HYREMYND INC.

1. INTRODUCTION

Cet Addenda de traitement des données ("DPA") fait partie et est intégré dans l'Accord de service principal ("MSA") et les Conditions générales ("Conditions") entre **HyreMynd Inc.** ("HyreMynd," "Processeur," ou "nous") et le client ("Client," "Responsable," ou "vous") pour la fourniture de la plateforme et des services HyreMynd (le **"Service"**).

Ce DPA établit les obligations des parties concernant le traitement des données personnelles et assure la conformité aux lois sur la protection des données applicables, y compris **PIPEDA**, **RGPD** (le cas échéant), et d'autres législations sur la protection de la vie privée pertinentes.

En cas de conflit entre ce DPA et le MSA ou les Conditions, **ce DPA prévaut en ce qui concerne les questions de protection des données**.

2. DÉFINITIONS

Les termes en majuscules non définis ici ont les significations énoncées dans le MSA et les Conditions.

• **Filiale** – Toute entité sous contrôle commun avec une partie
• **Candidat** – Toute personne évaluée par le Service
• **Données de candidat** – Données personnelles relatives aux candidats, y compris les évaluations et les scores
• **Responsable** – Entité déterminant les finalités et les moyens du traitement
• **Données client** – Données personnelles soumises ou générées par le client
• **Lois sur la protection des données** – PIPEDA, lois provinciales, RGPD (le cas échéant), et successeurs
• **Personne concernée** – Personne physique identifiable
• **Données non identifiables** – Données agrégées ou anonymisées
• **Données personnelles** – Toute information relative à une personne identifiable
• **Traitement** – Toute opération effectuée sur des données personnelles
• **Processeur** – Entité traitant des données personnelles pour le compte du responsable
• **Incident de sécurité** – Accès non autorisé, divulgation, perte ou violation
• **Données personnelles sensibles** – Données de catégorie spéciale (santé, biométrie, etc.)
• **Sous-traitant** – Tiers traitant des données personnelles pour le compte de HyreMynd

3. RÔLES ET RESPONSABILITÉS

3.1 Rôles de responsable et de processeur

• Le client est responsable des données client
• HyreMynd est processeur des données client
• HyreMynd est responsable des données de candidat avant l'embauche
• Lors de l'embauche, les données de candidat identifiables sont transférées au client
• Lors de la résiliation, les données reviennent à HyreMynd sauf si supprimées

3.2 Responsabilités du client

Le client doit :

• Assurer la collecte et le transfert légaux des données
• Obtenir les avis et consentements requis
• Fournir des instructions de traitement légales
• Sécuriser les systèmes contrôlés par le client
• Répondre aux demandes des personnes concernées

3.3 Responsabilités de HyreMynd

HyreMynd doit :

• Traiter les données selon les instructions documentées
• Assurer la confidentialité du personnel
• Maintenir les mesures de sécurité
• Assister aux demandes des personnes concernées et des régulateurs
• Notifier les incidents de sécurité
• Supprimer ou retourner les données lors de la résiliation

4. PORTÉE DU TRAITEMENT

4.1 Finalité

Traitement pour l'évaluation psychométrique, le scoring, le classement, le profilage, l'analyse et le soutien au recrutement.

4.2 Catégories de personnes concernées

• Candidats
• Employés du client et utilisateurs autorisés
• Autres personnes soumises par le client

4.3 Types de données personnelles

• Données d'identification
• Données professionnelles
• Données d'évaluation
• Données techniques
• Autres données personnelles soumises

4.4 Données personnelles sensibles

Traitées uniquement avec consentement explicite, base légale ou autorisation légale. Le client assume la responsabilité de la base légale.

4.5 Durée

Le traitement dure pendant la durée du MSA et la rétention post-résiliation.

5. INSTRUCTIONS DE TRAITEMENT

• Traitement uniquement selon les instructions documentées
• MSA + Conditions + DPA constituent les instructions finales
• Traitement supplémentaire nécessite un accord
• Les instructions illégales peuvent être suspendues

6. CONSENTEMENT DU CANDIDAT

6.1 Mécanisme de consentement

Le consentement divulgue clairement l'identité du responsable, les finalités, les catégories de données, les destinataires, la rétention, les droits et les droits de retrait.

6.2 Dossiers de consentement

HyreMynd maintient des dossiers de consentement vérifiables.

