Avis sur la protection des données à caractère personnel – EY Catalyst, applications de la Smart Factory d’EY

1. Introduction

Le présent avis sur la protection des données à caractère personnel vise à décrire les pratiques suivies par EY à l’égard d’EY Catalyst, applications de la Smart Factory d’EY (l’« outil ») en ce qui concerne le respect de la vie privée de toutes les personnes dont les données à caractère personnel sont traitées et conservées dans l’outil.

2. Qui gère l’outil?

« EY » désigne une ou plusieurs des sociétés membres d’Ernst & Young Global Limited (« EYG »), lesquelles sont toutes des entités juridiques distinctes et peuvent agir à part entière à titre de responsables du traitement des données. L’entité qui agit à titre de responsable du traitement des données en fournissant l’outil dans lequel vos données à caractère personnel seront traitées et conservées est EY Catalyst Ltd.

Les données personnelles que vous fournissez et qui sont consignées dans l’outil sont partagées par EY Catalyst Ltd. avec une ou plusieurs autres sociétés membres du réseau d’EYG (se reporter à la rubrique « Qui peut accéder à vos renseignements? » ci‑après).

L’outil est hébergé sur des serveurs sur le territoire de l’Union européenne.

3. Pourquoi avons‑nous besoin de vos données à caractère personnel?

L’outil est une famille de produits qui intègre les capacités humaines et les technologies intelligentes afin d’accélérer et de poursuivre les améliorations de la performance.

Vos données à caractère personnel traitées dans l’outil sont utilisées comme suit :

Les données des clients et les données personnelles sont utilisées dans le système afin d’exécuter les fonctions suivantes :

• Créer et mettre à jour les données maîtres pour les tâches de nettoyage, d’inspection et de lubrification et de points de repère (créer des tâches, modifier des champs de tâches, approuver des tâches, fixer des dates d’entrée en vigueur et des versions)
• Exécuter les tâches quotidiennes de nettoyage, d’inspection et de lubrification et de points de repère selon leur calendrier dans le cadre du programme d’excellence opérationnelle du client
• Créer et mettre à jour les informations sur les incidents de défectuosité des équipements
• Mettre en œuvre le programme de réunions sur l’excellence opérationnelle du client, dans le cadre duquel chaque chaîne de production tient régulièrement des réunions afin de passer en revue les données recueillies sur la performance et les pannes des machines, les statistiques de production et autres sujets d’intérêts définis par le client
• Passer en revue les analyses de performance et de fiabilité pour les équipements de production du client
• Passer en revue les analyses des activités d’excellence opérationnelle du client
• Assurer le suivi des variations des données du système pour le diagnostic et le soutien
• Faire le suivi du respect du calendrier et en faire le rapport (individuel)
• Faire le suivi des activités d’apprentissage et en faire le rapport (individuel)
• Faire le suivi de la performance de l’équipe / de la chaîne (grâce aux ICP et aux évaluations)
• Faire le suivi des analyses d’utilisation et en faire le rapport (automatisé et manuel)

Les informations confidentielles des clients sont seulement utilisées par le client afin de faciliter les activités quotidiennes et le partage de connaissances.

Les données des membres du personnel d’EY sont utilisées à des fins de connexion. Leurs données font également l’objet d’un suivi, comme pour un utilisateur normal, lorsqu’ils utilisent une application pour venir en aide au client. Ils pourraient, par exemple, créer des évaluations, des plans ou des tâches, ou laisser des commentaires ou des notes dans le système pour les clients.

EY invoque le principe suivant pour légitimer le traitement de vos données à caractère personnel dans l’outil : les intérêts légitimes poursuivis par le responsable du traitement des données ou par un tiers. L’intérêt légitime spécifique poursuivi est la poursuite des mandats du client.

La communication de vos données à caractère personnel à EY est facultative. Toutefois, si vous ne les communiquez pas en tout ou en partie, nous pourrions ne pas être en mesure de réaliser les finalités pour lesquelles elles sont traitées.

