Révision : 25 février 2020

1. Objectif et champ d’application

Dans le cours normal de leurs activités, AECOM, ses filiales et ses sociétés affiliées (collectivement, « AECOM ») acquièrent des renseignements personnels en interagissant et en communiquant avec des candidats, des clients, des fournisseurs, des entrepreneurs, des sous-traitants et d’autres tiers potentiels, actuels ou passés. AECOM prend au sérieux ses obligations de protection des renseignements personnels. Pour démontrer son engagement à l’égard de la confidentialité, AECOM a élaboré le présent Avis général de protection des données (« avis de protection des données ») concernant la façon dont AECOM recueille, utilise, traite et stocke vos renseignements personnels.

AECOM traitera vos renseignements personnels conformément au présent avis de confidentialité, à moins d’indication contraire dans les lois applicables. L’organisation prend des mesures pour s’assurer que les renseignements personnels recueillis à votre sujet sont adéquats, pertinents, non excessifs et traités à des fins limitées.

Cet avis de protection des données ne s’applique pas aux données dépersonnalisées. Les données sont considérées comme dépersonnalisées lorsqu’elles ne permettent plus de reconnaître une personne individuellement.

Vous n’êtes pas obligé de fournir des renseignements personnels à AECOM. Or, si vous ne fournissez pas les renseignements demandés, AECOM pourrait ne pas être en mesure de vous fournir les services demandés.

2. Définitions

AECOM utilise les définitions suivantes :

  1. Confidentialité des données S’entend des droits et des attentes juridiques des personnes relativement à la façon dont leurs renseignements personnels sont recueillis et utilisés.
  2. Renseignements personnels S’entend de tout renseignement ayant trait à une personne physique identifiée ou identifiable.
  3. Traitement S’entend de toute activité à laquelle des renseignements personnels sont soumis.
  4. Renseignements personnels sensibles Les définitions varient d’un pays à l’autre. Par exemple, les lois européennes de protection des données considèrent des catégories de renseignements personnels comme étant particulièrement sensibles, p. ex., données biométriques, renseignements sur la race ou l’origine ethnique, opinions politiques, croyances religieuses ou philosophiques, appartenance à un syndicat, renseignements sur l’état de santé ou orientation sexuelle.

3. Données recueillies et objectifs connexes

Catégorie

Renseignements personnels

Objectif

Renseignements personnels généraux

Nom complet, numéro de téléphone, y compris le numéro de téléphone cellulaire, adresse, adresse courriel

a. Communiquer avec les candidats, les clients, les fournisseurs, les entrepreneurs, les sous-traitants et d’autres tiers relativement à des possibilités d’emploi au sein d’AECOM, à des projets et aux activités de l’entreprise

b. Procéder à des vérifications des antécédents, effectuer la vérification diligente, lutter contre la corruption et vérifier la qualité du travail et les normes de santé et de sécurité professionnelles des candidats, des fournisseurs, des entrepreneurs et des sous-traitants

c. Vérifier l’identité d’une personne

d. Consignation des heures de travail et des feuilles de temps pour les entrepreneurs et les sous-traitants

e. Communications avec les clients, les fournisseurs, les entrepreneurs, les sous-traitants et d’autres tiers à la suite d’un incident

f. Gestion de la sécurité et de la protection des employés, des ressources et des lieux de travail d’AECOM

État de la relation d’affaires (p. ex. visiteur, fournisseur, entrepreneur, sous-traitant)

a. Veiller à ce que l’accès aux installations appropriées soit accordé aux employés des clients, aux fournisseurs, aux entrepreneurs et aux sous-traitants

b. Fins d’identification pour des questions de sécurité et d’accès aux sites physiques

c. Consignation des heures de travail et des feuilles de temps pour les entrepreneurs et les sous-traitants

Nom et numéro de téléphone des personnes à contacter en cas d’urgence ou du plus proche parent

a. Personne à contacter en cas d’urgence pour les entrepreneurs et les sous-traitants

