Programme de règles d’entreprise contraignantes relatives à la protection des données

EY a établi un programme de règles d’entreprise contraignantes (« REC ») afin de respecter la réglementation européenne sur la protection des données, en particulier en ce qui concerne les transferts de données à caractère personnel entre les entités du réseau EY. Le programme de REC se compose d’une politique relative aux REC applicables aux responsables du traitement et d’une politique relative aux REC applicables aux sous-traitants.

Aux fins du programme de REC, le terme « EY » désigne l’organisation mondiale de sociétés indépendantes (dans chaque cas, une « société EY ») et autres entités en faisant partie (dans chaque cas, une « entité du réseau EY ») qui sont tenues de respecter les exigences d’Ernst & Young Global Limited (« EYG »). EYG, l’entité responsable de la gouvernance centrale de l’organisation EY, coordonne les entités du réseau EY ainsi que la coopération entre elles.

En quoi consiste la réglementation sur la protection des données?

La réglementation européenne sur la protection des données confère aux gens le droit de contrôler la manière dont leurs données à caractère personnel1 sont utilisées. Lorsqu’EY recueille et utilise les données à caractère personnel de ses associés, employés, clients, fournisseurs et sous‑traitants (qu’ils soient actuels, anciens ou éventuels) ainsi que celles de tout autre tiers, cette activité est visée et encadrée par la réglementation sur la protection des données.

Comment la réglementation sur la protection des données touche EY à l’échelle internationale?

La réglementation sur la protection des données n’autorise pas le transfert de données à caractère personnel vers des pays qui sont situés en dehors de l’Europe2 sans qu’un niveau adéquat de protection des données soit assuré. Les autorités européennes de protection des données considèrent que certains des pays dans lesquels EY exerce ses activités n’offrent pas un niveau adéquat de protection des droits des personnes à la confidentialité des données.

Que fait EY à cet égard?

EY doit prendre les mesures appropriées pour s’assurer que son utilisation, à l’échelle internationale, des données à caractère personnel est sécuritaire et, donc, licite. Le programme de REC vise, par conséquent, à établir un cadre garantissant la conformité aux normes énoncées dans la réglementation européenne sur la protection des données de manière à offrir un niveau adéquat de protection de toutes les données à caractère personnel transférées par des entités du réseau EY situées en Europe à des entités du réseau EY hors Europe.

EY applique le programme de REC à l’échelle mondiale, et dans tous les cas, partout où EY traite des données à caractère personnel de manière manuelle ou à l’aide de procédés automatisés, que les données à caractère personnel concernent les associés, employés, clients, fournisseurs et sous-traitants (qu’ils soient actuels, passés ou éventuels) ou tout autre tiers3.

Le cœur du programme de REC se compose de diverses règles principales qui reposent sur les normes européennes pertinentes en matière de protection des données et qui doivent être interprétées conformément à celles-ci. Ces règles doivent être respectées par chaque associé, employé ou fournisseur lorsqu’il traite des données à caractère personnel.

Toutes les sociétés EY sont tenues de se conformer au programme de REC dès qu’elles deviennent membres d’EYG par la signature d’une convention d’adhésion. En signant la convention d’adhésion, les sociétés EY sont soumises à toutes les normes, méthodes, directives et politiques communes d’EY qui sont énoncées dans les règlements d’EYG. Le programme de REC fait partie des normes communes expressément mentionnées dans les règlements d’EYG. Il incombe aux sociétés EY de s’assurer que les entités qu’elles contrôlent se conforment elles aussi aux dispositions des règlements d’EYG.

Contrôle de vos données à caractère personnel

Si vous souhaitez avoir accès aux données à caractère personnel vous concernant qui sont traitées par EY ou si vous souhaitez obtenir la rectification, l’effacement ou la limitation du traitement de vos données à caractère personnel ou obtenir une copie de vos données à caractère personnel sur un support facilitant la portabilité des données, veuillez communiquer avec nous.

Renseignements additionnels

Pour consulter notre politique relative aux règles d’entreprise contraignantes applicables aux responsables du traitement, veuillez cliquer ici (PDF).

Pour consulter notre politique relative aux règles d’entreprise contraignantes applicables aux sous-traitants, veuillez cliquer ici (PDF).

Par suite du départ du Royaume‑Uni de l’Union européenne, EY a préparé une version britannique de ses REC afin de se conformer à la loi sur la protection des données du Royaume‑Uni. 

Pour consulter notre politique relative aux règles d’entreprise contraignantes applicables aux responsables du traitement au Royaume‑Uni, veuillez cliquer ici (PDF).

Pour consulter notre politique relative aux règles d’entreprise contraignantes applicables aux sous-traitants au Royaume‑Uni, veuillez cliquer ici (PDF).

Pour de plus amples renseignements sur notre programme de REC, veuillez lire notre brochure intitulée « BCR: a global data-sharing solution » (pdf).

Si vous avez des questions concernant les dispositions du programme de REC ou vos droits dans le cadre de ce programme, ou pour toute autre question en matière de protection des données, nous vous invitons à communiquer avec le leader mondial, Protection des données, d’EY, qui examinera la question ou la transmettra à la personne ou au service approprié d’EY. Vous pouvez communiquer avec le leader mondial, Protection des données, d’EY en cliquant sur le lien ci‑dessous :

Felipe Paez
Leader mondial, Protection des données

Notes

1 « Données à caractère personnel » désigne toute information se rapportant à une personne physique identifiée ou identifiable, conformément à la définition énoncée dans le Règlement général sur la protection des données de l’Union européenne (« RGPD »).

2 Aux fins des REC, « Europe » renvoie à l’Espace économique européen et à la Confédération suisse.

3 « Traitement », dans la réglementation européenne sur la protection des données, désigne tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données à caractère personnel. Cette définition s’interprète largement de manière à inclure la collecte, la conservation, l’organisation, la destruction, la modification, la consultation et la communication des données à caractère personnel.