Avis sur la protection des données à caractère personnel d’EY – Pymetrics

 

1. Introduction

Le présent avis sur la protection des données à caractère personnel vise à décrire les pratiques suivies par EY à l’égard de l’outil Pymetrics (l’« outil ») en ce qui concerne le respect de la vie privée de toutes les personnes dont les données à caractère personnel sont traitées et conservées dans l’outil. Le présent avis doit être lu conjointement avec l’Énoncé sur la protection des données à caractère personnel publié sur ey.com, et, en cas d’incompatibilité avec ce dernier, les dispositions du présent avis auront préséance.  Veuillez lire attentivement le présent avis sur la protection des données à caractère personnel.

Par souci de clarté, le présent avis sur la protection des données à caractère personnel est conclu uniquement entre vous et EY et ne vise pas à remplacer ou à annuler l’énoncé sur la protection des données à caractère personnel, les modalités ou les conditions distinctes que vous avez conclus avec Pymetrics, Inc. relativement à votre utilisation de l’outil et à votre interaction avec celui‑ci, y compris, sans s’y limiter, l’Énoncé sur la protection des données à caractère personnel qui se trouve à l’adresse https://www.pymetrics.ai/privacy-policy, qui demeure pleinement en vigueur.

2. Qui gère l’outil?

« EY » désigne une ou plusieurs des sociétés membres d’Ernst & Young Global Limited (« EYG »), lesquelles sont toutes des entités juridiques distinctes et peuvent toutes agir à part entière à titre de responsables du traitement des données. L’entité qui agit à titre de responsable du traitement des données en fournissant l’outil dans lequel vos données à caractère personnel seront traitées et conservées est :

  • pour le personnel d’EY, l’entité EY qui vous emploie;
  • pour le personnel de tiers (y compris des clients d’EY), la société locale membre du réseau EY avec laquelle le tiers est en relation.

Vous trouverez une liste des sociétés locales membres du réseau EY et de leurs affiliés dans l’Énoncé sur la protection des données à caractère personnel publié sur ey.com.

Le responsable du traitement des données mentionné ci‑dessus peut partager vos données à caractère personnel contenues dans l’outil avec d’autres sociétés membres d’EYG (voir la rubrique « Qui peut accéder à vos données à caractère personnel? » ci‑après).

L’outil est hébergé sur des serveurs dans un centre de données Amazon Web Services (« AWS ») (région du nord‑est des États‑Unis).

3. De quelle façon l’outil traite‑t‑il les données à caractère personnel?

L’outil évalue les compétences et les aptitudes des candidats au moyen d’une évaluation psychométrique numérique fondée sur la technologie de jeu.

Vos données à caractère personnel traitées dans l’outil sont utilisées comme suit :

Pour ce qui est des utilisateurs EY, les données de jeu sont utilisées pour analyser les principales caractéristiques et les principaux traits partagés par les employés qui exercent le rôle visé avec succès. Ces données sont ensuite utilisées pour créer un modèle de données permettant d’évaluer les candidats.

Les candidats au même poste seront soumis à la même évaluation et évalués par rapport au modèle produit. La compatibilité avec le poste est mesurée selon le centile obtenu par le candidat comparativement au modèle.

Les données à caractère personnel sensibles facultatives relatives aux candidats et aux utilisateurs EY sont utilisées pour s’assurer que les modèles ne sont pas biaisés par le sexe ou l’origine ethnique.

Données des candidats : Le nom, l’adresse courriel, le numéro d’identification de la demande et le numéro d’identification de l’évaluation sont utilisés pour associer les candidats aux jeux qui leur correspondent.

EY invoque le principe suivant pour légitimer le traitement de vos données à caractère personnel dans l’outil : 

  • La personne concernée par les données a consenti au traitement de ses renseignements personnels à des fins précises.
  • Le traitement de vos données à caractère personnel est nécessaire à la réalisation de l’intérêt légitime poursuivi par le responsable du traitement des données ou par un tiers, à condition que ne prévalent pas l’intérêt ou les droits et libertés fondamentaux de la personne concernée, qui appellent une protection des données à caractère personnel. L’intérêt légitime spécifique poursuivi est la gestion des ressources humaines, y compris les évaluations du rendement et le recrutement.

La communication de vos données à caractère personnel à EY est facultative. Toutefois, si vous ne les communiquez pas en tout ou en partie, nous pourrions ne pas être en mesure de réaliser les finalités pour lesquelles elles sont traitées.

