Avis sur la protection des données à caractère personnel – Outil Cappfinity

 

1. Introduction

Le présent avis sur la protection des données à caractère personnel vise à décrire les pratiques suivies par EY à l’égard de l’outil Cappfinity (l’« outil ») en ce qui concerne le respect de la vie privée de toutes les personnes dont les données à caractère personnel sont traitées et stockées dans l’outil. Le présent avis doit être lu conjointement avec l’Énoncé sur la protection des données à caractère personnel publié sur ey.com, et, en cas d’incompatibilité avec ce dernier, les dispositions du présent avis auront préséance. Veuillez lire attentivement le présent avis sur la protection des données à caractère personnel.

2. Qui gère l’outil?

« EY » désigne une ou plusieurs des sociétés membres d’Ernst & Young Global Limited (« EYG »), lesquelles sont toutes des entités juridiques distinctes et peuvent déterminer de leur propre chef les finalités et les moyens de traitement des données (c.‑à‑d., agir à titre de responsables du traitement des données ou une fonction analogue).

L’entité qui agit à titre de responsable du traitement des données (ou à un autre titre analogue) en fournissant l’outil dans lequel vos données à caractère personnel seront traitées et conservées est :

  • pour le personnel d’EY, l’entité EY qui vous emploie;
  • pour le personnel de tiers (y compris des clients d’EY), la société locale membre du réseau EY avec laquelle le tiers est en relation.

Vous trouverez une liste des sociétés locales membres du réseau EY et de leurs affiliés dans l’Énoncé sur la protection des données à caractère personnel publié sur ey.com.

Le responsable du traitement des données mentionné ci‑dessus peut partager vos données à caractère personnel contenues dans l’outil avec d’autres sociétés membres d’EYG (voir la rubrique « Qui peut accéder à vos données à caractère personnel?).

L’outil est hébergé en externe par le fournisseur, ou par le tiers fournisseur de services d’hébergement de celui-ci, dans le centre de données de Rackspace (région du grand Londres, au R.-U.).

3. De quelle façon l’outil traite‑t‑il les données à caractère personnel?

L’outil évalue les compétences et les aptitudes des candidats au moyen d’une évaluation psychométrique numérique fondée sur la technologie de jeu.

Vos données à caractère personnel traitées dans l’outil sont utilisées comme suit :

Les données relatives aux réponses des candidats sont traitées dans l’outil au moyen d’un algorithme. L’analyse en résultant est utilisée comme un identificateur de candidat afin de déterminer la progression tout au long du processus de recrutement. La progression repose entièrement sur les résultats de l’évaluation et non sur les données démographiques.

EY invoque le principe suivant pour légitimer le traitement de vos données à caractère personnel dans l’outil :

  • La personne concernée par les données a consenti au traitement de ses renseignements personnels à des fins précises.
  • Le traitement des données à caractère personnel est nécessaire à la réalisation de l’intérêt légitime poursuivi par le responsable du traitement des données ou par un tiers, à condition que ne prévalent pas l’intérêt ou les droits et libertés fondamentaux de la personne concernée, qui appellent une protection des données à caractère personnel. L’intérêt légitime spécifique poursuivi est la gestion des ressources humaines, y compris les évaluations du rendement et le recrutement.

Vous avez le droit de vous opposer à tout moment, pour des raisons tenant à votre situation particulière, au traitement des données à caractère personnel vous concernant fondé sur l’intérêt légitime susmentionné.

La communication de vos données à caractère personnel à EY est facultative. Toutefois, si vous ne les communiquez pas en tout ou en partie, nous pourrions ne pas être en mesure de réaliser les finalités pour lesquelles elles sont traitées.

