Table des matières

Modalités de sous-traitance de données à caractère personnel ou « DPA »

Ce document a été mis à jour pour la dernière fois le 4 décembre 2024.

La présente Convention de traitement des données (la " CTP ") fait partie intégrante du Contrat conclu entre CoderPad France, SA (le " Prestataire ") et Vous (le " Client "), dont l'objet est de définir les conditions applicables aux Services. Le DPA et les autres documents du Contrat sont complémentaires et s'expliquent mutuellement. Toutefois, en cas de contradiction, les règles de priorité sont définies dans le Contrat Client.

Le présent DPA conclu entre le Prestataire et le Client conformément à l'article 28 du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (" Règlement général sur la protection des données " ou " RGPD "), a pour objet de définir les conditions dans lesquelles, CoderPad, le Prestataire, en tant que sous-traitant et dans le cadre des Services définis au Contrat, traite, sur instruction de Vous, le Client, des Données à caractère personnel telles que définies à l'article 4(1) du RGPD (" Données à caractère personnel ").

Le traitement des données à caractère personnel par le prestataire de services en tant que responsable du traitement n'entre pas dans le champ d'application du présent DPA. Les opérations de traitement pour lesquelles le prestataire de services est le responsable du traitement sont décrites dans la politique de confidentialité du site à l'adresse suivante : https://coderpad.io/privacy/.

Aux fins du présent DPA, le Prestataire agit en tant que « Sous-traitant » et le Client est présumé agir en tant que « Responsable du traitement ». Les termes « Sous-traitant » et « Responsable du traitement » ont le sens qui leur est donné au sein du RGPD (respectivement article 4 (8) et article 4 (7) du RGPD.

Si le Client agit en tant que Sous-traitant pour le compte d’un tiers responsable du traitement, les Parties conviennent expressément que les conditions suivantes s’appliquent :

(a) Le Client s’est préalablement assuré que toutes les autorisations nécessaires pour conclure le présent DPA, y compris la nomination par le Client du Prestataire en tant que sous-traitant ultérieur, ont été obtenues du responsable du traitement ;

(b) Un contrat, qui est en parfaite adéquation avec les termes et conditions du Contrat (y compris le présent DPA), a été conclu avec le tiers responsable du traitement conformément à l’article 28 du RGPD ;

(c) Le Client respecte l’intégralité des dispositions du RGPD.

 1. Respect de la réglementation applicable en matière de protection des données à caractère personnel

Chacune des Parties s’engage à respecter toutes les obligations résultant de l’application de toute réglementation applicable relative à la protection des Données à caractère personnel, en particulier les dispositions issues du RGPD.

À cette fin, elles reconnaissent être soumises à une obligation de collaboration renforcée pendant toute la durée du Contrat et s’engagent donc mutuellement à se transmettre sans délai toute information, renseignement, document ou fichier leur permettant de maintenir ou de démontrer leur conformité au RGPD et à s’informer immédiatement de tout manquement ou risque de manquement à la réglementation.

2. Droits et obligations du Prestataire et du Client

Dans le cadre du Contrat, le Prestataire s’engage à traiter les Données uniquement pour la ou les finalités des traitements mentionnées dans l’Appendice 1, et qui lui sont sous-traitées.

À ce titre, le Prestataire s’abstient de tout usage de ces Données à son profit ou au profit de tiers, à l’exception du traitement lié au suivi de la relation commerciale avec le Client pour lequel le Prestataire est responsable de traitement (voir Politique de confidentialité).

En outre, le Prestataire s’engage à ne traiter les Données à caractère personnel que sur la base et conformément aux instructions documentées du Client.

Dans l’hypothèse où le droit européen et/ou le droit français viendrait en contradiction avec les instructions du Client ou ne permettrait pas au Prestataire de traiter les Données à caractère personnel conformément auxdites instructions, le Prestataire devra en informer le Client dans les meilleurs délais avant de procéder au traitement. Dans un tel cas, les Parties s’engagent à se rencontrer aux fins de trouver la solution amiable la plus adaptée au regard du Contrat et des droits et libertés de la personne concernée.

En outre, le Prestataire se porte fort envers le Client du respect, par ses collaborateurs autorisés à traiter les Données à caractère personnel, de la plus stricte confidentialité concernant les Données à caractère personnel traitées en exécution du présent Contrat ainsi que toutes les informations contenues dans l’Appendice 1. L’ensemble de ces informations est considéré comme des informations confidentielles. Le Prestataire garantit au Client qu’il a mis en place et maintient toutes les mesures nécessaires pour préserver et faire respecter par ses collaborateurs la confidentialité des Données à caractère personnel.

