Addendum sur le traitement des données de Workleap

Publié le
May 15, 2024

Cette page contient

Le cas échéant, cet addendum relatif au traitement des données est intégré aux Conditions d'utilisation des produits Wortleap (les »Général Termes»), disponible sur https://workleap.com/trust-center/terms, à moins que le Client n'ait conclu un contrat écrit remplaçant avec Worleap, auquel cas, il fait partie intégrante de cet accord écrit. À moins que le Client n'ait conclu un accord écrit remplaçant avec Worleap, Workleap peut modifier cet Addendum relatif au traitement des données de temps à autre sur son site Web, au fur et à mesure de l'évolution de ses activités. Toutes les révisions entreront en vigueur à la date à laquelle Workleap les publiera. Le client peut consulter la version la plus récente de l'addendum relatif au traitement des données à tout moment en visitant cette page. Si le Client utilise les Services après la date d'entrée en vigueur de toute modification, cette utilisation constituera une acceptation de l'Addendum révisé sur le traitement des données.

Dernière mise à jour : 25/10/2020

1. Définitions et interprétation

1,1 Tous les termes en majuscules qui ne sont pas définis dans les présentes auront le sens indiqué dans les Conditions générales.

1,2 Les termes en majuscules suivants auront la signification qui leur est attribuée ci-dessous :

  • « Informations sur le compte » désigne les informations personnelles relatives à la relation transactionnelle ou commerciale entre le client et Worleap, y compris les informations personnelles relatives au compte du client, aux informations de facturation et aux demandes de vente et d'assistance ;
  • «Contrôleur des données« a le sens défini dans les lois sur la confidentialité, telles qu'applicables au présent addendum sur le traitement des données ;
  • «Processeur de données« a le sens défini dans les lois sur la confidentialité, telles qu'applicables au présent addendum sur le traitement des données ;
  • «Régulateur de protection des données« désigne l'autorité de surveillance applicable ayant compétence sur l'une ou l'autre des parties et, dans chaque cas, tout organe qui lui succédera de temps à autre ;
  • «Sujet des données« a le sens défini dans les lois sur la confidentialité, telles qu'applicables au présent addendum sur le traitement des données ;
  • «Lois sur la confidentialité« désigne toutes les lois, réglementations et directives applicables en matière de protection des données et de confidentialité régissant la protection des informations personnelles et des informations personnelles sensibles, y compris, mais sans s'y limiter, le règlement (UE) 2016/679 (le »Règlement général sur la protection des données« ou »GDPR«), la loi de 2018 sur la protection des données et le RGPD tels qu'ils ont été enregistrés dans le droit britannique en vertu de la section 3 de la loi de 2018 sur le retrait de l'Union européenne du Royaume-Uni (la »GDPR (ROYAUME-UNI)»), la loi californienne sur la protection des consommateurs de 2018 (la »CCPA») et la loi californienne sur les droits à la vie privée (la »CPRA») ;
  • «Procédé«, »Traitement« ou »Transformé« ont le sens défini dans les lois sur la confidentialité, telles qu'applicables au présent addendum sur le traitement des données ;
  • « Clauses contractuelles types 2021 » désigne les clauses contractuelles types pour le transfert d'informations personnelles vers des pays tiers conformément au règlement (UE) 2016/679 du Parlement européen et du Conseil approuvé par la décision d'exécution (UE) 2021/914 de la Commission européenne du 4 juin 2021 ou toute décision de la Commission européenne modifiant ou remplaçant cette décision ;
  • « Clauses contractuelles types » désigne collectivement les clauses contractuelles types de 2021 ou l'addendum sur le transfert international de données du Royaume-Uni, selon le cas ; et
  • « Addendum sur le transfert international de données au Royaume-Uni » désigne l'addendum sur les données relatives au transfert international aux clauses contractuelles types de 2021 publié par le bureau du commissaire à l'information du Royaume-Uni.

1,3 Le terme « y compris » n'est pas limitatif et signifie « y compris, sans limitation ».