Date de naissance, nationalité, citoyenneté, pays de naissance

a. Gérer l’admissibilité aux chèques de travail

b. Gérer les tiers refusés, effectuer la vérification diligente, lutter contre la corruption et vérifier la qualité du travail et les normes de santé et de sécurité professionnelles des fournisseurs, des entrepreneurs et des sous-traitants

Sexe

a. Exigences en matière de diversité et d’égalité

Pièce d’identité délivrée par le gouvernement, numéro de passeport, carte d’identité nationale

a. Comptabilité, impôt gouvernemental et vérification des fournisseurs, des entrepreneurs et des sous-traitants

b. Vérifier les compétences des fournisseurs, des entrepreneurs et des sous-traitants

c. Vérifier l’identité d’une personne

Nom d’utilisateur, identificateur unique et mot de passe

a. Accès aux systèmes et authentification

b. Gérer la sécurité et la protection des systèmes d’AECOM pour enregistrer et surveiller l’activité réseau en vue de cerner, de prédire et de prévenir tout acte malveillant dans le réseau et les ressources informatiques d’AECOM, ou la diffusion de renseignements à partir de ceux-ci

Documents médicaux (p. ex. certificat médical)

a. Requis par les lois de surveillance de la santé au travail liées à la capacité fonctionnelle d’une personne et à sa capacité (y compris toute restriction) à occuper un poste en particulier

b. Apporter des modifications raisonnables en fonction du handicap

c. Signalement des incidents de sécurité sur les chantiers

Numéro de police d’assurance

a. Procéder à la vérification des normes de qualité des fournisseurs, des entrepreneurs et des sous-traitants

Information financière

Information bancaire, y compris le numéro d’acheminement et le numéro de compte

b. Rémunération des fournisseurs, des entrepreneurs et des sous-traitants en échange de leurs services

c. Gérer les tiers refusés, faire preuve de diligence raisonnable et lutter contre la corruption en ce qui concerne les fournisseurs, les entrepreneurs et les sous-traitants

Renseignements d’ordre social

Titres de poste

Historique des compétences et des emplois

Expériences antérieures

Dossiers de formation et d’accréditation

Évaluations

Vérification des références et des antécédents

a. Gérer l’admissibilité des candidats avant le début d’un emploi

b. Procéder à des vérifications et à des examens de la qualité, de la sécurité et de la conformité pour vérifier la capacité des entrepreneurs tiers à réaliser des travaux conformément aux normes de qualité applicables, comme les normes ISO 9001 et NQA-1, y compris l’emploi de personnes devant conserver des qualifications ou des certifications particulières

c. Gérer le fonctionnement d’AECOM et les activités liées aux projets

Données biométriques

Numérisation des empreintes digitales, photos

a. Accorder l’accès aux sites physiques et garantir la sécurité de certains lieux de travail et chantiers

Données volontaires

Origine ethnique, orientation sexuelle, santé, religion ou conviction

a. Surveiller l’égalité des chances

4. Méthodes de collecte des données

Nous utilisons différentes méthodes pour recueillir des données à votre sujet :

  1. Interactions directes : Vous nous donnez vos renseignements personnels lorsque vous communiquez avec nous relativement à des profils d’emploi, dans le cadre d’entrevues, lorsque vous répondez à des sondages, à des offres d’emploi, à des soumissions ou à des propositions, lorsque vous répondez à des questionnaires sur la qualité et la conformité et par tout autre moyen. Cela inclut les renseignements que vous fournissez lorsque vous soumettez votre curriculum vitæ ou vos coordonnées à l’aide de notre site Web ou par courriel.
  2. Tiers ou sources accessibles au public : AECOM pourrait obtenir des renseignements vous concernant auprès d’un représentant de votre entreprise (lorsque nous offrons des contrats de sous-traitance), dans des dossiers en ligne accessibles au public, auprès de fournisseurs de vérification des antécédents, dans le cadre d’une vérification du casier judiciaire ou auprès de références professionnelles antérieures ou actuelles que vous nous fournissez. L’organisation cherchera à obtenir des renseignements auprès de tiers uniquement lorsqu’elle vous aura remis une offre d’emploi ou présenté une occasion d’affaires et vous avisera ou avisera un représentant de votre entreprise qu’elle effectue ces démarches.

