Politique de confidentialité de Prometric

Dernière mise à jour : septembre 2023

Informations générales

Prometric LLC est une société à responsabilité limitée située dans le Delaware, États-Unis, dont le siège social est situé au 1501 South Clinton Street, Baltimore, Maryland 21224 USA (ci-après, « Société », « nous » ou « notre »). Prometric peut agir en tant que responsable du traitement des données ou en tant que sous-traitant des données en fonction de sa relation avec la personne concernée.

Cette Politique de Confidentialité (« Politique ») a été rédigée et mise en œuvre conformément aux principes énoncés dans les présentes, pour décrire nos pratiques concernant la collecte et le traitement des Données Personnelles des candidats aux tests, clients, entrepreneurs et partenaires. Prometric accorde une attention particulière au respect de la vie privée et des Données Personnelles et s'engage à se conformer à cette Politique et à la Loi Applicable.

En particulier, la Société s'engage à respecter toutes les lois sur la protection des données dans les pays où elle opère, y compris :

  • Le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la Directive 95/46/CE (Règlement Général sur la Protection des Données) (« RGPD »);
  • La Loi de 2018 sur la Confidentialité des Consommateurs de Californie (« CCPA »), telle que modifiée par la Loi de 2020 sur les Droits à la Confidentialité en Californie (« CPPA »);
  • La Loi sur la Protection des Informations Personnelles de la République Populaire de Chine (« PIPL »);
  • D'autres réglementations pertinentes sur la protection des données dans les pays où la Société opère.

« Loi Applicable » fait référence à la loi sur la protection des données du pays concerné ou à la réglementation applicable relative à la protection des données.

« Données Personnelles » désigne toute information se rapportant à une personne physique identifiée ou identifiable.

« Traitement » signifie toute opération ou ensemble d'opérations effectuées sur des Données Personnelles ou sur des ensembles de Données Personnelles, que ce soit par des moyens automatisés ou non, tels que la collecte, l'enregistrement, l'organisation, la structuration, le stockage, l'adaptation ou la modification, la récupération, la consultation, l'utilisation, la divulgation par transmission, la diffusion ou toute autre mise à disposition, l'alignement ou la combinaison, la restriction, l'effacement ou la destruction.

1. Quels types de Données Personnelles collectons-nous ?

Prometric collecte les Données Personnelles suivantes en fonction de votre relation avec la Société et de la Loi Applicable :

  • Détails de contact, y compris nom, adresse, numéro de téléphone, numéro d'identification spécifique au pays, adresse email, informations de connexion et mot de passe
  • Date de naissance
  • Genre
  • Détails de la planification des tests des candidats
  • Détails de l'évaluation des tests, y compris le numéro ID du candidat, les examens passés et leurs dates, les scores liés à ces examens, combien de fois un examen ou une section particulière d'examens a été passé
  • Numéros de sécurité sociale lorsque cela est requis par le sponsor des tests pour les candidats (États-Unis)
  • Informations sur le paiement et l'institution financière
  • Lieu de résidence et pays de citoyenneté
  • Photographie
  • Signature
  • Enregistrements vidéo
  • Enregistrements audio (dans la mesure permise par la loi et uniquement dans des juridictions spécifiques)
  • Informations provenant de documents d'identification, de vérification ou d'éligibilité
  • Informations sur les transactions et la relation, y compris des éléments qui révèlent les motifs de test des candidats, les lieux de test, les résultats des tests et des informations sur la façon dont les sites et applications de Prometric sont utilisés.

De plus, Prometric peut traiter des catégories particulières de Données Personnelles, comme le permet la Loi Applicable, qui peuvent inclure :

  • Biométrie (images et modèles d'empreintes digitales, images et modèles faciaux)
  • Données de santé ou informations médicales liées aux demandes d'aménagements de test des candidats
  • Race ou ethnie, comme le permet la Loi Applicable

2. Comment collectons-nous vos Données Personnelles ?

Dans la plupart des cas, Prometric collecte ces Données Personnelles directement auprès de la personne concernée.

