- Traitez-vous des données personnelles ?
- Traitez-vous des données sensibles ?
- Quelle est la durée de conservation des données personnelles ?
- Quel est votre rôle sur le traitement des données personnelles ?
- Est-ce AssessFirst ou le Client qui doit informer les utilisateurs des traitements réalisés ?
- Faites-vous du profilage ?
- Procédez-vous à des décisions individuelles automatisées ?
- Où sont hébergées les données personnelles ?
- Qui sont les destinataires des données personnelles ?
- Avez-vous recours à des sous-traitants ?
- Vendez-vous des données personnelles ?
- Est-il possible de modifier la confidentialité d’un compte ?
- Un Client peut-il recueillir, classer, conserver et supprimer les données des Individus sur l’outil ?
- Quelle est l’étendue du paramétrage possible par le Client sur la plateforme ?
- Avez-vous réalisé une analyse d’impact (PIA) ?
- Avez-vous désigné un délégué à la protection des données (DPO) ?
- Vos collaborateurs sont-ils formés à la protection des données personnelles ?
- Quelles mesures de sécurité techniques et organisationnelles avez-vous mis en place ?
- En cas de violation de données, avez-vous une obligation d’information ?
- Les utilisateurs disposent-ils de droits sur leurs données personnelles ?
- Comment les utilisateurs peuvent-ils exercer leurs droits sur leurs données personnelles ?
Traitez-vous des données personnelles ?
Oui, nous traitons des données à caractère personnel de plusieurs catégories de personnes et notamment :
- des Individus, c’est-à-dire les personnes passant les questionnaires d’AssessFirst dans le cadre de leur développement personnel, d’une candidature à un poste ou dans une démarche de mobilité interne chez nos Clients :
- de nos Clients.
1. Pour les Individus :
Données collectées nécessaires à la fourniture du service :- Identité et coordonnées (genre, prénom, nom, e-mail, ville) ;
- Données professionnelles (diplôme, fonction, secteur d’activité, années d’expérience, certifications, niveau de carrière, compétences, exercice ou non du télétravail) ;
- Données biométriques en cas d’utilisation de l’outil VOICE (voix) ;
- Données d’identification (adresse IP notamment) ;
- Données de connexion (logs, token notamment) ;
- Données d’acceptation (clic).
- Coordonnées (numéro de téléphone) ;
- Données professionnelles (années d’expérience, CV, lettre de motivation) ;
- Photo de profil;
- Liens vers les réseaux sociaux (LinkedIn, Twitter, Facebook, Instagram).
2. Pour les Clients :
Données collectées nécessaires à la fourniture du service :
- Identité et coordonnées (genre, prénom, nom, e-mail, numéro de téléphone, pays) ;
- Données professionnelles (entreprise, diplôme, fonction) ;
- Données d’identification (adresse IP notamment) ;
- Données de connexion (logs, token notamment) ;
- Données d’acceptation (clic).
- Données professionnelles (secteur d’activité, années d’expérience, CV, lettre de motivation, certifications, niveau de carrière, compétences et expériences professionnelles) ;
- Photo de profil ;
- Liens vers les réseaux sociaux (LinkedIn, Twitter, Facebook, Instagram).
Traitez-vous des données sensibles ?
Non, AssessFirst ne traite pas de données sensibles au sens de l’article 9 du RGPD.
Dans le cadre de l’utilisation de VOICE, AssessFirst est amené à collecter la voix des Individus afin de vérifier que toutes les réponses proviennent du même Individu, sans aucune identification biométrique ni authentification. Dans ce cadre, la voix ne constitue pas une donnée sensible au sens du RGPD.
Quelle est la durée de conservation des données personnelles ?
Données des Individus : elles peuvent être supprimées à tout moment par ces derniers. Par défaut, elles sont effacées au bout de 2 ans à compter de la dernière activité de l’Individu sur son compte.
Données de nos Clients : elles sont conservées pendant la durée des relations contractuelles avec AssessFirst, augmentée de 3 ans à des fins d’animation et de prospection. AssessFirst fournissant ses services aux Individus en parallèle de ceux rendus aux Clients, le compte Individu est conservé ou supprimé indépendamment de la durée du contrat conclu avec le Client.
Autres données : les données techniques sont conservées pendant 1 an maximum à la suite de leur collecte. Les cookies sont conservés pendant 13 mois suite à leur collecte s’ils ne sont pas soumis au consentement, ou 6 mois s’ils sont soumis au consentement de la personne concernée.
Quel est votre rôle sur le traitement des données personnelles ?