2. Protection des informations personnelles

2.1. Rétablissement. Le présent addendum relatif au traitement des données remplacera toutes les dispositions des Conditions générales incompatibles avec les présentes.

2.2. Contrôleur des données et processeur de données. Les parties reconnaissent qu'en ce qui concerne le traitement des informations personnelles du client, le client est le responsable du traitement des données et Worleap est le responsable du traitement des informations personnelles du client. Worleap traitera les informations personnelles des clients conformément à l'annexe 1 du présent addendum sur le traitement des données. En ce qui concerne les informations de compte, le client est un responsable du traitement des données et Worleap est un contrôleur des données indépendant (et non un responsable du traitement conjoint avec le client). Workleap traitera les informations de compte dans le seul but de (i) gérer la relation client, (ii) mener à bien les activités commerciales principales de Workleap, (iii) mettre en œuvre des mesures de sécurité destinées à empêcher l'accès non autorisé, la fraude ou l'abus des Produits et/ou Services, (iv) se conformer aux obligations légales de Workleap, et (v) atteindre tout autre objectif légal autorisé par les lois sur la confidentialité, le présent addendum sur le traitement des données ou les conditions générales.

2.3. Obligations du client en tant que responsable du traitement. Le client garantit que les informations personnelles du client ont été obtenues de manière équitable et légale et, à tous égards, conformément aux lois sur la confidentialité.

2,4. Obligations de Workleap en tant que responsable du traitement des données. Workleap doit :

