Chargement...
Chargement...
Légal · article 28 RGPD
Version 1.1 — En vigueur au 2 juin 2026. Accord de traitement entre l'utilisateur professionnel (Controller) et INEOD (Processor), conforme à l'article 28 du Règlement (UE) 2016/679.
Responsable de traitement (Controller) : utilisateur professionnel d'Evid (entreprise, cabinet de recrutement, ou recruteur indépendant).
Sous-traitant (Processor) : INEOD, SASU, RCS Rennes 990 440 414, propriétaire et exploitant de la plateforme Evid (evid.fr).
En s'inscrivant et en utilisant la plateforme Evid à des fins professionnelles (publication d'offres, consultation de candidatures), l'utilisateur accepte les présentes clauses.
INEOD est autorisé à traiter pour le compte du responsable de traitement les données personnelles nécessaires à la fourniture des Services Evid : publication d'offres d'emploi commerciales, gestion des candidatures, messagerie candidat-entreprise, scoring algorithmique de matching, statistiques agrégées.
Le présent DPA prend effet à l'inscription et reste en vigueur tant que le compte est actif.
Par défaut, le responsable de traitement n'accède qu'à une version anonymisée du profil candidat : ni le nom, ni l'email, ni le téléphone, ni le CV, ni le profil LinkedIn ne lui sont communiqués. L'identité et les coordonnées du candidat ne sont révélées qu'à l'occasion d'un déblocage payant explicite, déclenché par le responsable de traitement, et uniquement :
À compter du déblocage, le responsable de traitement devient responsable de traitement autonome des données d'identité et de contact ainsi reçues, qu'il traite pour ses propres finalités de recrutement. Il s'engage à : (i) ne les utiliser que pour la mise en relation et le processus de recrutement concerné ; (ii) leur appliquer une durée de conservation proportionnée et au plus égale à celle prévue à l'article 9 ; (iii) répondre directement aux demandes d'exercice de droits que le candidat lui adresserait, et relayer à INEOD toute demande d'effacement reçue (cf. §7) ; et (iv) ne pas contourner la plateforme pour solliciter le candidat ou d'autres candidats hors déblocage.
Le responsable de traitement autorise INEOD à recourir aux sous-traitants ultérieurs suivants :
| Sous-traitant | Pays | Finalité | Garanties |
|---|---|---|---|
| Supabase Inc. | UE (Londres) | Base de données & auth | Data Bridge UK + SCCs |
| Vercel Inc. | États-Unis | Hébergement | Clauses Contractuelles Types |
| Stripe Payments Europe | UE (Dublin) | Paiements | PCI-DSS niveau 1 |
| Resend Inc. | États-Unis | Emails transactionnels | Clauses Contractuelles Types |
| Mistral AI SAS | UE (France) | Analyse CV & pré-remplissage offres | RGPD natif, pas de SCCs |
| Sentry | États-Unis | Monitoring d'erreurs | Clauses Contractuelles Types |
| Upstash Inc. | UE | Rate limiting (Redis) | Hébergement UE |
Toute modification de cette liste sera notifiée par email avec un préavis de 30 jours, ouvrant un droit d'objection au responsable de traitement.
Les transferts vers les sous-traitants établis hors UE (Vercel, Resend, Sentry) sont encadrés par les Clauses Contractuelles Types (Décision 2021/914 de la Commission européenne, modules 2 et 3). Un Transfer Impact Assessment a été réalisé pour chacun de ces transferts.
Les services Mistral AI et Supabase sont hébergés exclusivement en UE — aucun transfert hors UE.
Evid permet directement aux personnes concernées d'exercer leurs droits depuis leur espace : export RGPD, rectification en ligne, suppression de compte avec effacement.
Toute demande adressée à INEOD relevant en réalité du responsable de traitement lui sera transmise sous 5 jours ouvrés.
Propagation de l'effacement. Lorsqu'un candidat exerce son droit à l'effacement auprès d'INEOD, INEOD répercute la demande, sous 30 jours, à tout responsable de traitement ayant débloqué le profil de ce candidat (cf. §2 bis). Le responsable de traitement s'engage à effacer sans retard injustifié les données d'identité et de contact reçues lors du déblocage, sauf obligation légale de conservation, et à en confirmer l'exécution à INEOD sur demande.
En cas de violation de données affectant les données traitées pour le compte du responsable de traitement, INEOD notifie sans retard injustifié et au maximum dans les 48 heures, par email. La notification précise la nature, l'étendue, les conséquences probables et les mesures prises.
À la résiliation du compte, INEOD procède au choix du responsable de traitement à :
Purge des données candidat. Indépendamment de toute résiliation, les données des candidats sont purgées au plus tard 2 ans après leur dernière activité, conformément à la recommandation de la CNIL en matière de recrutement et à la politique de confidentialité. Cette durée constitue le plafond de conservation que le responsable de traitement s'engage à respecter pour les données d'identité reçues lors d'un déblocage.
Mesures techniques :
error_logs (rétention 90 jours)Mesures organisationnelles :
La responsabilité d'INEOD au titre du présent DPA est limitée au montant payé par le responsable de traitement à INEOD au cours des 12 derniers mois. Cette limitation ne s'applique pas en cas de faute lourde ou intentionnelle, ou d'atteinte à la vie privée caractérisée par la CNIL.
Le présent DPA est régi par le droit français. Tout litige est soumis à la compétence exclusive des tribunaux de Rennes (35).
INEOD — alexandre@ineod.fr — Rennes, France. Pour les détails complets, voir aussi la version intégrale du DPA en fichier interne et la politique de confidentialité.
Dernière mise à jour : 2 juin 2026 (version 1.1 — ajout du cadre de déblocage payant, de la propagation du droit à l'effacement et de la purge candidat à 2 ans). Toute modification substantielle est notifiée par email avec un préavis de 30 jours.