4. Quels types de données à caractère personnel sont traités dans l’outil?

L’outil traite les catégories de données à caractère personnel suivantes :

Personnel d’EY :

  • Responsables du recrutement  ’EY
    • Nom complet
    • Adresse courriel
    • Registres d’audit relatifs aux identifiants des utilisateurs

Autre :

  • Candidats
    • Nom complet
    • Adresse courriel
    • Données d’évaluation
    • Registres d’audit relatifs aux identifiants des utilisateurs

Ces données proviennent des sources suivantes :

  • D’autres systèmes d’EY (GRMS Taleo)
    • Responsables du recrutement  ’EY
      • Nom complet
      • Adresse courriel
  • Directement des candidats
    • Candidats
      • Nom complet
      • Adresse courriel
      • Données d’évaluation

5. Données à caractère personnel sensibles

Les données à caractère personnel sensibles d’une personne s’entendent notamment de l’origine raciale ou ethnique, des opinions politiques, des convictions religieuses ou philosophiques, de l’appartenance syndicale, des données génétiques, des données biométriques, des données concernant la santé et des données concernant la vie sexuelle ou l’orientation sexuelle.

Il est possible que les données à caractère personnel sensibles soient traitées par l’outil dans le cadre d’évaluations, mais elles ne sont pas collectées par l’outil dans le processus de recrutement (p. ex.  origine).

Il est possible que certaines données portant sur des mesures d’accommodements raisonnables fassent l’objet d’une collecte ou d’un traitement par l’outil afin d’apporter des accommodements raisonnables lors du processus, au besoin. Il s’agit simplement d’une case à cocher qui indique que des mesures d’accommodements raisonnables sont demandées par un candidat. Cette demande serait considérée comme un accommodement se rapportant à l’état de santé d’un candidat.

L’outil traite également les données à caractère personnel liées à la personnalité. Dans certains pays, ces données pourraient être classées comme des données de santé et, par conséquent, comme des données à caractère personnel sensibles.

6. Qui peut accéder à vos données à caractère personnel?

Les personnes/équipes suivantes accèdent à vos données à caractère personnel dans l’outil :

EY :

  • Responsables du recrutement d’EY : les responsables du recrutement d’EY auront accès aux résultats d’évaluation des candidats pour les candidats dans leur pays respectif. Les responsables du recrutement d’EY peuvent également avoir accès à un rapport pour chaque candidat afin d’obtenir plus de détails sur leurs caractéristiques particulières.
  • L’équipe de leadership locale de recrutement (une sous‑catégorie des responsables du recrutement d’EY) aura les mêmes droits que les responsables du recrutement d’EY et des droits avancés qui leur permettront de modifier les droits d’accès du destinataire.

Autre :

  • Candidats : les candidats seront en mesure d’ouvrir une session pour consulter leurs résultats.
  • Personnel du fournisseur : les ingénieurs en logiciels de Cappfinity auront accès aux données du système à l’échelle mondiale.
  • Tata Consultancy Services (« TCS ») aura accès à l’outil pour investiguer et résoudre les problèmes techniques et les demandes d’aide.
  • IBM aura accès aux données pour fournir des services de soutien informatique.

Rôle

Pays

Fins pour lesquelles l’accès est requis

Niveau de droits d’accès (p. ex. lecture seule, modification et suppression)

Responsables du recrutement  ’EY

Mondial (selon l’endroit où ils sont déployés)

Évaluer les candidats et obtenir l’information sur le classement et la notation des candidats ainsi que sur tout suivi éventuel.

Lecture, modification et suppression

Droits d’accès restreints par pays

Équipe de leadership locale de recrutement d’EY

Multiples à l’échelle mondiale (selon l’endroit où ils sont déployés)

Évaluer les candidats et obtenir l’information sur le classement et la notation des candidats ainsi que sur tout suivi éventuel.

Mettre à jour les profils et les droits d’accès des responsables du recrutement d’EY.

Mettre à jour l’instance locale de l’outil, au besoin.

Lecture, modification, suppression et droits administratifs

Candidats

Multiples à l’échelle mondiale (selon l’endroit où ils sont déployés)

Afficher les résultats de l’évaluation.

Lecture seule

Utilisateurs de l’outil Capp

R.-U.

Maintenance et soutien

Lecture, saisie, modification et suppression. Accès aux données mondiales à partir d’un emplacement au Royaume‑Uni.

Tata Consultancy Services (« TCS »)

Inde et Mexique

Maintenance et soutien

Lecture, saisie, modification et suppression. Accès aux données mondiales à partir d’emplacements en Inde et au Mexique.

