Avis sur la protection des données à caractère personnel – Outils Digital Interview et CodeVue

1. Introduction

Le présent avis sur la protection des données à caractère personnel vise à décrire les pratiques appliquées par EY à l’égard des outils Digital Interview et CodeVue (collectivement l’« outil ») en ce qui a trait à la protection de la vie privée de toutes les personnes dont des données à caractère personnel sont traitées et conservées dans l’outil. Le présent avis doit être lu conjointement avec l’Énoncé sur la protection des données à caractère personnel, et, en cas d’incompatibilité avec ce dernier, les modalités du présent avis auront préséance. Veuillez lire attentivement le présent avis sur la protection des données à caractère personnel.

2. Qui gère l’outil?

« EY » désigne une ou plusieurs des sociétés membres d’Ernst & Young Global Limited (« EYG »), lesquelles sont toutes des entités juridiques distinctes et peuvent déterminer de leur propre chef les finalités et les moyens de traitement des données (c.‑à‑d., agir à titre de responsables du traitement des données ou une fonction analogue). L’entité qui agit à titre de responsable du traitement des données (ou une fonction analogue) en fournissant l’outil dans lequel vos données à caractère personnel seront traitées et conservées est EY Global Services Limited, une entité membre du réseau mondial EY. EY Global Services Limited a obtenu la licence pour l’outil auprès de HireVue, Inc., 10876 South River Front Parkway, bureau 500, South Jordan (Utah), 84095 (États‑Unis).

Les données à caractère personnel que vous fournissez dans l’outil sont partagées par EY Global Services Limited avec une ou plusieurs autres sociétés membres d’EYG (voir la rubrique « Qui peut accéder à vos données à caractère personnel? » ci‑après).Chaque société membre d’EY gère les données collectées à l’aide de l’outil pour les finalités visées.

L’outil est hébergé en externe par Amazon Web Services (AWS) dans la région Est des États‑Unis, les sauvegardes étant effectuées dans d’autres installations d’Amazon aux États‑Unis.

L’outil est fourni par HireVue, Inc., dont l’adresse légale est 10876 South River Front Parkway, bureau 500, South Jordan (Utah), 84095 (États‑Unis). EY demeure le responsable du traitement des données qui collecte et traite vos données à caractère personnel dans l’outil. Vos données seront traitées par HireVue aux fins suivantes : i) évaluation du caractère adéquat de votre candidature pour le poste; et ii) conservation des données conformément aux exigences en matière de conservation des données pour de futures possibilités d’embauche (selon les dispositions du présent avis). HireVue dispose d’un plan officiel de reprise après sinistre et de continuité des activités (certifié ISO 27001). Les données et les systèmes sont configurés de façon redondante. Toutes les entrevues vidéo sont stockées sur Amazon Simple Storage Service (Amazon S3), un service conçu pour offrir un degré de fiabilité de 99,9 %. En outre, des sauvegardes additionnelles sont effectuées quotidiennement et sont conservées dans des systèmes distincts dans la même région. Les sauvegardes sont continues, et au moins deux copies sont conservées sur place au centre d’hébergement Amazon. Une troisième sauvegarde est conservée à un deuxième emplacement dans une installation d’Amazon. Amazon ne fait pas de sauvegarde sur d’autres supports et ne stocke pas de données hors de ses installations d’hébergement. Toute transmission d’une copie de sauvegarde doit être effectuée sous forme chiffrée pendant son transit. Les données au repos sont conservées sous forme chiffrées selon la norme AES‑256. Ces copies de sauvegarde doivent faire l’objet de vérification tous les trimestres. En cas de sinistre, les images de sauvegarde seront restaurées sur les serveurs de l’emplacement secondaire, après quoi le système de noms de domaine (DNS) sera modifié afin de permettre à l’emplacement secondaire d’assurer toutes les fonctions de l’emplacement principal.

3. Pourquoi avons‑nous besoin de vos données à caractère personnel?

L’outil comporte deux types de fonctionnalités : entrevue numérique (Digital Interview) et évaluation de codage (CodeVue).Ces deux types de fonctionnalités servent à faciliter le processus de recrutement à l’aide d’un logiciel d’entrevue vidéo. Celui‑ci permet à EY de procéder au processus d’entrevue et d’évaluation vous concernant en remplaçant de longs formulaires de demande d’emploi ou questionnaires de présélection et de réduire la nécessité de mener le processus habituel d’entrevues en personne, tout en maintenant des interactions directes et une prise de décisions humaine. Digital Interview est utilisé pour mener des entrevues numériques en ligne et CodeVue est utilisé aux fins des évaluations de codage, ce qui permet aux recruteurs de sélectionner objectivement des talents dans le domaine du codage et de la programmation.

