Informations légales

Accord de partage de données

Accord de partage de données entre responsables de traitement indépendants, annexe des Conditions Générales de Vente, accepté par le Client à la souscription.

Dernière mise à jour : 30 juin 2026

Préambule

Enrol exploite une plateforme qui identifie des candidats (notamment sur les réseaux et plateformes professionnels et les sources accessibles au public), les qualifie de manière automatisée au moyen d'outils d'intelligence artificielle (notation, scoring) et les met en relation avec ses entreprises clientes, de sa propre initiative et pour sa propre finalité.

Enrol détermine seul les finalités et les moyens du sourcing, de la qualification et de la mise en relation des candidats, ainsi que de la gestion de ses comptes clients et de la facturation. Le Client détermine seul les finalités et les moyens de l'usage qu'il fait des candidats qui lui sont présentés (sa décision de recrutement et le suivi qu'il en assure).

Pour ce qui concerne les données des Candidats, les Parties qualifient donc leur relation de relation entre deux responsables de traitement indépendants, et non de sous-traitance au sens de l'article 28 du RGPD. Le présent Accord (ci-après l'"Accord") organise ce partage de données : il précise la qualification des Parties, l'objet du partage, la répartition des rôles et des obligations d'information, la base légale de chacun, les engagements réciproques de sécurité et de coopération, ainsi que l'exercice des droits des personnes concernées. Il est conclu en application du Règlement (UE) 2016/679 (ci-après le "RGPD") et de la loi Informatique et Libertés.

L'Accord est une annexe des Conditions Générales de Vente (CGV) d'Enrol. Il est conclu entre ENROL (SAS au capital de 4 000 euros, siège social 6 rue d'Armaille, 75017 Paris, 977 490 457 R.C.S. Paris, représentée par sa Présidente Elisaveta Ispieva) et le Client (l'entreprise cliente identifiée lors de la création de son compte société). L'identité du Client et de son représentant est renseignée lors de la création du compte (collecte du SIREN / SIRET) ; l'acceptation de l'Accord est tracée et horodatée au niveau du compte société.

Article 1. Définitions

  • 1.1. "Candidat" ou "Talent" : personne physique dont le profil professionnel est identifié, collecté, enrichi, évalué ou contacté au moyen de la plateforme Enrol, et qui n'a pas nécessairement de relation préalable avec le Client ou avec Enrol.
  • 1.2. "Utilisateur Client" : personne physique (collaborateur, recruteur, gestionnaire) rattachée au compte du Client et utilisant la plateforme.
  • 1.3. "Données de Candidats" : les données à caractère personnel relatives aux Candidats, sourcées, enrichies, évaluées, contactées et conservées par Enrol dans le cadre de l'exploitation de sa plateforme (voir Annexe A).
  • 1.4. "Plateforme" ou "Service" : la plateforme exploitée par Enrol et décrite aux CGV, permettant la recherche de profils, l'enrichissement, la qualification par intelligence artificielle (scoring), la prise de contact, le suivi des échanges et la mise en relation des Candidats avec les Clients.
  • 1.5. "Notice candidats" : la notice d'information destinée aux Candidats, publiée par Enrol au titre de l'article 14 du RGPD, accessible à l'adresse https://enrol.fr/confidentialite-candidats.
  • 1.6. "Sous-traitant ultérieur" : tout sous-traitant auquel une Partie recourt pour réaliser des activités de traitement, chacune restant responsable de la conformité de ses propres sous-traitants (Annexe B pour ceux d'Enrol).
  • 1.7. "CCT" : les Clauses Contractuelles Types adoptées par la Commission européenne au titre de l'article 46 du RGPD. "DPF" : l'EU-US Data Privacy Framework, mécanisme d'adéquation pour les organisations établies aux États-Unis certifiées.

Article 2. Qualification des Parties

2.1. Responsables indépendants. Pour le traitement des Données de Candidats, chaque Partie agit en qualité de responsable de traitement indépendant au sens de l'article 4, point 7, du RGPD. Aucune des Parties n'agit pour le compte de l'autre s'agissant de ces données, et la relation n'est pas une sous-traitance au sens de l'article 28 du RGPD.

