Politique de confidentialité

Dernière mise à jour : 4 décembre 2025

1. Informations générales et responsable du traitement

1.1. Portée du document
Le présent document définit les règles applicables au traitement des données à caractère personnel des personnes utilisant les services fournis sous la marque Hansa Careers, exploitée par la société Handke Holding OÜ, enregistrée en République d’Estonie. Cette Politique de confidentialité vise à présenter de manière claire et compréhensible la façon dont les données personnelles des personnes entrant en contact avec le responsable du traitement sont traitées, ainsi que l’étendue et les finalités de ce traitement dans le cadre de l’activité exercée.

1.2. Informations sur le responsable du traitement

Handke Holding OÜ
Harju maakond, Kesklinna linnaosa
Sakala tn 7-2
10141 Tallinn
Estonia

numéro d’enregistrement (registrikood) : 17387477
numéro de TVA UE : EE102932869

1.3. Nature de l’activité exercée
Le responsable exerce une activité de médiation et de recrutement au sein de l’Union européenne et de l’Espace économique européen, en particulier dans le cadre des relations entre employeurs et candidats à l’emploi.

1.4. Personnes concernées par la Politique de confidentialité
La Politique de confidentialité s’applique notamment aux personnes :

• utilisant les services du responsable du traitement ;
• visitant le site Internet www.hansacareers.ee ;
• participant à des processus de recrutement ;
• entrant en contact avec le responsable à des fins commerciales, administratives ou informatives ;
• correspondant avec le responsable dans le cadre professionnel ;
• représentant des entités publiques ou privées dans le cadre de relations formelles.

1.5. Finalités concernées par le traitement
Les règles décrites dans la présente Politique couvrent le traitement des données lié aux activités suivantes :

• gestion et fonctionnement du site Internet www.hansacareers.ee ;
• prestation de services de médiation et de recrutement ;
• exécution des missions confiées par les clients ainsi que des coopérations B2B ;
• gestion de la correspondance commerciale et administrative ;
• respect des obligations légales découlant du droit de l’Union européenne et de la République d’Estonie.

1.6. Base juridique
La Politique de confidentialité a été élaborée conformément :
– au Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (RGPD),
– à la loi estonienne relative à la protection des données personnelles (Isikuandmete kaitse seadus),
– ainsi qu’aux autres dispositions légales applicables dans l’Union européenne et en République d’Estonie.

1.7. Langue de communication et modalités de contact
La langue principale de l’activité du Responsable du traitement est l’anglais. La communication écrite peut être menée dans toute langue officielle de l’Union européenne ou de l’Espace économique européen.

Le mode de contact privilégié et recommandé avec le Responsable du traitement est la communication électronique, notamment :
– par courrier électronique à l’adresse : office@hansacareers.ee,
– au moyen du formulaire de contact disponible sur le site internet : www.hansacareers.ee,
– par téléphone : +372 5617 1770.

Le contact avec le Responsable du traitement peut également être établi par correspondance postale à l’adresse indiquée au point 1.2. Afin d’assurer un traitement efficace des demandes et un niveau approprié de protection des données à caractère personnel, le Responsable du traitement, qui exerce son activité dans un environnement entièrement numérique, recommande toutefois le recours à la communication électronique. La correspondance postale traditionnelle, compte tenu de la nature des informations transmises, y compris de la transmission éventuelle de données à caractère personnel, peut entraîner des délais de traitement plus longs ainsi qu’un risque accru de perte de données ou d’accès non autorisé à celles-ci.

1.8. Caractère volontaire de la fourniture des données et responsabilité du responsable
La fourniture des données est volontaire, mais peut s’avérer indispensable pour bénéficier des services du responsable, participer à un processus de recrutement ou obtenir une réponse à une demande. L’absence de données peut rendre impossible l’exécution de ces finalités.

Le responsable n’est pas tenu de désigner un délégué à la protection des données (DPO), le volume et la nature du traitement ne répondant pas aux critères prévus à l’article 37, paragraphe 1, du RGPD.

Le responsable est chargé de :
– garantir la conformité des traitements aux exigences légales ;
– mettre en œuvre des mesures techniques et organisationnelles appropriées pour assurer la sécurité des données ;
– garantir l’exercice effectif des droits des personnes concernées ;
– coopérer avec l’autorité de contrôle estonienne — l’Andmekaitse Inspektsioon.

2. Catégories de personnes dont nous traitons les données

Dans le cadre des activités de Hansa Careers, exploitées par Handke Holding OÜ, seules les données strictement nécessaires à la prestation des services de médiation en matière d’emploi, au maintien des relations commerciales et à la gestion de la communication opérationnelle et organisationnelle sont traitées. Le traitement des données est effectué conformément aux principes de licéité, de loyauté, de transparence et de minimisation énoncés à l’article 5, paragraphe 1, du RGPD, et est systématiquement limité à ce qui est adéquat et pertinent au regard des finalités poursuivies. Le responsable du traitement traite les données appartenant aux catégories de personnes suivantes :

2.1. Candidats participant aux processus de recrutement
Personnes physiques postulant à un emploi par l’intermédiaire de Hansa Careers dans le cadre de processus de recrutement précis et actuellement ouverts, pour lesquels des offres d’emploi ont été publiées. Les données traitées peuvent inclure, en particulier, les informations figurant dans le curriculum vitae, les données de contact et toute autre information fournie par le candidat dans le cadre du recrutement concerné. Les données des candidats peuvent être obtenues :

• directement auprès du candidat ;
• à partir de sources publiques, exclusivement dans la mesure où le candidat les a lui-même rendues accessibles, conformément à l’article 14 du RGPD.

Ces données sont traitées uniquement pour les besoins du processus de recrutement concerné et ne sont communiquées qu’aux clients pour le compte desquels ce recrutement est réalisé.

2.2. Candidats se manifestant en dehors des processus de recrutement en cours
Le responsable ne traite les données des candidats que dans le cadre de processus de recrutement concrets et actifs. Lorsque le responsable ne conduit aucun recrutement en cours, ou lorsque des personnes transmettent leurs données – notamment des CV ou des messages – sans lien avec une offre d’emploi spécifique, ces données ne sont ni acceptées ni utilisées dans quelque processus de recrutement que ce soit. Les données envoyées spontanément, en dehors de toute réponse à une offre précise, ne sont ni analysées, ni archivées, ni transmises, et peuvent être supprimées immédiatement après leur réception, sauf disposition légale contraire. Le responsable ne constitue aucune base de données de candidatures spontanées et ne réutilise pas de telles données pour de futurs recrutements. Le contact n’est établi qu’avec les personnes ayant répondu à une offre d’emploi déterminée ou ayant déclaré publiquement leur intérêt pour un emploi, par exemple au moyen d’annonces publiées sur des plateformes sociales, et uniquement dans la mesure nécessaire à l’échange relatif à ladite offre.

2.3. Clients et leurs représentants
Personnes physiques ainsi que représentants d’entreprises avec lesquelles le responsable coopère dans le cadre de la prestation de services de médiation en matière d’emploi. Les données traitées comprennent notamment le nom, les coordonnées professionnelles, la fonction occupée et les informations nécessaires à l’exécution des contrats ou à la coopération commerciale.

2.4. Clients et partenaires potentiels
Personnes avec lesquelles un contact a été établi à propos d’une offre de coopération, ou dont les données ont été collectées à partir de sources accessibles au public, telles que les sites Internet d’entreprises ou les plateformes professionnelles. Ces données sont traitées sur la base de l’intérêt légitime du responsable consistant à exercer son activité économique et à développer des relations commerciales.

2.5. Prestataires et fournisseurs de services
Personnes physiques exerçant une activité indépendante ainsi que représentants de prestataires fournissant au responsable des services nécessaires à l’exercice de son activité, notamment des services techniques, comptables, juridiques ou de communication. Ces données sont traitées aux fins de l’exécution des contrats, du maintien de la communication opérationnelle et du respect des obligations légales.

2.6. Autres personnes contactant le responsable ainsi que représentants d’organismes publics
Personnes adressant des demandes via les formulaires de contact, par courrier électronique ou par d’autres canaux de communication, ainsi que représentants d’organismes ou d’institutions publiques avec lesquels le responsable entretient une correspondance officielle. Ces données sont traitées exclusivement dans le but de répondre aux demandes, de gérer la correspondance ou d’exécuter les obligations légales.

Informations complémentaires
Le responsable du traitement :
– ne collecte pas de données provenant de sources non publiques ;
– ne procède à aucune surveillance systématique des personnes concernées ;
– ne traite aucune donnée non pertinente au regard des finalités poursuivies.