Vos données à caractère personnel traitées dans l’outil sont utilisées comme suit :

  • Afin d’évaluer le caractère adéquat de votre candidature
  • Afin de conserver des données conformément aux exigences en matière de conservation et de protection des données pour de futures possibilités d’embauche

EY s’appuie sur votre consentement pour légitimer le traitement de vos données à caractère personnel dans l’outil. De plus, le traitement de vos données à caractère personnel est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement des données ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée, qui exigent une protection des données à caractère personnel. L’intérêt légitime spécifique poursuivi est la gestion des ressources humaines, incluant les évaluations du rendement et le recrutement.

Vous avez le droit de vous opposer à tout moment, pour des raisons tenant à votre situation particulière, au traitement des données à caractère personnel vous concernant fondé sur l’intérêt légitime susmentionné.

Nous traitons vos données à caractère personnel selon votre consentement.

La communication de vos données à caractère personnel à EY est facultative (ce qui inclut, pour éviter tout doute, la communication de votre image et votre image vidéo). Toutefois, si vous ne les communiquez pas en tout ou en partie, nous pourrions ne pas être en mesure de réaliser les finalités pour lesquelles elles sont traitées.

4. Quels types de données à caractère personnel sont traités dans l’outil?

L’outil traite les catégories de données à caractère personnel suivantes :

  • Votre prénom
  • Votre nom
  • Votre courriel
  • Votre numéro de téléphone cellulaire
  • Votre ID de demande (RequestID) individuel
  • D’autres informations qui peuvent être divulguées au cours de l’entrevue, notamment le nom de vos employeurs précédents, le nom des employés, le lieu d’emploi, la durée de l’emploi et le poste occupé
  • Les données de SMS ou de WhatsApp que vous générez

Ces données proviennent d’un système de gestion du recrutement à l’échelle mondiale d’EY (GRMS Taleo) ou sont fournies directement par vous‑même.

5. Données à caractère personnel sensibles

Les données à caractère personnel sensibles d’une personne s’entendent notamment de l’origine raciale ou ethnique, des opinions politiques, des convictions religieuses ou philosophiques, de l’appartenance syndicale, des données génétiques, des données biométriques, des données concernant la santé et des données concernant la vie sexuelle ou l’orientation sexuelle.

Voici les données à caractère personnel sensibles qui sont collectées et traitées dans l’outil :

L’outil utilise des images vidéo qui contiennent des éléments de données à caractère personnel sensibles, comme un enregistrement vidéo de vous, vos nom et prénom, vos antécédents professionnels, vos passe‑temps et vos intérêts. Vous pouvez décider de parler ou d’aborder des sujets portant sur des catégories de données à caractère personnel sensibles; toutefois, l’interviewer ne posera pas de questions sur des sujets portant sur de telles catégories de données.

EY ne recueille pas intentionnellement de données à caractère personnel sensibles vous concernant au moyen de l’outil, et ce n’est pas la visée de l’outil de traiter pareilles données. Les données que vous fournissez dans l’outil sont utilisées par EY pour évaluer si votre candidature correspond à un poste donné. L’outil comprend également une zone de texte libre où vous pouvez rédiger une réponse à une question. Par conséquent, veillez à ne pas inscrire de données à caractère personnel sensibles ou d’informations confidentielles sur la société dans un champ de saisie de texte offert dans l’outil. Bien que cette zone de texte libre n’ait pas été conçue pour y consigner des données à caractère personnel sensibles, vous pouvez inscrire de telles données dans votre réponse.  Veuillez noter qu’aucune des questions ne vous demande directement d’indiquer votre origine raciale ou ethnique, vos opinions politiques, vos convictions religieuses ou philosophiques, ou des données concernant votre santé.

Pour les utilisateurs de l’Australie : L’outil ne demande pas ni ne recueille intentionnellement de données à caractère personnel sensibles vous concernant, et il ne vous sera pas demandé de fournir pareilles données.  Toutefois, lors de l’utilisation de l’outil pour effectuer des entrevues vidéo, remplir des formulaires ou consigner des réponses écrites, vous pouvez choisir de fournir des informations vous concernant qui constituent des données à caractère personnel sensibles.  Si vous fournissez des données à caractère personnel sensibles, que ce soit par vidéo ou par écrit lorsque vous remplissez une zone de texte libre, vous reconnaissez que ces données sont enregistrées et recueillies par l’outil, et vous consentez à cette collecte et conservation.

