DPA - Data Processing Agreement

Version dated 23 May 2018

Contrat de sous-traitance

Ce contrat de sous-traitance est conclu et signé par CORUSCANT, société par actions simplifiées dont le siège social est situé 11 B, rue Bachaumont – 75002 Paris, RCS 802 162 628, représentée par Jeremy Clédat (ci-après le « Sous-Traitant) et vous, l’entreprise cliente (ci-après le « Responsable de traitement) ayant conclu les Conditions Générales de Vente (également désignées « CGV ») avec la société CORUSCANT, afin de bénéficier des services WTTJ et du Welcome Kit.

Le Responsable de Traitement et le Sous-Traitant sont dénommés ensemble les « Parties » ou séparément la « Partie ».

IL A TOUT D'ABORD ETE EXPOSE CE QUI SUIT :

  1. Les Parties déclarent et reconnaissent que la négociation ayant précédé la conclusion du présent accord a été conduite de bonne foi et avoir bénéficié, pendant la phase précontractuelle de négociation, de toutes les informations nécessaires et utiles pour leur permettre de s'engager en toute connaissance de cause et s'être mutuellement communiqué toute information susceptible de déterminer leur consentement et qu'elles pouvaient légitimement ignorer.
  2. Le Responsable de Traitement est une société utilisant les services édités par la société Coruscant à savoir le Welcome Kit (outil de gestion de candidature) et / ou welcometothejungle.co, site dédié à l’emploi sur lequel les entreprises peuvent diffuser leurs offres d’emploi. Le Responsable de traitement est une entreprise qui utilise les services édités par Coruscant pour recruter et gérer le traitement de ses candidatures de la réception à l’embauche.
  3. Le Sous-Traitant propose une plateforme WelcomeKit dédiée au recrutement. Cet ATS (Applicant Tracking System) simple et collaboratif permet de répondre aux besoins de recruteurs, notamment en intégrant et gérant les offres d’emplois du Responsable de Traitement.

CELA EXPOSE, IL A ETE CONVENU ET ARRETE CE QUI SUIT :

I. Définitions

Pour les besoins du présent contrat, les termes suivants auront la définition ci-après mentionnée :

« Données Personnelles » désignent toute information se rapportant à une personne physique identifiée ou identifiable ; est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le Responsable du Traitement ou toute autre personne.

« Personne Concernée » désigne une personne physique dont les Données Personnelles sont traitées.

« Responsable de Traitement » désigne la personne morale visée en tête des présentes, à savoir la société - qui détermine les finalités et les moyens du Traitement des Données Personnelles.

« Sous-Traitant » désigne la personne morale visée en tête des présentes, à savoir la société CORUSCANT, opérant sous le nom commercial de « Welcome To The Jungle », qui traite des Données Personnelles sous l’autorité, sur instructions et pour le compte du Responsable du Traitement.

« Traitement » désigne toute opération ou tout ensemble d’opérations portant sur des Données Personnelles par le Sous-Traitant pour le compte du Responsable de Traitement, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que la limitation, l’effacement ou la destruction.

« Violation de Données Personnelles » désigne une violation de sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de Données Personnelles transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données.

II. Objet

Le présent contrat a pour objet de définir les conditions dans lesquelles le Sous-Traitant s’engage à effectuer pour le compte du Responsable de Traitement les opérations de Traitement de données à caractère personnel définies ci-après.

Dans le cadre de leurs relations contractuelles, les Parties s’engagent à respecter la réglementation en vigueur applicable au Traitement de données à caractère personnel et, en particulier, le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 applicable à compter du 25 mai 2018 (ci-après, « le règlement européen sur la protection des données »), ainsi que la loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés (ci-après, « la loi informatique et libertés »)

III. Description du Traitement faisant l’objet de la sous-traitance

Le Sous-Traitant est autorisé à traiter pour le compte du Responsable de Traitement les données à caractère personnel nécessaires pour fournir les services suivants :

  • Réception des candidatures : identité, contacts, CV, lettre de motivation, réseaux sociaux, informations complémentaires ;
  • Traitement des candidatures : échanges mail, commentaires et évaluation des candidatures par les recruteurs ;
  • Stockage des candidatures.