  • 2.4.1. Traiter les informations personnelles du client uniquement conformément à la section 3 du présent addendum relatif au traitement des données et à toute autre instruction documentée raisonnable fournie de temps à autre par le client à Work-leap (»Instructions«), y compris en ce qui concerne les transferts d'informations personnelles des clients vers un pays tiers, sauf dans les cas suivants :
    • 2.4.1.1. ces instructions sont illégales ;
    • 2.4.1.2. ces instructions conduiraient Worleap à violer ses propres obligations en vertu des lois sur la confidentialité ou des conditions générales ou de tout autre accord conclu avec un tiers ;
    • 2.4.1.3. de telles instructions annuleraient le droit des participants à l'enquête de rester anonymes en vertu des conditions spécifiques aux produits de Workleap Officevibe ; et/ou
    • 2.4.1.4. Worleap a l'obligation légale de traiter les informations personnelles du client, auquel cas Worleap informera le client de cette obligation légale, sauf dans la mesure où la loi l'interdit.
  • 2.4.2. informer le client si, à son avis, une instruction reçue du client enfreint les lois sur la confidentialité ;
  • 2.4.3. s'assurer que tous les employés et le personnel de Workleap impliqués dans le traitement des informations personnelles des clients se sont engagés à respecter la confidentialité ou sont soumis à des obligations légales de confidentialité ;
  • 2.4.4. ne pas permettre à un nouveau tiers d'accéder aux informations personnelles du client ou sous-traiter l'une de ses obligations en vertu des conditions générales qui impliquent le traitement des informations personnelles du client sans en informer le client au moins trente (30) jours à l'avance par e-mail. Le client approuve par la présente les tiers énumérés dans l'annexe 2 ci-jointe (les »Sous-processeurs»), qui sont conformes aux exigences des lois sur la confidentialité, telles qu'applicables au présent addendum sur le traitement des données, concernant les transferts d'informations personnelles des clients vers un pays tiers.
  • 2.4.5. s'assurer que tout contrat de sous-traitance conclu par Workleap (dans le cadre duquel les informations personnelles du client sont traitées par un sous-traitant) contient des dispositions conformes aux lois sur la confidentialité et ne sont en tout cas pas moins onéreuses que celles imposées en vertu de la section 2 du présent addendum sur le traitement des données, et si un sous-traitant ne remplit pas ses obligations de protection des données en vertu des lois sur la confidentialité, Workleap reste responsable envers le client de l'exécution des obligations de ce sous-traitant ;
  • 2.4.6. mettre en œuvre et maintenir des mesures de sécurité techniques et organisationnelles appropriées pour se protéger contre le traitement non autorisé ou illégal des informations personnelles du client et contre la perte, la divulgation, la destruction ou l'endommagement accidentels des informations personnelles du client, en tenant compte de l'état de la technique, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des objectifs du traitement, comme décrit dans la Politique de confidentialité disponible sur https://workleap.com/truct-center/privacy, et notamment :
    • 2.4.6.1. l'anonymisation, la pseudonymisation et/ou le cryptage des informations personnelles des clients ;
    • 2.4.6.2. la capacité à garantir la confidentialité, l'intégrité, la disponibilité et la résilience continues des systèmes et services de traitement ;
    • 2.4.6.3. la capacité de rétablir la disponibilité et l'accès aux informations personnelles des clients en temps opportun en cas d'incident physique ou technique ; et
    • 2.4.6.4. un processus permettant de tester, d'évaluer et d'évaluer régulièrement l'efficacité des mesures techniques et organisationnelles visant à garantir la sécurité du Traitement.
  • 2.4.7. en tenant compte de la nature du Traitement, aider le Client par des mesures techniques et organisationnelles appropriées, comme décrit plus en détail dans l'Annexe 3 ci-jointe, afin de permettre au Client de respecter ses obligations en vertu des Lois sur la confidentialité en répondant aux demandes des personnes concernées ou du régulateur de la protection des données, dans la mesure où cela est possible, dans la mesure où l'anonymat des informations personnelles doit être gardé confidentiel par Workleap et ne sera pas partagé avec le Client ;
  • 2.4.8. aider le Client à se conformer aux obligations suivantes en vertu des Lois sur la confidentialité, en tenant compte de la nature du Traitement et des informations dont Workleap dispose, notamment :
    • 2.4.8.1. notification et assistance au client dans les meilleurs délais, conformément à la disposition énoncée dans la section 12 de la Politique de confidentialité, et notification au régulateur de la protection des données et aux personnes concernées d'un incident de données, tel que défini dans la Politique de confidentialité, concernant les informations personnelles du client transmises, stockées ou autrement traitées ; et
    • 2.4.8.2. les obligations du client de réaliser des analyses d'impact sur la protection des données, ou toute évaluation similaire requise par les lois sur la confidentialité, et toute consultation ultérieure avec le régulateur de la protection des données ;
  • 2.4.9. mettre à la disposition du Client, ou d'un auditeur tiers indépendant mandaté par le Client (mais n'étant pas un concurrent de Workleap), au maximum une fois par an, ou en cas de suspicion raisonnable d'une violation des Informations personnelles du Client, toutes les informations raisonnables que Workleap juge nécessaires pour démontrer le respect des obligations imposées à Workleap en vertu de la Section 2 du présent Addendum relatif au traitement des données, et permettre et contribuer à des audits, y compris des inspections dans le seul but de démontrer cette conformité ;
  • 2,4.10. sauf si la loi l'exige, après la résiliation ou l'expiration des Conditions générales pour quelque raison que ce soit, supprimer en toute sécurité toutes les Informations personnelles du Client conformément à la politique de conservation de Workeap, ou sans délai à la demande du Client ; et
  • 2.4.11. se conformer aux dispositions pertinentes du responsable du traitement des clauses contractuelles types de 2021, qui sont incorporées par référence et font partie intégrante du présent addendum sur le traitement des données, aux fins desquelles les parties conviennent que :
    • 2.4.11.1. Le client est l'exportateur de données et Worleap est l'importateur de données.
    • 2.4.11.2. Le module 2 des clauses contractuelles types de 2021 s'appliquera lorsque le client est un contrôleur et que Worleap est un sous-traitant.
    • 2.4.11.3. La clause 7 des clauses contractuelles types de 2021 s'appliquera.
    • 2.4.11.4. Aux fins de la clause 9, paragraphe (a) des Clauses contractuelles types 2021, l'option 2 s'applique, selon la période spécifiée à la section 2.4.4 des présentes.
    • 2.4.11.5. Les parties conviennent que, dans la mesure permise par les lois sur la confidentialité, toute réclamation directe déposée en vertu des clauses contractuelles types par une partie sera soumise à la limitation de responsabilité énoncée dans les conditions générales, étant toutefois entendu que rien dans cet addendum sur le traitement des données ne doit être interprété comme une limitation ou une exclusion de la responsabilité d'une partie envers une personne concernée en vertu des clauses contractuelles types.
    • 2.4.11.6. Aux fins de la clause 17 des clauses contractuelles types de 2021, les parties choisissent l'option 1 et la loi de la République d'Irlande.
    • 2.4.11.7. Aux fins de la Clause 18 des Clauses contractuelles types de 2021, paragraphe (b), les Parties choisissent les tribunaux de la République d'Irlande.
    • 2.4.11.8. Le contenu de l'Annexe I des Clauses contractuelles types est considéré comme complété par les informations figurant dans la Section 2 et l'Annexe 1 des présentes. Le contenu de l'annexe II est décrit dans l'annexe 3 ci-jointe.
    • 2.4.11.9. En cas de conflit entre les dispositions des clauses contractuelles types et le présent addendum relatif au traitement des données, les clauses contractuelles types prévaudront.
  • 2.4.12. se conformer à l'addendum sur les transferts internationaux du Royaume-Uni, tel qu'indiqué dans l'annexe 4 ci-jointe.
  • 2.4.13. Dispositions supplémentaires pour la Californie. Dans la mesure où Wortleap Group traite les informations personnelles des consommateurs soumis au CCPA, à la CPRA et aux réglementations applicables en vertu de celles-ci, les Parties se conformeront à toutes les dispositions applicables du CCPA, de la CPRA et des réglementations applicables en vertu de celles-ci, telles que modifiées de temps à autre. Les parties conviennent d'agir de bonne foi pour conclure un accord modifié afin de répondre à un tel amendement et de garantir le respect continu des lois californiennes. Workleap ne doit pas (a) conserver, utiliser ou divulguer ces informations personnelles à des fins autres que celles décrites dans les Conditions générales ou le présent Addendum relatif au traitement des données, ou dans toute autre mesure autorisée par le CCPA, la CPRA ou les réglementations applicables ; (b) conserver, utiliser ou divulguer ces informations personnelles à des fins commerciales autres que les fins spécifiques décrites dans les Conditions générales ou le présent Addendum sur le traitement des données ; ou (c) « vendre » ou « partager » ces informations personnelles (les termes « vendre » et « partager ») ayant le sens qui leur est attribué dans le CCPA, la CPRA ou les réglementations applicables).