  • Enrol est responsable pour le sourcing des Candidats, leur enrichissement, leur qualification par intelligence artificielle (scoring), leur prise de contact et leur mise en relation avec le Client, ainsi que pour la constitution et la conservation de sa base de Candidats, et pour la gestion de ses comptes clients et la facturation.
  • Le Client est responsable pour l'usage qu'il fait des Candidats qui lui sont présentés : évaluation au regard de ses besoins, décision de recrutement, suivi du processus de recrutement et conservation des données dans ses propres systèmes.

2.2. Absence de contrat de sous-traitance pour les Données de Candidats. Il n'est conclu entre les Parties aucun contrat de sous-traitance au titre de l'article 28 du RGPD pour les Données de Candidats. Chaque Partie demeure responsable de sa propre conformité (base légale propre, information des personnes pour son périmètre, sécurité, gestion des droits).

2.3. Absence de responsabilité conjointe. Aucune stipulation du présent Accord ne crée une responsabilité conjointe au sens de l'article 26 du RGPD pour les Données de Candidats. Chaque Partie est seule responsable du respect du RGPD pour les traitements qu'elle détermine.

2.4. Durée. L'Accord prend effet à la souscription du Service et demeure en vigueur pendant toute la durée des CGV, sans préjudice des stipulations qui, par nature, survivent à son terme (obligations de conservation propres à chaque Partie et coopération en cas de violation).

Article 3. Objet du partage de données

3.1. L'Accord encadre la mise à disposition, par Enrol au profit du Client, de Candidats sourcés et qualifiés par Enrol, et organise les obligations réciproques des Parties, chacune en sa qualité de responsable indépendant.

3.2. Enrol identifie, enrichit et qualifie des Candidats sur la base de critères définis par le Client dans la Plateforme, puis met à la disposition du Client, pour sa propre finalité de recrutement, les Candidats ainsi sourcés et qualifiés et les éléments d'évaluation associés. Le Client reçoit ces données en tant que responsable indépendant et en fait usage sous sa propre responsabilité.

3.3. Le Client n'acquiert aucun droit de propriété sur la base de Candidats d'Enrol. Il dispose uniquement de l'accès aux Candidats issus de ses propres recherches, dans les conditions des CGV.

Article 4. Répartition des rôles et obligations d'information

4.1. Chaque Partie assure, pour son périmètre, l'information des personnes concernées, conformément aux articles 13 et 14 du RGPD.

4.2. Information des Candidats par Enrol (article 14). Les Données de Candidats étant collectées de manière indirecte, Enrol délivre aux Candidats l'information prévue à l'article 14 du RGPD au moyen de la Notice candidats, accessible en ligne et au plus tard lors du premier message de contact. Cette information porte sur l'identité d'Enrol, les finalités, la base légale (intérêt légitime), les catégories et sources de données, les destinataires, les durées de conservation, les droits des Candidats et l'existence d'un traitement automatisé.

4.3. Information par le Client. Le Client informe et gère, sous sa propre responsabilité, les Candidats qu'il retient et fait progresser dans son processus de recrutement, ainsi que ses Utilisateurs Client (finalités propres, base légale, conservation dans ses systèmes, droits à son égard, et le cas échéant information des représentants du personnel).

4.4. L'information des personnes est ainsi répartie : Enrol informe les Candidats au stade du sourcing et de la prise de contact ; le Client informe et gère les Candidats qu'il fait progresser dans son propre processus. Aucune Partie ne présente l'autre comme son sous-traitant pour les Données de Candidats.

Article 5. Base légale de chaque responsable

5.1. Base légale d'Enrol. Pour le sourcing, l'enrichissement, la qualification, la prise de contact et la mise en relation des Candidats, Enrol s'appuie sur l'intérêt légitime (article 6.1, f du RGPD), étayé par un test de mise en balance tenant compte de la collecte indirecte et des attentes raisonnables des Candidats. Enrol assume la documentation et la mise à jour de cette base légale.

5.2. Base légale du Client. Pour l'usage des Candidats dans le cadre de son recrutement, le Client s'appuie sur sa propre base légale. Il garantit disposer d'une base légale licite pour son activité de recrutement et avoir accompli ses propres obligations (information de ses Utilisateurs Client, information éventuelle des représentants du personnel, respect du Code du travail).

5.3. Non-discrimination. Le Client est seul responsable, en sa qualité d'employeur, des décisions de recrutement et de l'écartement de candidats. Il s'engage à ne pas utiliser les Candidats présentés pour mettre en oeuvre une discrimination prohibée au sens de l'article L1132-1 du Code du travail et des articles 225-1 et 225-2 du Code pénal.