Pour l’exécution du service objet du présent contrat, le Responsable de Traitement met à la disposition du Sous-Traitant les informations dont une description détaillée du Traitement est exposée en Annexe 1.

IV. Durée du contrat

Le présent contrat (ci-après le « Contrat ») entre en vigueur à la signature de ce dernier par le Responsable de Traitement pour une durée de 1 an renouvelable tacitement.

La signature de ce document se fait directement via la plateforme Welcome Kit par un admin du compte recruteur, personne physique dûment habilité par le Responsable de Traitement pour ce faire.

V. Obligations du Responsable de Traitement

Le Responsable de Traitement reconnaît et garantit :

  1. que le Traitement est effectué conformément aux dispositions du règlement européen sur la protection des données et de la loi informatique et libertés, notamment, que la Personne Concernée a été informée de la finalité du Traitement, de ses droits, des destinataires des Données Personnelles et de la politique sur la protection de la vie privée et des Données Personnelles ;

  2. que dans l’hypothèse où le Responsable de Traitement traiterait de données « sensibles » telles que définies à l’Article 9 du Règlement européen sur la protection des données (à savoir le Traitement des données à caractère personnel qui révèle l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le Traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique), le Responsable de Traitement les a collectées et requiert de la part du Sous-Traitant de procéder à leur Traitement, en parfait respect avec les dispositions dudit Article 9 ;

  3. qu’il répondra, dans les meilleurs délais aux demandes d’information de la CNIL, le cas échéant ;

  4. qu’il répondra, dans les meilleurs délais, aux demandes de toute Personne Concernée par le Traitement, de communication d’informations sur ses Données Personnelles et qu’il donnera les instructions adéquates au Sous-Traitant, en temps utiles.

Le Responsable de Traitement s’engage également à :

  1. fournir au Sous-Traitant les données visées en Annexe 1 du présent Contrat ;

  2. documenter par écrit toute instruction concernant le Traitement de Données Personnelles par le Sous-Traitant ;

  3. veiller, au préalable et pendant toute la durée du Traitement, au respect des obligations prévues par le règlement européen sur la protection des données de la part du Sous-Traitant.

VI. Obligations du Sous-Traitant

Le Sous-Traitant s'engage à :

  1. traiter les données uniquement pour les seules finalités qui font l’objet de la sous-traitance, conformément à l’Annexe 1 (« description du Traitement faisant l’objet de la sous-traitance ») ;

  2. si le Sous-Traitant considère qu’une instruction constitue une violation du règlement européen sur la protection des données ou de toute autre disposition du droit de l’Union ou du droit des Etats membres relative à la protection des données, il en informe immédiatement le Responsable de Traitement. En outre, si le Sous-Traitant est tenu de procéder à un transfert de données vers un pays tiers ou à une organisation internationale, en vertu du droit de l’Union ou du droit de l’Etat membre auquel il est soumis, il doit informer le Responsable de Traitement de cette obligation juridique avant le Traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d'intérêt public ;

  3. garantir la confidentialité des données à caractère personnel traitées dans le cadre du présent Contrat ;

  4. veiller à ce que les personnes autorisées à traiter les données à caractère personnel en vertu du présent Contrat :

    • s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité ;
    • reçoivent la formation nécessaire en matière de protection des données à caractère personnel ;
  5. prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection des données dès la conception et de protection des données par défaut ;

  6. mettre en œuvre et entretenir une documentation précise exposant les mesures de protection et de confidentialité entourant les Données Personnelles ainsi que leur accès ;

  7. informer ses employés de leur responsabilité concernant la protection des Données Personnelles, notamment quant à la confidentialité de ces données ;

  8. dans le cas d’une éventuelle interdiction légale, administrative ou judiciaire qui pourrait l’empêcher d’effectuer le Traitement, le Sous-Traitant en informera le Responsable de Traitement et pourra alors mettre fin au Contrat, sans pour autant que le Responsable de Traitement puisse mettre en cause la responsabilité du Sous-Traitant ni lui demander des dommages-intérêts ;

  9. coopérer avec la CNIL en cas de demande d’information de la part de celle-ci et qu’il se conformera à toute recommandation de la CNIL se rapportant au Traitement.