Ainsi, le Prestataire ne doit rendre les Données Personnelles accessibles et consultables qu'aux employés du Prestataire dûment autorisés, en vertu de leurs fonctions et qualités, à traiter les Données Personnelles dans la stricte limite de ce qui est nécessaire à l'accomplissement de leur mission.

Le prestataire de services déclare qu'il tient un registre écrit de toutes les catégories d'activités de traitement effectuées pour le compte du client.

Le Délégué à la protection des données du Prestataire, à la date de signature du Contrat, est identifié à l'Annexe 4 du présent DPA. En cas de changement, le Prestataire s'engage à en informer le Client dans les meilleurs délais et à lui fournir la nouvelle identité et les nouvelles coordonnées du Délégué à la protection des données.

De son côté, le Client s’engage à :

  • Transmettre au Prestataire toute information ou document dont il aurait besoin pour exécuter ses obligations au titre du présent paragraphe ;
  • Informer le Prestataire de toute requête, audit ou contrôle déclenché par une autorité de contrôle qui concernerait ou impliquerait directement le Prestataire en sa qualité de sous-traitant.

3. Description des traitements de Données à caractère personnel

L’Appendice 1 du DPA définit :

  • L’objet, la nature et la finalité de chacun des traitements de Données à caractère personnel que le Prestataire effectue pour le compte du Client dans le cadre du Contrat ;
  • Les catégories de Données à caractère personnel traitées ;
  • Les catégories de personnes concernées au sens de l’article 4 (1) du Règlement par lesdits traitements ;
  • La durée de conservation des Données à caractère personnel ;
  • Les lieux de traitement des Données à caractère personnel situés en dehors de l’Espace économique européen.

4. Droit d’audit du Client et analyse d’impact

Afin de contrôler la conformité des Parties au GDPR, le Client dispose d'un droit d'audit qu'il peut exercer sous réserve d'un préavis de quinze (15) jours ouvrés. A ce titre, le Client désignera, à ses frais, un auditeur indépendant, non concurrent du Prestataire sur le marché du SaaS, qui sera validé par le Prestataire et qui signera un accord de confidentialité.

Cet audit spécifique sur la protection des données à caractère personnel par le prestataire de services se concentrera sur la conformité avec le GDPR et le présent DPA. L'audit peut ne pas couvrir les données financières, comptables et commerciales du prestataire de services.

L’audit sera mené à distance et durant les heures de travail du Prestataire.

Pendant cet audit, le Prestataire s’engage à collaborer de bonne foi avec l’auditeur et devra (i) lui transmettre toute la documentation visant à établir sa conformité au RGPD et au présent DPA et (ii) répondre à toutes ses questions.

Une copie du rapport d'audit préparé par l'auditeur est fournie à chaque partie.

Si le rapport d'audit révèle un ou plusieurs manquements du prestataire de services au GDPR ou au présent DPA, les parties conviennent de se rencontrer dans les plus brefs délais afin d'établir un plan d'action pour remédier au(x) manquement(s) identifié(s).

Par ailleurs, sur demande expresse du Client, le Prestataire s’engage à lui apporter toute l’assistance nécessaire dans le cas où le Client mène, pendant la durée du Contrat, une analyse d’impact en lien avec les Données à caractère personnel traitées par le Prestataire.

5. Notification des violations de Données à caractère personnel

Si le Prestataire a connaissance d’un incident affectant les Données à caractère personnel du Responsable du traitement (accès ou divulgation non autorisés, perte, destruction ou altération de Données, d’origine accidentelle ou illicite), le Prestataire en informe le Client dans les meilleurs délais, et, en tout état de cause, quarante-huit (48) heures au plus tard à compter de la prise de connaissance par le Prestataire d’un tel événement, précisant si la violation en question est susceptible d’engendrer un risque pour les droits et libertés des personnes concernées.

Cette notification est accompagnée de tous les documents pertinents afin de permettre au client, le cas échéant, de notifier cette violation à l'autorité compétente.

Au minimum, la notification doit (i) décrire la nature de l'incident et, si possible, le nombre de personnes impliquées (ii) décrire les conséquences probables de l'incident, (iii) décrire les mesures prises ou proposées par le prestataire de services en réponse à l'incident et (iv) préciser qui est la personne de contact privilégiée du prestataire de services pour l'incident.