3. Étendue des données personnelles traitées

L’étendue des données personnelles traitées dépend du type de relation existant entre le responsable du traitement et la personne concernée, ainsi que de la finalité pour laquelle les données sont transmises. Le responsable ne traite que les données nécessaires à la réalisation d’objectifs précis et légitimes, dans le respect du principe de minimisation des données. Les données personnelles sont traitées de manière adéquate, pertinente et limitée à ce qui est strictement nécessaire, conformément à l’article 5, paragraphe 1, point c), du RGPD ainsi qu’au § 11 du Isikuandmete kaitse seadus.

3.1. Données d’identification et de contact
Le responsable peut notamment traiter les données suivantes :

• prénom et nom,
• adresse électronique,
• numéro de téléphone,
• autres données de contact fournies volontairement dans le cadre d’une correspondance ou d’un formulaire de contact,
• données professionnelles dans le cadre de relations commerciales (nom de l’entreprise, fonction, adresse e-mail professionnelle, numéro de téléphone professionnel).

Ces données sont traitées afin de permettre la communication, de répondre aux demandes, d’exécuter une collaboration ou de remplir des obligations administratives.

3.2. Données des candidats participant à des processus de recrutement
Dans le cadre de processus de recrutement actifs, le responsable traite uniquement les données fournies par les candidats en réponse à des offres d’emploi spécifiques. Les données traitées peuvent comprendre :

• les informations contenues dans le curriculum vitae (CV), telles que l’expérience professionnelle, la formation, les qualifications, les compétences et les connaissances linguistiques ;
• le contenu du message accompagnant la candidature ;
• toute autre information fournie volontairement par le candidat dans le cadre de l’offre concernée.

Le responsable ne collecte aucune donnée relative aux candidats à partir de sources autres que le contact direct établi dans le cadre d’une candidature, et ne traite pas les données en dehors du processus de recrutement spécifique auquel elles se rapportent.

3.3. Candidats transmettant des données en dehors des processus de recrutement
Lorsque le responsable ne conduit aucun processus de recrutement actif ou n’a publié aucune offre d’emploi, les données personnelles envoyées spontanément (notamment les CV transmis sans lien avec une annonce précise) ne sont ni acceptées ni utilisées. Ces données sont supprimées sans autre traitement, et le responsable ne constitue aucune base de données ni registre de candidatures spontanées. Seules les candidatures déposées en réponse à des offres d’emploi concrètes et en cours sont acceptées et examinées.

3.4. Données des clients et de la coopération commerciale
Le responsable traite les données personnelles des clients ainsi que de leurs représentants dans la mesure nécessaire à la prestation des services de médiation en emploi et à la coopération commerciale. Ces données peuvent comprendre :

• le nom et le prénom de la personne de contact,
• l’adresse électronique et le numéro de téléphone,
• la fonction exercée,
• les informations figurant dans les contrats, factures et documents comptables.

Ces données sont traitées pour exécuter les contrats, assurer la communication opérationnelle et respecter les obligations résultant des législations fiscale et comptable.

3.5. Données liées à la communication et à la correspondance
Le responsable traite les données contenues dans les échanges réalisés par courrier électronique, formulaires de contact ou autres canaux de communication. L’étendue des données dépend du contenu du message transmis par l’expéditeur et est limitée aux informations nécessaires pour répondre ou traiter la demande.

3.6. Données techniques et organisationnelles liées au site Internet
Dans le cadre de l’utilisation du site www.hansacareers.ee, certaines données techniques peuvent être traitées, notamment :

• l’adresse IP,
• les données relatives au navigateur et au système d’exploitation,
• la date et l’heure de la connexion,
• les données techniques enregistrées dans les journaux du serveur.

Ces données sont utilisées exclusivement pour garantir la sécurité du site, prévenir les abus et assurer son bon fonctionnement. Dans ce cadre, le responsable utilise les services de Cloudflare, Inc., qui traite les données techniques en tant que sous-traitant.

3.7. Données liées aux communications vidéo
Lors des réunions ou entretiens en ligne, le responsable peut utiliser l’outil Whereby. Le traitement des données se limite aux informations nécessaires à l’établissement de la connexion, telles que le nom ou pseudonyme de l’utilisateur, l’adresse IP et les données techniques de communication. Le responsable n’enregistre pas les réunions et n’en conserve aucune copie, sauf information préalable et accord explicite des participants.

3.8. Catégories particulières de données
Le responsable ne traite en principe aucune donnée relevant des catégories particulières mentionnées à l’article 9 du RGPD. Il n’exige ni n’attend la transmission de telles données. Si de telles informations sont communiquées volontairement dans une correspondance ou des documents, elles ne sont traitées que dans la mesure nécessaire à la finalité poursuivie, ou bien supprimées sans délai.

4. Finalités et bases juridiques du traitement des données personnelles

Le responsable du traitement traite les données personnelles uniquement dans la mesure nécessaire à l’exercice de ses activités, conformément aux dispositions légales applicables et dans le respect des principes de loyauté, de transparence et de minimisation des données. Le traitement est effectué conformément aux articles 5 et 6 du Règlement (UE) 2016/679 (RGPD), ainsi qu’aux dispositions de la loi estonienne sur la protection des données personnelles (Isikuandmete kaitse seadus). Les données personnelles ne sont traitées qu’à des fins clairement définies, légitimes, et ne font l’objet d’aucune utilisation ultérieure incompatible avec ces finalités.

4.1. Conduite des processus de recrutement
Les données personnelles des candidats sont traitées aux fins suivantes :

• réception et analyse des candidatures soumises en réponse à des offres d’emploi spécifiques,
• prise de contact avec les candidats au cours du processus de recrutement,
• évaluation de l’adéquation du profil professionnel du candidat aux exigences de l’offre,
• transmission des données des candidats aux clients potentiels employeurs – exclusivement dans le cadre du processus de recrutement concerné.

Base juridique :
article 6, paragraphe 1, point a) du RGPD – consentement du candidat,
article 6, paragraphe 1, point b) du RGPD – mesures précontractuelles prises à la demande du candidat,
article 9, paragraphe 2, point a) du RGPD – consentement explicite lorsque le candidat fournit volontairement des données relevant de catégories particulières.

4.2. Conservation des candidatures en vue de recrutements futurs
Les données des candidats peuvent être conservées après la clôture du processus de recrutement uniquement si le candidat a donné un consentement distinct et explicite. Les données sont conservées pendant la durée spécifiée dans le consentement ou jusqu’au retrait de celui-ci.

Base juridique :
article 6, paragraphe 1, point a) du RGPD.

4.3. Conclusion et exécution des contrats
Les données des clients, partenaires et cocontractants sont traitées aux fins suivantes :

• conclusion et exécution des contrats,
• prestation de services de médiation en emploi,
• gestion des relations commerciales, administratives et opérationnelles.

Base juridique :
article 6, paragraphe 1, point b) du RGPD – exécution d’un contrat,
article 6, paragraphe 1, point c) du RGPD – respect des obligations légales en matière fiscale et comptable.

4.4. Maintien des relations commerciales et marketing B2B
Les données de contact des représentants d’entreprises peuvent être traitées aux fins suivantes :

• communication commerciale courante,
• présentation d’offres de coopération,
• marketing direct dans le cadre de relations B2B.

Base juridique :
article 6, paragraphe 1, point f) du RGPD – intérêt légitime du responsable consistant à développer et promouvoir son activité économique.
La personne concernée dispose du droit de s’opposer à ce traitement à tout moment.

4.5. Réponse aux demandes et gestion de la correspondance
Les données des personnes prenant contact avec le responsable via des formulaires, par courrier électronique ou par téléphone sont traitées dans le but de fournir une réponse et d’assurer la correspondance en cours.

Base juridique :
article 6, paragraphe 1, point f) du RGPD – intérêt légitime du responsable.

4.6. Comptabilité, obligations fiscales et archivage
Les données personnelles sont traitées afin de satisfaire aux obligations comptables, fiscales et d’archivage prévues par la législation estonienne.

Base juridique :
article 6, paragraphe 1, point c) du RGPD – obligation légale pesant sur le responsable.

4.7. Sécurisation des formulaires et des systèmes informatiques (Cloudflare)
Le responsable met en œuvre des mesures techniques et organisationnelles afin de protéger le site Internet et les formulaires contre le spam, les abus et les envois automatisés. Dans ce cadre, il utilise les services de Cloudflare, notamment les mécanismes de sécurité de type Turnstile, qui peuvent traiter des données techniques telles que :

• adresse IP,
• données relatives au navigateur et au système d’exploitation,
• informations techniques nécessaires à l’évaluation du risque d’abus.