Nous n’effectuons pas de prise de décision ou de profilage automatisés concernant les renseignements personnels ou les renseignements personnels sensibles.

5. Fondement juridique du traitement

Pour traiter les renseignements personnels, AECOM doit disposer d’un fondement juridique à cette fin et au moins une des conditions suivantes doit s’appliquer :

  1. Consentement : une personne doit nous fournir son consentement explicite avant de traiter ses renseignements personnels, et ce, uniquement à des fins précises.
  2. Contrat : tout contrat conclu par AECOM avec une personne requiert le traitement des renseignements personnels, il en va de même si nous demandons à une personne de prendre des mesures précises avant de conclure un contrat.
  3. Obligation juridique : le traitement des renseignements personnels est nécessaire afin d’assurer qu’AECOM est conforme aux lois.
  4. Intérêts vitaux : le traitement des renseignements personnels est requis pour protéger la vie d’une personne.
  5. Tâche publique : le traitement des renseignements personnels est nécessaire à l’exécution d’une tâche d’intérêt public ou à l’exercice des fonctions officielles d’AECOM, où la tâche ou la fonction a un fondement clair en droit.
  6. Intérêts légitimes : le traitement des renseignements personnels est essentiel aux fins des intérêts légitimes poursuivis par AECOM ou par un tiers, sauf lorsque les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent la protection des données personnelles sont brimés par ces derniers lorsque la personne concernée est un enfant.

Sauf indication contraire des lois sur la protection des données applicables, AECOM se fie aux intérêts légitimes pour traiter les renseignements personnels dans le cadre de processus de recrutement, au moment d’établir des relations commerciales contractuelles et pour se conformer aux exigences juridiques. Lorsque AECOM se fie aux intérêts légitimes pour traiter les renseignements personnels, elle a étudié la possibilité que ces intérêts soient supplantés par les droits et libertés des personnes touchées par ce besoin.

 

AECOM respecte les lignes directrices suivantes pour veiller à ce que ses activités de collecte de renseignements personnels soient justes et légales. Plus précisément, AECOM :

  1. recueille uniquement la quantité de renseignements personnels qui est requise selon la loi ou à des fins commerciales raisonnables et légitimes;
  2. recueille des renseignements personnels de façon sincère;
  3. s’il y a lieu, indique les renseignements personnels qui sont requis et ceux qui sont facultatifs au moment de les recueillir;
  4. recueille des renseignements personnels conformément aux exigences juridiques locales.

AECOM peut avoir à recueillir des renseignements personnels sensibles. Lorsque la législation locale en exige la collecte, les renseignements personnels sensibles seront traités avec votre consentement. Lorsque la législation locale ou le bouclier de protection des données entre l’Union européenne et les États-Unis l’exige, le consentement au transfert ou à l’utilisation des renseignements personnels sensibles se fera selon le principe du choix actif.

6. Utilisation et conservation

AECOM utilise, stocke, conserve et traite les renseignements personnels uniquement à des fins commerciales raisonnables et seulement lorsque cela est nécessaire pour ces fins commerciales ou dans la mesure autorisée.

AECOM ne divulgue aucun renseignement personnel à des tiers à des fins de marketing direct et ne vend aucun renseignement personnel. Le traitement des renseignements personnels sera conforme aux exigences contractuelles, réglementaires et juridiques locales.

AECOM conserve et détruit les renseignements personnels conformément à ses politiques et procédures en matière de conservation des données. AECOM conserve les données aussi longtemps qu’elles répondent aux besoins de traitement pour lesquels elles ont été recueillies ou autorisées.

Les renseignements personnels des candidats à un emploi pourraient être traités et conservés conformément aux exigences en matière d’immigration dans le cadre du processus de réembauche et pourraient être transmis à des conseillers juridiques et des organismes gouvernementaux. La période de conservation des données sera fondée sur les lois liées à ces exigences.

7. Droit à la protection des données

Lorsque cela est autorisé ou requis par la loi applicable, AECOM vous accorde certains droits de protection des données.