ANNEXE 1 : Description du traitement des informations personnelles des clients

Worleap traitera les informations personnelles des clients conformément à la description ci-dessous :

1) Catégories de personnes concernées dont les informations personnelles sont traitées

Tous les utilisateurs, tels que définis dans les Conditions générales et les Conditions spécifiques aux produits applicables.

2) Catégories d'informations personnelles traitées

Wortleap traite plusieurs catégories d'informations personnelles des clients, telles que :

  • Informations d'identification de l'utilisateur (y compris les hachages de courrier électronique et de mot de passe) ;
  • Données de profil utilisateur (y compris le nom, les informations de contact telles que l'adresse e-mail ou le numéro de téléphone, l'intitulé du poste, la photo de profil, le fuseau horaire et les préférences linguistiques) ;
  • Réponses à des enquêtes, commentaires et commentaires (peuvent inclure des informations personnelles basées sur la nature des questions et des invites utilisées pour collecter ces informations, telles que les sentiments de l'utilisateur à l'égard de son lieu de travail, des informations sur l'engagement de l'utilisateur, les préférences de l'utilisateur dans le contexte de son expérience d'employé, etc.) ;
  • Propriétés de l'utilisateur (peuvent inclure des informations personnelles sociodémographiques, telles que l'âge, le sexe et le salaire, qui sont personnalisables par l'administrateur du compte du client et collectées à la discrétion du client) ;
  • Autres catégories d'informations personnelles spécifiques à la nature des produits de Workreap (peuvent inclure des informations sur les antécédents professionnels d'un candidat à un emploi, des informations sur l'horaire de travail d'un utilisateur, des informations sur les compétences d'un utilisateur, les inscriptions aux cours et la progression, etc.).