Équipe de soutien informatique d’IBM

Canada, Chine, République tchèque, Hongrie, Inde, Malaisie, Mexique, Océanie, Philippines, Pologne, Royaume‑Uni, États‑Unis, Costa Rica et Australie

Fournir des services de soutien informatique, notamment des services de soutien du système de talents numérique afin de fournir un soutien opérationnel de niveaux 2 et 3 et un soutien au chapitre de la gestion des versions.

L’accès à l’outil sera accordé en fonction des besoins et du rôle. Concernant le soutien de niveaux 2 et 3, l’accès sera fourni à (environ) 40 membres de l’équipe de soutien informatique d’IBM.

Accès en mode lecture, mise à jour et ajout.

EY accédera principalement à l’outil depuis les emplacements où celui‑ci sera déployé.

Les responsables du recrutement d’EY ne seront en mesure d’afficher que les données relatives à leur emplacement. Cappfinity a un accès complet à toutes les données dans l’outil.

Les droits d’accès susmentionnés donnent lieu au transfert de données à caractère personnel dans diverses juridictions (y compris des juridictions ne faisant pas partie de l’Union européenne) dans lesquelles EY exerce des activités (la liste des bureaux d’EY et de leur emplacement figure à l’adresse https://www.ey.com/fr_ca/locations). Vous trouverez un aperçu des entités du réseau EY qui fournissent des services aux clients externes en cliquant ici (site ey.com UK) (voir la section 2 « About EY – View a list of EY member firms and affiliates »). EY traitera vos données à caractère personnel dans l’outil selon les lois et la réglementation professionnelle applicables dans votre juridiction. Les transferts de données à caractère personnel au sein du réseau d’EY sont régis par les propres règles d’entreprise contraignantes d’EY.

Nous transférons ou communiquons les données à caractère personnel que nous collectons aux prestataires de services tiers (et à leurs filiales et sociétés affiliées) que nous retenons pour soutenir nos processus accessoires internes. Par exemple, nous retenons les services de prestataires pour fournir, gérer et soutenir notre infrastructure informatique (comme la gestion des identités, l’hébergement, l’analyse de données, la sauvegarde, la sécurité et les services de stockage infonuagique) et pour le stockage et la destruction sécuritaire de nos dossiers papier. Nous avons pour politique de ne faire appel qu’à des prestataires de services tiers qui sont tenus de maintenir des niveaux adéquats de protection des données, de sécurité et de confidentialité, et qui se conforment aux exigences légales applicables aux transferts de données à caractère personnel en dehors du pays dans lequel elles ont été initialement collectées.

Dans la mesure où les données à caractère personnel ont été anonymisées de telle manière qu’elles ne permettent plus de vous identifier ou d’identifier votre appareil d’une manière raisonnable, ces données seront traitées comme étant des données à caractère non personnel et les modalités du présent avis ne s’y appliqueront pas.

Pour les données collectées dans l’Espace économique européen (l’« EEE ») ou qui se rapportent à des personnes physiques se trouvant dans l’EEE, EY exige un mécanisme de transfert approprié dans la mesure requise pour se conformer au droit applicable. Le transfert des données à caractère personnel à Tata Consultancy Services (« TCS ») et à IBM est régi par des contrats qui prévoient des clauses types de protection des données adoptées par la Commission européenne.

7. Conservation des données

EY a pour politique de conserver des données à caractère personnel aussi longtemps que nécessaire pour atteindre les finalités décrites à la rubrique « De quelle façon l’outil traite-t-il les données à caractère personnel? ». Les durées de conservation varient d’un pays à l’autre et sont fixées conformément aux obligations professionnelles et réglementaires locales en la matière.

Les politiques et/ou procédures pour la conservation des données à caractère personnel dans l’outil sont les suivantes :

La conservation des données est conforme à la directive mondiale sur la conservation des dossiers d’EY et aux calendriers de conservation applicables à l’échelle mondiale, zonale, régionale ou nationale.

EY définira la conservation des données conformément aux lois locales. La Société appliquera la politique de conservation de Taleo à cet outil.

Politique de conservation de Taleo : il existe actuellement une tâche de purge de données automatisée dans Taleo qui supprime tous les fichiers de candidats qui répondent au critère de purge. Selon ce critère, le dossier doit être inactif depuis trois ans ou ne pas comporter de mention Embauche (Hire).

