffinity coopérera pleinement avec le Responsable du Traitement et prendra toutes les mesures raisonnablement requises pour aider à l'investigation, à l'atténuation et à la remédiation d'une violation. La notification au Responsable du Traitement ne constitue pas une admission de faute ou de responsabilité de la part de Staffinity.

8.4 Contact Sécurité

Toutes les questions de sécurité et de violation de données doivent être adressées à : security@staffinity.io. Staffinity maintient un processus de réponse aux incidents 24h/24 et 7j/7 surveillé via AWS GuardDuty, les canaries CloudWatch Synthetics et des alertes automatiques.

§9 Droits d'Audit

9.1 Documentation

Staffinity mettra à la disposition du Responsable du Traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues dans le présent DPA et à l'article 28 du RGPD. Cela comprend l'accès à : le présent DPA et ses annexes ; les accords de sous-traitance ultérieure de Staffinity (sous réserve de la suppression des clauses commercialement sensibles) ; les certifications de sécurité et rapports d'audit ; et les registres de traitement conformément à l'article 30, paragraphe 2 du RGPD.

9.2 Rapports d'Audit Tiers

Staffinity fournira, sur demande écrite et sous accord de confidentialité, des copies des rapports d'audit et certifications tiers disponibles, notamment : l'auto-évaluation CSA STAR Niveau 1 ; la revue du cadre AWS Well-Architected (disponible publiquement sur trust.staffinity.io) ; et, une fois finalisé, le rapport d'audit SOC 2 Type I.

9.3 Audits Sur Site

Dans le cas où le Responsable du Traitement détermine raisonnablement que les rapports tiers ne fournissent pas une assurance suffisante, le Responsable du Traitement peut effectuer (ou désigner un auditeur tiers qualifié pour effectuer) un audit des opérations de traitement de Staffinity, sous réserve de : (a) un préavis écrit minimum de 30 jours ; (b) l'audit se déroulant pendant les heures normales d'ouverture ; (c) l'auditeur étant soumis à des obligations de confidentialité ; et (d) le remboursement par le Responsable du Traitement des coûts raisonnables de Staffinity. Les audits ne peuvent pas avoir lieu plus d'une fois par année civile en l'absence d'incident de sécurité documenté.

§10 Suppression et Restitution des Données

10.1 À la Résiliation

À la résiliation du CSP ou sur demande écrite du Responsable du Traitement, Staffinity, au choix du Responsable du Traitement, devra soit :

Supprimer toutes les Données Personnelles traitées dans le cadre du présent DPA, y compris toutes les copies détenues par les sous-traitants ultérieurs, dans un délai de 30 jours ; soit
Restituer toutes les Données Personnelles au Responsable du Traitement dans un format portable (JSON ou CSV), après quoi Staffinity supprimera toutes les copies dans les 30 jours suivant la confirmation de réception par le Responsable du Traitement.

10.2 Conservation pour Obligations Légales

Nonobstant l'article 10.1, Staffinity peut conserver des Données Personnelles dans la mesure requise par la loi applicable (y compris les données de journaux d'audit requises pour la conformité réglementaire). Toute donnée ainsi conservée sera soumise aux obligations de confidentialité et de sécurité du présent DPA et supprimée dès que l'obligation légale cesse de s'appliquer. Staffinity informera le Responsable du Traitement de toute donnée ainsi conservée et de la base légale applicable.

10.3 Certification

À l'issue de la suppression, Staffinity fournira au Responsable du Traitement une attestation écrite confirmant que toutes les Données Personnelles ont été supprimées ou restituées conformément au présent article.

Annexe A Mesures Techniques et Organisationnelles (MTO)

En vigueur au 15 mai 2026 — révisées annuellement

Staffinity met en œuvre les mesures techniques et organisationnelles suivantes pour protéger les Données Personnelles contre tout traitement non autorisé ou illicite et contre la perte, la destruction ou les dommages accidentels :

🔐

Chiffrement au Repos

Toutes les données chiffrées avec AES-256. Clés gérées par le client (CMK) AWS KMS par client avec rotation annuelle. CMK distinctes pour chaque compte client (pas de clés partagées).

🔒

Chiffrement en Transit

TLS 1.3 imposé sur toutes les connexions. ELBSecurityPolicy-TLS13-1-2-2021-06. HTTP redirigé vers HTTPS. Connexions Redis en TLS uniquement (port 6380).

🏢

Isolation au Niveau du Compte

Chaque client entreprise est provisionné dans un compte AWS dédié. Pas de partage de calcul, de stockage, de bases de données ou de clés de chiffrement entre clients. Séparation physique des comptes.

🧱

Sécurité Réseau

Isolation VPC avec passerelle NAT, groupes de sécurité et ACL réseau. AWS WAF sur tous les points de terminaison publics. Pas d'accès direct à Internet pour le calcul ou les bases de données. VPC Link pour la communication entre services internes.

