Conditions de traitement des données

L'accord de traitement des données de Carrot et les annexes applicables en date du 26 octobre 2022.

Accord de traitement des données

Télécharger DPA
arrow_forward

Australie

Télécharger le calendrier

Canada

Télécharger le calendrier

Union européenne

Télécharger le calendrier

Inde

Télécharger le calendrier

Israël

Télécharger le calendrier

Japon

Télécharger le calendrier

Singapour

Télécharger le calendrier

Suisse

Télécharger le calendrier

Royaume-Uni

Télécharger le calendrier

Pour les clients qui ont conclu l’Accord sur le traitement des données au plus tard le 25 octobre, cette version s’applique.  Pour les autres cas d'utilisation, cette version est obsolète depuis le 26 octobre 2022.

FAQ sur les accords de traitement des données

développer_plus
1) Qu'est-ce qu'un DPA ?

Un Accord sur le traitement des données (ATD) est un contrat conclu entre un responsable du traitement et un sous-traitant, qui encadre le traitement des renseignements personnels.

Au sens le plus général (et en gardant à l'esprit que cette terminologie peut varier selon la juridiction et le sujet concerné) :

  • Un « responsable du traitement des données » est une entité qui détermine la finalité et les moyens du traitement des renseignements personnels.
  • Un « sous-traitant » est une entité qui traite les renseignements personnels au nom d’un responsable de traitement.
  • Le « traitement » désigne presque tout ce qu’un sous-traitant peut faire avec des renseignements personnels.
  • « Les renseignements personnels » désignent toute information pouvant être liée à un individu identifié ou identifiable (cet individu est parfois appelé la « personne concernée »).
développer_plus
2) Généralement, quand un DPA est-il nécessaire ?

Cela dépend des juridictions et des types de données concernés.

Dans de nombreuses juridictions (par exemple, l'Union européenne en vertu du RGPD), les parties sont légalement tenues de conclure un ATD ou un arrangement contractuel similaire si une partie traite des renseignements personnels pour le compte de l’autre partie. Aux États-Unis, la question de savoir si un ATD est légalement requis dépend de nombreux facteurs (y compris, par exemple, les secteurs et les États concernés) et n’est souvent pas claire.

développer_plus
3) Quand Carrot conclut-il des DPA avec des clients ?

Cela dépend de l'endroit où résident les employés admissibles.

Généralement :

  • S’il n’y a pas d’employés admissibles résidant dans un pays autre que les États-Unis, juridictions, Carrot n’exigera pas d’ATD.
  • S’il y a des employés admissibles qui sont résidents de l’Espace économique européen (EEE), alors nous exigerons un ATD.

Nous avons également dressé une liste des « annexes » propres à chaque pays qui peuvent être jointes à l’ATD, en fonction du pays non américain. Des juridictions sont impliquées. Un exemple courant et bien connu concerne le transfert de données à caractère personnel de l’Espace économique européen (EEE) vers les États-Unis. Pour se conformer au RGPD, le client et Carrot doivent signer les Clauses Contractuelles Standard (CCS) Module 2 avant qu’un tel transfert puisse avoir lieu.

développer_plus
4) Qu’est-ce que les sous-traitants secondaires et pourquoi sont-ils importants?

Un sous-traitant secondaire est une entité qui traite des renseignements personnels pour le compte d’un sous-traitant principal. Si un sous-traitant principal fait appel à un sous-traitant secondaire, il doit avoir un ATD (ou un mécanisme contractuel similaire) en place avec ce sous-traitant secondaire (par exemple, un « accord de sous-traitance secondaire »).

Une liste à jour des sous-traitants de Carrot est disponible ici.

développer_plus
5) Pourquoi un DPA est-il nécessaire ?

Les ATD entre les responsables du traitement et les sous-traitants garantissent qu’ils comprennent leurs obligations, responsabilités et responsabilités.

Ces ententes aident également à se conformer à diverses réglementations, telles que le RGPD, et à démontrer leur conformité aux régulateurs et aux individus.

développer_plus
6) Quelles sont les questions qu’un ATD doit couvrir?