En général, il incombe au client de communiquer directement à la personne concernée la violation de données à caractère personnel lorsqu'elle est susceptible d'engendrer un risque élevé pour les droits et libertés d'une personne concernée, sauf accord écrit contraire entre les parties.

6. Sous-traitants

Le Prestataire informe le Client qu’à la date de dernière mise à jour du présent DPA, il a recours aux sous-traitants identifiés dans l’Appendice 2 du présent DPA, ce que le Client accepte.

Le Prestataire déclare qu’à la date de dernière mise à jour du présent DPA, il a signé avec chacun de ces sous-traitants des contrats de traitements de Données à caractère personnel. Il s’engage envers le Client à maintenir en vigueur ces contrats pendant toute la durée du Contrat.

Le Prestataire garantit au Client qu’il a vérifié que ces sous-traitants présentent les garanties suffisantes quant à la mise en œuvre des mesures techniques et organisationnelles appropriées de manière à ce que les traitements identifiés dans l’Appendice 1 répondent aux exigences du RGPD.

En outre, le Prestataire s'engage à informer le Client et à obtenir son accord en cas de changement prévu concernant l'ajout ou le remplacement d'un sous-traitant. La notification de la modification se fera par courrier électronique à l'adresse du Client prévue à cet effet et figurant à l'annexe 4 de la présente annexe. En cas de désaccord du Client sur une telle modification, les Parties se rencontrent et discutent de bonne foi en vue de résoudre le désaccord.

En cas de non-réponse du client dans un délai de dix (10) jours ouvrables, la modification est considérée comme automatiquement acceptée par le client.

En outre, avant toute opération de sous-traitance, le Prestataire s’engage à signer avec son sous-traitant, un contrat conforme à l’article 28(4) du RGPD, qui reporte sur ce dernier, mutatis mutandis les obligations prévues au présent paragraphe, en particulier pour ce qui est de présenter des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences de la règlementation applicable.

7. Sécurité des Données à caractère personnel

Le Prestataire déclare avoir mis en place et maintenir en vigueur et à jour, pendant toute la durée du Contrat, et jusqu'à la destruction des Données Personnelles identifiées à l'Annexe 1, toutes les mesures de sécurité appropriées pour assurer la sécurité des Données afin de les protéger contre toute destruction, perte, altération, divulgation et accès non autorisé, que ces actes soient d'origine accidentelle ou illégale.

Les mesures de sécurité identifiées à la date de la dernière mise à jour du présent DPA sont énumérées à l'annexe 3 du présent DPA.

Les Parties s'informent mutuellement, pendant toute la durée du Contrat, de toute mise à jour ou modification nécessaire desdites mesures de sécurité, notamment pour répondre à toute nouvelle menace ou à tout changement de l'état de l'art ou de la réglementation.

8. Droit d’information des personnes concernées

Il appartient au Client de fournir aux personnes concernées par les traitements, au moment de la collecte des données, les informations énumérées aux articles 13 et 14 du GDPR.

Le Prestataire aidera le Client à remplir son obligation de se conformer aux demandes d'exercice des droits des Personnes concernées, qu'il s'agisse du droit d'accès, de rectification, d'effacement et d'opposition, du droit à la limitation du traitement, du droit à la portabilité des Données ou du droit de ne pas faire l'objet d'une décision individuelle automatisée (y compris le profilage), en lui fournissant toute information, tout renseignement, tout document ou tout fichier nécessaire.

Si les personnes concernées font des demandes au Prestataire pour exercer leurs droits, le Prestataire doit envoyer ces demandes dès qu'il les reçoit par courrier électronique au contact du Client visé à l'annexe 4.

9. Données à caractère personnel à la fin du contrat

À la fin du contrat, le client peut demander la suppression de son compte par courrier électronique à l'adresse [email protected].
En cas de demande de suppression du compte, toutes les données à caractère personnel liées au compte seront supprimées dans un délai de 30 jours.

Le Prestataire s’engage également à détruire toutes les Données à caractère personnel sur instruction écrite du Client. Ces instructions peuvent intervenir à tout moment après la fin du Contrat dans une limite de un (1) an.

La destruction est effectuée par le prestataire de services dans un délai de 30 jours à compter de la date de réception des instructions, à l'exception de :

  • des registres de sécurité qui seront supprimés dans un délai maximum d'un an après la réception des instructions ;
  • des backups de base de Données qui seront effacés dans un délai maximum de un (1) mois après la réception des instructions.