Cependant, dans d'autres cas, nous pouvons recevoir des informations de la part de sponsors de tests ou de fournisseurs de données tiers pour nous aider à mieux comprendre nos clients. Lorsqu'un candidat visite le site Web de Prometric, s'inscrit ou passe un examen, utilise nos applications ou nous contacte, nous collectons également des informations sur les transactions à des fins de service client.

Toutes les Données Personnelles collectées par Prometric via nos applications mobiles sont protégées et traitées conformément aux termes de cette Politique. Nous offrons également des notifications automatiques (« push ») uniquement à ceux qui choisissent de recevoir de telles notifications de notre part. Aucune personne n'est tenue de fournir des informations de localisation à Prometric ou d'activer les notifications push pour utiliser l'une de nos applications mobiles.

Collecte de Données Biométriques

Le Système de Check-In Activé par Biométrie et la plateforme de surveillance à distance de Prometric (connue sous le nom de ProProctor) sont conçus pour améliorer la sécurité et l'intégrité du processus de test d'une manière qui protège la vie privée des candidats tout en confirmant leur identité. Ces technologies sont utilisées à des fins de vérification d'identité, pour détecter et prévenir la fraude et la fausse déclaration, pour maintenir l'intégrité du processus de test et améliorer la sécurité des centres de test et des examens surveillés à distance.

3. Pourquoi collectons-nous vos Données Personnelles ?

Pour le compte de nos sponsors de tests, Prometric collecte vos Données Personnelles aux fins de :

  • Planification des examens
  • Vérification de l'identité
  • Administration des tests et des paiements
  • Gestion des demandes de service client
  • Détection et prévention de la fraude et de la fausse déclaration par des candidats non autorisés
  • Réalisation d'analyses de données pour maintenir l'intégrité du processus de test
  • Rapport des résultats des tests au candidat et au sponsor du test
  • Réalisation d'activités marketing, sous réserve de la Loi Applicable

Pour les fournisseurs et autres tiers, Prometric collecte vos Données Personnelles aux fins suivantes :

  • Gestion et administration des fournisseurs
  • Traitement des factures
  • Diligence raisonnable sur les fournisseurs et autres exigences légales

4. Quelles sont les bases légales du traitement de vos Données Personnelles ?

Les Données Personnelles sont généralement collectées et traitées selon les bases légales suivantes :

  • Votre consentement pour la collecte et le traitement de catégories particulières de Données Personnelles.
  • Votre consentement si requis par la Loi Applicable pour les transferts de données transfrontaliers.
  • L'exécution d'un contrat incluant l'inscription et la planification d'un test, l'administration de ce test, la prévention de la fraude et le traitement des résultats.
  • Pour des raisons d'affaires légitimes telles que le traitement des factures et la gestion des comptes financiers, les besoins de sauvegarde pour faciliter la continuité des activités, la gestion des centres de test, la planification d'entreprise, la gestion des contrats, l'amélioration des services de test fournis à nos clients, la proposition de services et produits liés aux candidats aux tests existants, l'administration du site Web, l'exécution, l'analyse, la sécurité et la prévention de la fraude, la gouvernance d'entreprise, la planification de la reprise après sinistre, l'audit et le reporting.
  • Conformité à toute obligation légale ou réglementaire.

5. Divulgation des Données Personnelles

Les Données Personnelles peuvent être partagées avec d'autres affiliés de la Société, des agences gouvernementales ou des tiers pour des raisons d'affaires légitimes liées aux services fournis ou comme autrement autorisé ou requis par la Loi Applicable.

La Société peut partager des Données Personnelles :

  • Au sein de notre groupe, comme les filiales
  • Avec nos affiliés et centres de test autorisés
  • Avec des partenaires commerciaux tels que des sponsors de tests et des prestataires de services pour faciliter les demandes et améliorer nos services
  • Avec les autorités gouvernementales et publiques lorsque cela est nécessaire ou requis par l'autorité

Les données biométriques peuvent être divulguées à un tiers uniquement :

  • Pour une enquête liée à une conduite inappropriée uniquement dans le cadre d'une enquête sur la tricherie, les tests non autorisés ou d'autres conduites inappropriées des candidats.
  • En relation avec des demandes légales de la part d'agences régionales, légales ou gouvernementales ayant la compétence et/ou l'autorité pour faire de telles demandes.