4. Quels types de données à caractère personnel sont traités dans l’outil?

L’outil traite les catégories de données à caractère personnel suivantes : 

Personnel d’EY :

  • Responsables du recrutement d’EY
    • Nom complet
    • Adresse courriel
    • Registres d’audit relatifs aux identifiants et aux activités des utilisateurs
  • Utilisateurs EY (membres du groupe de référence)
    • Données d’évaluation
    • Registres d’audit relatifs aux identifiants et aux activités des utilisateurs

Autre :

  • Candidats
    • Nom complet
    • Adresse courriel
    • Données d’évaluation
    • Numéro d’identification de la demande
    • Numéro d’identification de l’évaluation
    • Adresses IP
    • Données de localisation
    • Registres d’audit relatifs aux identifiants et aux activités des utilisateurs

Ces données proviennent d’autres systèmes d’EY (GRMS – Yello et SuccessFactors (SF) Recruitment) ou sont fournies directement par vous‑même.

  • Responsables du recrutement d’EY
    • Nom complet
    • Adresse courriel
    • Fournies par les candidats à des postes vacants d’EY

5. Données à caractère personnel sensibles

Les données à caractère personnel sensibles révèlent votre origine raciale ou ethnique, vos opinions politiques, vos convictions religieuses ou philosophiques, votre appartenance syndicale, vos données génétiques, vos données biométriques, vos données concernant votre santé ou des données concernant votre vie sexuelle ou votre orientation sexuelle.

EY ne recueille pas intentionnellement de données à caractère personnel sensibles vous concernant au moyen de l’outil, et ce n’est pas la visée de l’outil de traiter pareilles informations.

6. Qui peut accéder à vos informations?

Les personnes/équipes suivantes accèdent à vos données à caractère personnel dans l’outil :

EY :

  • Recruteurs d’EY : Les recruteurs d’EY auront accès aux résultats de correspondance des candidats selon l’échelle suivante : « fortement recommandé », « recommandé », « non recommandé », pour leur pays respectif. Les recruteurs d’EY peuvent également avoir accès à un rapport pour chaque candidat dans leur pays respectif afin d’obtenir plus de détails sur leurs caractéristiques particulières.

Autre :

  • Membres du personnel du fournisseur : Les membres du personnel de Pymetrics des équipes de réussite client, du déploiement client, de psychologie industrielle‑organisationnelle (IO science) et de science des données auront accès aux données pour fournir des services de soutien.

Rôle

Pays

Fins pour lesquelles l’accès est requis

Niveau de droits d’accès (c.‑à‑d., lecture seule, modification, suppression)

Responsables du recrutement d’EY

International

Évaluation des candidats et obtention de l’information sur le classement et la notation des candidats ainsi que sur tout suivi éventuel.

Lecture, modification, suppression

Droits d’accès restreints par pays.

Membres du personnel de Pymetrics

États‑Unis, Singapour, Royaume‑Uni, Australie

Maintenance et soutien

Lecture seule

Équipe de soutien informatique d’IBM

Canada, Chine, République tchèque, Hongrie, Inde, Malaisie, Mexique, Océanie, Philippines, Pologne, Royaume‑Uni, États‑Unis, Costa Rica et Australie

Fournir des services de soutien informatique, notamment des services de soutien du système de talents numérique afin de fournir un soutien opérationnel de niveaux 2 et 3 et un soutien au chapitre de la gestion des versions.

L’accès à l’outil sera accordé en fonction des besoins et du rôle. Concernant le soutien de niveaux 2 et 3, l’accès sera fourni à (environ) 40 membres de l’équipe de soutien informatique d’IBM.

Accès en mode lecture, mise à jour et ajout.

Emplacement :

  • EY accédera principalement à l’outil depuis les emplacements où celui‑ci sera déployé.
  • Pymetrics accédera principalement à l’outil depuis son siège social, à New York (États‑Unis). Les équipes de réussite client et du déploiement client peuvent être réparties entre différents bureaux à Singapour, en Angleterre et en Australie.

Objectif :

  • Les équipes de psychologie industrielle‑organisationnelle et de science des données de Pymetrics ont accès en lecture seule aux données des employés et des candidats afin de créer et de valider les modèles pour les clients.
  • Les équipes de réussite client et de déploiement client de Pymetrics ont un accès en lecture seule aux données des candidats afin de valider le flux de données et d’aider les clients.

Les droits d’accès détaillés ci‑dessus donnent lieu au transfert de données à caractère personnel dans diverses juridictions (y compris des juridictions ne faisant pas partie de l’Union européenne) dans lesquelles EY exerce des activités (la liste des bureaux d’EY et de leur emplacement figure à l’adresse https://ey.com/fr_ca/locations). Vous trouverez un aperçu des entités du réseau EY qui fournissent des services aux clients externes, en cliquant ici (site ey.com UK) (voir la section 2 « About EY – View a list of EY member firms and affiliates »). EY traitera vos données à caractère personnel dans l’outil selon les lois et la réglementation professionnelle applicables dans votre juridiction. Les transferts de données à caractère personnel au sein du réseau d’EY sont régis par les propres règles d’entreprise contraignantes d’EY

Nous transférons ou communiquons les données à caractère personnel que nous collectons aux prestataires de services tiers (et à leurs filiales et sociétés affiliées) que nous retenons pour soutenir nos processus accessoires internes. Par exemple, nous retenons les services de prestataires pour fournir, gérer et soutenir notre infrastructure informatique (comme la gestion des identités, l’hébergement, l’analyse de données, la sauvegarde, la sécurité et les services de stockage infonuagique) et pour le stockage et la destruction sécuritaire de nos dossiers papier. Nous avons pour politique de ne faire appel qu’à des prestataires de services tiers qui sont tenus de maintenir des niveaux adéquats de protection des données, de sécurité et de confidentialité, et qui se conforment aux exigences légales applicables aux transferts de données à caractère personnel en dehors du pays dans lequel elles ont été initialement collectées.