Dans le cas où le Prestataire n’aurait pas reçu d’instruction du Client trois ans après la fin du Contrat, le Prestataire procédera à la destruction des Données à caractère personnel, sauf accord contraire des Parties.

En tout état de cause, et sauf disposition contraire du droit européen ou du droit français, le Prestataire s’engage à ne conserver aucune copie des Données à caractère personnel et à transmettre au Client une attestation écrite de la destruction desdites copies.

APPENDICE 1 : IDENTIFICATION DES TRAITEMENTS DE DONNÉES À CARACTÈRE PERSONNEL

  • Finalité du traitement (et base légale) :

Bénéficier des Services : évaluer les compétences de Candidats (exécution du Contrat)

Catégories de Données personnelles traitées :

Identité des personnes concernées (email, nom)
Niveau de compétence des personnes concernées (score, rang)

Catégories de personnes concernées :

Candidats (tels que saisis par le client)

Catégories de destinataires des Données:

Client

Durée de conservation des Données :

Maximum 3 ans : voir chapitre 10

Lieu de traitement et stockage des Données :

AWS, ÉTATS-UNIS
AWS, Irlande
GCP, ÉTATS-UNIS
Heroku, États-Unis

  • Finalité du traitement (et base légale) :

Sécurité & détection de fraude (exécution du Contrat)

Catégories de Données personnelles traitées :

Informations de connexion (IP, Geoloc)
Journaux de navigation (IP, URL)

Catégories de personnes concernées :

Candidats (tels que saisis par le client)

Catégories de destinataires des Données:

Équipe d'assistance CoderPad, Client

Durée de conservation des Données :

Maximum 3 ans : voir chapitre 10

Lieu de traitement et stockage des Données :

AWS, Irlande
AWS, ÉTATS-UNIS
GCP, ÉTATS-UNIS
Heroku, États-Unis

Toutes les données à caractère personnel stockées dans AWS font l'objet de sauvegardes quotidiennes. Ces sauvegardes sont détruites un mois après leur création.

  • Finalité du traitement (et base légale) :

Améliorer la qualité du produit / apporter un soutien aux utilisateurs (intérêt légitime)

Catégories de Données personnelles traitées :

Identité des personnes concernées (email, nom)
Informations de connexion (IP, Geoloc)
Journaux de navigation (IP, URL)

Catégories de personnes concernées :

Candidats (tels que saisis par le client)

Catégories de destinataires des Données:

L'équipe de support et de développement de CoderPad

Durée de conservation des Données :

2 semaines

Lieu de traitement et stockage des Données :

Datadog, États-Unis

  • Finalité du traitement (et base légale) :

Améliorer la qualité du produit / apporter un soutien aux utilisateurs (intérêt légitime)

Catégories de Données personnelles traitées :

Identité des personnes concernées (email, nom)
Informations de connexion (IP, Geoloc)
Journaux de navigation (IP, URL)

Catégories de personnes concernées :

Candidats (tels que saisis par le client)

Catégories de destinataires des Données:

L'équipe de support et de développement de CoderPad

Durée de conservation des Données :

Rétention de l'analyse des produits : 12 mois
Conservation des sessions de rediffusion : 1 mois

Lieu de traitement et stockage des Données :

FullStory, États-Unis

  • Finalité du traitement (et base légale) :

Améliorer la qualité des produits / apporter un soutien aux utilisateurs (intérêt légitime) - uniquement en cas de contact avec le service d'assistance via [email protected]

Catégories de Données personnelles traitées :

Identité des personnes concernées (email, nom)
Informations de connexion (IP)

Catégories de personnes concernées :

Candidats (tels qu'inscrits sur le formulaire de soutien ou communiqués par le candidat ou le client)

Catégories de destinataires des Données:

L'équipe de support et de développement de CoderPad

Durée de conservation des Données :

Maximum 3 ans après la fin du contrat : voir chapitre 10

Lieu de traitement et stockage des Données :

Hubspot, Allemagne

  • Finalité du traitement (et base légale) :

Améliorer la qualité des produits : analyse (intérêt légitime)

Catégories de Données personnelles traitées :

Identité des personnes concernées (email, nom)
Informations de connexion (IP, Geoloc)
Journaux de navigation (IP, URL)

Catégories de personnes concernées :

Candidats (tels que saisis par le client)

Catégories de destinataires des Données:

L'équipe d'assistance et de marketing de CoderPad

Durée de conservation des Données :

Maximum 3 ans après la fin du contrat : voir chapitre 10

Lieu de traitement et stockage des Données :