3) Informations personnelles sensibles traitées

Worleap ne traite pas intentionnellement des informations personnelles sensibles par le biais des produits et/ou services. Le client est responsable de s'assurer qu'il ne collecte pas d'informations personnelles sensibles, par exemple en créant des propriétés utilisateur dans le but de collecter des catégories d'informations personnelles sensibles. Toute collecte d'informations personnelles sensibles par Worleap via des champs de texte brut ou d'autres saisies par l'utilisateur est fortuite et échappe au contrôle de Workleap.

4) Fréquence du traitement et du transfert

Le traitement et le transfert des informations personnelles des clients sont continus.

5) Nature du traitement

Worklap traite les informations personnelles des clients dans le cadre de la fourniture des produits et/ou services, comme décrit dans les conditions générales et dans la documentation annexe décrivant plus en détail la nature et la fonctionnalité de ces produits et/ou services. Sans limiter la généralité de ce qui précède, le traitement peut impliquer le traitement, l'accès, la visualisation, le stockage, la transmission et la mise à disposition des informations personnelles du client, y compris par des moyens automatisés.

6) Finalités du traitement et de la poursuite du traitement

Worleap traite les informations personnelles du client conformément aux instructions légales documentées du client, qui seront considérées comme incluant toutes les activités de traitement nécessaires pour :

  • Fournir, maintenir et améliorer les Produits et/ou Services conformément aux Conditions générales ;
  • Prévenir et résoudre les problèmes de service, de sécurité, d'assistance ou techniques liés aux Produits et/ou Services ;
  • Assurer l'intégration et la synchronisation des produits avec les systèmes externes du client, tels que les systèmes d'information des ressources humaines et les systèmes de collaboration d'équipe, le cas échéant.

Wortleap traite également les informations personnelles des clients pour se conformer à ses obligations légales.

7) Période de conservation

Les informations personnelles des clients sont conservées et traitées uniquement aussi longtemps que nécessaire aux fins décrites au paragraphe 6 ci-dessus, conformément à la section 10 de la Politique de confidentialité de Workleap disponible sur https://workleap.com/trust-center/privacy/.

8) Transferts aux sous-traitants

Workleap peut transférer les informations personnelles des clients à ses sous-traitants (répertoriés dans l'Annexe 2 ci-jointe) conformément à la Section 2.4 (Obligations de Worleap en tant que responsable du traitement des données) ou autrement comme le permettent les Conditions générales.

ANNEXE 2 : Sous-processeurs Worleap

Une liste à jour des sous-processeurs Worleap est disponible à l'adresse https://workleap.com/trust-center/workleap-sub-processors/.

ANNEXE 3 : Description générale des mesures de sécurité techniques et organisationnelles en place

Tous les termes en majuscules qui ne sont pas définis dans les présentes auront le sens indiqué dans les Conditions générales.

Worleap a mis en œuvre et maintient les mesures de sécurité techniques et organisationnelles suivantes :

1. Measures of pseudonymization and encryption of personal data

It is Workleap’s policy to pseudonymize Customer Personal Information whenever possible.

In some instances, Workleap cannot however pseudonymize certain categories of Customer Personal Information. For instance, “User attributes” data in our database cannot be pseudonymized, as it would prevent administrators from viewing, adding or modifying User attributes related to their Users.

The data is encrypted in transit with HTTP over TLS. Certificates are 2048 bits and private keys are stored in a specific secret vault. Weak cyphers are disabled.

The data is also encrypted at rest by Workleap and the Sub-processors.

Encryption keys are managed with limited number of employees and secured in a vault with regular rotations.