Ces données sont traitées exclusivement pour garantir la sécurité et l’intégrité des systèmes informatiques.

Base juridique :
article 6, paragraphe 1, point f) du RGPD – intérêt légitime du responsable consistant à assurer la protection du site et des données.

4.8. Établissement, exercice ou défense de prétentions juridiques
Les données personnelles peuvent être traitées afin d’établir, d’exercer ou de défendre des droits en justice.

Base juridique :
article 6, paragraphe 1, point f) du RGPD – intérêt légitime du responsable.

4.9. Exécution des obligations envers les autorités publiques
Les données personnelles peuvent être communiquées aux autorités publiques compétentes, aux tribunaux ou aux organismes de contrôle dans la mesure où la loi l’exige.

Base juridique :
article 6, paragraphe 1, point c) du RGPD – obligation légale du responsable.

5. Bases juridiques du traitement des données personnelles

Le responsable du traitement ne traite les données personnelles que lorsqu’il dispose d’un fondement juridique clair et conforme au droit, résultant notamment des dispositions suivantes :
– Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (RGPD),
– loi de la République d’Estonie sur la protection des données personnelles – Isikuandmete kaitse seadus (IKS, RT I, 26.03.2019, 10).

Le traitement des données est toujours effectué conformément aux principes énoncés à l’article 5 du RGPD et au § 11 de l’IKS, en particulier les principes de licéité, loyauté, transparence, limitation des finalités, minimisation des données, intégrité et confidentialité.

5.1. Bases du traitement des données personnelles (art. 6 RGPD)
Le responsable du traitement fonde ses opérations de traitement de données personnelles sur les bases juridiques suivantes :

a) Consentement de la personne concernée
(art. 6, par. 1, point a) du RGPD ; § 10, par. 1 de l’IKS)
Cette base s’applique lorsque la personne donne un consentement libre, spécifique et sans ambiguïté, notamment pour :

• participer à de futurs processus de recrutement,
• transmettre ses données à un employeur potentiel,
• permettre le traitement de données complémentaires fournies volontairement (par ex. l’image ou la photo).

Le consentement peut être retiré à tout moment, sans porter atteinte à la licéité du traitement fondé sur ce consentement avant son retrait (art. 7, par. 3 du RGPD).

b) Exécution d’un contrat ou mesures précontractuelles
(art. 6, par. 1, point b) du RGPD ; § 10, par. 1, point 2 de l’IKS)

• mise en œuvre des processus de recrutement et des services de médiation en emploi,
• établissement et exécution de relations de coopération avec les clients et les cocontractants,
• préparation et mise en œuvre d’offres de services,
• gestion de la communication opérationnelle courante dans le cadre de la coopération.

c) Respect d’une obligation légale incombant au Responsable
(art. 6, par. 1, point c) du RGPD ; § 10, par. 1, point 3 de l’IKS)
Cette base couvre les traitements requis par le droit estonien et le droit de l’Union, notamment :

• Raamatupidamise seadus §§ 12–13 – obligation de tenir et conserver la documentation comptable pendant 7 ans,
• obligations fiscales et de reporting,
• obligations liées aux contrôles publics et aux audits financiers.

d) Intérêt légitime du Responsable
(art. 6, par. 1, point f) du RGPD ; § 11, par. 2 de l’IKS)
Traitements nécessaires à la réalisation des intérêts légitimes du responsable, tels que :

• assurer la communication courante et le traitement des demandes,
• développer les relations professionnelles et la coopération B2B,
• mener des actions de marketing direct dans un environnement professionnel (conformément au § 102 de l’Elektroonilise side seadus),
• garantir la sécurité des systèmes informatiques, des formulaires de contact et des documents,
• prévenir les abus, lutter contre le spam et les attaques,
• établir, exercer ou défendre des prétentions juridiques.

Le responsable évalue dans chaque cas si ses intérêts légitimes ne portent pas atteinte aux droits et libertés de la personne concernée (art. 6, par. 1, point f) du RGPD, lu à la lumière du considérant 47).

e) Exécution d’une mission d’intérêt public
(art. 6, par. 1, point e) du RGPD ; § 10, par. 1, point 4 de l’IKS)
Cela concerne le traitement de données dans le cadre de projets mis en œuvre ou supervisés par des institutions publiques, notamment des programmes relatifs au marché du travail et à la mobilité professionnelle (par ex. Eesti Töötukassa, EURES, programmes de l’UE), dans la mesure où un tel traitement intervient.

5.2. Traitement de catégories particulières de données (art. 9 RGPD)
En principe, le responsable du traitement ne traite pas de données appartenant aux catégories particulières visées à l’article 9, paragraphe 1 du RGPD. Si la personne concernée divulgue volontairement de telles informations (par ex. des données relatives à la santé ou au handicap) :

• le traitement n’a lieu que sur la base d’un consentement explicite (art. 9, par. 2, point a) du RGPD ; § 21 de l’IKS),
• ces données sont protégées par des mesures de sécurité techniques et organisationnelles renforcées (art. 32 du RGPD),
• l’absence de consentement ne produit aucune conséquence négative pour la personne concernée.

5.3. Principes généraux du traitement des données
Le responsable veille à ce que toutes les opérations de traitement de données personnelles soient menées conformément :
– aux articles 5 et 6 du RGPD,
– au § 11 du Isikuandmete kaitse seadus,
– à l’article 32 du RGPD – en ce qui concerne la sécurité du traitement,
– à l’article 24 du RGPD – principe de responsabilité (accountability).

Le responsable ne procède à aucun profilage automatisé ni à aucune prise de décision automatisée au sens de l’article 22 du RGPD.

5.4. Évaluation de conformité et documentation interne
Afin d’assurer la conformité avec le RGPD et le droit estonien, le responsable tient à jour notamment :

• un registre des activités de traitement (art. 30 du RGPD),
• des évaluations de mise en balance des intérêts lorsque le traitement repose sur l’art. 6, par. 1, point f) du RGPD,
• la documentation relative à la sécurité de l’information,
• les procédures de gestion des violations de données personnelles (art. 33–34 du RGPD, § 23 de l’IKS).

6. Sources d’obtention des données personnelles

Les données personnelles traitées par le Responsable proviennent exclusivement de sources légitimes et sont collectées conformément aux dispositions légales, notamment aux articles 13 et 14 du Règlement (UE) 2016/679 et aux dispositions pertinentes de l’Isikuandmete kaitse seadus.

Lorsque les données personnelles ne sont pas obtenues directement auprès de la personne concernée, le Responsable s’acquitte de son obligation d’information dans un délai raisonnable, et au plus tard dans les 30 jours suivant leur obtention, sauf disposition contraire du droit applicable.

6.1. Données obtenues directement auprès des personnes concernées
Les données personnelles sont communiquées volontairement au Responsable par les personnes physiques, notamment par les moyens suivants :

• formulaires de contact mis à disposition sur le site internet,
• correspondance par courrier électronique,
• appels téléphoniques ou entretiens en ligne,
• réponse à des annonces de recrutement publiées par le Responsable,
• communication courante dans le cadre d’une coopération ou de relations professionnelles.

L’étendue des données transmises dépend de la nature du contact et de l’objectif poursuivi par la personne concernée.

6.2. Données obtenues dans le cadre des processus de recrutement
Pour les candidats à l’emploi, les données personnelles sont obtenues exclusivement :

• directement auprès des candidats, en réponse à une annonce de recrutement spécifique publiée par le Responsable,
• dans le cadre d’une communication initiée par le candidat au sujet d’un poste déterminé.

Le Responsable n’accepte ni ne traite les CV ou autres données de candidats envoyées spontanément lorsqu’aucun processus de recrutement actif n’est en cours ou lorsque ces données ne concernent pas une offre précise.
Ces données sont supprimées sans délai et ne sont utilisées à aucune fin de recrutement.

Le Responsable n’utilise aucune source non publique et ne collecte aucune donnée à partir de comptes privés ou de profils fermés sur les réseaux sociaux.

6.3. Données relatives aux clients, cocontractants et partenaires commerciaux
Les données personnelles des clients, cocontractants et de leurs représentants sont obtenues :

• dans le cadre de contacts professionnels directs,
• au cours des négociations, de la conclusion ou de l’exécution de contrats,
• à partir de sources librement accessibles liées à l’activité professionnelle ou économique.