5.4. Chaque Partie est seule responsable de la validité et de la documentation de sa propre base légale. La défaillance de la base légale d'une Partie n'engage pas l'autre, sous réserve de l'obligation de coopération prévue à l'article 8.

Article 6. Traitement automatisé et droits des Candidats

6.1. Le traitement mis en oeuvre par Enrol comporte une part importante d'automatisation, de la recherche des Candidats à la qualification (scoring) et à la prise de contact. Il est susceptible de constituer une décision individuelle automatisée au sens de l'article 22 du RGPD.

6.2. À ce titre, la Notice candidats informe les Candidats de l'existence de ce traitement automatisé, de sa logique générale et des conséquences pour la personne. Les Candidats disposent du droit d'obtenir une intervention humaine, d'exprimer leur point de vue et de contester, en s'adressant à contact@enrol.fr.

6.3. AI Act. Le traitement repose sur un système d'intelligence artificielle utilisé en matière d'emploi et de recrutement, relevant de la catégorie à haut risque au sens du Règlement (UE) 2024/1689 (AI Act). Enrol agit en qualité de fournisseur de ce système ; le Client agit en qualité de déployeur pour ses propres usages. Les obligations respectives (transparence, surveillance humaine, information des travailleurs au titre de l'article 26.7 de l'AI Act) sont précisées aux CGV et dans la documentation d'utilisation.

Article 7. Engagements réciproques de sécurité (article 32)

7.1. Chaque Partie met en oeuvre, pour les traitements qu'elle détermine, les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, conformément à l'article 32 du RGPD.

7.2. Mesures d'Enrol. Enrol met en oeuvre des mesures appropriées comprenant notamment le chiffrement des données sensibles en transit et au repos, le contrôle des accès, le cloisonnement strict des données par Client, la journalisation et l'hébergement des données applicatives dans l'Union européenne. Le détail de ces mesures est communiqué au Client sur demande et évolue en fonction de l'état de l'art et des risques.

7.3. Mesures du Client. Le Client met en oeuvre, dans ses propres systèmes, des mesures de sécurité appropriées pour protéger les Données de Candidats qu'il reçoit (contrôle d'accès, confidentialité, conservation maîtrisée, suppression à l'extinction de sa finalité).

7.4. Confidentialité et sous-traitants. Chaque Partie veille à ce que les personnes autorisées à traiter les Données de Candidats soient soumises à une obligation de confidentialité, et demeure responsable de ses propres Sous-traitants ultérieurs, auxquels elle impose par un acte juridique des garanties de protection des données suffisantes.

Article 8. Coopération et notification en cas de violation

8.1. Les Parties coopèrent de bonne foi pour permettre à chacune de respecter ses obligations au titre du RGPD, notamment en cas de demande d'une Autorité de contrôle, de réclamation d'une personne concernée ou de violation de données.

8.2. Notification mutuelle. En cas de violation de données affectant des Données de Candidats partagées et susceptible d'avoir des conséquences pour l'autre Partie, la Partie qui en a connaissance en informe l'autre sans retard injustifié et au plus tard quarante-huit (48) heures après en avoir pris connaissance, avec les éléments utiles pour que l'autre Partie satisfasse à ses propres obligations.

8.3. Chaque Partie demeure seule responsable, pour son périmètre, de la notification de la violation à l'Autorité de contrôle (article 33) et de l'information des personnes concernées (article 34) lorsque les conditions en sont réunies, et documente les violations dont elle a connaissance.

Article 9. Exercice des droits des personnes concernées

9.1. Chaque Partie traite, pour le périmètre dont elle est responsable, les demandes d'exercice des droits (accès, rectification, effacement, limitation, opposition, portabilité, droits relatifs à la décision automatisée).

9.2. Point de contact Enrol. Pour les droits portant sur le sourcing, la qualification, la prise de contact et la conservation des Données de Candidats par Enrol, le point de contact des Candidats est contact@enrol.fr. Enrol traite ces demandes en qualité de responsable indépendant.

9.3. Opposition. Lorsqu'un Candidat exerce son droit d'opposition auprès d'Enrol, Enrol cesse le traitement de prospection le concernant et fait obstacle à un nouveau contact, pour l'ensemble de ses recherches et de ses Clients.