2. Measures for ensuring ongoing confidentiality, integrity, availability and resilience of processing systems and services

Confidentiality

Workleap has measures in place to ensure that no person is allowed to access Customer Personal Information without authorization. Such measures include, without limitation:
- Workleap manages accesses to Customer Personal Information based on the role-based access control (RBAC) permissions model on a need to access basis and least privileged basis.
- Workleap has a secure authentication process in place.
- All Workleap employees are subject to a criminal background check to ensure that they are not guilty of a job-related offense.
- Workleap’s internal database is located at a Microsoft Azure datacenter. Microsoft Inc. conforms to global security standards such as ISO 27001, FedRAMP, SOC 1 and SOC 2.- Workleap has measures in place to control physical security at its office (including security guard at building entrance, alarm system, visitor registration).
- All Workleap employees and Sub-processors have signed a non-disclosure agreement.
- The data is encrypted in transit with HTTP over SSL. Certificates are 2048 bits and private keys are stored in a specific secret vault. Weak cyphers are disabled. The data is also encrypted at rest. Encryption keys are managed with limited number of employees and secured in a vault with regular rotations.
- Regular updates concerning current security attacks are sent to Workleap’s employees to raise awareness.

Workleap has BCP and DRP documentation. Tabletop testing is done at least once a year.

Integrity

Workleap has measures in place to ensure that the data integrity is maintained. Such measures include, without limitation:
- The right to modify or delete any customer data (which includes Customer Personal Information) is restricted to a limited group of people on a need basis.
- Employees in the customer success team and in the technical support team are granted the right to modify and delete customer data in Workleap’s database.  Any modification or deletion by such employees is catalogued in an audit log. Workleap reviews accesses every two months and every time a team changes.
- A group of four key employees have unlimited access to Workleap’s database.
- A policy restricting possible modifications and deletions within Workleap’s database is in place.

Workleap maintains backups of its database in accordance with its retention policy. The backups are verified daily, and tests are done every three months to meet its RPO and RTO.

Availability

Workleap has measures in place to ensure that Customer Personal Information is available and is used properly in the intended Process. Nidza Majin, [10/24/2024 7:15 PM] Such measures include, without limitation:
- Workleap maintains backups of its database in accordance with its retention policy. The backups are verified daily, and tests are done every three months to meet its RPO and RTO.
- Workleap’s infrastructure and database schema are built from scripts that are kept in its source control system. Therefore, Workleap can deploy the whole infrastructure dynamically within hours.
- Workleap has implemented Azure security center to prevent malware in the hosting environment and a centralized antimalware solution to prevent malware in the office with periodic full scans and firewall integration.
- Workleap is in the process of adopting and operationalizing a disaster recovery plan. It is Workleap’s objective that this disaster recovery plan be fully operational as quickly as possible.

Resilience

Workleap has measures in place to ensure that the Officevibe Platform is resilient. Such measures include:
- Workleap’s infrastructure can scale automatically depending on the load.
- Workleap’s infrastructure is redundant in the same data center.
- Workleap’s database server is redundant in the same data center.

3. Measures for ensuring the ability to restore the availability and access to personal data in a timely manner in the event of a physical or technical incident

If causes of outage are within Workleap’s control, its recovery time objective (RTO) is about 8 hours or less.

See measures described under section 2 above with respect to “Availability”.

4. Processes for regularly testing, assessing and evaluating the effectiveness of technical and organisational measures in order to ensure the security of the processing

Access control: Workleap reviews accesses regularly and every time a team changes.

Vulnerability assessments: External tests are conducted continuously using a Private Bug Bounty Program.

Security assessment: Workleap has several dashboards to assess its security.

Logs centralization: Workleap uses a SIEM to aggregate its logs.

5. Measures for user identification and authorisation

Workleap manages accesses to Customer Personal Information based on the role-based access control (RBAC) permissions model on a need to access basis and least privileged basis.

Workleap has a secure authentication process in place.

6. Measures for the protection of data during transmission

See section 2 above under the heading “Confidentiality”.

7. Measures for the protection of data during storage

See section 2 above under the heading “Confidentiality”.

8. Measures for ensuring physical security of locations at which personal data are processed

See section 2 above under the heading “Confidentiality”.

