Programme de Règles d’entreprise contraignantes pour la protection des données
EY a mis en place un programme de Règles d’entreprise contraignantes (REC) pour se conformer à la loi européenne relative à la protection des données, notamment au regard des transferts des données personnelles entre les entités du Réseau EY. Le programme REC comprend une politique de contrôle des REC, ainsi qu’une politique de traitement des REC.
Dans le programme REC, « EY » fait référence à l’organisation globale de sociétés membres indépendantes (« Société membre d’EY ») et à d’autres entités d’EY (« Entité du Réseau EY ») qui sont tenues de se conformer aux exigences d’Ernst & Young Global Limited (« EYG »). EYG est l’entité de gouvernance centrale d’EY et coordonne les Entités du Réseau EY tout en assurant la coopération de ces dernières.
Qu’est-ce que la loi sur la protection des données ?
La loi sur la protection des données en Europe donne aux individus le droit de maîtriser l’utilisation de leurs données personnelles1. Lorsque EY collecte et utilise les données personnelles de ses précédents, actuels ou potentiels partenaires, collaborateurs, clients, fournisseurs, sous-traitants et autres tiers, cette activité est couverte et réglementée par la loi sur la protection des données.
Comment la loi sur la protection des données affecte-t-elle EY à l’international ?
La loi sur la protection des données ne permet pas de transférer les données personnelles vers des pays situés en dehors de l’Europe 2 sans s’assurer que ces données sont protégées de façon adéquate. Les autorités européennes en matière de protection des données considèrent que certains des pays dans lesquels EY opère n’offrent pas une réponse adéquate aux droits des individus en termes de confidentialité des données.
Qu’entreprend EY pour y répondre ?
EY doit prendre des mesures adaptées afin de s’assurer que son utilisation des données personnelles à l’échelle internationale est sécurisée, et donc légale. Par conséquent, l’objectif du programme REC est de développer un cadre visant à satisfaire les normes figurant dans la loi européenne sur la protection des données, afin d’être en mesure de fournir un niveau de protection adapté pour toutes les données personnelles transférées des Entités du Réseau EY domiciliées en Europe vers les Entités du Réseau EY domiciliées en dehors de l’Europe.
EY met en œuvre le programme REC à l’échelle mondiale et pour tous les cas où des données personnelles sont traitées de façon manuelle et automatique. Ces données peuvent concerner les précédents, actuels ou potentiels partenaires, collaborateurs, clients, fournisseurs, sous-traitants ou autres tiers3.
Le programme REC comprend diverses règles principales, basées sur les normes européennes pertinentes en matière de protection des données et interprétées conformément à ces normes. Ces règles doivent être respectées par chaque partenaire, collaborateur ou contractuel lors de la manipulation de données personnelles.
Toutes les Sociétés membres d’EY sont tenues de se conformer au programme REC dès lors qu’elles deviennent un membre d’EYG, par la signature d’un accord d’adhésion. En signant cet accord d’adhésion, les Sociétés membres d’EY acceptent de se conformer à l’ensemble des normes, méthodologies et politiques communes d’EY, qui sont établies dans le Règlement d’EYG. Le programme REC fait partie de l’une des normes communes spécifiquement mentionnées dans le Règlement d’EYG. Les Sociétés membres d’EY sont tenues de s’assurer que leurs entités contrôlées respectent également les dispositions du Règlement d’EYG.
Contrôler vos données personnelles
Si vous souhaitez accéder à vos données personnelles traitées par EY, ou si vous souhaitez demander une modification, une suppression ou une restriction de traitement ou une copie facilement accessible de vos données personnelles, veuillez nous contacter.
Informations complémentaires
Pour consulter l’intégralité de notre Politique de contrôle des Règles d’entreprise contraignantes, veuillez cliquer ici (pdf).
Pour consulter l’intégralité de notre Politique de traitement des Règles d’entreprise contraignantes, veuillez cliquer ici (pdf).
À la suite du départ du Royaume-Uni de l’Union européenne, EY a maintenant produit une version britannique de ses BCR afin de se conformer à la loi britannique sur la protection des données.
Pour consulter l’intégralité de notre Politique de contrôle des Règles d’entreprise contraignantes, veuillez cliquer ici (pdf).
Pour consulter l’intégralité de notre Politique de traitement des Règles d’entreprise contraignantes, veuillez cliquer ici (pdf).
Pour en savoir plus sur notre programme REC, consultez notre brochure « REC : une solution mondiale de partage de données (pdf) ».
Pour toute question relative aux dispositions du programme REC, à vos droits en vertu du programme REC ou à toute problématique en matière de confidentialité des données, veuillez contacter le Global Privacy Leader d’EY, qui traitera directement votre requête ou la transmettra à la personne ou au département approprié au sein d’EY. Le Global Privacy Leader d'EY peut être contacté via le lien suivant :
Felipe Paez
Global Privacy Leader
Notes
1. Les données personnelles font référence à toute information relative à une personne physique identifiée ou identifiable, conformément à la définition indiquée par le Règlement général sur la protection des données (RGPD) européen.
2. Dans le cadre des REC, le terme « Europe » fait référence à l’Espace économique européen (EEE) et à la Suisse.
3. Le traitement conformément à la loi européenne sur la protection des données fait référence à tout ensemble d’opérations réalisées en relation avec les données personnelles, que ces opérations soient automatiques ou manuelles. Cette définition est largement interprétée, et inclut la collecte, le stockage, l’organisation, la destruction, l’amendement, la consultation et la divulgation des données personnelles.