Le traitement de ces données est limité à ce qui est strictement nécessaire pour mener à bien la coopération professionnelle, la communication opérationnelle et le respect des obligations légales.

6.4. Données des représentants des autorités et institutions publiques
Le Responsable traite les données personnelles des représentants des administrations, institutions publiques et autorités de contrôle uniquement dans la mesure nécessaire :

• à la conduite d’une correspondance officielle,
• à l’exécution des obligations légales,
• à la coopération avec les autorités publiques compétentes.

Les données traitées incluent notamment le nom et le prénom, l’adresse e-mail professionnelle, la fonction exercée et toute information transmise dans le cadre de communications officielles.
La base juridique de ce traitement est en particulier l’article 6, paragraphe 1, points c) et f) du RGPD.

6.5. Données techniques et sécurité des formulaires
Lors de l’utilisation du site internet du Responsable et de ses formulaires de contact, certaines données techniques peuvent être traitées automatiquement, telles que :

• adresse IP,
• date et heure de la connexion,
• informations techniques sur le navigateur et le système d’exploitation,
• données nécessaires à la sécurisation des communications.

Afin de protéger les formulaires de contact contre les abus, le spam et les envois automatisés, le Responsable utilise les services d’un fournisseur d’infrastructure de sécurité (Cloudflare, Inc.).
Dans ce cadre, certaines données techniques de l’utilisateur — telles que l’adresse IP et les informations relatives à la connexion — peuvent être traitées.

Ce traitement repose sur :
– l’article 6, paragraphe 1, point f) du RGPD – intérêt légitime du Responsable visant à assurer la sécurité des systèmes et à prévenir les abus,
– des mesures de sécurité appropriées, ainsi que sur les mécanismes juridiques applicables aux transferts de données en dehors de l’Union européenne.

6.6. Données d’enregistrement, comptables et documentaires
Les données personnelles traitées à des fins comptables, fiscales ou d’archivage proviennent :

• directement des clients et des cocontractants,
• des documents contractuels et de facturation,
• de la correspondance officielle liée à l’activité économique.

L’étendue et la durée du traitement de ces données découlent directement des exigences du droit estonien et du droit de l’Union européenne.

7. Destinataires des données personnelles

Les données personnelles traitées par Hansa Careers, exploitée sous la marque Handke Holding OÜ, ne peuvent être communiquées qu’aux destinataires qui :
– sont habilités à les recevoir en vertu d’une disposition légale, ou
– les traitent pour le compte du Responsable dans le cadre d’objectifs professionnels ou juridiques clairement définis.

Toute transmission de données est effectuée conformément aux règles prévues aux articles 28 et 44–49 du Règlement (UE) 2016/679, ainsi qu’aux dispositions pertinentes de l’Isikuandmete kaitse seadus, dans le respect des principes de minimisation, de confidentialité et de limitation des finalités.

7.1. Employeurs potentiels et partenaires de recrutement
Les données des candidats peuvent être transmises à des employeurs potentiels ou à des partenaires de recrutement exclusivement :

• dans le cadre d’un processus de recrutement spécifique,
• après information préalable du candidat,
• dans la mesure strictement nécessaire à l’évaluation des compétences professionnelles,
• sur la base d’un fondement juridique approprié, notamment le consentement du candidat ou les démarches précontractuelles.

Les données ne sont jamais transmises de manière massive ni utilisées en dehors du processus de recrutement clairement défini.

7.2. Prestataires techniques et organisationnels agissant pour le compte du Responsable
Les données personnelles peuvent être confiées à des entités soutenant l’activité du Responsable, notamment :

• fournisseurs d’hébergement et d’infrastructures serveurs,
• opérateurs de messagerie électronique et de formulaires de contact,
• fournisseurs d’outils informatiques et de systèmes de communication,
• prestataires de solutions de visioconférence,
• fournisseurs de solutions de cybersécurité et de protection contre les abus, y compris la sécurisation des formulaires,
• bureaux comptables,
• cabinets d’avocats, conseillers fiscaux et consultants en développement commercial.

Ces prestataires traitent les données exclusivement sur la base d’un contrat de sous-traitance et sont tenus :
– au respect de la confidentialité,
– à la mise en œuvre de mesures de sécurité techniques et organisationnelles adaptées,
– à ne traiter les données que sur instruction documentée du Responsable.

7.3. Candidats et clients
Les données personnelles peuvent être communiquées aux candidats ou aux clients uniquement dans la mesure nécessaire à la réalisation d’un objectif déterminé, notamment :

• fournir au candidat des informations sur les conditions d’emploi, le lieu de travail ou le profil de l’employeur,
• transmettre au client les informations relatives à un candidat dans le cadre d’un processus de recrutement en cours.

L’étendue des données transmises est strictement limitée au minimum requis et dépend du stade du processus de recrutement.

7.4. Autorités et institutions publiques
Les données personnelles peuvent être transmises aux autorités compétentes uniquement dans la mesure prévue par la loi, notamment :

• administrations fiscales,
• services de l’emploi et institutions du marché du travail,
• autorités de contrôle de la protection des données,
• tribunaux, forces de l’ordre et autres organismes de contrôle,
• institutions de l’Union européenne et de l’Espace économique européen.

7.5. Prestataires de services de communication en ligne
Lors de réunions ou d’entretiens à distance, certaines données personnelles — telles que le nom, l’adresse e-mail ou des données techniques de connexion — peuvent être traitées par les fournisseurs d’outils de communication en ligne.
Ce traitement est effectué uniquement pour permettre la communication et l’organisation des réunions, et repose sur l’intérêt légitime du Responsable ou sur des démarches précontractuelles.

7.6. Destinataires des données techniques à des fins de sécurité
Pour assurer la sécurité du site internet, de l’infrastructure informatique et des formulaires de contact, les données techniques des utilisateurs — telles que l’adresse IP ou les informations relatives à la connexion — peuvent être traitées par des fournisseurs de services de cybersécurité.
Lorsque ces données sont transférées en dehors de l’Union européenne, les garanties juridiques appropriées prévues aux articles 44–49 du Règlement (UE) 2016/679 sont appliquées.

7.7. Principes généraux relatifs à la transmission des données
Le Responsable :

• ne vend pas de données personnelles,
• ne communique pas de données à des tiers sans base légale,
• ne transmet pas de données à des fins publicitaires, marketing ou de profilage,
• ne transmet pas de données à des réseaux sociaux ou à des plateformes commerciales à des fins de marketing.

Tout destinataire traite les données dans le respect des principes de sécurité, de confidentialité et de limitation des finalités, exclusivement dans la mesure nécessaire à l’exécution de sa mission.

8. Transferts de données à caractère personnel en dehors de l’Espace économique européen (EEE)

En principe, le Responsable du traitement ne transfère pas de données à caractère personnel en dehors de l’Espace économique européen (EEE) ni à des organisations internationales. Les principales opérations de traitement des données à caractère personnel sont réalisées sur le territoire de l’Union européenne, notamment au moyen d’infrastructures situées au sein de l’UE, y compris sur le territoire de la République d’Estonie.

Le Responsable du traitement utilise des services d’hébergement et de messagerie électronique fournis par Zone Media OÜ, opérant sous la dénomination commerciale zone.ee, dont l’infrastructure de traitement des données est située sur le territoire de l’Union européenne.
Les données à caractère personnel traitées dans le cadre de l’exploitation du site internet ainsi que de la communication par courrier électronique sont, en règle générale, traitées au sein de l’Espace économique européen (EEE) et bénéficient de la protection prévue par le règlement (UE) 2016/679 (RGPD).

Afin d’assurer la sécurité du site internet, des formulaires de contact et la protection contre les abus et les activités automatisées, le Responsable du traitement a également recours aux services fournis par Cloudflare, Inc. Dans ce cadre, des données techniques telles que l’adresse IP, les données de connexion réseau, les informations relatives au navigateur et à l’appareil, ainsi que les données nécessaires à l’évaluation de la sécurité d’une requête peuvent être traitées. En raison du caractère mondial de l’infrastructure de Cloudflare, ces données peuvent être transférées ou rendues accessibles en dehors de l’EEE, notamment vers les États-Unis d’Amérique.

