1. Accueil
  2. Legal
  3. Questions générales sur l’application du RGPD à AssessFirst

FAQ legal relative aux Clients

  1. Avez-vous un délégué à la protection des données (DPO) ?
  2. Traitez-vous des données personnelles et si oui, de quelles personnes ?
  3. Quelles données personnelles traitez-vous ?
  4. Où sont hébergées les données personnelles traitées par AssessFirst ?
  5. Quelle est la durée de conservation pour les données personnelles collectées ?
  6. Traitez-vous des données sensibles ?
  7. Faites-vous du profilage ?
  8. Avez-vous réalisé une analyse d’impact sur la protection des données à caractère personnel (PIA) ?
  9. Est-ce AssessFirst ou le Client qui doit informer les utilisateurs des traitements réalisés ?
  10. Quel est votre rôle sur le traitement des données personnelles ?
  11. Les collaborateurs d’AssessFirst sont-ils formés à la protection des données personnelles ?
  12. Un Client utilisant l’outil peut-il recueillir, classer, conserver et supprimer les données des Candidats sur l’outil ?
  13. Qui sont les destinataires des données personnelles ?
  14. Vendez-vous des données personnelles  ?
  15. Quelle est l’étendue du paramétrage possible par le Client au sein de la solution AssessFirst ?
  16. Quelles mesures de sécurité techniques et organisationnelles sont mises en place à AssessFirst ?
  17.  Avez-vous recours à des sous-traitants dans le cadre de la fourniture des
    Services ?
  18. En cas de violation de données, AssessFirst a-t-elle une obligation d’informer les personnes concernées ?

Avez-vous un délégué à la protection des données (DPO) ?

Oui.

AssessFirst a désigné et déclaré auprès de la CNIL un délégué à la protection des données. Vous pouvez contacter le DPO à l’adresse e-mail suivante : privacy@assessfirst.com.

 

Traitez-vous des données personnelles et si oui, de quelles personnes?

Oui, nous traitons des données à caractère personnel.

Nous traitons des données personnelles de plusieurs catégories de personnes et notamment :

  1. les Candidats (c’est-à-dire les personnes passant les questionnaires d’AssessFirst dans le cadre de leur développement personnel, d’une candidature à un poste ou d’employés de nos Clients dans une démarche de mobilité interne).
  2. nos Clients

 

Quelles données personnelles traitez-vous ?

Voici les données personnelles que nous traitons lorsque les personnes concernées passent les questionnaires AssessFirst.

Pour les Candidats :

1. Données collectées nécessaires à la fourniture du service :
  • Identité et coordonnées (genre, prénom, nom, e-mail,ville) ;
  • Données professionnelles (diplôme, fonction, secteur d’activité, années d’expérience,
    certifications, niveau de carrière, compétences, exercice ou non du télétravail) ;
  • Données d’identification (adresse IP notamment) ;
  • Données de connexion (logs, token notamment) ;
  • Données d’acceptation (clic) ;
2. Données collectées non obligatoires :
  • Coordonnées (numéro de téléphone) ;
  • Données professionnelles (années d’expérience, CV, lettre de motivation) ;
  • Photo de profil;
  • Liens vers les réseaux sociaux (LinkedIn, Twitter, Facebook, Instagram).

 

Pour les Clients :

1. Données collectées nécessaires à la fourniture du service :
  • Identité et coordonnées (genre, prénom, nom, e-mail, numéro de téléphone, pays) ;
  • Données professionnelles (entreprise, diplôme, fonction) ;
  • Données d’identification (adresse IP notamment) ;
  • Données de connexion (logs, token notamment) ;
  • Données d’acceptation (clic)
2. Données collectées non obligatoires :
  • Données professionnelles (secteur d’activité, années d’expérience, CV, lettre de motivation, certifications, niveau de carrière, compétences et expériences professionnelles) ;
  • Photo de profil ;
  • Liens vers les réseaux sociaux (LinkedIn, Twitter, Facebook, Instagram)

 

Où sont hébergées les données personnelles traitées par AssessFirst ?