🪪

Identité et Accès

Authentification Microsoft Entra ID avec application de l'AMF. Politiques d'accès conditionnel. Conformité MDM Intune. Revues d'accès trimestrielles. Principe du moindre privilège appliqué.

🛡️

Détection des Menaces

AWS GuardDuty activé (protection S3 + logiciels malveillants). Règles de conformité AWS Config. Alertes EventBridge vers SNS. Surveillance de la santé CloudWatch Synthetics. Alertes de sécurité transmises au personnel d'astreinte.

🧾

Journaux d'Audit

Piste d'audit immuable : DynamoDB + S3 WORM (Object Lock COMPLIANCE, conservation 7 ans). Événements de données CloudTrail. Interrogeable via Athena. Journaux chiffrés avec CMK.

🔍

Détection des DCP

Couche de détection automatisée des données à caractère personnel sur toutes les données entrantes/sortantes (NSS, cartes de crédit, données de santé, plus de 20 types de motifs). Motifs étendus HIPAA pour les clients du secteur de la santé. Enregistrement dans les journaux d'audit lors de la détection.

💉

Protection contre l'Injection de Prompt

Le contenu externe est encapsulé avec des marqueurs de délimitation avant le traitement IA. Limitation du débit (30/min, 200/h par utilisateur). Validation et assainissement des entrées au niveau de la couche middleware.

♻️

Sauvegarde et Récupération

Sauvegarde en 3 niveaux : quotidienne/35j, hebdomadaire/90j, mensuelle/1an. PITR DynamoDB activé. RTO <15 min, RPO quasi-nul. Protection contre la suppression activée sur toutes les bases de données de production.

📦

Sécurité de la Chaîne d'Approvisionnement

Analyse des images ECR (scanOnPush=true). Immuabilité des balises sur tous les référentiels d'images. Condensés d'images épinglés dans les définitions de tâches de production. Pas de registres non approuvés.

👤

Mesures Relatives au Personnel

Tout le personnel ayant accès aux données est soumis à des obligations de confidentialité. Formation annuelle à la sécurité. Vérifications des antécédents pour les employés ayant accès aux systèmes. Révocation des accès dans les 24h suivant tout changement de rôle.

Annexe B Détails du Traitement

Catégories de Personnes Concernées

Les employés, prestataires et utilisateurs autorisés du Responsable du Traitement qui interagissent avec l'agent IA Staffinity via Microsoft Teams, Slack ou d'autres canaux connectés ;
Les tiers dont les Données Personnelles peuvent être mentionnées incidemment dans les communications traitées par la plateforme (par ex. contacts, clients mentionnés dans des messages).

Catégories de Données Personnelles

Données d'identité : Nom, adresse e-mail, identifiant objet Microsoft/Entra ID, nom d'affichage, département ;
Données d'interaction : Contenu des messages, horodatages, historique des conversations, pièces jointes traitées par l'agent ;
Données d'utilisation : Identifiants de session, métriques d'utilisation des fonctionnalités, journaux d'erreurs (aucun contenu stocké dans les métriques) ;
Données de préférence : Préférences et paramètres exprimés par l'utilisateur stockés dans la mémoire de l'agent ;
Catégories spéciales : Non collectées intentionnellement. Les données sensibles HIPAA ne sont traitées que dans le cadre d'un BAA distinct et avec une configuration client explicite.

Opérations de Traitement

Authentification et autorisation via Microsoft Entra ID ;
Stockage et récupération de l'historique des conversations (Redis, DynamoDB — fenêtre glissante de 7 jours) ;
Inférence IA : transmission du contexte des messages à Anthropic Claude pour la génération de réponses ;
Récupération de connaissances : recherche sémantique dans les documents fournis par le client (RAG, pgvector) ;
Recherche web optionnelle : transmission des requêtes de recherche à l'API Perplexity ;
Planification et exécution de tâches via EventBridge et Lambda ;
Journalisation d'audit : enregistrements de métadonnées uniquement (aucun contenu de message dans les journaux d'audit) ;
Détection et signalement des données à caractère personnel au niveau de la couche middleware.

Durées de Conservation

Historique des conversations : Conservation glissante de 7 jours dans Redis ; DynamoDB avec TTL configurable ;
Journaux d'audit : 7 ans (archive S3 protégée par WORM) ;
Préférences utilisateur : Durée du contrat de service ;
Documents de base de connaissances (RAG) : Selon la configuration du Responsable du Traitement ; supprimés à la résiliation ;
Données de sauvegarde : Selon le niveau de sauvegarde (max 1 an pour les sauvegardes mensuelles).