La réponse varie selon la juridiction et le sujet concerné, mais certains éléments doivent toujours figurer dans un ATD :

Tout d'abord, les APD doivent définir :

  • l'objet et la durée du traitement;
  • la nature et la finalité du traitement;
  • les types de renseignements personnels et les catégories de sujets des données; et
  • les obligations et droits du responsable du traitement.

Deuxièmement, les ATD doivent également inclure des conditions ou des clauses spécifiques concernant :

  • Le traitement exclusivement selon les directives documentées du responsable du traitement;
  • le devoir de confidentialité;
  • des mesures de sécurité appropriées;
  • en utilisant des sous-traitants ;
  • droits des personnes concernées;
  • l’assistance fournie au responsable du traitement;
  • des dispositions de fin de contrat; et
  • les audits et les inspections.
développer_plus
7) Pourquoi nous demande-t-on d’utiliser le formulaire DPA de Carrot?

Les idées de propriété des données et de confidentialité sont propres au processus de contractualisation standard de Carrot, qui, en raison de la nature sensible des services fournis par Carrot et nos partenaires, est conçu pour être très favorable aux utilisateurs.  Par conséquent, nous couvrons de nombreux aspects liés aux données (tels que les restrictions d’utilisation et les obligations en cas d’incident de sécurité) dans les accords de service que nous concluons avec nos clients.  

Lorsque nous avons examiné les ATD des clients, nous avons souvent constaté que ceux-ci contiennent des dispositions qui se chevauchent avec ce que contient déjà le contrat de services.  Nous avons également constaté que d'autres ATD décrivent la propriété d’une manière qui est en contradiction avec la façon dont le contrat de services la décrit, ce qui rend les documents difficiles à lire ensemble.  Notre ATD est déjà adapté à la fois à la couverture de notre CCPS et aux spécificités de la propriété des données, telles qu’elles s’appliquent à nous.

développer_plus
8) Pourquoi l’Avis de confidentialité indique-t-il que Carrot est un responsable du traitement, alors que l’ATD indique qu’il s’agit d’un sous-traitant?

Il est courant qu’une même entité soit considérée comme un responsable du traitement dans un contexte et un sous-traitant dans un autre. C’est le cas de Carrot.

En vertu du RGPD :

  • Un « responsable du traitement » est une entité qui détermine la finalité et les moyens du traitement des données personnelles.
  • Un « sous-traitant » est une entité qui traite les données personnelles pour le compte d’un responsable du traitement des données.

Dans le cadre de l’ATD, Carrot agit comme un sous-traitant parce qu’elle traite des données personnelles au nom d’un responsable du traitement (c’est-à-dire le client). Le client envoie à Carrot un dossier d’admissibilité des employés (« le moyen ») dont la « finalité » est de confirmer quels employés sont admissibles au Service. Carrot traite ensuite ces données pour le compte du client et conformément aux instructions de ce dernier (par exemple, pour confirmer l’admissibilité).

Dans le cadre de l’Avis de confidentialité, en revanche, Carrot agit en tant que responsable du traitement lorsque les membres (c’est-à-dire les employés dont l’admissibilité a été confirmée) s’inscrivent directement au Service par le biais de la Plateforme. Ici, Carrot détermine la finalité du traitement des données personnelles(c'est-à-dire, fournir le Service) et le moyen pour ce faire (c'est-à-dire, collecter les données personnelles des membres via la Plateforme). L’Avis de confidentialité régit la relation entre Carrot (le responsable du traitement) et les membres individuels (les personnes concernées).

Demande une démonstration
Obtenez Carrot
EmployeursMembresCarrot Card
Parcours
IVF and IUIAdoptionGestation pour autruiGrossesseParentalitéHormonal healthMen's health
Carrot Card émise par Celtic Bank, une banque industrielle à charte de l'Utah, membre de la FDIC
©2025 Carrot. Tous droits réservés. Plan du site.
Ne vendez pas et ne partagez pas mes informations personnelles
ConfidentialitéConditionsLimiter l'utilisation de mes informations personnelles sensiblesPolitique de confidentialité des données de santé des consommateurs de Washington