Les données personnelles traitées par AssessFirst sont hébergées par Amazon Web
Services en France dans un datacenter répondant aux normes Tier III et ISO 27001,
et en Irlande.

 

Quelle est la durée de conservation pour les données personnelles collectées ?

1- Pour les Candidats :

Les données personnelles des Candidats peuvent être supprimées à tout moment par eux-mêmes. Par défaut, elles sont supprimées 2 ans à compter de la dernière activité du Candidat sur son compte.

 

2- Pour nos Clients:

Pendant la durée des relations contractuelles avec AssessFirst, augmentée de 3 ans à des fins d’animation et de prospection.

AssessFirst fournissant, en parallèle du service aux Clients, le service aux Candidats, le compte Candidat est conservé jusqu’à ce que le Candidat le supprime ou pendant 2 ans suite à sa dernière activité, indépendamment de la durée du contrat conclu avec le Client.

 

3- Autres données

Les données techniques sont conservées pendant 1 an maximum à la suite de leur collecte.

 

Traitez-vous des données sensibles ?

Non, AssessFirst ne traite pas de données sensibles au sens de l’article 9 du RGPD, à savoir des données révélant l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, les données génétiques ou biométriques, les données concernant la santé, la vie sexuelle ou l’orientation sexuelle.

 

Faites-vous du profilage?

AssessFirst propose des questionnaires psychométriques qui correspondent à du profilage tel que défini par le RGPD.

 

Avez-vous réalisé une analyse d’impact sur la protection des données à caractère personnel (PIA) ?

Oui, nous avons réalisé une analyse d’impact que nous pouvons envoyer sur demande.

 

Est-ce AssessFirst ou le Client qui doit informer les utilisateurs des traitements réalisés ?

AssessFirst informe les personnes concernées lors de leurs inscriptions au service sur les traitements relatifs à la fourniture du service.

Le Client informera les personnes concernées sur leurs traitements relatifs à la gestion de leurs ressources humaines (recrutement et mobilité interne notamment).

 

Quel est votre rôle sur le traitement des données personnelles ?

AssessFirst agit en tant que responsable de traitement distinct de ses Clients pour la fourniture d’un service d’aide à la gestion des talents. Les données collectées lors de la création du compte et de la réalisation des questionnaires  sont utilisées pour fournir ce service et certaines sont retraitées pour établir les différents rapports sur les Candidats. Dans ce cadre, AssessFirst détermine les modalités du traitement de la collecte, les questions et les fonctionnalités afin d’établir des rapports. AssessFirst détermine ainsi de façon autonome, sans recevoir d’instructions de ses Clients, la mise en œuvre du service en traitant des informations, en les retraitant et en fournissant le service.

 

Les collaborateurs d’AssessFirst sont-ils formés à la protection des données personnelles ?

Oui.

Les collaborateurs sont sensibilisés au sujet de la protection des données personnelles.

 

Un Client utilisant l’outil peut-il recueillir, classer, conserver et supprimer les données des Candidats sur l’outil ?

Un Client peut inviter les Candidats à lui partager des données les concernant. Il peut décider de supprimer son accès à ces données, et par conséquent de ne plus pouvoir les traiter. Seul le Candidat peut décider de modifier ou de supprimer ses données.

 

Qui sont les destinataires des données personnelles ?

AssessFirst s’assure que les données personnelles dont elle a la charge ne soient accessibles qu’à des destinataires internes ou externes autorisés.