Les transferts de données à caractère personnel effectués dans le cadre de l’utilisation des services Cloudflare sont réalisés conformément au chapitre V du RGPD, notamment sur la base des clauses contractuelles types approuvées par la Commission européenne (article 46 du RGPD) ainsi que, le cas échéant, sur la base des mécanismes prévus par le cadre EU–US Data Privacy Framework.
Le Responsable du traitement met en œuvre des mesures techniques et organisationnelles supplémentaires, telles que le chiffrement des transmissions de données et la limitation de l’étendue des données traitées au strict minimum nécessaire pour assurer la sécurité du service.

Le Responsable du traitement utilise des services de signature électronique de documents fournis par SignRequest B.V. Dans le cadre de l’utilisation de ces services, des données à caractère personnel peuvent être transférées en dehors de l’Espace économique européen (EEE), notamment vers des pays tiers, y compris les États-Unis d’Amérique.
Ces transferts sont effectués conformément au chapitre V du RGPD, sur la base des clauses contractuelles types approuvées par la Commission européenne (article 46 du RGPD), telles que prévues dans l’avenant relatif au traitement des données (Data Processing Addendum) faisant partie intégrante des conditions d’utilisation du service.

Le Responsable du traitement autorise la tenue de réunions en ligne au moyen d’outils de communication vidéo, notamment Whereby. Les données traitées dans le cadre des réunions en ligne sont, en principe, traitées au sein de l’Espace économique européen (EEE).
Toutefois, en raison du caractère mondial de l’infrastructure technique ainsi que de la localisation géographique des participants aux réunions, des transferts de données à caractère personnel en dehors de l’EEE peuvent intervenir dans des cas limités et occasionnels. De tels transferts sont effectués moyennant la mise en œuvre de garanties appropriées exigées par le RGPD, notamment au moyen de clauses contractuelles types ou d’autres mécanismes de transfert licites.

En dehors des cas mentionnés ci-dessus, le Responsable du traitement ne procède à aucun transfert permanent ou planifié de données à caractère personnel vers des pays tiers. Les processus de recrutement, les échanges avec les clients et partenaires commerciaux, la communication par courrier électronique ainsi que les activités opérationnelles courantes sont réalisés à l’aide d’outils et de services qui, en règle générale, traitent les données sur le territoire de l’Union européenne.

Le Responsable du traitement autorise la prise de contact via des outils de communication en ligne externes exclusivement à l’initiative de la personne concernée et uniquement à des fins d’information. Compte tenu de la possible localisation des serveurs de ces outils en dehors de l’EEE, ceux-ci ne sont pas considérés comme des canaux de communication recommandés ou sécurisés pour les questions impliquant des données à caractère personnel.
Le Responsable du traitement recommande que les documents de candidature, les données relevant de catégories particulières ainsi que toute autre information sensible soient transmis exclusivement par l’intermédiaire des canaux de communication officiels.

En cas de transfert de données à caractère personnel en dehors de l’EEE, le Responsable du traitement garantit que ce transfert est effectué exclusivement dans la mesure nécessaire à la réalisation de la finalité déterminée, après une évaluation du risque lié au transfert, et dans le respect des principes de minimisation des données, de confidentialité et de sécurité du traitement, conformément aux articles 32 et 44 à 49 du RGPD.

9. Durée de conservation des données personnelles

Le Responsable conserve les données personnelles uniquement pendant la durée strictement nécessaire à la réalisation des finalités pour lesquelles elles ont été collectées, conformément à l’article 5, paragraphe 1, point e), du Règlement (UE) 2016/679 (RGPD) et au § 17 de la loi estonienne Isikuandmete kaitse seadus.

À l’expiration des délais de conservation applicables, les données sont définitivement supprimées, anonymisées ou archivées de manière à empêcher toute identification, sauf si les dispositions du droit estonien ou du droit de l’Union exigent leur conservation plus longue.

Les durées de conservation sont établies en tenant compte :

• de la finalité du traitement,
• de la base juridique du traitement,
• de la nature de la relation avec la personne concernée,
• des délais de prescription prévus par le droit estonien.

9.1. Données des candidats

a) Les données traitées dans le cadre d’un recrutement en réponse à une offre précise, sur la base de l’article 6, paragraphe 1, point b), du RGPD, sont conservées pendant la période nécessaire pour établir, exercer ou défendre des droits liés aux services fournis par le Responsable.

b) Les données traitées dans le cadre d’un contact initié par le Responsable pour des besoins de recrutement, sur la base de l’article 6, paragraphe 1, point f), du RGPD, sont conservées jusqu’à la clôture du contact pour le dossier concerné.

c) Les données personnelles transmises à des employeurs potentiels dans le cadre d’un recrutement précis, sur la base de l’article 6, paragraphe 1, point a), du RGPD, sont conservées jusqu’au retrait du consentement ou jusqu’à la fin du processus de recrutement — selon l’événement qui survient en premier.

d) Les données traitées pour la facturation et la gestion des services de recrutement fournis aux clients, sur la base de l’article 6, paragraphe 1, point f), du RGPD, sont conservées jusqu’à l’expiration des délais de prescription, en principe pendant 3 ans à compter de la fin de la relation contractuelle, conformément au droit estonien.

e) Les données traitées aux fins d’établissement, d’exercice ou de défense de droits juridiques, sur la base de l’article 6, paragraphe 1, point f), du RGPD, sont conservées jusqu’à l’expiration des délais de prescription, en principe pendant 3 ans après la fin de la relation contractuelle, sauf si la loi prévoit un délai plus long.

f) Les données traitées pour répondre aux demandes liées à l’activité du Responsable, sur la base de l’article 6, paragraphe 1, point f), du RGPD, sont conservées pendant la durée nécessaire au traitement du dossier.

g) Les données conservées pour d’éventuels recrutements futurs, sur la base de l’article 6, paragraphe 1, point a), du RGPD, sont conservées pour une durée maximale de 12 mois à compter du consentement ou jusqu’à son retrait — selon la première occurrence.

h) Les candidatures et CV envoyés en dehors d’une réponse à une offre précise ou à un moment où aucun recrutement n’est en cours ne sont pas traités et sont supprimés sans délai inutile.

9.2. Données des clients

a) Les données traitées pour la préparation et l’exécution d’un contrat, sur la base de l’article 6, paragraphe 1, point b), du RGPD, sont conservées pendant la durée requise par la législation applicable, notamment en matière comptable et fiscale, soit en principe 7 ans conformément au droit estonien, sauf disposition contraire.

b) Les données traitées pour les contacts opérationnels liés à la conclusion, l’exécution et le suivi d’un contrat, sur la base de l’article 6, paragraphe 1, point f), du RGPD, sont conservées pendant toute la durée de la collaboration, sauf nécessité légale ou contractuelle d’un traitement prolongé.

c) Les données traitées pour des obligations comptables, fiscales ou déclaratives, sur la base de l’article 6, paragraphe 1, point c), du RGPD, sont conservées pour la durée prescrite par le droit estonien, en principe 7 ans.

d) Les données traitées aux fins d’établissement, d’exercice ou de défense de droits juridiques liés à un contrat, sur la base de l’article 6, paragraphe 1, point f), du RGPD, sont conservées jusqu’à l’expiration des délais de prescription applicables, en principe 3 ans, sauf disposition contraire.

9.3. Autres catégories de données

a) Les données des clients et partenaires potentiels sont conservées pendant la durée nécessaire à la finalité du contact ou de la collaboration, sans excéder 3 ans après le dernier échange, sauf si leur conservation est nécessaire pour la défense de droits juridiques.

b) Les données relatives aux prestataires, sous-traitants et partenaires sont conservées pendant toute la durée de la relation commerciale, puis conformément aux délais de prescription applicables et aux obligations comptables et fiscales.

c) Les données des personnes contactant le Responsable sont conservées pendant la durée nécessaire à la gestion et à la clôture de leur demande, puis — si nécessaire — jusqu’à l’expiration des délais de prescription, sans excéder 3 ans.

d) Les données des représentants des autorités et institutions publiques sont conservées pendant la durée nécessaire à l’exécution d’un devoir légal ou à la gestion d’un dossier administratif, puis éventuellement archivées conformément aux obligations légales, pour une durée maximale de 10 ans.

9.4. Données techniques et sécurité des formulaires
Les données techniques traitées dans le cadre des mécanismes de sécurité des formulaires (Cloudflare Turnstile), y compris l’adresse IP et les informations techniques, sont traitées automatiquement et pour une durée brève, exclusivement pour évaluer les risques, prévenir les abus et garantir la sécurité des services.

Ces données ne sont pas conservées par le Responsable et ne sont utilisées à aucune fin marketing ni de profilage. Leur conservation dépend des paramètres techniques du prestataire et peut inclure des journaux techniques temporaires conservés uniquement pendant la durée nécessaire pour assurer la sécurité des systèmes ou analyser d’éventuels incidents.