AssessFirst agit en tant que responsable de traitement distinct de ses Clients pour la fourniture d’un service d’aide à la gestion des talents. Les données collectées lors de la création du compte et de la passation des questionnaires sont utilisées pour fournir ce service, et certaines sont retraitées pour établir les différents rapports sur les Individus.
Dans ce cadre, AssessFirst détermine les modalités du traitement de la collecte, les questions et les fonctionnalités afin d’établir des rapports. AssessFirst détermine ainsi de façon autonome, sans recevoir d’instructions de ses Clients, la mise en œuvre du service en traitant des informations, en les retraitant et en fournissant le service.
Est-ce AssessFirst ou le Client qui doit informer les utilisateurs des traitements réalisés ?
AssessFirst informe les personnes concernées lors de leur inscription aux services sur les traitements relatifs à la fourniture du service.
En parallèle, le Client les informera quant à ses propres traitements relatifs à la gestion de ses ressources humaines (recrutement et mobilité interne notamment).
Faites-vous du profilage ?
Oui, AssessFirst propose des questionnaires psychométriques qui correspondent à du profilage tel que défini par le RGPD.
Procédez-vous à des décisions individuelles automatisées ?
Non. AssessFirst ne procède pas à des décisions individuelles automatisées telles que visées à l’article 22 du RGPD.
AssessFirst propose un outil d’aide à la décision afin de cibler au mieux les talents les plus pertinents en fonction des besoins du Client.
Toutefois, la décision d’embauche ou de promotion interne appartient exclusivement au Client. Les outils proposés sur le site internet d’AssessFirst ne sont que des outils d’aide à destination des Clients et ne sauraient être considérés autrement. Aucun tri ni exclusion automatique d’Individus ne sont réalisés par AssessFirst.
Où sont hébergées les données personnelles ?
Les données personnelles traitées par AssessFirst sont hébergées chez les serveurs Amazon Web Services dans des datacenters situés en France (Paris) certifiés ISO 27001 et Tier III .Les sauvegardes de données sont réalisées à Francfort et en Irlande.
Qui sont les destinataires des données personnelles ?
AssessFirst s’assure que les données personnelles dont elle a la charge ne soient accessibles qu’à des destinataires autorisés :
Concernant les Individus :
- Destinataires internes : personnel habilité du service support, des services juridiques, des services informatiques ainsi que leurs responsables hiérarchiques ;
- Destinataires externes :
- Clients (et clients finaux lorsqu’un Client utilise AssessFirst pour le compte d’un
client final) - Prestataires (hébergement, emailing et éventuel outil de gestion des talents utilisé par les Clients Candidats -ATS-)
- Autres Individus (si le Candidat souhaite inviter des contacts sur AssessFirst)
- Administration judiciaire et auxiliaires de justice le cas échéant
- Clients (et clients finaux lorsqu’un Client utilise AssessFirst pour le compte d’un
Concernant les Clients :
- Destinataires internes : personnel habilité du service marketing, des services chargés de traiter la relation Client, des services administratifs, des services logistiques et informatiques ainsi que leurs responsables hiérarchiques ;
- Destinataires externes : Prestataires, Individus, Administration judiciaire et auxiliaire de justice le cas échéant.
Avez-vous recours à des sous-traitants ?
L’intégralité de nos collaborateurs sont salariés de l’entreprise, garantissant ainsi la qualité et la maîtrise des Services. Toutefois, dans le cadre des traitement des données personnelles réalisés pour la fourniture des services, AssessFirst a recours à des sous-traitants au sens du RGPD :
- Amazon Web Services, pour l’hébergement de données, situé en UE, principalement en France.
- Brevo, pour l’envoi de courriels. Les données sont hébergées en France.
AssessFirst s’assure ainsi que toutes ses relations avec ses partenaires respectent le RGPD, et leur impose la mise en place de mesures de sécurité techniques et organisationnelles rigoureuses, basées sur les standards de la norme ISO 27001. Cela inclut notamment le chiffrement des données, des contrôles d'accès stricts, des audits internes réguliers et une formation continue du personnel.
Vendez-vous des données personnelles ?
Non. Nous ne vendons pas de données personnelles à des tiers. Les seules transmissions concernent nos prestataires externes dans le cadre de la fourniture des services, lesquels sont soumis aux mêmes exigences au regard du RGPD.
Est-il possible de modifier la confidentialité d’un compte ?
Oui. Depuis les paramètres de votre compte, cliquez sur l'onglet '"confidentialité". Dans la rubrique “Choisissez la visibilité de votre profil”, vous pouvez cliquer sur l’option de votre choix. N’oubliez pas d’enregistrer les modifications réalisées afin que votre choix soit pris en compte.
