Pre-Hire Logo
AccueilTarifs
ConnexionEssai gratuit
ENFR
Pre-Hire Logo
AccueilTarifsConnexionEssai gratuit
ENFR
Accueil/Documents légaux/Accord de Sous-Traitance de données (DPA)

Accord de Sous-Traitance de données (DPA)

Dernière mise à jour : 26 avril 2026 · Version : 1.2

Le présent Accord de Sous-Traitance (DPA) définit les conditions dans lesquelles PreHire traite, en qualité de sous-traitant, les données à caractère personnel pour le compte du Recruteur, en application de l'article 28 du RGPD (Règlement (UE) 2016/679).

Le DPA est partie intégrante des CGU et des CGV. En cas de contradiction, le DPA prévaut pour les sujets relatifs au traitement des données personnelles des Candidats.

Sommaire

  1. 1. Définitions
  2. 2. Objet et durée
  3. 3. Nature et finalités du traitement
  4. 4. Catégories de données et de personnes concernées
  5. 5. Obligations du Client
  6. 6. Obligations du Sous-Traitant
  7. 7. Localisation et transferts
  8. 8. Responsabilité
  9. 9. Priorité
  10. 10. Droit applicable et juridiction
  11. Annexe – Description récapitulative

1. Définitions

Les termes « données à caractère personnel », « traitement », « responsable du traitement », « sous-traitant », « personne concernée », « violation de données à caractère personnel » et « autorité de contrôle » ont le sens qui leur est attribué par le RGPD.

Plateforme : le site web pre-hire.com et l'application PreHire.

Données Candidat : les données à caractère personnel relatives aux Candidats traitées par PreHire pour le compte du Client dans le cadre des Services.

Sous-Sous-Traitant : tout tiers auquel le Sous-Traitant fait appel pour réaliser tout ou partie des opérations de traitement.

2. Objet et durée

Le Client confie à PreHire le traitement des Données Candidat dans le cadre de la fourniture des Services PreHire de pré-sélection assistée par intelligence artificielle.

Le DPA prend effet à la date d'acceptation des CGU et demeure en vigueur pendant toute la durée de la relation contractuelle.

3. Nature et finalités du traitement

3.1 Finalités

Pré-sélection de candidats à un poste, comprenant notamment :

  • import et stockage des CV et données fournies par les Candidats ;
  • analyse assistée par IA des CV au regard d'une offre d'emploi ;
  • envoi d'invitations aux Candidats à participer à un entretien vidéo ;
  • collecte et stockage des réponses vidéo des Candidats ;
  • transcription automatique des réponses vidéo ;
  • scoring indicatif des réponses transcrites ;
  • mise à disposition d'un tableau de bord et d'outils de revue collaboratifs au profit du Client.

3.2 Opérations de traitement

Collecte, enregistrement, organisation, structuration, conservation, adaptation, extraction, consultation, utilisation, communication, mise à disposition au Client, rapprochement, limitation, effacement, destruction.

3.3 Émission des invitations au nom du Client

Les invitations adressées aux Candidats sont émises depuis l'infrastructure technique de PreHire mais au nom et pour le compte du Client, identifié comme l'entreprise qui recrute. PreHire intervient à ce titre comme prestataire technique d'acheminement, sans devenir destinataire ni responsable du traitement des candidatures.

3.4 Comportement à l'issue de la période d'essai

À l'issue de la période d'essai gratuite, PreHire cesse toute émission de nouvelles invitations et toute ingestion de nouveaux Candidats. Les invitations déjà émises pour le compte du Client avant la fin de l'essai demeurent actives ; le traitement des entretiens complétés par les Candidats à la suite de ces invitations constitue l'achèvement d'un traitement initié par le Client sur ses instructions, et non une sollicitation nouvelle de la part de PreHire.

4. Catégories de données et de personnes concernées

4.1 Catégories de données

  • Données d'identification : nom, prénom, civilité, date de naissance (le cas échéant) ;
  • Coordonnées : adresse email, numéro de téléphone, adresse postale ;
  • Données professionnelles : parcours, formations, compétences, langues, expériences, certifications ;
  • Données du CV : ensemble des informations contenues dans le CV transmis par le Candidat ou collectées pour son compte ;
  • Données vidéo : enregistrements vidéo des réponses ;
  • Transcriptions : retranscription textuelle des réponses vidéo ;
  • Données de connexion du Candidat à l'interface d'entretien.