En l’absence d’incidents de sécurité, les données ne sont pas conservées à long terme.

9.5. Dispositions finales
À l’expiration des durées mentionnées ci-dessus, les données personnelles sont supprimées, anonymisées ou archivées de manière à empêcher toute identification, conformément au § 17, paragraphe 4, de la loi Isikuandmete kaitse seadus.

Le Responsable procède régulièrement à un examen des données conservées et de la nécessité de leur traitement, garantissant que les données ne sont pas conservées plus longtemps que ce qui est strictement nécessaire à la réalisation des finalités pour lesquelles elles ont été collectées.

10. Caractère volontaire de la fourniture des données

10.1. La communication de données personnelles est en principe volontaire. Dans certains cas, toutefois, la fourniture de certaines données est indispensable à la réalisation d’actions déterminées, à la prestation de services, à la conduite d’un processus de recrutement ou à la conclusion ou à l’exécution d’un contrat avec le Responsable. L’absence de fourniture des données requises peut empêcher la réalisation de certaines opérations ou l’atteinte de l’objectif visé.

10.2. En particulier :

• la participation à un processus de recrutement nécessite la communication de données de contact ainsi que la transmission de documents de candidature ;
• l’envoi de demandes via un formulaire de contact ou par courrier électronique requiert la fourniture de données permettant d’identifier l’expéditeur ;
• la conclusion, l’exécution ou la facturation de contrats exige la fourniture de données nécessaires à l’accomplissement des obligations contractuelles, fiscales ou comptables ;
• l’utilisation des fonctionnalités du site peut nécessiter le traitement de données techniques de base indispensables à la sécurité et au bon fonctionnement des systèmes.

10.3. Le Responsable informe systématiquement quelles données sont indispensables à la réalisation d’un objectif donné et lesquelles sont facultatives. Le traitement est limité au strict minimum nécessaire, conformément au principe de minimisation prévu à l’article 5, paragraphe 1, point c), du RGPD.

10.4. Lorsque le traitement repose sur le consentement de la personne concernée, celui-ci est entièrement volontaire. Le consentement peut être retiré à tout moment, sans effet sur la licéité du traitement effectué avant son retrait, conformément à l’article 7, paragraphe 3, du RGPD.

10.5. Le Responsable s’efforce de garantir la transparence du traitement des données personnelles et de permettre aux personnes concernées d’exercer un contrôle effectif sur l’étendue, la finalité et la durée du traitement des informations qu’elles fournissent.

11. Lieu de conservation des données et mesures de sécurité

11.1. Les données à caractère personnel traitées par le Responsable du traitement sont conservées exclusivement sous forme électronique, sur des appareils et dans des systèmes relevant de son contrôle exclusif, ainsi que dans les systèmes de prestataires de services externes utilisés par le Responsable du traitement dans le cadre de son activité, notamment des services d’hébergement, de messagerie électronique et des outils de signature électronique de documents.
En règle générale, ces données sont conservées sur le territoire de l’Espace économique européen (EEE) ; lorsque des données à caractère personnel sont traitées en dehors de l’EEE, cela intervient exclusivement conformément au chapitre V du RGPD, notamment sur la base des clauses contractuelles types (article 46 du RGPD).

11.2. Les lieux physiques et virtuels de traitement et de conservation des données à caractère personnel comprennent notamment :

• un ordinateur portable chiffré appartenant au Responsable du traitement, protégé par mot de passe, par un chiffrement complet du disque et par une authentification multifacteur ;
• un support de stockage externe chiffré utilisé pour la réalisation de sauvegardes périodiques, conservé dans un lieu sécurisé et séparé du système principal ;
• l’infrastructure du prestataire de services d’hébergement et de messagerie Zone Media OÜ (zone.ee), dont le siège est situé à Lõõtsa 5, 11415 Tallinn, Estonie, dont les serveurs sont localisés sur le territoire de l’Union européenne et dont les mesures de sécurité répondent aux exigences de l’article 32 du RGPD ainsi qu’aux dispositions pertinentes de la loi estonienne Isikuandmete kaitse seadus ;
• les systèmes de prestataires de services externes utilisés pour la signature et la conservation de documents signés électroniquement, notamment des contrats et des documents liés à l’activité du Responsable du traitement, lesquels fonctionnent en principe au sein de l’EEE ou – lorsque des données à caractère personnel sont traitées en dehors de l’EEE – sur la base de mécanismes conformes à l’article 46 du RGPD, en particulier les clauses contractuelles types ;
• les systèmes d’outils de communication utilisés pour la tenue de réunions en ligne, étant précisé que le Responsable du traitement n’enregistre ni ne conserve d’enregistrements audio ou vidéo des réunions conduites par le biais de ces outils.

11.3. Le Responsable du traitement met en œuvre des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque lié au traitement des données à caractère personnel, conformément à l’article 32 du RGPD et aux dispositions de la loi estonienne Isikuandmete kaitse seadus. Ces mesures comprennent notamment :

• le chiffrement des transmissions de données (SSL/TLS) ;
• le chiffrement des appareils et des supports de stockage de données ;
• la limitation de l’accès aux données à caractère personnel exclusivement au Responsable du traitement ;
• l’utilisation de mots de passe forts et uniques ainsi que d’une authentification multifacteur ;
• la mise à jour régulière des systèmes d’exploitation, des logiciels et des mesures de sécurité ;
• la réalisation et la conservation sécurisée de sauvegardes ;
• l’utilisation de pare-feu et de logiciels de sécurité ;
• le verrouillage automatique des appareils et la protection physique du matériel contre tout accès non autorisé ;
• l’absence d’utilisation d’appareils personnels ou insuffisamment sécurisés pour le traitement des données ;
• la coopération exclusivement avec des prestataires de services garantissant la conformité au RGPD ;
• la tenue d’une documentation relative à la sous-traitance des données et l’enregistrement des incidents ;
• la mise en œuvre de procédures de réaction aux violations de données à caractère personnel conformément aux articles 33–34 du RGPD ;
• la révision régulière des mesures de sécurité appliquées et des droits d’accès, conformément aux principes de « privacy by design » et de « privacy by default » (article 25 du RGPD).

12. Vos droits en lien avec le traitement de vos données personnelles

Les personnes dont les données personnelles sont traitées par le Responsable disposent des droits prévus par le Règlement (UE) 2016/679 du Parlement européen et du Conseil (RGPD) ainsi que par la loi estonienne Isikuandmete kaitse seadus. Le Responsable garantit le respect de l’ensemble des droits des personnes concernées et les met en œuvre conformément aux dispositions légales en vigueur.

Vous disposez en particulier du droit d’obtenir une information claire et transparente sur le traitement de vos données, du droit d’accès, de rectification, de limitation du traitement, d’effacement, de portabilité, du droit d’opposition au traitement ainsi que du droit de retirer votre consentement – dans les conditions et limites prévues par le RGPD.

12.1. Droit d’accès aux données et d’en obtenir une copie
Vous avez le droit d’obtenir la confirmation que le Responsable traite ou non vos données personnelles et, lorsqu’elles le sont, le droit d’y accéder et d’en recevoir une copie, conformément à l’article 15 du RGPD. Si la demande est introduite par voie électronique, les informations sont fournies sous une forme électronique couramment utilisée.

12.2. Droit de rectification des données
Vous avez le droit d’exiger la rectification sans délai des données personnelles inexactes ainsi que la complétion de données incomplètes, conformément à l’article 16 du RGPD. Le Responsable procède à la rectification après avoir vérifié le bien-fondé de la demande.

12.3. Droit à la limitation du traitement

a) vous contestez l’exactitude des données – pendant la durée nécessaire à leur vérification ; b) le traitement est illicite, mais vous vous opposez à l’effacement des données ; c) le Responsable n’a plus besoin des données aux fins du traitement, mais celles-ci vous sont nécessaires pour la constatation, l’exercice ou la défense de droits en justice ; d) vous vous êtes opposé au traitement – pendant la période de vérification portant sur la justification de cette opposition.

12.4. Droit à l’effacement des données
Vous avez le droit de demander l’effacement de vos données personnelles dans les cas prévus à l’article 17 du RGPD, en particulier lorsque les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées, lorsque vous retirez votre consentement ou lorsque le traitement est illicite.
Ce droit ne s’applique pas lorsque la poursuite du traitement est nécessaire pour satisfaire aux obligations légales incombant au Responsable ou pour la constatation, l’exercice ou la défense de droits en justice, conformément à l’article 17, paragraphe 3, du RGPD.