  10. Sous-Sous-traitance

Le Sous-Traitant peut faire appel à un autre sous-traitant (ci-après, « le sous-traitant ultérieur ») pour mener des activités de Traitement spécifiques. Dans ce cas, il informe préalablement et par écrit le Responsable de Traitement de tout changement envisagé concernant l’ajout ou le remplacement d’autres sous-traitants. Cette information doit indiquer clairement les activités de Traitement sous-traitées, l’identité et les coordonnées du sous-traitant et les dates du contrat de sous-traitance.

Le Responsable de Traitement dispose d’un délai minimum de 2 mois à compter de la date de réception de cette information pour présenter ses objections. Cette sous-traitance ne peut être effectuée que si le Responsable de Traitement n'a pas émis d'objection pendant le délai convenu.

Le sous-traitant ultérieur est tenu de respecter les obligations du présent Contrat pour le compte et selon les instructions du Responsable de Traitement. Il appartient au Sous-Traitant initial de s’assurer que le sous-traitant ultérieur présente les mêmes garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le Traitement réponde aux exigences du règlement européen sur la protection des données. Si le sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données, le Sous-Traitant initial demeure pleinement responsable devant le Responsable de Traitement de l’exécution par l’autre sous-traitant de ses obligations.

11. Droit d’information des personnes concernées

Il appartient au Responsable de Traitement de fournir l’information aux personnes concernées par les opérations de Traitement au moment de la collecte des données.

12. Exercice des droits des personnes

Le Responsable de Traitement fait droit aux demandes d’exercice des droits des Personnes Concernées (droit d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du Traitement, droit à la portabilité des données, droit de ne pas faire l’objet d’une décision individuelle automatisée, y compris le profilage) et donnera les instructions adéquates au Sous-Traitant, en temps utiles, conformément à l’article 5-4 du Contrat.

Dans la mesure du possible, le Sous-Traitant doit aider le Responsable de Traitement à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des personnes concernées.

Lorsque les Personnes Concernées exercent auprès du Sous-Traitant des demandes d’exercice de leurs droits, le Sous-Traitant doit adresser ces demandes dès réception par courrier électronique à un point de contact du Responsable de Traitement en charge de la protection des données personnelles.

13. Notification des Violations de données à caractère personnel

Le Sous-Traitant notifie au Responsable de Traitement toute Violation de données à caractère personnel dans les meilleurs délais et, au plus tard, 72 heures après en avoir pris connaissance. Cette notification est accompagnée de toute documentation utile afin de permettre au Responsable de Traitement, si nécessaire, de notifier cette Violation à l’autorité de contrôle compétente.

Le Sous-Traitant doit faire le nécessaire pour identifier les causes de cette Violation de Données Personnelles et prendre toutes les mesures qui lui semblent nécessaires et raisonnables afin de remédier à l’origine de cette Violation lorsque cette réparation se trouve être sous le contrôle du Sous-Traitant.

14. Aide du Sous-Traitant dans le cadre du respect par le Responsable de Traitement de ses obligations

Le Sous-Traitant aide le Responsable de Traitement pour la réalisation d’analyses d’impact relative à la protection des données.

Le Sous-Traitant aide le Responsable de Traitement pour la réalisation de la consultation préalable de l’autorité de contrôle.