4.2 Catégories particulières (article 9 RGPD)

PreHire ne sollicite pas et n'analyse pas les données suivantes : santé, opinions politiques, convictions religieuses, appartenance syndicale, données biométriques, données génétiques, vie sexuelle ou orientation sexuelle.

Si le Candidat venait à divulguer spontanément de telles données dans son CV ou ses réponses, le Client s'engage à ne pas les solliciter et à ne pas en faire un critère de sélection.

4.3 Personnes concernées

Les Candidats invités par le Client à participer à un processus de pré-sélection.

5. Obligations du Client (responsable de traitement)

Le Client garantit :

  • (a) qu'il dispose d'une base légale appropriée pour traiter les Données Candidat (typiquement : mesures précontractuelles, intérêt légitime, et le cas échéant consentement) ;
  • (b) qu'il a fourni aux Candidats l'ensemble des informations requises par les articles 13 et 14 du RGPD avant le début du traitement ;
  • (c) qu'il respecte les obligations issues du Règlement (UE) 2024/1689 sur l'intelligence artificielle (AI Act), notamment en matière d'information sur l'usage de systèmes d'IA dans les processus de recrutement classés à haut risque ;
  • (d) qu'il maintient une supervision humaine effective sur le processus de pré-sélection et ne fonde aucune décision finale exclusivement sur les scores générés par la Plateforme ;
  • (e) qu'il respecte le principe de minimisation et n'introduit dans la Plateforme que les données nécessaires aux finalités déclarées ;
  • (f) qu'il définit une durée de conservation conforme aux préconisations CNIL (typiquement 2 ans après le dernier contact avec le Candidat non retenu, sauf justification différente) ;
  • (g) qu'il traite les demandes d'exercice de droits des Candidats et répond aux personnes concernées dans les délais légaux ;
  • (h) qu'il documente ses propres traitements dans son registre interne ;
  • (i) qu'il garantit l'absence de discrimination dans le processus, en conformité avec les articles L.1132-1 et L.1142-1 du Code du travail.

6. Obligations du Sous-Traitant

6.1 Conformité aux instructions

Traiter les Données Candidat uniquement sur instruction documentée du Client, telle que matérialisée par les CGU, le DPA et le paramétrage de la Plateforme. Si PreHire estime qu'une instruction constitue une violation du RGPD, il en informe le Client sans délai.

Le Client est seul responsable du traitement des Données Candidat ; PreHire ne détermine pas les finalités de ce traitement, y compris s'agissant de l'envoi des invitations à passer l'entretien. Le paramétrage par le Client de sa session — création de la session, ingestion des candidats, activation de la séquence d'invitations — vaut instruction documentée au sens du présent article.

6.2 Confidentialité

Garantir que les personnes autorisées à traiter les Données Candidat sont soumises à une obligation de confidentialité, contractuelle ou légale.

6.3 Sécurité

Mettre en œuvre les mesures techniques et organisationnelles appropriées au sens de l'article 32 du RGPD, notamment :

  • chiffrement des communications par TLS sur l'ensemble des échanges ;
  • chiffrement des données au repos par la couche d'hébergement ;
  • hachage des mots de passe par fonction cryptographique éprouvée, avec sel unique par enregistrement ;
  • contrôle d'accès basé sur les rôles, principe du moindre privilège ;
  • journalisation des connexions et des opérations sensibles ;
  • sauvegardes régulières des bases de données ;
  • ségrégation des environnements de développement, de test et de production ;
  • mise à jour régulière des dépendances et application des correctifs de sécurité ;
  • revues internes périodiques de la posture de sécurité.

6.4 Sous-Sous-Traitance

Le Client autorise PreHire à recourir aux Sous-Sous-Traitants listés dans la Liste des sous-traitants.

PreHire impose contractuellement aux Sous-Sous-Traitants des obligations de protection des données équivalentes à celles du présent DPA.

PreHire informe le Client de tout changement prévu concernant l'ajout ou le remplacement de Sous-Sous-Traitants au moins trente (30) jours avant le changement, par email et par publication d'une version actualisée de la liste.

Le Client peut, dans ce délai, s'opposer pour motif légitime lié à la protection des données. En cas d'opposition non résolue, le Client peut résilier le contrat sans frais.

6.5 Assistance au Client

PreHire assiste le Client, dans la mesure du possible et compte tenu de la nature du traitement :

  • dans la réponse aux demandes d'exercice de droits des Candidats (accès, rectification, effacement, opposition, portabilité, limitation) ;
  • dans la réalisation d'analyses d'impact relatives à la protection des données (AIPD) ;
  • dans les consultations préalables avec les autorités de contrôle ;
  • dans la mise en conformité avec les obligations issues des articles 32 à 36 du RGPD.