Google Cloud Platform (Looker), États-Unis

  • Finalité du traitement (et base légale) :

Bénéfice des services : courriels transactionnels (exécution du contrat)

Catégories de Données personnelles traitées :

Identité des personnes concernées (courriel, nom)

Catégories de personnes concernées :

Candidats (tels que saisis par le client)

Catégories de destinataires des Données:

Client

Durée de conservation des Données :

30 jours

Lieu de traitement et stockage des Données :

Mailgun Technologies, Inc, États-Unis

  • Finalité du traitement (et base légale) :

Améliorer la qualité des produits (intérêt légitime)

Catégories de Données personnelles traitées :

Identité des personnes concernées (email, nom)
Informations de connexion (IP)

Catégories de personnes concernées :

Candidats (tels que saisis par le client)

Catégories de destinataires des Données:

L'équipe de support et de développement de CoderPad

Durée de conservation des Données :

90 jours

Lieu de traitement et stockage des Données :

Sentry, États-Unis

  • Finalité du traitement (et base légale) :

Améliorer la qualité des produits : transfert de données (intérêt légitime)

Catégories de Données personnelles traitées :

Identité des personnes concernées (email, nom)
Informations de connexion (IP)

Catégories de personnes concernées :

Candidats (tels que saisis par le client)

Catégories de destinataires des Données:

L'équipe d'assistance et de marketing de CoderPad

Durée de conservation des Données :

Si nécessaire pour le transfert des données (max. 7 jours)

Lieu de traitement et stockage des Données :

Stitch, États-Unis

  • Finalité du traitement (et base légale) :

Récompenser les clients élus / les candidats qui participent à la recherche sur les produits uniquement (consentement)

Catégories de Données personnelles traitées :

Identité des personnes concernées (courriel, nom)

Catégories de personnes concernées :

Candidats (tels que communiqués par le candidat)

Catégories de destinataires des Données:

L'équipe d'assistance et de marketing de CoderPad

Durée de conservation des Données :

10 ans (transaction "monétaire")

Lieu de traitement et stockage des Données :

Tremendous, États-Unis

  • Finalité du traitement (et base légale) :

Bénéficier des Services : évaluer les compétences de Candidats (exécution du Contrat)

Catégories de Données personnelles traitées :

Flux vidéo

Catégories de personnes concernées :

Candidats (tels qu'ils apparaissent sur la vidéo)

Catégories de destinataires des Données:

Client

Durée de conservation des Données :

Pas de stockage

Lieu de traitement et stockage des Données :

Twilio, États-Unis

  • Finalité du traitement (et base légale) :

Améliorer la qualité des produits - recherche sur les produits (consentement)

Catégories de Données personnelles traitées :

Identité des personnes concernées (email)

Catégories de personnes concernées :

Candidats (tels que communiqués par le candidat)

Catégories de destinataires des Données:

L'équipe d'assistance et de marketing de CoderPad

Durée de conservation des Données :

Maximum 3 ans : voir chapitre 10

Lieu de traitement et stockage des Données :

TypeForm, États-Unis

● Finalité du traitement (et base juridique) :

Avantages des services : détection de la tricherie (exécution du contrat) - UNIQUEMENT si la fonction d'examen par webcam est utilisée (sur la base d'un consentement préalable)

Catégories de Données personnelles traitées :

Image des personnes concernées à partir de sa webcam

Catégories de personnes concernées :

Candidats (tels que saisis par le client dans l'écran CoderPad)

Catégories de destinataires des Données:

Client

Durée de conservation des Données :

30 jours

Lieu de traitement et stockage des Données :

AWS, ÉTATS-UNIS

● Finalité du traitement (et base juridique) :

Bénéficier des services : évaluer les compétences des candidats (performance du contrat) - UNIQUEMENT si la fonction AI Transcript est utilisée (sur la base d'un Opt-In)

Catégories de Données personnelles traitées :

Transcription du texte du chat vidéo

Catégories de personnes concernées :

Candidats (tels que saisis par le client), intervieweur

Catégories de destinataires des Données:

Client

Durée de conservation des Données :

Maximum 3 ans : voir chapitre 10

Lieu de traitement et stockage des Données :

Traitement : Microsoft, USA (pas de stockage)

Stockage : Heroku, USA

APPENDICE 2 : LISTE DES SOUS-TRAITANTS APPROUVÉS

Sous-traitants spécifiques pour les comptes utilisant le site de stockage et de traitement "États-Unis" uniquement**.