Nous exécutons des contrats comme l'exige la Loi Applicable avec nos tiers pour garantir que les Données Personnelles sont traitées conformément à cette Politique et à toute autre mesure de confidentialité et de sécurité appropriée.

6. Comment stockons-nous vos Données Personnelles ?

Selon la nature de votre relation avec Prometric et conformément à la Loi Applicable, nous stockons vos Données Personnelles dans notre infrastructure cloud Oracle sécurisée avec des serveurs situés à Ashburn, en Virginie, États-Unis.

Prometric suit un Programme de Gestion des Documents complet et un calendrier de conservation connexe auquel il adhère aux fins de conservation, de stockage et de destruction de tous les dossiers créés dans le cadre de son activité, y compris ceux contenant des Données Personnelles. Nous déployons également une stratégie de Gestion des Données qui segmente les données en fonction des serveurs de données situés dans différentes régions.

Sous réserve de la Loi Applicable, notre Société conservera vos Données Personnelles pendant la durée du traitement, pour la période la plus courte de :

  • cinq (5) ans à partir de la date du dernier service, test ou évaluation ; ou
  • l'expiration de l'objectif pour lequel les Données Personnelles ont été collectées ; ou
  • les lois de la juridiction applicable où les Données Personnelles ont été collectées.

Prometric ne conservera pas les Données Personnelles plus longtemps que nécessaire pour les fins mentionnées ci-dessus. Cependant, Prometric peut conserver les Données Personnelles plus longtemps si nécessaire pour se conformer à la Loi Applicable ou si cela est nécessaire pour protéger ou exercer ses droits.

Stockage des Données Biométriques

Toutes les données biométriques collectées dans des centres de test informatisés sont transférées de manière sécurisée et stockées de manière sécurisée dans le centre de données sécurisé de Prometric dans l'Union Européenne et sont conservées conformément à la Loi Applicable dans la juridiction où elles ont été collectées. Les données biométriques sont stockées et sécurisées dans Microsoft Azure pendant une période de trente (30) jours.

7. Transferts de Données Personnelles

Dans certains cas, l'utilisation de tiers peut impliquer le transfert de Données Personnelles vers d'autres pays. Nos processus commerciaux nécessitent souvent le transfert de Données Personnelles entre la Société et ses entités affiliées à l'international.

Si les Données Personnelles sont traitées au sein de l'UE/EEE, et dans le cas où les Données Personnelles sont divulguées à des tiers ou dans un pays considéré comme ne fournissant pas un niveau de protection suffisant selon la Loi Applicable, la Société veillera à :

  • La mise en œuvre de clauses contractuelles types approuvées par la Commission européenne ;
  • L'adoption de garanties organisationnelles, techniques et légales appropriées pour régir ledit transfert et garantir le niveau de protection nécessaire et adéquat selon la Loi Applicable.
  • Si nécessaire, évaluera les circonstances du transfert et la législation du pays tiers, et si requis, complétera une évaluation de l'impact du transfert de données pour déterminer si des mesures supplémentaires doivent être mises en œuvre.

Pour les Données Personnelles non traitées au sein de l'UE/EEE, et dans le cas où les Données Personnelles sont divulguées à des tiers situés en dehors de la juridiction de la personne concernée, la Société veillera à ce que des garanties nécessaires soient en place pour protéger les Données Personnelles en mettant en œuvre des mécanismes juridiques appropriés, y compris, le cas échéant, des clauses contractuelles types et/ou l'obtention du consentement approprié des personnes concernées. Ces mécanismes peuvent différer selon le pays et la Loi Applicable pertinente.

8. Quels sont vos droits ?

Selon la juridiction et la Loi Applicable, vous pouvez avoir les droits suivants liés à vos Données Personnelles :

  • Droit d'accès
  • Droit de rectification
  • Droit à l'effacement
  • Droit de restreindre le traitement
  • Droit de s'opposer au traitement
  • Droit à la portabilité des données
  • Droit de décider comment vos Données Personnelles sont utilisées après votre décès

L'exercice de ces droits est soumis à des limitations prévues par la Loi Applicable et aux orientations pertinentes des Autorités de Contrôle.