L'assistance est fournie à titre gratuit dans les limites de ce qui est techniquement raisonnable. Toute prestation spécifique demandée par le Client allant au-delà peut faire l'objet d'une facturation sur devis.

6.6 Notification de violation

PreHire notifie au Client toute violation de données à caractère personnel le concernant dans un délai de soixante-douze (72) heures suivant la prise de connaissance, en lui fournissant les informations nécessaires pour qu'il satisfasse à ses propres obligations de notification à la CNIL et, le cas échéant, aux personnes concernées.

6.7 Droit d'audit

Le Client peut, à sa charge et moyennant un préavis raisonnable de trente (30) jours, faire réaliser un audit de la conformité de PreHire au DPA, par ses propres soins ou par un auditeur tiers indépendant tenu à la confidentialité. L'audit est limité à un (1) par an et est conduit dans des conditions ne perturbant pas les opérations de PreHire.

PreHire peut satisfaire l'obligation d'audit en mettant à disposition les résultats de ses propres audits et certifications éventuelles (ISO 27001, SOC 2, etc.).

6.8 Restitution et suppression

À la fin de la relation contractuelle, ou à la demande du Client, PreHire restitue ou supprime, au choix du Client, l'ensemble des Données Candidat, y compris les copies de sauvegarde, sauf obligation légale contraire.

La suppression intervient au plus tard dans les trente (30) jours suivant la demande, hors copies de sauvegarde dont la rotation peut prendre jusqu'à quatre-vingt-dix (90) jours.

6.9 Conservation et suppression automatique des Données Candidat (sessions d'essai non converties)

Pour les sessions ouvertes dans le cadre d'une période d'essai gratuite et non converties en abonnement, PreHire applique automatiquement les durées de conservation suivantes, dont le point de départ est la fin de la période d'essai :

DonnéeConservationPoint de départ
Données candidats — résultats d'analyse (score, synthèse, statut)Paramétrable de 30 jours à 12 mois — défaut 30 joursFin de la période d'essai
Vidéos d'entretien — fichiers bruts30 jours, durée fixe et non extensibleFin de la période d'essai
Données candidats — abonnement actifSelon la grille applicable au compte abonnéInchangé

La conservation des fichiers vidéo bruts pendant un délai fixe de 30 jours est prévue dans l'intérêt du Candidat : elle vise à laisser au Client une chance raisonnable d'examiner la présentation du Candidat, qui a accepté de produire cette donnée dans la perspective d'être vu. Cette durée est fixe et non extensible, conformément au principe de minimisation, et ne peut être prolongée pour des motifs commerciaux. Les métadonnées et résultats d'analyse, moins sensibles, sont conservés pour une durée paramétrable afin de permettre au Client de retrouver la valeur produite s'il souscrit ultérieurement.

À l'expiration du délai applicable, PreHire procède à la suppression définitive et irréversible des données et vidéos concernées. Cette suppression est automatique. PreHire conserve une trace technique de l'opération de suppression (date, périmètre, identifiant de session) à des fins de preuve de conformité, sans conservation des données supprimées. La souscription d'un abonnement couvrant la session avant l'expiration de ces délais bascule la session sur la grille de conservation du compte abonné et annule les suppressions programmées.

6.10 Moyens d'information du Candidat

Le Client, en sa qualité de responsable de traitement, est tenu d'informer les Candidats du traitement de leurs données et de leur sort, notamment de la suppression à l'issue du délai de conservation. PreHire met à disposition du Client, et exécute pour son compte, les moyens techniques d'information : notice candidat accessible, mention dans l'email d'invitation, et exécution automatique de la suppression. La fourniture par PreHire de ces moyens ne transfère pas au sous-traitant la responsabilité de l'information, qui demeure celle du Client.

7. Localisation et transferts

7.1 Principe : résidence européenne

PreHire applique par défaut une politique de résidence européenne des Données Candidat. Le stockage et l'hébergement principal des données sont situés au sein de l'Union européenne (région europe-west1 ou région UE équivalente).

7.2 Traitements d'intelligence artificielle : Union européenne uniquement

PreHire s'engage contractuellement à ne recourir, pour les traitements d'intelligence artificielle appliqués aux Données Candidat (extraction d'informations de CV, transcription des réponses vidéo, scoring indicatif), qu'à des modèles hébergés au sein de l'Union européenne.