Sous-processeur  Pays de transformation Finalité du traitement Durée du traitement
Amazon Web Services ÉTATS-UNIS* Services d'hébergement en nuage public En cours
Amazon Data Services Ireland Ltd Irlande Services d'hébergement en nuage public En cours
Datadog ÉTATS-UNIS* Services d'analyse et d'instrumentation En cours
Histoire complète ÉTATS-UNIS* Permettre un soutien pendant la durée du service En cours
Google Cloud Platform ÉTATS-UNIS* Services d'hébergement en nuage publicAnalyse En cours
Heroku ÉTATS-UNIS* Services d'hébergement en nuage public En cours
Hubspot Allemagne Soutenir les opérations commerciales En cours
Technologies Mailgun ÉTATS-UNIS* Courriels transactionnels En cours
Microsoft ÉTATS-UNIS* Fournir des services de transcription audio En cours
OpenAI ÉTATS-UNIS* Fournir un résumé de la transcription En cours d'ajout
Sentinelle ÉTATS-UNIS* Permettre un soutien pendant la durée du service En cours
Point ÉTATS-UNIS* Transfert de données En cours
Formidable ÉTATS-UNIS* La recherche, c'est gratifiant En cours
Typeform ÉTATS-UNIS* Soutenir les opérations commerciales En cours
Zoom Video Communications, Inc. ÉTATS-UNIS* Fournir des fonctionnalités vidéo dans les services En cours

Sous-traitants spécifiques pour les comptes utilisant le site de stockage et de traitement "Europe" uniquement**. 

Sous-processeur  Pays de transformation Finalité du traitement Durée du traitement
Amazon Data Services Ireland Ltd Irlande Services d'hébergement en nuage public En cours
Datadog ÉTATS-UNIS* Services d'analyse et d'instrumentation En cours
Hubspot Allemagne Soutenir les opérations commerciales En cours
Google Cloud Platform Belgique ou Pays-Bas Visualisation des données En cours
Point ÉTATS-UNIS* Pipeline de données En cours
Formidable ÉTATS-UNIS* Récompense de l'utilisateur En cours
Zoom Video Communications, Inc. ÉTATS-UNIS* Fournir des fonctionnalités vidéo dans les services En cours

* Les transferts de données de l'UE vers les États-Unis sont effectués dans le cadre des clauses contractuelles types del'UE (CCN).

** Quelle que soit votre situation géographique, si vous utilisez le produit CoderPad Interview, vous utilisez le site de stockage et de traitement des États-Unis pour les données propres au produit Interview.

Une liste mise à jour est disponible à l'adresse suivante : https://coderpad.io/tos/subprocessors/

APPENDICE 3 : DESCRIPTION DES MESURES DE SÉCURITÉ

  • Toutes les communications entre le serveur et les clients sont cryptées (TLS 1). Les données au repos sont cryptées (AES256).
  • Les mots de passe stockés dans la base de données du Prestataire sont encryptés de manière non-réversible (one-way hash).
  • Les tentatives de connexion infructueuses sont loguées et déclenchent des alertes.
  • Les mots de passe des Comptes doivent être “forts”
  • L’accès aux Données à caractère personnel par les employés du Prestataire est autorisé en fonction de rôles tels que définis dans la Politique de sécurité du Prestataire (par exemple l’équipe support est habilitée à accéder aux Données à caractère personnel en cas de bug).
  • L'accès est techniquement géré par un référentiel de compte central.
  • L'AMF est activée sur les infrastructures critiques
  • L'infrastructure fait l'objet d'une analyse de vulnérabilité hebdomadaire et d'un test de pénétration annuel.
  • Des mesures de sécurité détaillées sont disponibles à l'adresse suivante : https://coderpad.io/security/

APPENDICE 4 : POINTS DE CONTACT PRESTATAIRE ET CLIENT

DPO du Prestataire :

Charlotte GALICHET

[email protected]

Admis au Barreau de Paris

4, place de Valois - 75001 Paris

01 86 95 18 81

Contact du Prestataire pour toutes demandes ou instructions relatives au présent DPA :

Frédéric THIRARD

[email protected]

Contact Client pour notification de violation de la protection des Données à caractère personnel :

L'adresse électronique saisie par le client dans l'interface utilisateur de CoderPad (par défaut, l'adresse électronique utilisée par le client lors de la création de son compte).

Contact client pour toute autre demande de CoderPad liée à cette DPA :

L’adresse email utilisée par le Client au moment de la création de son compte