 

1.   Concernant les Candidats

Destinataires internes

Destinataires externes

Le personnel habilité du service support, des services juridiques, des services informatiques ainsi que leurs responsables hiérarchiques

Clients (et clients finaux lorsqu’un Client utilise AssessFirst pour le compte d’un
client final)

Prestataires (hébergement, outil de gestion des Candidats -ATS-)

Autres Candidats (si le Candidat souhaite inviter des contacts sur AssessFirst)

Administration judiciaire, auxiliaires de justice le cas échéant



2.   Concernant les Clients

Destinataires internes

Destinataires externes

Le personnel habilité du service marketing, des services chargés de traiter la relation Client, des services administratifs, des services logistiques et informatiques ainsi que leurs responsables hiérarchiques

Prestataires

Candidats (destinataires des emails du Client)

Administration judiciaire, auxiliaire de justice le cas échéant 

 

Vendez-vous des données personnelles  ?

Non. 

Nous ne vendons pas de données personnelles à des tiers. La mise à disposition des données personnelles aux tiers concerne uniquement nos prestataires externes dans le cadre de la fourniture des services, eux-mêmes soumis aux mêmes exigences au regard du RGPD.

 

Quelle est l’étendue du paramétrage possible par le Client au sein de la solution AssessFirst ?

Les données collectées sur AssessFirst concernent le potentiel professionnel des individus, ce qui les singularise : traits de personnalité, facteurs de motivation, façon de raisonner. Ces informations permettent d’aller au-delà du CV et de comprendre les capacités d’une personne à réussir et s’épanouir dans un environnement professionnel donné.

  • Le Client peut créer autant de profils de poste qu’il le souhaite ;
  • Le Client peut modifier les messages de communication standards lorsqu’il invite des Candidats ;
  • Le Client peut intégrer son logo et ses couleurs pour améliorer l’expérience Candidat ;
  • Le Client ne peut pas modifier les questionnaires proposés, et ce pour garantir la fiabilité des mesures effectuées sur AssessFirst (questionnaires standardisés, respectant les exigences requises en termes de questionnaires psychométriques).

 

Quelles mesures de sécurité techniques et organisationnelles sont mises en place à AssessFirst ?

AssessFirst a mis en place un certain nombre de mesures organisationnelles et techniques pour protéger les données personnelles dont elle a la charge, et notamment: 

  • former les collaborateurs à la sécurité informatique et à la protection des données personnelles ;
  • gérer les habilitations pour l’accès aux données ;
  • prendre des mesures de sauvegarde interne ;
  • gérer des processus d’identification ;
  • conduire des audits de sécurité et de tests de pénétration ;
  • adopter d’une politique de sécurité des systèmes d’information ;
  • adopter un plan de continuité / de reprise d’activité ;
  • utiliser un protocole et des solutions de sécurité.

 Avez-vous recours à des sous-traitants dans le cadre de la fourniture des
Services ?

 

L’intégralité de nos collaborateurs sont salariés de l’entreprise, garantissant ainsi la
qualité et la maîtrise des Services.
Toutefois, dans le cadre du traitement des données personnelles, AssessFirst a recours à des
sous-traitants au sens du RGPD :
- Amazon Web Services, pour l’hébergement de données, situé en France et en Irlande.
- Brevo, pour l’envoi de courriels. Les données sont hébergées en France.
AssessFirst s’assure ainsi que toutes ses relations avec ses partenaires respectent le RGPD,
et leur impose la mise en place de mesures de sécurité techniques et organisationnelles
rigoureuses, basées sur les standards de la norme ISO 27001. Cela inclut notamment le
chiffrement des données, des contrôles d'accès stricts, des audits internes réguliers et une
formation continue du personnel.

 

En cas de violation de données, AssessFirst a-t-elle une obligation d’informer les personnes concernées ?

AssessFirst s’engage à notifier à la CNIL dans les 72 heures suite à la constatation d’une violation de données.

Si ladite violation fait porter un risque élevé sur les Clients et Candidats et que les données n’ont pas été protégées, AssessFirst :

  • en avisera les Clients et Candidats concernés ;
  • communiquera aux Clients et Candidats concernés les informations et recommandations nécessaires.