À ce titre :

  • les Données Candidat ne sont jamais transmises à un modèle d'IA exploité depuis les États-Unis ou tout autre pays tiers ;
  • PreHire sélectionne et configure ses prestataires de routage et d'inférence IA pour garantir cette restriction géographique ;
  • cet engagement constitue un élément substantiel du présent DPA.

7.3 Sous-traitants techniques établis hors UE

Une fraction limitée des sous-traitants techniques de PreHire sont des entreprises incorporées en dehors de l'Union européenne (notamment aux États-Unis), pour des fonctions périphériques au cœur du traitement IA : emails transactionnels, réseau de paiement, infrastructure dont la maison-mère est établie hors UE. La liste à jour est publique.

Pour ces sous-traitants, PreHire applique l'ensemble des garanties prévues par le RGPD :

  • sélection systématique de prestataires offrant des régions ou points de présence en Union européenne ;
  • signature des Clauses Contractuelles Types (CCT) adoptées par la décision d'exécution (UE) 2021/914 du 4 juin 2021 ;
  • bénéfice du Data Privacy Framework lorsque le sous-traitant en est certifié ;
  • mesures techniques supplémentaires : chiffrement, pseudonymisation lorsque pertinent, contrôle d'accès, journalisation ;
  • évaluation au cas par cas de la législation du pays de destination (Transfer Impact Assessment).

Le Client autorise PreHire à conclure les CCT en son nom avec les sous-traitants concernés.

7.4 Information du Client

Le Client peut obtenir à tout moment une copie des garanties applicables et la cartographie des localisations en écrivant à dpo@pre-hire.com.

7.5 Démarche de souveraineté continue

PreHire mène une démarche continue de renforcement de la souveraineté de son infrastructure :

  • maintien d'une résidence européenne par défaut des Données Candidat ;
  • sélection prioritaire de prestataires européens lors de chaque revue de stack ;
  • bascule programmée de la messagerie transactionnelle vers un prestataire français ;
  • étude de migration de l'infrastructure principale vers un hébergeur européen souverain.

8. Responsabilité

Chaque Partie est responsable des dommages résultant d'un manquement aux obligations qui lui incombent en vertu du RGPD ou du présent DPA.

PreHire n'est responsable des dommages causés par un traitement que :

  • lorsqu'il n'a pas respecté les obligations spécifiquement imposées aux sous-traitants par le RGPD ;
  • ou lorsqu'il a agi en dehors des instructions licites du Client, ou contrairement à celles-ci.

La limitation de responsabilité globale prévue par les CGU et CGV s'applique également au présent DPA.

9. Priorité

En cas de contradiction entre le DPA et les CGU/CGV pour les sujets relatifs au traitement des données personnelles des Candidats, le DPA prévaut. Pour les autres sujets, l'ordre de priorité est : DPA, CGV, CGU.

10. Droit applicable et juridiction

Le présent DPA est régi par le droit français. Tout litige est soumis au Tribunal de Commerce de Lille Métropole.

Annexe – Description récapitulative du traitement

  • Finalité : pré-sélection de candidats assistée par IA
  • Personnes concernées : Candidats invités par le Client
  • Catégories de données : identification (nom, prénom, email, téléphone), CV (parcours, formations, compétences), réponses vidéo et leurs transcriptions, données de connexion à l'interface d'entretien
  • Catégories particulières : aucune sollicitée
  • Durée : pendant la durée du contrat + 30 jours après résiliation. Sessions d'essai non converties : vidéos 30 jours (fixe), résultats d'analyse 30 jours à 12 mois, à compter de la fin de l'essai (voir art. 6.9)
  • Localisation : Union européenne (résidence des données). Traitements d'IA : modèles hébergés exclusivement dans l'Union européenne. Sous-traitants techniques périphériques (emails, paiement) parfois établis hors UE et encadrés par CCT (voir article 7).

Contact DPO : dpo@pre-hire.com

Ce document est édité par Reach Technologies SAS. Pour toute question : contact@pre-hire.com.

Voir aussi : Mentions légales · Politique de confidentialité · Cookies

Pre-Hire Logo

Pre-Hire automatise votre pré-recrutement pour que vous ne rencontriez que les candidats qui méritent votre temps.

in

Entreprise

  • Contact
  • Mentions légales
  • Sous-traitants

Légal — Recruteurs

  • CGU
  • CGV
  • DPA
  • Confidentialité
  • Cookies

Légal — Candidats

  • CGU candidat
  • Notice d’information
  • Exercer mes droits

© 2026 Pre-Hire — Reach Technologies SAS. Tous droits réservés.

Fait avec 💜 pour les recruteurs débordés