15. Mesures de sécurité

Le Sous-Traitant s’engage à mettre en œuvre les mesures techniques et organisationnelles garantissant un niveau de sécurité adapté aux risques exposées en Annexe 2 (« Mesures de sécurité).

Le Sous-Traitant doit à tout moment disposer de mesures techniques et organisationnelles permettant d’empêcher l’accès non autorisé aux Données Personnelles et l’utilisation des Données Personnelles pour des finalités autres que celles convenues pour leur transmission au Sous-Traitant.

Le Sous-Traitant déclare et garantit que les mesures de sécurité prises ne sont en aucun cas inférieures à celles requises par la loi applicable ou celles qu’un personne exerçant la même activité que le Sous-Traitant aurait raisonnablement prises pour la protection des Données Personnelles contre les accès ou utilisation non autorisés.

Les mesures à prendre par le Sous-Traitant comprennent, mais ne sont pas limitées à celles listées en Annexe 2.

Dans les cas où le Sous-Traitant a obtenu l’autorisation préalable du Responsable de Traitement pour la transmission des Données Personnelles à un tiers, le Sous-Traitant doit à nouveau prendre les mesures de sécurité appropriées permettant une transmission sécurisée des Données Personnelles.

Le Sous-Traitant doit protéger et maintenir en sécurité les Données Personnelles en tant qu’informations confidentielles. Les exigences de confidentialité requises par chacun des documents commerciaux et/ou accords de confidentialité signés entre le Responsable de Traitement et le Sous-Traitant doivent s’appliquer aux Données Personnelles.

16. Sort des données

Au terme de la prestation de services relatifs au Traitement de ces données, le Sous-Traitant s’engage à détruire ou anonymiser toutes les données à caractère personnel fournies par le Responsable de Traitement.

17. Registre des catégories d’activités de Traitement

Le Sous-Traitant déclare tenir par écrit un registre de toutes les catégories d’activités de Traitement effectuées pour le compte du Responsable de Traitement comprenant :

  • le nom et les coordonnées du Responsable de Traitement pour le compte duquel il agit, des éventuels sous-traitants et, le cas échéant, du délégué à la protection des données
  • les catégories de Traitements effectués pour le compte du Responsable de Traitement
  • le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l'identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l'article 49, paragraphe 1, deuxième alinéa du règlement européen sur la protection des données, les documents attestant de l'existence de garanties appropriées ;
  • dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles, y compris entre autres, selon les besoins :
    • la pseudonymisation et le chiffrement des données à caractère personnel ;
    • des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de Traitement ;
    • des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique ;
    • une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du Traitement.

18. Documentation

Le Sous-Traitant met à la disposition du Responsable de Traitement la documentation nécessaire pour démontrer le respect de toutes ses obligations et pour permettre la réalisation d'audits, y compris des inspections, par le responsable du Traitement ou un autre auditeur qu'il a mandaté, et contribuer à ces audits.

VII. Délégué à la protection des données

  • Le Sous-Traitant a désigné, conformément à l’article 37 du règlement européen sur la protection des données, le Délégué à la protection des données (« DPO »). Les coordonnées de ce dernier sont accessibles par le Responsable de Traitement directement dans le Welcome Kit.
  • Le Responsable de Traitement, doit préciser dans le Welcome Kit, dans le champ dédié à cet effet, le DPO au sein de son équipe désigné conformément à l’article 37 du règlement européen sur la protection des données.

VIII. Imprévision

En cas de changement de circonstances imprévisibles lors de la conclusion du Contrat, conformément aux dispositions de l'article 1195 du Code civil, la Partie qui n'a pas accepté d'assumer un risque d'exécution excessivement onéreuse peut demander une renégociation du Contrat à son cocontractant.

IX. Résiliation du Contrat

Les Parties reconnaissent que la résiliation du Contrat, à tout moment et pour quelque raison que ce soit ne les dispense pas des obligations leur incombant au titre du règlement européen sur la protection des données et de la loi informatique et libertés concernant le Traitement conformément au Contrat.