12.5. Droit à la portabilité des données
Vous avez le droit de recevoir les données personnelles que vous avez fournies au Responsable dans un format structuré, couramment utilisé et lisible par machine, et de transmettre ces données à un autre responsable du traitement, lorsque le traitement est fondé sur le consentement ou sur un contrat et est effectué à l’aide de procédés automatisés, conformément à l’article 20 du RGPD.

12.6. Droit d’opposition
Vous avez le droit de vous opposer à tout moment au traitement de vos données personnelles lorsque celui-ci est fondé sur l’intérêt légitime du Responsable (article 6, paragraphe 1, point f), du RGPD).
En cas d’opposition, le Responsable cesse de traiter les données, à moins qu’il ne démontre l’existence de motifs légitimes impérieux justifiant la poursuite du traitement, ou la nécessité de traiter les données pour la constatation, l’exercice ou la défense de droits en justice.
Le droit d’opposition ne s’applique pas lorsque le traitement est nécessaire au respect d’une obligation légale incombant au Responsable.

12.7. Droit de retrait du consentement
Lorsque le traitement est fondé sur votre consentement, vous avez le droit de le retirer à tout moment. Le retrait du consentement n’affecte pas la licéité du traitement effectué avant ce retrait, conformément à l’article 7, paragraphe 3, du RGPD.

12.8. Droit d’introduire une réclamation auprès d’une autorité de contrôle
Si vous estimez que le traitement de vos données personnelles viole les dispositions du RGPD ou de la loi estonienne Isikuandmete kaitse seadus, vous avez le droit d’introduire une réclamation auprès de l’autorité de contrôle compétente, en particulier auprès de :
Andmekaitse Inspektsioon (AKI) – l’autorité estonienne de protection des données.

Si vous résidez ou travaillez dans un autre État membre de l’Union européenne, vous pouvez également déposer une réclamation auprès de l’autorité de contrôle compétente pour cet État, conformément à l’article 77 du RGPD.

12.9. Droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé
Vous avez le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant à votre égard des effets juridiques ou vous affectant de manière significative de façon similaire, conformément à l’article 22 du RGPD.
Le Responsable ne recourt pas à la prise de décision automatisée ni au profilage. Toutes les décisions concernant les candidats, les clients et les partenaires commerciaux sont prises par des personnes dûment habilitées.

12.10. Exercice des droits des personnes concernées et contact avec le Responsable du traitement
Afin d’exercer les droits prévus par la présente Politique de confidentialité, la personne concernée peut contacter le Responsable du traitement notamment par voie électronique :

adresse e-mail : office@hansacareers.ee

Le Responsable du traitement exerce son activité de manière entièrement numérique et recommande la communication électronique comme forme principale et la plus sûre de contact pour toute question relative au traitement des données à caractère personnel. La communication électronique permet un traitement plus rapide des demandes et réduit le risque d’accès non autorisé aux données à caractère personnel.

La correspondance écrite peut être adressée au siège social du Responsable du traitement :
Handke Holding OÜ
Harju maakond, Kesklinna linnaosa
Sakala tn 7-2
10141 Tallinn
Estonie

Par ailleurs, le Responsable du traitement ne recommande pas l’envoi par voie postale de documents contenant des données à caractère personnel, notamment des documents de candidature, des copies de documents d’identité ou des informations sensibles. La transmission de telles données par courrier peut comporter un risque de divulgation non autorisée lors du traitement postal et échappe au contrôle total du Responsable du traitement.

Le Responsable du traitement répond aux demandes relatives à l’exercice des droits des personnes concernées sans retard injustifié et, en tout état de cause, dans un délai maximal d’un mois à compter de la réception de la demande, conformément à l’article 12, paragraphe 3, du RGPD. Dans les cas particulièrement complexes, ce délai peut être prolongé de deux mois supplémentaires, la personne concernée en étant informée.

13. Violations de la protection des données personnelles

En cas de violation de la protection des données personnelles — entendue comme la destruction, la perte, l’altération, la divulgation non autorisée ou l’accès non autorisé à des données personnelles, qu’ils soient accidentels ou illicites — le Responsable prend immédiatement toutes les mesures nécessaires afin d’en limiter les conséquences et d’empêcher qu’un tel incident ne se reproduise.

Le Responsable évalue systématiquement la nature de la violation, son étendue ainsi que le risque potentiel pour les droits et libertés des personnes concernées, puis met en œuvre les mesures techniques et organisationnelles appropriées afin d’éliminer les causes de la violation et d’en réduire les effets. Tous les incidents liés à la sécurité des données sont documentés conformément au principe de responsabilité prévu à l’article 5, paragraphe 2, du Règlement (UE) 2016/679 (RGPD) et au § 25, paragraphe 3, de la loi estonienne Isikuandmete kaitse seadus.

Si la violation de données personnelles est susceptible d’entraîner un risque pour les droits et libertés des personnes physiques, le Responsable en informe l’autorité de contrôle compétente — Andmekaitse Inspektsioon (AKI), Tatari 39, 10134 Tallinn, Estonie — dans un délai maximal de 72 heures après en avoir pris connaissance, conformément à l’article 33 du RGPD et au § 25 de la loi Isikuandmete kaitse seadus, sauf s’il est peu probable que la violation entraîne un tel risque.

Lorsque la violation est susceptible d’engendrer un risque élevé pour les droits ou libertés des personnes physiques, le Responsable informe sans délai excessif les personnes concernées, en leur fournissant des informations sur la nature de la violation, les conséquences possibles et les mesures prises ou envisagées pour en atténuer les effets, conformément à l’article 34 du RGPD.

Le Responsable dispose d’une procédure interne de gestion des violations de données personnelles, comprenant l’identification de l’incident, l’évaluation des risques, les actions correctives et les obligations de notification. L’efficacité de cette procédure fait l’objet d’un contrôle régulier afin de garantir la conformité au RGPD et au droit estonien, ainsi que le maintien d’un niveau élevé de sécurité dans le traitement des données personnelles.

14. Décisions automatisées et profilage

Le Responsable ne met pas en œuvre de processus de prise de décision automatisée, y compris de profilage, susceptibles de produire des effets juridiques à l’égard de la personne concernée ou de l’affecter de manière significative de façon similaire, au sens de l’article 22 du Règlement (UE) 2016/679 (RGPD) et du § 23 de la loi estonienne Isikuandmete kaitse seadus.

Toutes les décisions relatives aux candidats, clients et partenaires commerciaux sont prises avec intervention humaine, sur la base d’une évaluation individuelle des informations, documents ou éléments de correspondance fournis. Aucune décision n’est prise de manière entièrement automatisée.

Le Responsable ne pratique aucun profilage consistant à évaluer automatiquement des caractéristiques personnelles, qualifications, comportements, préférences ou situations professionnelles d’une personne physique à des fins décisionnelles produisant des effets juridiques ou significatifs à son égard.

Dans le cadre des opérations courantes, le Responsable peut utiliser des outils techniques à des fins purement auxiliaires (par exemple : tri automatique des courriels, organisation des messages, classification des formulaires incomplets). Ces outils ne prennent cependant aucune décision autonome et ne se substituent pas à l’évaluation humaine.

15. Autorité de contrôle

Si vous avez des doutes quant à la manière dont vos données personnelles sont traitées, ou si vous estimez que vos droits découlant du Règlement (UE) 2016/679 (RGPD) ont été violés, vous avez le droit d’introduire une réclamation auprès de l’autorité de contrôle compétente, indépendamment de votre lieu de résidence, de travail ou du lieu où l’infraction présumée a été commise, conformément à l’article 77 du RGPD et au § 21 de la loi estonienne Isikuandmete kaitse seadus.

Pour les activités exercées par le Responsable, l’autorité de contrôle compétente en République d’Estonie est :

Andmekaitse Inspektsioon (AKI), Tatari 39, 10134 Tallinn, Estonie — tél. : +372 627 4135 ; e-mail : info@aki.ee ; site internet : https://www.aki.ee.

Si vous résidez ou travaillez dans un autre État membre de l’Union européenne, vous pouvez également introduire une réclamation auprès de l’autorité de contrôle compétente de votre lieu de résidence ou de travail, conformément à l’article 77 du RGPD.

La liste actualisée des autorités de protection des données dans les États membres de l’UE est disponible sur le site du Comité européen de la protection des données (CEPD) : https://edpb.europa.eu.