Pour les utilisateurs du Royaume‑Uni : À l’exception des informations demandées dans le cadre de cette évaluation (par exemple, prénom, nom, courriel, détails sur vos emplois précédents), veuillez ne pas inscrire d’autres informations confidentielles. Veuillez également ne pas inscrire de données à caractère personnel sensibles, notamment des données qui révèlent l’origine raciale ou ethnique, des opinions politiques, des convictions religieuses, une appartenance syndicale, ainsi que des données génétiques, des données biométriques, des données concernant la santé, des données concernant la vie sexuelle ou l’orientation sexuelle et des données relatives à des condamnations pénales.

6. Qui peut accéder à vos données?

Les personnes/équipes suivantes accèdent à vos données à caractère personnel dans l’outil :

Recruteurs, gestionnaires procédant à l’embauche et administrateurs de système. Des autorisations seront accordées à d’autres membres du personnel d’EY en fonction du poste qu’ils occupent. Par exemple, si un poste dans l’équipe de juricomptabilité est annoncé, un membre de cette équipe pourrait être invité à mener l’entrevue, et il aura accès à vos données à caractère personnel.

 

Rôle Country Finalités de l’accès Droits d’accès
Recruteur Emplacements multiples dans le monde Plein accès de l’utilisateur afin d’établir des demandes et d’ajouter des questions (méthode et contenu) Taleo – Accès aux demandes qui relèvent du groupe d’utilisateurs qui est désigné comme recruteur et à tous les candidats indiqués dans ces demandes. Les recruteurs peuvent prendre toutes les mesures à l’égard des candidats, notamment la sélection, l’horaire des entrevues, l’offre d’emploi et l’embauche.
Gestionnaire procédant à l’embauche Emplacements multiples dans le monde Examen des entrevues et des évaluations effectuées relativement à un poste à l’égard duquel les utilisateurs mènent un processus de recrutement (pas tous les postes) et participation à des entrevues vidéo en direct Taleo – Accès aux demandes uniquement lorsque l’utilisateur est désigné comme gestionnaire procédant à l’embauche. Les utilisateurs ont aussi accès aux profils des candidats indiqués dans les demandes, mais accès restreint permettant d’afficher les détails concernant les candidats et de prendre des décisions relativement aux entrevues et à la sélection.
Administrateur du système Emplacements multiples dans le monde Ajout et configuration des utilisateurs et des fonctionnalités de soutien, et configuration des demandes et des questions dans l’outil L’utilisateur détient un accès administrateur complet au système.

Les droits d’accès détaillés ci‑dessus donnent lieu au transfert de données à caractère personnel dans divers pays (y compris des pays ne faisant pas partie de l’Union européenne ou des pays à l’extérieur du pays d’origine) dans lesquels EY exerce des activités.EY traitera vos données à caractère personnel dans l’outil selon les lois et la réglementation professionnelle applicables dans votre pays. Les transferts de données à caractère personnel au sein du réseau d’EY sont régis par les propres règles d’entreprise contraignantes d’EY.

Nous transférons ou communiquons les données à caractère personnel que nous collectons aux prestataires de services tiers (et à leurs filiales et sociétés affiliées) que nous retenons pour soutenir nos processus accessoires internes. Par exemple, nous retenons les services de prestataires pour fournir, gérer et soutenir notre infrastructure informatique (comme la gestion des identités, l’hébergement, l’analyse de données, la sauvegarde, la sécurité et les services de stockage infonuagique) et pour le stockage et la destruction sécuritaire de nos dossiers papier. Nous avons pour politique de ne faire appel qu’à des prestataires de services tiers qui sont tenus de maintenir des niveaux adéquats de protection des données, de sécurité et de confidentialité, et qui se conforment aux exigences légales applicables aux transferts de données à caractère personnel en dehors du pays dans lequel elles ont été initialement collectées.

Dans la mesure où les données à caractère personnel ont été anonymisées de telle manière qu’elles ne permettent plus de vous identifier ou d’identifier votre appareil d’une manière raisonnable, ces données seront traitées comme étant des données à caractère non personnel et les modalités du présent avis ne s’y appliqueront pas.

7. Conservation des données

EY a pour politique de conserver des données à caractère personnel aussi longtemps que nécessaire pour atteindre les finalités décrites à la rubrique « Pourquoi avons‑nous besoin de vos données à caractère personnel? ». Les durées de conservation varient d’un pays à l’autre et sont fixées conformément aux obligations professionnelles et réglementaires locales en la matière.