9.4. Demandes portant sur l'autre Partie. Lorsqu'une demande reçue par une Partie porte sur un traitement relevant de l'autre Partie, la Partie destinataire la transmet sans délai injustifié et oriente, le cas échéant, la personne concernée. Le Client traite les demandes portant sur son traitement de recrutement (notes, évaluations, décision, suivi dans ses systèmes).

Article 10. Transferts hors de l'Union européenne

10.1. Chaque Partie est responsable de l'encadrement des transferts de données hors de l'Union européenne réalisés par ses propres Sous-traitants ultérieurs, conformément au chapitre V du RGPD.

10.2. Transferts réalisés par Enrol. Certaines opérations de la Plateforme impliquent des transferts de Données de Candidats vers des Sous-traitants ultérieurs d'Enrol établis hors de l'Union européenne, principalement aux États-Unis. Chaque transfert repose sur l'un des mécanismes du chapitre V du RGPD : décision d'adéquation (notamment certification au DPF pour les destinataires établis aux États-Unis et certifiés) ou, à défaut, Clauses Contractuelles Types complétées des mesures supplémentaires appropriées.

10.3. Les fournisseurs de modèles d'intelligence artificielle établis aux États-Unis auxquels Enrol recourt sont des sous-traitants d'Enrol, et non du Client. Enrol assume l'encadrement contractuel de ces transferts.

10.4. Enrol met à disposition du Client, sur demande, une copie des garanties de transfert applicables à ses propres Sous-traitants ultérieurs, et réévalue périodiquement le maintien de ces garanties. Le Client encadre, de son côté, les transferts réalisés par ses propres outils et sous-traitants.

Article 11. Durée et conservation

11.1. Conservation par Enrol. Enrol applique une politique de conservation des Données de Candidats : à titre indicatif, ces données sont conservées environ vingt-quatre (24) mois après le dernier contact utile, puis supprimées ou anonymisées, sous réserve des droits des Candidats. Les durées par catégorie figurent en Annexe A.

11.2. Conservation par le Client. Le Client conserve les Données de Candidats qu'il reçoit pour la durée nécessaire à sa propre finalité de recrutement, conformément à ses propres durées et aux recommandations applicables, puis les supprime ou les anonymise.

11.3. Fin de la relation. La fin de la relation contractuelle n'emporte pas, par elle-même, suppression de la base de Candidats d'Enrol, dont la conservation est régie par la politique d'Enrol (11.1) et par les droits des Candidats.

Article 12. Responsabilité de chacun

12.1. Chaque Partie répond des dommages causés par un traitement réalisé en violation des obligations du RGPD qui lui incombent en sa qualité de responsable indépendant (article 82 du RGPD). Aucune Partie ne répond des manquements imputables à l'autre Partie.

12.2. Enrol ne saurait être tenu responsable des manquements imputables au Client (absence de base légale propre, usage discriminatoire des Candidats, défaut d'information de ses propres parties prenantes, conservation non maîtrisée dans ses systèmes). Réciproquement, le Client ne saurait être tenu responsable des manquements imputables à Enrol au titre du sourcing, de la qualification, de la prise de contact ou de la conservation de sa base de Candidats.

12.3. Plafonds. Les plafonds et exclusions de responsabilité figurant aux CGV s'appliquent au présent Accord, sous réserve des limites légales (faute lourde ou dolosive, atteinte aux droits fondamentaux des personnes concernées).

Article 13. Point de contact et registre

13.1. Toute demande relative au présent Accord, ainsi que toute demande d'exercice de droits relevant du périmètre d'Enrol, est adressée à contact@enrol.fr. Aucun délégué à la protection des données n'est désigné à ce jour côté Enrol.

13.2. Chaque Partie tient un registre des activités de traitement en qualité de responsable (article 30.1 du RGPD) pour les traitements qu'elle détermine, et réalise, pour son périmètre, l'analyse d'impact relative à la protection des données (AIPD) lorsqu'elle est requise.

Article 14. Dispositions finales

14.1. Hiérarchie. En cas de contradiction entre le présent Accord et les CGV sur une question de protection des données, le présent Accord prévaut. En cas de contradiction avec des Clauses Contractuelles Types régulièrement conclues, ces dernières prévalent pour ce qu'elles régissent.