4. Quels types de données à caractère personnel sont traités dans l’outil?

L’outil traite les catégories de données à caractère personnel suivantes :

• Nom
• Identifiants uniques (p. ex. un surnom)
• Adresse courriel
• Mot(s) de passe
• Titre du poste/rôle
• Liste des tâches de travail (p. ex. les tâches qui leur sont assignées dans le système)
• Si la personne a exécuté la tâche conformément aux normes ou aux exigences
• Documents associés aux utilisateurs (normes, exemples de tâches effectuées, informations générales partagées dans l’application)
• Commentaires, fils de discussion et informations générés par l’utilisateur
• Archives des activités d’apprentissage, notes obtenues (réussite, échec)
• Informations sur les horaires des quarts / de travail
• Données machines liées à l’utilisateur (lorsque l’utilisateur est l’opérateur)
• Information sur le processus / lot (lorsque l’utilisateur est l’opérateur / le responsable de la qualité, etc.)
• Demandes de soutien faites par l’utilisateur (détails de la demande, historique des réponses)
• Identifiants numériques, comme les adresses IP, le nom de domaine Internet, les témoins, les informations concernant les sites Web consultés, le type de navigateur et les versions
• Toutes les interactions de l’utilisateur dans le système sont enregistrées dans les registres du système / de l’application, y compris (sans s’y limiter) :
• Connexions utilisateurs
• Événements et erreurs d’authentification
• Validations de jetons
• Connexions API
• Demandes de courriel par SMTP
• Intégration des services administratifs
• Événements d’indexation de fichiers
• Erreurs d’application (peuvent être associées à un utilisateur)

Ces données sont recueillies directement auprès des associés, des membres du personnel et des sous‑traitants d’EY, des clients et des flux générés par d’autres systèmes d’EY, notamment Active Directory en lien avec les données des membres du personnel à des fins d’authentification.

5. Données à caractère personnel sensibles

Les données à caractère personnel sensibles d’une personne s’entendent notamment de l’origine raciale ou ethnique, des opinions politiques, des convictions religieuses ou philosophiques, de l’appartenance syndicale, des données génétiques, des données biométriques, des données concernant la santé et des données concernant la vie sexuelle ou l’orientation sexuelle.

EY ne recueille pas intentionnellement de données à caractère personnel sensibles vous concernant au moyen de l’outil, et ce n’est pas la visée de l’outil de traiter pareilles informations.

Qui peut accéder à vos données?

Les personnes/équipes suivantes accèdent à vos données à caractère personnel dans l’outil :

Développeurs externes

• Les utilisateurs mentionnés ont accès à l’application au moyen de la première ligne et de l’arrière‑guichet, au besoin, pour faciliter le dépannage et le développement des applications. Ces utilisateurs comprennent certains membres d’autres sociétés membres d’EY, ainsi que des partenaires du développement Catalyst.
• Les développeurs externes et internes ont accès à toutes les données du système puisqu’ils ont accès à la base de données à des fins de développement, de déploiement, de test et de soutien à la production.

Rôles d’EY

• Administrateurs de système d’EY, Soutien d’EY. Les administrateurs et les spécialistes du soutien d’EY ont accès à toutes les données du système puisqu’ils ont accès à la base de données à des fins de développement, de déploiement, de test et de soutien à la production. 
• L’administrateur de système d’EY est responsable de la maintenance du statut opérationnel du système de l’application.
• Le Soutien d’EY est responsable du dépannage et des diagnostics de l’application, y compris la résolution d’erreurs liées aux données et de problèmes de connexion des utilisateurs.

Rôles des clients : Utilisateurs clients finaux et Administrateurs clients

• Les utilisateurs clients ont plusieurs niveaux d’accès aux fonctionnalités de l’application. Ces niveaux d’accès varient en fonction de l’application et de son niveau de sécurité. Pour chaque application, il y a généralement au moins un niveau d’utilisateur client qui a accès à toutes les informations du système pour ce client.
• Chaque client a sa propre copie de l’application et ne peut visualiser que ses propres données.
• Les parties mentionnées ci‑dessus sont localisées aux endroits suivants et ont les niveaux d’accès suivants :

Administrateurs de système d’EY

• Lieux : Afrique du Sud, États‑Unis, Royaume‑Uni, Costa Rica, Pologne, Inde, Argentine (autres pays, potentiellement) 
• Objectif : Développement d’applications et gestion de l’infrastructure
• Niveau d’accès : lecture, modification et suppression

Soutien à l’application EY Catalyst

• Lieux : Afrique du Sud, États‑Unis, Costa Rica, Pologne, Chine, Inde
• Objectif : Résolution des problèmes de l’utilisateur final et des problèmes techniques du système, attribution des droits d’authentification et d’accès, configuration du client, gestion de l’abonnement, test de l’application et dépannage
• Niveau d’accès : lecture, modification et suppression