Pour exercer vos droits, la personne concernée peut contacter la Société comme décrit dans la section « Comment nous contacter. » Nous pouvons demander une preuve d'identité afin de répondre à la demande. Si nous ne pouvons pas satisfaire votre demande (refus ou limitation), nous justifierons notre décision par écrit.

Droits à la Confidentialité en Californie

La Section 1798 du Code Civil de Californie permet aux résidents de Californie de demander aux entreprises avec lesquelles ils ont une relation commerciale établie de fournir certaines informations sur le partage des Données Personnelles de l'entreprise avec des tiers à des fins de marketing direct. Prometric ne partage pas les Données Personnelles des consommateurs californiens avec des tiers à des fins de marketing sans consentement. Si vous êtes un candidat à un test, Prometric fournira vos Données Personnelles à votre sponsor de test, qui pourra utiliser ces informations conformément à ses propres politiques de confidentialité.

9. Comment protégeons-nous vos Données Personnelles ?

Prometric met en œuvre une variété de mesures de sécurité, telles que des sauvegardes techniques, physiques et administratives afin de protéger toutes les Données Personnelles contre les incidents de sécurité ou les divulgations non autorisées, et plus généralement contre une Violation de Données Personnelles. Ces mesures de sécurité sont reconnues comme des normes de sécurité appropriées dans l'industrie et comprennent, entre autres, des contrôles d'accès, des mots de passe, du chiffrement, des limites strictes de temps pour l'effacement, des mécanismes de journalisation et des évaluations de sécurité régulières.

En cas de Violation de Données Personnelles pouvant affecter vos données personnelles, Prometric suit son Plan de Réponse aux Incidents et prendra rapidement les mesures appropriées pour atténuer les risques pour les personnes concernées. De telles mesures peuvent inclure la notification de l'Autorité de Contrôle appropriée et des personnes concernées affectées, tout en fournissant les détails pertinents de l'incident et des mesures d'atténuation, comme cela peut être exigé par la Loi Applicable (c'est-à-dire RGPD ou PIPL).

Le Programme de Sécurité de l'Information de Prometric est examiné plusieurs fois par an par plusieurs organisations tierces pour s'assurer qu'il respecte ou dépasse les normes les plus élevées disponibles en matière de sécurité et de protection des données. De plus, les employés et les entrepreneurs sont tenus de signaler rapidement toute instance connue ou suspectée de mauvaise utilisation, de perte ou d'accès non autorisé.

10. Traitement des Données Personnelles en vertu de la Loi sur la Protection des Informations Personnelles de la République Populaire de Chine (« PIPL »)

Cette section s'applique lorsque les Données Personnelles se trouvent dans les frontières de la République Populaire de Chine (RPC) ou lorsque les Données Personnelles sont traitées par l'une de nos entreprises situées dans la RPC.

Conformément à l'Article 13 du PIPL, les Données Personnelles peuvent être collectées pour les finalités suivantes :

  • Sur la base du consentement de l'individu;
  • Pour l'exécution de contrats, pour des intérêts commerciaux légitimes;
  • Pour remplir des devoirs et responsabilités légaux ou des obligations légales;
  • Pour traiter des données publiquement disponibles;
  • Pour répondre à des exigences légales.

Conformément aux exigences énoncées à l'Article 23 du PIPL et aux contenus mentionnés à la Section 4, le transfert et le partage de vos Données Personnelles avec un tiers ne seront pas effectués sans (1) votre consentement spécifique si applicable, ou (2) pour remplir des devoirs légaux en vertu de la Loi Applicable.

Sur la base des finalités prescrites dans cette Politique, les Données Personnelles peuvent être transférées vers un pays ou une région en dehors de votre résidence pour traitement. À ce moment-là, la Société protégera la sécurité des Données Personnelles conformément à la Loi Applicable, y compris, mais sans s'y limiter, la mise en œuvre de contrôles d'accès, de mots de passe, de normes de chiffrement, de limites strictes de temps pour les périodes de conservation, de mécanismes de journalisation et d'évaluations de sécurité régulières.