Annexe C Clauses Contractuelles Types (CCT)

Cadre Applicable

Pour les transferts de Données Personnelles depuis l'Union Européenne / l'Espace Économique Européen vers Staffinity (établie aux États-Unis) ou vers des sous-traitants ultérieurs basés aux États-Unis (Anthropic, Perplexity), les Parties conviennent que les Clauses Contractuelles Types adoptées par la Commission Européenne via la Décision d'Exécution (UE) 2021/914 du 4 juin 2021 sont incorporées par référence dans le présent DPA comme suit :

Module 2 (Responsable du Traitement vers Sous-traitant) s'applique aux transferts du Responsable du Traitement (entité UE/EEE) vers Staffinity ;
Module 3 (Sous-traitant vers Sous-traitant) s'applique aux transferts ultérieurs de Staffinity vers les sous-traitants ultérieurs basés aux États-Unis (Anthropic, Perplexity).

Clause 7 — Clause d'Adhésion

La clause d'adhésion des CCT 2021 (Clause 7) est activée, permettant à des responsables du traitement ou des sous-traitants supplémentaires d'adhérer aux CCT selon les besoins pendant la durée du présent DPA sans nécessiter la négociation d'un nouveau DPA.

Clause 9 — Sous-traitants Ultérieurs

L'option 2 (Autorisation Écrite Générale) s'applique. Staffinity fournit une autorisation générale telle que décrite à l'article 5 du présent DPA, avec un préavis de 30 jours pour tout changement.

Clause 11 — Recours

Le mécanisme de recours optionnel n'est pas activé. Les Personnes Concernées exerceront leurs droits auprès du Responsable du Traitement tel que décrit à l'article 7 du présent DPA.

Clause 17 — Droit Applicable

Les CCT seront régies par le droit de l'État membre de l'UE dans lequel le Responsable du Traitement est établi. Pour les Responsables du Traitement non établis dans un État membre de l'UE, les CCT seront régies par le droit de la République d'Irlande.

Clause 18 — Juridiction

Tout litige découlant des CCT sera résolu par les tribunaux de l'État membre de l'UE dans lequel le Responsable du Traitement est établi, ou, pour les Responsables du Traitement non établis dans un État membre de l'UE, par les tribunaux de la République d'Irlande.

Addendum UK RGPD

Pour les transferts soumis au UK RGPD (post-Brexit), l'Addendum de Transfert International de Données émis par le Bureau du Commissaire à l'Information du Royaume-Uni (ICO) — version B1.0 — est incorporé dans les CCT. Les Parties conviennent de toutes les clauses obligatoires et sélectionnent : (a) Tableau 1 — tel que spécifié dans le présent DPA ; (b) Tableau 2 — CCT 2021 Module 2 ; (c) Tableau 4 — Sous-traitant.

Texte intégral des CCT : Le texte complet et non modifié des CCT 2021 est disponible auprès de la Commission Européenne sur commission.europa.eu. Staffinity fournit une copie contresignée avec les Annexes I à III renseignées sur demande adressée à privacy@staffinity.io.

Dispositions Générales

Responsabilité

La responsabilité de chaque Partie au titre du présent DPA est soumise aux limitations et exclusions prévues dans le CSP, dans la mesure permise par la loi applicable. Aucune disposition du présent DPA ne limite la responsabilité de l'une ou l'autre Partie en cas de décès, de dommages corporels, de fraude ou de toute responsabilité qui ne peut être limitée par la loi applicable.

Modifications

Staffinity peut mettre à jour le présent DPA pour refléter des modifications de la loi applicable ou de ses activités de traitement. Les changements substantiels seront communiqués au Responsable du Traitement au moins 30 jours avant leur entrée en vigueur. La poursuite de l'utilisation des Services après la date d'entrée en vigueur constitue une acceptation. Pour les clients disposant de DPA contresignés, les modifications requièrent un accord écrit mutuel.

Divisibilité

Si une disposition du présent DPA est jugée invalide ou inapplicable, les dispositions restantes continueront à s'appliquer pleinement. Les Parties négocieront de bonne foi pour remplacer toute disposition invalide par une disposition valide atteignant, dans la mesure du possible, le même objectif.

Droit Applicable

Le présent DPA est régi par et interprété conformément aux lois de l'État du Delaware, États-Unis d'Amérique, sans égard aux dispositions relatives aux conflits de lois, sauf dans la mesure où les CCT de l'Annexe C spécifient un droit applicable différent pour les transferts transfrontaliers.

Contact

Les questions relatives au présent DPA doivent être adressées à : privacy@staffinity.io

Besoin d'un DPA Contresigné ?

Les clients entreprises nécessitant une copie PDF contresignée, des annexes personnalisées ou un BAA (pour les cas d'usage HIPAA) peuvent en faire la demande directement. Les DPA standard sont traités sous 3 jours ouvrés.

Demander un DPA Contresigné Retour au Centre de Confiance