6.3 Retrait

Lors du retrait :

• Le traitement cesse
• Données identifiables supprimées dans les 30 jours
• Client notifié le cas échéant

7. DROITS DES PERSONNES CONCERNÉES

7.1 Assistance

HyreMynd assiste avec les droits d'accès, de rectification, d'effacement, de restriction, de portabilité, d'opposition et de prise de décision automatisée.

7.2 Délais

Assistance fournie dans les **10 jours ouvrables**.

7.3 Demandes directes

HyreMynd redirige les demandes vers le client sauf si légalement requis.

7.4 Prise de décision automatisée

Les sorties IA sont uniquement un support décisionnel ; les humains prennent les décisions finales.

8. SOUS-TRAITANTS

8.1 Autorisation

Autorisation générale accordée.

8.2 Liste des sous-traitants

Maintenue à **[URL]**.

8.3 Modifications

Avis préalable de 30 jours pour les nouveaux sous-traitants.

8.4 Objections

Le client peut s'opposer dans les 15 jours ; les objections non résolues permettent la résiliation du Service concerné.

8.5 Obligations

• Accords écrits requis
• HyreMynd reste responsable
• Mesures de sécurité appliquées

9. INCIDENTS DE SÉCURITÉ

9.1 Notification

Notification dans les **72 heures** de la prise de conscience.

9.2 Détails de l'incident

Inclut la portée, l'impact, l'atténuation et les coordonnées.

9.3 Coopération

Mises à jour continues et soutien à la remédiation.

9.4 Avis réglementaires

Le client détermine les obligations de notification.

9.5 Aucune admission

Aucune admission de faute implicite.

10. MESURES DE SÉCURITÉ

10.1 Mesures

Chiffrement, contrôles d'accès, MFA, sécurité réseau, audits, développement sécurisé, formation, sécurité physique, journalisation et plans de continuité.

10.2 Normes

Aligné avec :

• ISO/IEC 27001
• SOC 2 Type II
• NIST Cybersecurity Framework

10.3 Documentation

Fournie sur demande raisonnable.

11. RÉTENTION ET SUPPRESSION DES DONNÉES

11.1 Rétention basée sur les événements

Déclenchée par l'achèvement de l'évaluation, les décisions d'embauche, le retrait du consentement, la résiliation ou les demandes de suppression.

11.2 Cycle de vie de la propriété

Le tableau suivant montre la propriété des données à différents stades :

* Sauf si suppression demandée.

11.3 Résiliation du MSA

• Export disponible pendant 30 jours
• Suppression dans les 30 jours sur demande
• Données non identifiables conservées indéfiniment

11.4 Rétention légale

Données conservées selon les exigences légales.

12. TRANSFERTS INTERNATIONAUX DE DONNÉES

12.1 Garanties

Décisions d'adéquation, SCC, BCR, certifications ou mécanismes légaux.

12.2 Transferts RGPD

SCC de l'UE (Module Deux) incorporés par référence.

12.3 PIPEDA

Protection comparable assurée.

13. DROITS D'AUDIT

• Informations de conformité disponibles
• Un audit par an avec préavis
• SOC 2 accepté en lieu et place de l'audit

14. COOPÉRATION RÉGLEMENTAIRE

HyreMynd assiste aux enquêtes des régulateurs, à la remédiation et aux AIPD.

15. RESPONSABILITÉ

La responsabilité et l'indemnisation sont régies par le MSA.

16. DURÉE ET RÉSILIATION

Efficace pour la durée du MSA ; les dispositions de survie s'appliquent.

17. DISPOSITIONS GÉNÉRALES

• Loi applicable : Ontario, Canada
• Modifications avec préavis
• Séparabilité
• Accord complet
• Ordre de préséance : le DPA contrôle

18. COORDONNÉES

SCHEDULE A — ANNEXE A — DÉTAILS DU TRAITEMENT

• **Objet :** Évaluation psychométrique et analyse de recrutement
• **Durée :** Durée du MSA + rétention
• **Nature :** Collecte, analyse, scoring, rapport, suppression
• **Finalité :** Soutien au recrutement
• **Personnes concernées :** Candidats, employés, utilisateurs autorisés
• **Données personnelles :** Identification, professionnelles, évaluation, techniques
• **Données sensibles :** Avec consentement et base légale
• **Rétention :** Basée sur les événements (Section 11)