Vos données à caractère personnel seront conservées conformément aux dispositions légales et réglementaires en matière de protection des données à caractère personnel.

Après la fin de la période de conservation des données, les données à caractère personnel seront supprimées.

8. Sécurité

EY protège la confidentialité et la sécurité des informations qu’elle obtient dans le cadre de ses activités. L’accès à ces informations est limité, et les politiques et procédures en place visent à éviter une perte, un usage abusif et une divulgation inadéquate desdites informations. Vous trouverez des informations complémentaires concernant notre approche en matière de protection des données et de sécurité de l’information dans notre brochure La protection de vos données (PDF) de 2018.

9. Contrôle de vos données à caractère personnel

EY ne transférera pas vos données à caractère personnel à des tiers (autres que les parties externes indiquées à la rubrique 6 ci‑dessus) à moins que vous ne nous y autorisiez ou que la loi ne nous y oblige.

10. Vos droits relativement aux données à caractère personnel

Selon la juridiction concernée, vous pourriez avoir certains droits à l’égard de vos données à caractère personnel, comme :

  • de vous enquérir des données à caractère personnel vous concernant qui sont traitées par EY ou d’accéder à celles‑ci;
  • Obtenir la rectification de vos données à caractère personnel, par exemple, si elles sont incomplètes ou inexactes
  • de limiter le traitement de données à caractère personnel, ou de vous y opposer, ou de demander l’effacement des données;
  • de recevoir une copie des données à caractère personnel que vous avez fournies à EY, dans un format structuré, couramment utilisé et lisible par machine (ce qu’on appelle le droit à la « portabilité des données ») que vous pourriez vouloir réutiliser pour vos propres besoins;
  • de retirer votre consentement dans les cas où vous avez fourni votre consentement au traitement de vos données à caractère personnel.
  • Le droit de déposer une réclamation auprès d’une autorité de protection des données (voir la rubrique « Réclamations »)

Si vous avez des questions sur la manière dont EY gère vos données à caractère personnel ou à propos de vos droits à l’égard de vos données à caractère personnel, veuillez envoyer un courriel à l’équipe de protection des données de votre bureau.

11. Plaintes

Si vous craignez un manquement aux lois sur la protection de la vie privée ou à toute autre réglementation, vous pouvez communiquer avec le leader mondial, Protection des données, d’EY, Bureau du directeur des affaires juridiques, 6, More London Place, Londres, SE1 2DA, Royaume-Uni, envoyer un courriel à l’équipe de protection des données ou encore communiquer avec votre représentant EY habituel. Un leader, Protection des données, d’EY étudiera votre plainte et vous renseignera sur la façon dont elle sera traitée et réglée.

Si vous n’êtes pas satisfait de la façon dont EY a réglé votre plainte, vous pourriez avoir le droit de vous adresser à l’autorité de protection des données de votre pays. Vous pourriez également avoir le droit de vous adresser à un tribunal compétent. 

Certaines sociétés membres du réseau EY situées dans des pays hors de l’Union européenne et du Royaume‑Uni ont désigné des représentants établis respectivement sur le territoire de l’Union européenne et au Royaume‑Uni pour agir pour leur compte lorsqu’elles entreprennent des activités de traitement de données à l’égard desquelles le Règlement général sur la protection des données de l’Union européenne et/ou le règlement sur la protection des données du Royaume‑Uni (UK GDPR) s’appliquent. Vous trouverez de plus amples informations et les coordonnées de ces représentants ci‑dessous :

Représentant désigné à la protection des données pour l’Union européenne

Représentant désigné à la protection des données pour le Royaume‑Uni

12. Pour nous joindre

Si vous avez d’autres questions ou préoccupations, veuillez communiquer avec votre représentant EY habituel ou envoyer un courriel à l’équipe de protection des données.

EY désigne l’organisation mondiale des sociétés membres d’Ernst & Young Global Limited, et peut désigner une ou plusieurs de ces sociétés membres, lesquelles sont toutes des entités juridiques distinctes. Ernst & Young Global Limited, société à responsabilité limitée par garanties du Royaume‑Uni, ne fournit aucun service aux clients.