14.2. Modification. Toute modification substantielle du présent Accord fait l'objet d'une information du Client et, le cas échéant, d'une nouvelle acceptation tracée.

14.3. Acceptation. Le présent Accord est accepté par le Client à la souscription du Service, par une action positive horodatée et conservée, valant signature au sens des articles 1366 et 1367 du Code civil.

14.4. Droit applicable. Le présent Accord est soumis au droit français. Tout litige relève de la compétence du Tribunal de commerce de Paris, sous réserve des règles d'ordre public et des compétences de l'Autorité de contrôle.

Annexe A. Description du partage de données

A.1. Finalités d'Enrol (responsable indépendant) :

  • Recherche et identification de profils de Candidats sur le marché professionnel (sourcing), à partir de critères définis par le Client.
  • Enrichissement des profils identifiés à partir d'informations professionnelles publiques.
  • Qualification et classement des Candidats par intelligence artificielle (scoring).
  • Prise de contact des Candidats et gestion des échanges.
  • Mise en relation des Candidats sourcés et qualifiés avec le Client.
  • Constitution et maintenance d'une base de Candidats, gestion du compte Client et facturation.

Finalités du Client (responsable indépendant) : évaluation des Candidats présentés, décision et suivi du recrutement, conservation des Candidats retenus dans ses propres systèmes.

A.2. Catégories de personnes concernées : Candidats sourcés et contactés par Enrol ; Utilisateurs Client ; prospects ayant contacté Enrol.

A.3. Catégories de données de Candidats :

  • Identité : nom, prénom, photographie de profil.
  • Identifiant et URL de profil professionnel.
  • Vie professionnelle : poste et employeur actuels, historique professionnel, formations, compétences, langues, certifications.
  • Zone géographique déclarée et éléments descriptifs du profil (titre, présentation).
  • Coordonnées (adresse électronique, téléphone) lorsqu'elles sont obtenues par enrichissement ou communiquées par le Candidat.
  • Contenu des échanges intervenus lors de la prise de contact.
  • Données dérivées de la qualification par intelligence artificielle : score d'adéquation, analyse, forces et faiblesses, classification d'expérience.

A.4. Catégories particulières (article 9). Le traitement n'a pas pour objet de traiter des catégories particulières de données. Les profils professionnels et les zones de texte libre étant toutefois susceptibles d'en révéler de manière incidente, Enrol met en oeuvre des mesures de minimisation et de filtrage.

A.5. Durées de conservation indicatives :

  • Données de Candidats, données dérivées et contenu des échanges : environ 24 mois après le dernier contact utile (Enrol).
  • Données de Candidats reçues par le Client : durée nécessaire à son recrutement, selon ses propres durées (Client).
  • Données d'Utilisateurs Client : durée du compte, puis suppression ou anonymisation 12 mois après la clôture (Enrol).
  • Données de facturation : durées légales (notamment 10 ans) (Enrol). Journaux de connexion : 12 mois (Enrol).

Annexe B. Sous-traitants ultérieurs d'Enrol

Enrol recourt à des Sous-traitants ultérieurs pour fournir le Service. Chaque Partie demeure responsable de ses propres sous-traitants ; la présente liste concerne Enrol et est présentée par catégorie :

  • Hébergement et infrastructure (Union européenne) : Google Cloud (entité Google Cloud EMEA Limited, Dublin), pour l'hébergement des données applicatives dans l'Union européenne.
  • Modèles d'intelligence artificielle (établis aux États-Unis, encadrés par DPF et/ou CCT) : prestataires de modèles d'IA utilisés pour la qualification des profils.
  • Enrichissement et sourcing de données professionnelles : prestataires spécialisés, dont certains établis hors UE, encadrés par des Clauses Contractuelles Types.
  • Messagerie, prise de contact et prise de rendez-vous : prestataires de messagerie professionnelle et transactionnelle.
  • Paiement et facturation (États-Unis, encadré par DPF et/ou CCT) : Stripe, pour le traitement des paiements (données du Client, pas de donnée de Candidat).
  • Supervision technique : outils de détection et de diagnostic des erreurs applicatives.

La liste détaillée et à jour des Sous-traitants ultérieurs d'Enrol, ainsi que les garanties de transfert applicables, sont communiquées au Client sur demande à contact@enrol.fr.