9. Measures for ensuring events logging

See Section 2 above under the heading “Integrity”, and Section 4.

10. Nidza Majin, [10/24/2024 7:15 PM] Measures for ensuring system configuration, including default configuration

A formal change management process governs changes to the application, data and supporting infrastructure. Changes are managed based on their impact and follow the SDLC methodology or a fast-track process.

Workleap also relies on its Access Management Policy and Change Management Policy.

11. Measures for internal IT and IT security governance and management

Workleap relies on an extensive Security Program, including, without limitation:
- An Information Security Policy;
- An Access Management Policy;
- A Security Incident Management Policy;
- A Personal Information Protection Policy;
- An Operational Security Policy; and
- A Change Management Policy.

12. Measures for certification/assurance of processes and products

Access control: Workleap reviews accesses regularly and every time a team changes.

Vulnerability assessments: External tests are conducted continuously using a Private Bug Bounty Program.

Security assessment: Workleap has several dashboards to assess its security.

Logs centralization: Workleap uses a SIEM to aggregate its logs.

13. Measures for ensuring data minimisation

Data use and data collection is governed by Workleap’s Privacy Policy and Data Utilization Policy.

Data access is possible only in accordance with the “least privilege” principle.

Workleap’s data retention policy, anonymization processes and pseudonymization process ensure that data is only retained for as long as it is necessary for the purpose of the underlying services.

14. Measures for ensuring data quality

See section 2 above.

15. Measures for ensuring limited data retention

See Section 13 above.

16. Measures for ensuring accountability

Workleap’s security policies are under the responsibility of its Director of Security and of its Data Protection Officer.

Workleap’s Security Program clearly assigns roles and responsibilities within the organization, which are regularly audited under the SOC2 framework.

17. Measures for allowing data portability and ensuring erasure

In accordance with its Privacy Policy, Workleap has a process in place allowing Data Subjects to exercise the privacy rights, including by requesting that Workleap erase or modify personal data. Workleap has processes in place to provide Data Subjects with a copy of their personal data upon request.

Personal Information is stored in accordance with Workleap’s Personal Information Protection Policy and data retention processes. Archival copies of personal data are securely deleted in accordance with applicable data retention schedules.

ANNEXE 4 : Addendum sur le transfert international de données au Royaume-Uni

Objectif. Cette annexe complète l'addendum sur le traitement des données tel qu'incorporé par référence aux conditions générales pour régir le transfert international d'informations personnelles hors du Royaume-Uni. En signant les Conditions générales, les Parties acceptent les termes de cette Annexe.

PARTIE 1 : Tableaux

Le tableau 1 sera complété par les informations relatives aux Parties, comme indiqué dans les Conditions générales.

TABLE 2 - Selected SCCs
Addendum EU SCCsThe 2021 Standard Contractual Clauses, including the appendix information as set out in Section 2.4.11 of the Data Processing Addendum.

TABLE 3 - Appendix Information

Appendix Information” means the information which must be provided for the selected modules as set out in the Appendix of the 2021 Standard Contractual Clauses (other than the Parties), and which for this Addendum is set out in:

Annex 1B

Description of Transfer: As described in Schedule 1 of the Data Processing Addendum.

Annex II

Technical and organisational measures including technical and organisational measures to ensure the security of the data: As described in Schedule 3 to the Data Processing Addendum.

Annex III

List of Sub Processors: As described in Schedule 2 to the Data Processing Addendum.

TABLE 4 - Ending this Addendum

Ending this Addendum when the Approved Addendum changesWhich Parties may end this Addendum: Exporter and Importer

PARTIE 2 : Clauses obligatoires

Mandatory Clauses incorporated by this express reference

Incorporation by reference of Mandatory Clauses of the Approved Addendum, being the template Addendum B.1.0 issued by the ICO and submitted to Parliament in accordance with s119A of the Data Protection Act 2018 on 2 February 2022 and approved on 21 March 2022, as amended from time under Section ‎‎18 of those Mandatory Clauses.