Un Client peut-il recueillir, classer, conserver et supprimer les données des Individus sur l’outil ?
Un Client peut inviter les Individus à lui partager des données les concernant. Il peut également décider de supprimer son accès à ces données, et par conséquent de ne plus pouvoir les traiter. Toutefois, seul l’Individu peut décider de modifier ou de supprimer ses propres données.
Quelle est l’étendue du paramétrage possible par le Client sur la plateforme ?
Le Client peut créer autant de profils de poste qu’il le souhaite, modifier les messages de communication standards lorsqu’il invite des Individus, ou encore intégrer son logo et ses couleurs pour améliorer l’expérience candidat.
Toutefois, le Client ne peut pas modifier les questionnaires proposés, car ils sont standardisés afin de garantir la fiabilité des mesures effectuées.
Avez-vous réalisé une analyse d’impact (PIA) ?
Oui, nous avons réalisé une analyse d’impact que nous pouvons envoyer sur demande.
Avez-vous désigné un délégué à la protection des données (DPO) ?
Yes, AssessFirst has appointed and declared a Data Protection Officer to the CNIL. You can contact him/her at the following e-mail address: privacy@assessfirst.com.
Vos collaborateurs sont-ils formés à la protection des données personnelles ?
Oui, des formations et actions de sensibilisation relatives à la cybersécurité et aux données personnelles sont régulièrement dispensées à l’ensemble de nos collaborateurs.
Quelles mesures de sécurité techniques et organisationnelles avez-vous mis en place ?
AssessFirst a mis en place un certain nombre de mesures organisationnelles et techniques pour protéger les données personnelles dont elle a la charge, et notamment:
- former les collaborateurs à la sécurité informatique et à la protection des données personnelles ;
- gérer les habilitations pour l’accès aux données ;
- prendre des mesures de sauvegarde interne ;
- gérer des processus d’identification ;
- conduire des audits de sécurité et de tests de pénétration ;
- adopter une politique de sécurité des systèmes d’information et un plan de continuité / de reprise d’activité ;
- utiliser un protocole et des solutions de sécurité.
En cas de violation de données, avez-vous une obligation d’information ?
AssessFirst s’engage à notifier à la CNIL dans les 72 heures suite à la constatation d’une violation de données.
Conformément aux conditions imposées par le RGPD, et si ladite violation fait porter un risque élevé sur les Clients et/ou les Individus, AssessFirst en avisera les Clients et Individus concernés et leur communiquera les informations et recommandations nécessaires.
Les utilisateurs disposent-ils de droits sur leurs données personnelles ?
Les utilisateurs d’AssessFirst disposent de plusieurs droits sur leurs données personnelles, conformément aux dispositions du RGPD :
- Droit d’accès : pour savoir si des données vous concernant sont traitées, et en obtenir une copie. Cette demande peut être effectuée directement depuis les paramètres du compte, via l’onglet “Confidentialité”, puis rubrique “Droit à la portabilité”.
- Droit de rectification : pour corriger des données inexactes ou incomplètes. Certaines modifications peuvent être réalisées directement depuis les paramètres du compte, en cliquant sur l’onglet “Compte”. Une fois les modifications enregistrées, les données sont mises à jour automatiquement.
- Droit à l’effacement : pour demander la suppression de vos données. En supprimant votre compte depuis votre espace personnel, l’ensemble des données personnelles qui y sont associées sont supprimées.
- Droit d’opposition : pour vous opposer au traitement de vos données à des fins de prospection. Cette demande peut être effectuée directement depuis les paramètres du compte, via l’onglet “Confidentialité” puis rubrique “Traitement marketing et commercial” ;
- Droit à la portabilité : pour recevoir vos données dans un format structuré, couramment utilisé et lisible par machine. Cette demande peut être effectuée directement depuis les paramètres du compte, via l’onglet “Confidentialité”, rubrique “Droit à la portabilité” ;
- Droit à la limitation du traitement : pour suspendre temporairement le traitement de vos données en cas de contestation.
Comment les utilisateurs peuvent-ils exercer leurs droits sur leurs données personnelles ?
Les personnes concernées peuvent exercer leurs droits :
- directement depuis leur compte AssessFirst pour certains droits (rectification portabilité, suppression, limitation) ;
- en contactant notre DPO :
- par e-mail à l’adresse privacy@assessfirst.com, ou
- par courrier postal à AssessFirst - 10 rue de la Paix , 75002 Paris, France.
La demande doit impérativement émaner de la personne concernée. Si nécessaire, AssessFirst pourra demander une copie d’un justificatif d’identité en cas de doute raisonnable sur l’identité de la personne effectuant la demande.