Toutefois, le Responsable vous invite à prendre contact au préalable directement par voie électronique en cas de questions concernant le traitement de vos données personnelles, à l’adresse : office@hansacareers.ee.

Si nécessaire, vous pouvez également contacter l’Administrateur par écrit, en envoyant votre correspondance à l’adresse de son siège. Nous vous informons aimablement que la communication par courrier postal peut être moins sûre pour les données personnelles ; c’est pourquoi la forme de contact privilégiée reste le contact électronique.

Le Responsable s’engage à examiner toute demande de manière diligente, transparente et conforme au RGPD, sans retard injustifié.

16. Juridiction et droit applicable

La présente Politique de confidentialité est soumise au droit de la République d’Estonie et interprétée conformément aux dispositions du Règlement (UE) 2016/679 (RGPD) ainsi qu’à la loi estonienne Isikuandmete kaitse seadus.

Dans la mesure permise par les dispositions légales applicables, tout litige ou réclamation lié au traitement des données personnelles, à l’utilisation du site internet du Responsable ou aux services fournis relève de la juridiction exclusive des tribunaux estoniens territorialement compétents pour le siège du Responsable.

Les dispositions du présent point ne portent pas atteinte aux droits des personnes physiques résultant des règles d’ordre public du droit de l’Union européenne, notamment en matière de protection des consommateurs et des droits des personnes concernées dans l’État de leur résidence habituelle ou de leur lieu de travail au sein de l’Union européenne ou de l’Espace économique européen.

17. Mises à jour de la Politique de confidentialité

Le Responsable du traitement peut mettre à jour périodiquement la présente Politique de confidentialité afin d’en garantir la conformité avec la législation applicable — en particulier le règlement (UE) 2016/679 (RGPD) ainsi que la loi estonienne Isikuandmete kaitse seadus — et également en raison de changements relatifs à l’activité exercée, aux technologies utilisées ou aux procédures de traitement des données à caractère personnel.

La version applicable est toujours celle publiée sur le site internet du Responsable du traitement, indiquant la date de la dernière mise à jour. Toute nouvelle version remplace les versions antérieures du document dès sa publication.

Le Responsable du traitement recommande de consulter régulièrement la Politique de confidentialité afin d’obtenir des informations à jour concernant les règles de traitement des données à caractère personnel ainsi que les droits dont vous disposez.

En cas de modifications importantes du point de vue des personnes concernées — notamment celles qui affectent les finalités ou les bases juridiques du traitement, ou qui modifient la liste des destinataires des données — le Responsable du traitement en informera de manière claire et transparente. Cette information pourra être communiquée au moyen d’un avis explicite sur le site internet du Responsable du traitement ou, lorsque cela est possible et que le Responsable du traitement dispose d’une adresse e-mail à jour de la personne concernée, par e-mail.

18. Actions marketing et contact avec le Responsable du traitement

Le Responsable du traitement informe que le site internet n’utilise pas de cookies ni d’autres technologies de suivi et ne procède pas à une collecte automatisée de données à caractère personnel à des fins marketing ou analytiques. L’utilisation du site n’implique ni profilage ni traitement automatisé des données des utilisateurs.

Les actions marketing menées par le Responsable du traitement se limitent exclusivement à la promotion de ses propres services de recrutement, notamment par la publication d’informations et d’offres sur les réseaux sociaux ainsi que par la diffusion d’annonces de recrutement sur Internet. Le Responsable du traitement n’utilise pas les données des utilisateurs du site ni leurs comportements afin d’établir des profils marketing.

Dans le cadre du marketing direct, le Responsable du traitement peut contacter des représentants d’entreprises dans le cadre de relations B2B — par exemple en utilisant le prénom, le nom, la fonction ou l’adresse e-mail professionnelle — uniquement afin de présenter l’offre de ses services de recrutement. La base juridique de ce traitement est l’intérêt légitime du Responsable du traitement consistant à exercer une activité économique et à promouvoir ses propres services.

Toute personne à laquelle le Responsable du traitement adresse une communication marketing a le droit de s’opposer à tout moment au traitement de ses données à cette fin. L’opposition peut être formulée en envoyant un message à l’adresse : office@hansacareers.ee. Après réception de l’opposition, les données ne seront plus utilisées à des fins de marketing direct.

Le Responsable du traitement permet également aux utilisateurs de le contacter directement — via le formulaire de contact ainsi que par e-mail. Les données communiquées dans ce cadre, y compris le prénom, le nom, l’adresse e-mail ou le contenu du message, sont utilisées uniquement afin de répondre, de mener la correspondance ou de traiter la demande, sur la base de l’intérêt légitime du Responsable du traitement.

Les données traitées dans le cadre d’actions marketing et de contact ne sont pas transférées en dehors de l’Espace économique européen (EEE), et le traitement est réalisé conformément aux principes de minimisation, de transparence et de limitation des finalités définis à l’article 5, paragraphe 1, du RGPD.

19. Cookies et technologies similaires

Le site internet du Responsable du traitement n’utilise pas de cookies ni d’autres technologies de suivi généralement employées à des fins marketing, publicitaires ou analytiques. Le Responsable du traitement n’établit pas de statistiques concernant le comportement des utilisateurs, n’utilise pas d’outils analytiques et n’enregistre pas d’informations sur la manière dont le site est utilisé. L’utilisation du site n’implique ni profilage ni surveillance des utilisateurs.

La seule technologie externe utilisée sur le site est le service Cloudflare Turnstile, employé exclusivement afin de protéger les formulaires de contact contre le spam, les soumissions automatisées et les abus. Cette solution n’utilise pas de cookies marketing, ne suit pas les utilisateurs et n’est pas utilisée pour analyser leurs comportements.

Dans le cadre du fonctionnement de Cloudflare Turnstile, seules des données techniques de base peuvent être traitées, telles que l’adresse IP ou des signaux du navigateur. Ce traitement est effectué uniquement afin d’assurer la sécurité du site et l’intégrité des formulaires, sur la base de l’intérêt légitime du Responsable du traitement.

Étant donné que le site n’utilise pas de cookies nécessitant le consentement de l’utilisateur, il n’est pas nécessaire d’afficher une bannière cookies ni de recueillir un quelconque consentement pour l’utilisation du site, conformément à la directive ePrivacy ainsi qu’à la loi estonienne Elektroonilise side seadus.

Si, à l’avenir, le Responsable du traitement met en place des cookies ou des technologies similaires qui nécessiteraient le consentement de l’utilisateur — par exemple afin d’améliorer les fonctionnalités ou de réaliser des statistiques anonymes — les utilisateurs en seront informés au préalable de manière claire et conforme à la loi. Dans ce cas, les consentements seront recueillis conformément aux règles ePrivacy, au RGPD ainsi qu’au droit estonien des télécommunications.

Les utilisateurs pourront à tout moment gérer leurs préférences relatives aux cookies via les paramètres de leur navigateur ou via un éventuel panneau de gestion des cookies, si celui-ci est mis en place à l’avenir.

20. Journaux du serveur

L’utilisation du site internet implique l’envoi de requêtes au serveur sur lequel il est hébergé. Chaque requête réseau est automatiquement enregistrée dans les journaux du serveur et peut inclure les données techniques suivantes :

– l’adresse IP de l’appareil de l’utilisateur ; – la date et l’heure de la requête ; – des informations sur le navigateur et le système d’exploitation utilisés ; – l’adresse de la sous-page consultée ; – d’éventuels messages d’erreurs techniques.

Ces données ont un caractère technique et ne sont pas utilisées pour identifier directement les utilisateurs ni pour établir des profils. Elles ne sont pas traitées à des fins marketing ni analytiques.

Les journaux du serveur sont traités notamment afin de : – garantir la sécurité et la stabilité du fonctionnement du site internet ; – diagnostiquer les erreurs techniques du système ou du réseau ; – détecter les abus, les tentatives d’intrusion et les incidents de sécurité.

La base juridique du traitement des données techniques contenues dans les journaux est l’article 6, paragraphe 1, point f), du RGPD — l’intérêt légitime du Responsable du traitement consistant à assurer la sécurité des systèmes informatiques, conformément à l’article 32 du RGPD ainsi qu’au § 24 de la loi Isikuandmete kaitse seadus.

Les journaux du serveur sont conservés pour une durée n’excédant pas 90 jours, sauf si leur conservation plus longue est nécessaire en lien avec un incident de sécurité, un abus ou la nécessité de se défendre contre des réclamations. À l’issue de cette période, les données sont automatiquement supprimées ou anonymisées.