Rôles des clients (tous)

• Lieux : Variable (le client peut avoir des emplacements dans plusieurs pays; chaque rôle sera associé à l’un d’eux)
• Objectif :
  • Entrée manuelle de données pour lesquelles il n’y a aucune source d’automatisation
  • Création de normes, création et téléversement de contenu, activités de partage de connaissances (partage d’images, de normes, de conseils, etc.)
  • Élaboration des plans de travail et attribution des responsabilités
  • Participation à des activités de formation
• Niveau d’accès : lecture et modification

Le nombre d’utilisateurs varie en fonction des besoins du client. Les droits d’accès détaillés ci‑dessus donnent lieu au transfert de données à caractère personnel dans diverses juridictions (y compris des juridictions ne faisant pas partie de l’Union européenne) dans lesquelles EY exerce des activités (la liste des bureaux d’EY et de leur emplacement figure à l’adresse https://www.ey.com/fr_ca/locations). EY traitera vos données à caractère personnel dans l’outil selon les lois et la réglementation professionnelle applicables dans votre juridiction. Les transferts de renseignements personnels au sein du réseau d’EY sont régis par les propres règles contraignantes de la Société (www.ey.com/bcr).

7. Conservation des données

Les politiques et/ou procédures pour la conservation des données à caractère personnel dans l’outil sont les suivantes : les données sont conservées jusqu’à ce que a) le client mette fin au service; ou b) la période de conservation des données définie pour le client soit atteinte. Les ensembles de données de reprise après sinistre (c.‑à‑d. les sauvegardes) peuvent brièvement conserver des données qui ont été supprimées de l’application jusqu’à ce qu’ils soient supprimés définitivement.

Vos données à caractère personnel seront conservées conformément aux dispositions légales et réglementaires en matière de protection des données à caractère personnel.

Au terme de la période de conservation prévue, vos données à caractère personnel seront supprimées.

8. Sécurité

EY s’engage à veiller à la sécurité de vos données à caractère personnel. Pour empêcher l’accès non autorisé à ces données ou leur divulgation, EY a mis en place des mesures techniques et organisationnelles appropriées permettant d’en assurer la protection. Tous les membres du personnel d’EY et les tiers engagés par EY pour traiter vos données à caractère personnel sont tenus d’en respecter la confidentialité.

9. Vérification de vos données à caractère personnel

EY ne transférera pas vos données à caractère personnel à des tiers (autres que les parties externes indiquées à la rubrique 6 ci‑dessus) à moins que vous ne nous y autorisiez ou que la loi ne nous y oblige.

Vous avez légalement le droit de vous enquérir des données à caractère personnel qu’EY détient à votre sujet.

Pour obtenir la confirmation que des données à caractère personnel vous concernant sont traitées ou non dans l’outil ou pour y accéder dans l’outil, communiquez avec votre représentant EY habituel ou faites‑en la demande par courriel à global.data.protection@ey.com.

10. Rectification, effacement, limitation du traitement ou portabilité des données

Vous pouvez confirmer que vos données à caractère personnel sont exactes et à jour. Vous pouvez également demander la rectification, l’effacement ou la limitation du traitement de vos données à caractère personnel ou une copie de celles‑ci sur un support facilement transportable en communiquant avec votre représentant EY habituel ou en nous en faisant la demande par courriel à l’adresse global.data.protection@ey.com.

11. Plaintes

Si vous craignez un manquement aux lois sur la protection de la vie privée ou à toute autre réglementation, vous pouvez communiquer avec le leader mondial, Protection des données d’EY, Bureau du directeur des affaires juridiques, 6 More London Place, Londres, SE1 2DA, Royaume‑Uni, envoyer un courriel à l’adresse global.data.protection@ey.com ou encore communiquer avec votre représentant EY habituel. Un leader de la protection des données à caractère personnel d’EY étudiera votre plainte et vous renseignera sur la façon dont elle sera traitée et réglée.

Si vous n’êtes pas satisfait de la façon dont EY a réglé votre plainte, vous pouvez vous adresser à l’autorité de protection des données de votre pays. Vous pouvez également vous adresser à un tribunal compétent.

12. Pour nous joindre

Si vous avez d’autres questions ou préoccupations, veuillez communiquer avec votre représentant EY habituel ou envoyer un courriel à l’équipe de protection des données.