La Société vous informera pleinement du transfert transfrontalier de données conformément à l'Article 39 du PIPL avant de transférer vos Données Personnelles en dehors de la RPC et obtiendra votre consentement, en vous informant des éléments suivants : le nom du destinataire sortant, les coordonnées, l'objectif du traitement, le mode de traitement, le type de Données Personnelles, et vous rappellera les méthodes et procédures par lesquelles vous pouvez exercer vos droits en vertu du PIPL. Nous demanderons votre consentement explicite et séparé pour ce faire.

Si nécessaire, la Société procédera à une évaluation des risques de transfert transfrontalier de données conformément à la Loi Applicable si des Données Personnelles sont transférées en dehors de la RPC.

En vertu du PIPL, les Données Personnelles Sensibles sont définies comme des Données Personnelles qui, une fois divulguées ou utilisées illégalement, peuvent facilement porter atteinte à la dignité des personnes physiques, gravement nuire à la sécurité personnelle ou des biens, y compris les informations sur les caractéristiques biométriques, les croyances religieuses, le statut spécial, la santé médicale, les comptes financiers, le suivi de localisation individuel, etc., ainsi que les Données Personnelles des mineurs de moins de 14 ans.

Conformément au PIPL et comme détaillé à la Section 2, le traitement des Données Personnelles Sensibles est soumis au consentement séparé de l'individu et est effectué à des fins spécifiques liées aux activités commerciales.

Prometric ne collectera pas de Données Personnelles auprès de mineurs de moins de 14 ans sans le consentement séparé du parent ou d'un autre tuteur. Nous n'utiliserons ou ne divulguerons les Données Personnelles concernant un enfant que dans la mesure permise par la loi, conformément aux lois et réglementations applicables, pour obtenir le consentement parental ou pour protéger un enfant.

En cas de Violation de Données Personnelles, Prometric assumera des responsabilités civiles envers la personne concernée si elle porte atteinte aux droits relatifs aux Données Personnelles de celle-ci, sans préjudice des responsabilités administratives, criminelles ou autres qui devront être assumées par le Responsable du traitement en vertu du PIPL.

11. Modifications de la Politique de Confidentialité

La Société peut avoir besoin de mettre à jour sa Politique afin de se conformer à de nouvelles pratiques de confidentialité ou à des pratiques différentes. Une version mise à jour de cette politique sera mise à disposition par le biais d'un canal approprié et s'appliquera aux données collectées après sa date d'entrée en vigueur.

12. Comment nous contacter

Pour toute demande, commentaire ou préoccupation concernant cette Politique, ou afin d'exercer les droits à la confidentialité autorisés par la Loi Applicable liés aux Données Personnelles, veuillez contacter notre Responsable de la Protection des Données à l'adresse suivante : joseph.srouji@contractor.prometric.com

Vous pouvez également soumettre une demande liée à vos Données Personnelles en cliquant sur le lien suivant et en complétant tous les champs requis dans le formulaire : Demande de Données Personnelles

Vous pouvez également nous contacter par courrier à :

Gestionnaire du Programme de Confidentialité de Prometric
Prometric LLC, 1501 South Clinton Street
Baltimore, Maryland 21224 USA

Après avoir épuisé le processus de plainte interne de Prometric, si un candidat à un examen n'est pas satisfait de la résolution, il ou elle peut déposer une plainte auprès du Bureau de Meilleure Affaires du Grand Maryland (« BBB »), un fournisseur de résolution alternative des litiges basé aux États-Unis.

Site Web du BBB :  http://www.bbb.org/greater-maryland/

Téléphone du BBB :  410-347-3990

Fax du BBB :  410-347-3936

Les personnes concernées ont également le droit de déposer une plainte directement auprès de l'Autorité de Contrôle compétente dans leur juridiction ou peuvent engager des poursuites judiciaires conformément à la Loi Applicable.