Afin de satisfaire à ses obligations professionnelles et légales, d’établir, d’exercer ou de défendre les droits que lui confère la loi, et à des fins archivistiques et historiques, EY doit conserver des informations pendant de longues périodes.

Selon les directives ou procédures relatives à la conservation des données à caractère personnel dans l’outil, les données sont conservées conformément à la directive mondiale sur la conservation des dossiers d’EY et aux calendriers de conservation applicables à l’échelle mondiale, régionale ou zonale ou dans les pays où EY mène des activités.

En outre, pour ce qui est de l’outil, les données sont conservées selon les paramètres définis par le client. Les données des clients sont correctement effacées à la fin de la période de conservation. L’épuration des appareils sera conforme à la norme NIST 800‑88. Des journaux sont conservés par l’outil pendant trois ans. Pour ce qui est de Taleo, il existe actuellement une tâche de purge de données automatisée qui supprime tous les fichiers de candidats qui répondent au critère de purge. Selon ce critère le dossier doit être inactif depuis trois ans ou il ne comporte pas de mention EMBAUCHE (HIRE).

Vos données à caractère personnel seront conservées conformément aux dispositions légales et réglementaires en matière de protection des données à caractère personnel. Au terme de la période de conservation prévue, vos données à caractère personnel seront supprimées.

8. Sécurité

EY protège la confidentialité et la sécurité des informations qu’elle obtient dans le cadre de ses activités. L’accès à ces informations est limité, et les politiques et procédures en place visent à éviter une perte, un usage abusif et une divulgation inadéquate desdites informations. Vous trouverez des informations complémentaires concernant notre approche en matière de protection des données et de sécurité de l’information dans notre brochure La protection de vos données.

EY s’engage à veiller à la sécurité de vos données à caractère personnel. Pour empêcher l’accès non autorisé à ces données ou leur divulgation, EY a mis en place des mesures techniques et organisationnelles appropriées permettant d’en assurer la protection. Tous les membres du personnel d’EY et les tiers engagés par EY pour traiter vos données à caractère personnel sont tenus d’en respecter la confidentialité.

9. Vérification de vos données à caractère personnel

EY ne transférera pas vos données à caractère personnel à des tiers (autres que les parties externes indiquées à la rubrique 6 ci‑dessus), à moins que vous nous y autorisiez préalablement ou que la loi nous y oblige.

Vous avez légalement le droit de vous enquérir des données à caractère personnel qu’EY détient à votre sujet.

Pour obtenir la confirmation que des données à caractère personnel vous concernant sont traitées ou non dans l’outil, pour accéder à celles‑ci dans l’outil, ou (s’il y a lieu) pour retirer votre consentement, communiquez avec votre représentant d’EY habituel ou faites‑en la demande par courriel à l'équipe de protection des données.

10. Rectification, effacement, limitation du traitement ou portabilité des données

Vous pouvez confirmer que vos données à caractère personnel sont exactes et à jour. Vous pouvez vous opposer au traitement de vos données à caractère personnel ou obtenir la rectification, l’effacement ou la limitation du traitement de vos données à caractère personnel ou une copie de celles‑ci sur un support facilement transportable en communiquant avec votre représentant d’EY habituel ou en nous en faisant la demande par courriel à l’équipe de protection des données

11. Plaintes

Si vous craignez un manquement aux lois sur la protection de la vie privée ou à toute autre réglementation par EY, vous pouvez communiquer avec le leader mondial, Protection des données d’EY, Bureau du directeur des affaires juridiques, 6 More London Place, Londres, SE1 2DA, Royaume‑Uni, envoyer un courriel à l'équipe de protection des données ou encore communiquer avec votre représentant d’EY habituel. Un leader, Protection des données d’EY étudiera votre plainte et vous renseignera sur la façon dont elle sera traitée et réglée.

Si vous n’êtes pas satisfait de la façon dont EY a réglé votre plainte, vous pouvez vous adresser à l’autorité de protection des données de votre pays. Vous pouvez également vous adresser à un tribunal compétent.

12. Pour nous joindre

Si vous avez d’autres questions ou préoccupations, veuillez communiquer avec votre représentant d’EY habituel ou envoyer un courriel à l’équipe de protection des données.

13. Reconnaissance et consentement

En cochant la case « Oui, j’accepte » ci‑après, vous acceptez et consentez à ce que vos données à caractère personnel soient traitées et utilisées de la façon prévue dans le présent avis sur la protection des données à caractère personnel. Vous avez le droit de retirer votre consentement ou de vous opposer au traitement ultérieur de vos données à caractère personnel à tout moment en communiquant avec votre représentant d’EY habituel ou en envoyant un courriel à l’équipe de protection des données.