Dans la mesure où les données à caractère personnel ont été anonymisées de telle manière qu’elles ne permettent plus de vous identifier ou d’identifier votre appareil d’une manière raisonnable, ces données seront traitées comme étant des données à caractère non personnel et les modalités du présent avis ne s’y appliqueront pas.

Pour les données collectées dans l’Espace économique européen (l’« EEE ») ou qui se rapportent à des personnes physiques se trouvant dans l’EEE, EY exige un mécanisme de transfert approprié dans la mesure requise pour se conformer au droit applicable. Le transfert des données à caractère personnel de l’outil vers IBM est régi par une entente conclue entre EY et IBM qui prévoit des clauses types de protection des données adoptées par la Commission européenne.

8. Sécurité

EY protège la confidentialité et la sécurité des informations qu’elle obtient dans le cadre de ses activités. L’accès à ces informations est limité, et les politiques et procédures en place visent à éviter une perte, un usage abusif et une divulgation inadéquate desdites informations. Vous trouverez des informations complémentaires concernant notre approche en matière de protection des données et de sécurité de l’information dans votre brochure La protection de vos données (PDF) de 2018.

9. Contrôle de vos données à caractère personnel

EY ne transférera pas vos données à caractère personnel à des tiers (autres que les parties externes indiquées à la rubrique 6 ci‑dessus) à moins que vous ne nous y autorisiez ou que la loi ne nous y oblige.

10. Vos droits relativement aux données à caractère personnel

Selon la juridiction concernée, vous pourriez avoir certains droits à l’égard de vos données à caractère personnel, comme :

  • de vous enquérir des données à caractère personnel vous concernant qui sont traitées par EY ou d’accéder à celles‑ci;
  • Obtenir la rectification de vos données à caractère personnel, par exemple, si elles sont incomplètes ou inexactes
  • de limiter le traitement de données à caractère personnel, ou de vous y opposer, ou de demander l’effacement des données;
  • de recevoir une copie des données à caractère personnel que vous avez fournies à EY, dans un format structuré, couramment utilisé et lisible par machine (ce qu’on appelle le droit à la « portabilité des données ») que vous pourriez vouloir réutiliser pour vos propres besoins;
  • de retirer votre consentement dans les cas où vous avez fourni votre consentement au traitement de vos données à caractère personnel.
  • Le droit de déposer une réclamation auprès d’une autorité de protection des données (voir la rubrique « Réclamations »)

Si vous avez des questions sur la manière dont EY traite vos données à caractère personnel ou à propos de vos droits à l’égard de vos données à caractère personnel, veuillez envoyer un courriel à  l’équipe de protection des données.

11. Plaintes

Si vous craignez un manquement aux lois sur la protection de la vie privée ou à toute autre réglementation, vous pouvez communiquer avec le leader mondial, Protection des données, d’EY, Bureau du directeur des affaires juridiques, 6, More London Place, Londres, SE1 2DA, Royaume‑Uni, envoyer un courriel à l’équipe de protection des données ou encore communiquer avec votre représentant EY habituel. Un leader, Protection des données, d’EY étudiera votre plainte et vous renseignera sur la façon dont elle sera traitée et réglée.

Si vous n’êtes pas satisfait de la façon dont EY a réglé votre plainte, vous pourriez avoir le droit de vous adresser à l’autorité de protection des données de votre pays. Vous pourriez également avoir le droit de vous adresser à un tribunal compétent. 

Certaines sociétés membres du réseau EY situées dans des pays hors de l’Union européenne et du Royaume‑Uni ont désigné des représentants établis respectivement sur le territoire de l’Union européenne et au Royaume‑Uni pour agir pour leur compte lorsqu’elles mènent des activités de traitement de données à l’égard desquelles le Règlement général sur la protection des données de l’Union européenne et/ou le règlement général sur la protection des données du Royaume‑Uni (UK GDPR) s’applique. Vous trouverez de plus amples informations et les coordonnées de ces représentants ci‑dessous :   

Représentant désigné à la protection des données pour l’Union européenne

Représentant désigné à la protection des données pour le Royaume‑Uni

12. Pour nous joindre

Si vous avez d’autres questions ou préoccupations, veuillez communiquer avec votre représentant EY habituel ou envoyer un courriel à l’équipe de protection des données.