Sous réserve que soit laissé au Responsable de Traitement le temps nécessaire pour trouver une solution alternative au Traitement et sous réserve que cette solution fonctionne de manière satisfaisante, le Sous-Traitant devra, en tant que de besoin, supprimer ou rendre anonymes toutes les copies des Données Personnelles collectées par le Responsable de Traitement, détenues et traitées par le Sous-Traitant.

Dans l’hypothèse où, pour des raisons pratiques, les Données Personnelles traitées par le Responsable de Traitement ne peuvent pas être supprimées ou rendues anonymes, le Sous-Traitant devra prendre les mesures nécessaires pour s’assurer que lesdites données ne seront plus ni traitées, ni divulguées, ni utilisées, sauf pour assurer leur suppression lorsque celle-ci sera devenue possible.

X. Droit applicable – Langue du Contrat

De convention expresse entre les Parties, le présent Contrat est soumis au droit français, à l'exclusion de toute autre législation.

Il est rédigé en langue française. Dans le cas où il serait traduit en une ou plusieurs langues, seul le texte français ferait foi en cas de litige.

XI. Règlement des litiges

Pour tout litige découlant de l'exécution du présent Contrat la Partie la plus diligente saisira les Tribunaux compétents.


ANNEXE 1 – DESCRIPTION DU TRAITEMENT FAISANT L’OBJET DE LA SOUS-TRAITANCE

Cette annexe comprend une description du Traitement faisant l’objet de la sous-traitance :

La nature des opérations réalisées sur les données est

  • Réception et stockage des candidatures reçues par le Responsable de Traitement
  • Gestion des échanges mails entre le Responsable de Traitement et le candidat dans la mesure où les mails sont envoyés directement depuis le Welcome Kit
  • Traitement des candidatures : le Welcome Kit permet au Responsable de Traitement de commenter, évaluer et traiter les candidatures reçues
  • Création d’une candidature directement dans l’outil : le Welcome Kit permet au recruteur de créer une candidature directement dans l’outil ou de les ajouter directement depuis les réseaux sociaux.

La durée de conservation des données est par défaut paramétrée à deux ans ; deux mois avant cette échéance, un mail automatique est envoyé au candidat pour lui notifier que cela fait 2 ans que l’entreprise détient ses données ; le mail invite le candidat à autoriser l’entreprise à renouveler son autorisation d’utilisation de ses données personnelles pour 2 nouvelles années. Sans retour du candidat, un mail automatique est envoyé 1 mois avant l’échéance afin de prévenir le candidat que ses données seront supprimées.

Nota bene : la durée de conservation est toutefois paramétrable par le recruteur jusqu’à 5 an. Coruscant porte cependant à la connaissance de ses clients les recommandations de la CNIL en la matière – voir ci-dessous :

« En vertu de l’article 5-e du RGPD, les données personnelles doivent être conservées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées. Pour votre information, la CNIL a recommandé, dans un délibération n°02-017 du 21 mars 2002, que le candidat ayant fait l’objet d’une procédure de recrutement soit informé de la durée pendant laquelle les informations le concernant seront conservées, préconisant que celle-ci n’excède pas deux ans après le dernier contact avec cette personne. En tant que responsable de traitement, vous êtes responsable du choix de cette durée de conservation. Si vous souhaitez configurer une durée différente de celle recommandée par la CNIL, veuillez-vous assurer que celle-ci soit proportionnée au regard des finalités de votre collecte. Selon l’article 14-2-a du RGPD, vous devez également être en mesure d’expliquer à vos candidats les critères utilisés pour déterminer cette durée. »

La ou les finalité(s) du Traitement sont de permettre au Responsable de Traitement de :

  • réceptionner les candidatures des profils ayant postulé via le Welcome Kit
  • traiter les candidatures à des fins de recrutement : échanges de mail, notation des candidats, commentaires des recruteurs sur les candidatures
  • entretenir un vivier de candidat sur la durée, dans la limite des recommandations de la CNIL, pour accompagner un recrutement plus efficace

Les données à caractère personnel traitées sont les données classiques demandées dans le cadre d’un processus de recrutement : CV, lettre de motivation, éléments de contact et optionnellement des questions ouvertes personnalisées ; le Responsable de Traitement s’engage à ne demander que des informations relatives au recrutement pour le poste concerné au candidat

Les catégories de personnes concernées sont :

  • du côté du Responsable de traitement : toutes les personnes ayant un accès à l’espace Welcome Kit dédié à l’entreprise cliente. Les accès (ainsi que les niveaux d’administration) sont donnés par les administrateurs de l’organisation cliente.
  • Du côté des candidats : toute personne ayant volontairement transmis sa candidature, après avoir donné son consentement explicite, à l’entreprise Responsable de Traitement.

ANNEXE 2 – MESURES DE SECURITE

Les mesures de sécurité des Données Personnelles que doit prendre le Sous-Traitant dans le cadre du Traitement comprennent, de manière non-exhaustive, les mesures suivantes :

  • L’ensemble du personnel doit être formé et régulièrement informé des évolutions en matière de sécurité des données et de protection des Données Personnelles ;

  • afin de protéger la confidentialité des Données Personnelles, le Sous-Traitant doit faire figurer, au sein des contrats de travail signés par les membres du personnel ayant accès aux Données Personnelles, une clause obligeant ces membres du personnel à reconnaître leur devoir de protéger la confidentialité de l’ensemble des Données Personnelles auxquelles ils ont accès en vertu du Contrat ;

  • seuls les membres du personnel autorisés peuvent avoir accès aux Données Personnelles, pourvu que cet accès soit nécessaire. Des mesures de prévention d’accès aux Données Personnelles par des personnes non-autorisées doivent être mises en place ;

  • une méthode d’accès aux Données Personnelles doit être développée, et un niveau d’autorisation adéquat doit être requis ;

  • les mots de passe et les noms d’utilisateurs doivent être demandés avant d’accéder à tout environnement électronique dans lequel des Données Personnelles sont stockées et un journal des accès doit être tenu. Le Sous-Traitant doit mettre en place une politique de mots de passe adaptée à l’accès aux Données Personnelles ;

  • tout support électronique et tout logiciel sur lequel des Données Personnelles sont stockées doit être régulièrement mis à jour et protégé contre les malware et l’accès non-autorisé, à l’aide d’un logiciel protecteur (tel un antivirus) et d’une politique de sécurité avancée (bug bounty par exemple)

  • les Données Personnelles ne doivent pas être stockées au sein d’environnements (tel Internet) accessibles aux tiers et qui ne font pas l’objet d’une autorisation du Sous-Traitant ;

  • les mesures de sécurité adéquates (ex : pare-feu etc..) doivent être mises en place à l’interface entre les environnements accessibles aux tiers et les zones de stockage de l’entreprise, ainsi que des mesures de lutte contre les attaques virtuelles menaçant la sécurité des données (IDS/IPS etc.) ;

  • la transmission des Données Personnelles doit toujours être réalisée par l’intermédiaire de services de communications cryptés (email, FTP, partage de fichier, mode de sécurisation HTTPS).

  • l’environnement (serveurs, systèmes de stockage des données, etc.) de stockage des Données Personnelles pour le compte du Responsable de Traitement doit faire l’objet d’une protection physique et l’accès à celui-ci doit être contrôlé et limité aux seuls membres du personnel autorisés ;

  • les Données Personnelles sont supprimées à l’aide de méthodes adéquates. La suppression des Données Personnelles stockées dans un environnement électronique doit avoir pour effet de rendre impossible toute récupération des données. Les Données Personnelles faisant l’objet d’un stockage physique (documents etc.) sont détruites par l’emploi des méthodes ou équipements adéquats (broyeur etc.).