Veuillez noter que nous pourrions être incapables de vous permettre d’accéder à vos renseignements personnels, par exemple lorsque nous avons détruit, effacé ou dépersonnalisé vos données, ou si cela entraînerait la divulgation de renseignements personnels concernant une autre personne. Nous pourrions également refuser une demande si la loi applicable nous permet de le faire ou nous oblige à le faire. Nous vous indiquerons alors les raisons qui sous-tendent ce refus.

  1. Droit de demander l’accès aux renseignements personnels. Vous avez le droit de demander à AECOM des copies de vos renseignements personnels.
  2. Droit de demander une rectification. AECOM se fie à vous pour garantir l’exactitude, l’exhaustivité et l’actualité des renseignements que vous lui fournissez. Si un renseignement personnel est inexact ou incomplet, vous pouvez demander qu’il soit corrigé ou complété. AECOM corrigera ou effacera les renseignements personnels comme l’exigent les lois applicables. Vous pouvez également demander que soit corrigé, amendé ou effacé tout renseignement personnel qui a été traité en infraction aux principes du Bouclier de protection des données entre l’Union européenne et les États-Unis ou à la loi de protection des données applicable.
  3. Droit de demander la suppression des renseignements. Vous avez le droit de demander à AECOM de supprimer vos renseignements personnels dans certaines circonstances.
  4. d. Droit de retirer son consentement. Si vous avez donné votre consentement écrit (ou actif) à la collecte, au traitement ou au transfert de renseignements personnels, vous avez le droit de retirer votre consentement. Vous pouvez en tout temps retirer votre consentement écrit (ou actif) pour le traitement de vos renseignements personnels. Remarque : Le retrait de votre consentement n’influencera pas le caractère légal de toute activité de traitement que nous avons réalisée avant le retrait de votre consentement. Il n’influencera pas non plus le traitement des renseignements personnels réalisé selon des motifs de traitement légaux n’ayant pas trait au consentement.
  5. e. Droit à la transférabilité. Vous avez le droit de demander à AECOM de transférer vos renseignements personnels à une autre organisation, ou directement à vous, dans certaines circonstances.
  6. f. Droit de restreindre le traitement. Vous avez le droit de demander à AECOM de restreindre le traitement de vos renseignements personnels dans certaines circonstances.
  7. g. Droit de vous soustraire au marketing par courriel. Vous pouvez vous soustraire en tout temps aux communications de marketing par courriel en cliquant sur le lien de désabonnement dans le courriel ou en suivant les instructions données dans chaque communication d’abonnement par courriel.
  8. h. Droit de déposer une plainte. Si vous estimez que vos droits à la vie privée n’ont pas été suffisamment pris en compte, vous avez le droit de déposer une plainte auprès du bureau de la protection des renseignements personnels d’AECOM ou auprès de l’autorité de contrôle de votre pays de résidence.

Vous pouvez soumettre une demande pour vous prévaloir de ces droits à la protection des données au bureau de la protection des renseignements personnels d’AECOM au privacyquestions@aecom.com. Les résidents de la Californie peuvent également composer le 1-888-299-9602. AECOM demandera des renseignements particuliers pour aider à confirmer votre identité et vos droits.

AECOM n’exercera aucune discrimination contre toute personne ayant exercé son droit à la vie privée autorisé ou requis par les lois ou règlements applicables sur la protection des données.

8. Partage et transfert ultérieur

AECOM partage des renseignements personnels des façons suivantes :

  1. Filiales : AECOM AECOM échange des renseignements entre succursales et filiales d’AECOM aux fins décrites dans le présent avis de protection des données, sous réserve des exigences légales applicables.
  2. Fournisseurs tiers : AECOM transmet des renseignements personnels à des fournisseurs affiliés ou tiers de confiance pour qu’ils effectuent des services au nom de l’organisation. Ces tiers de confiance comprennent notamment des fournisseurs de TI, des fournisseurs de services infonuagiques, des services d’hébergement de données, des fournisseurs d’évaluations de tiers refusés ou restreints, des fournisseurs de vérifications d’antécédents et des fournisseurs de services de stockage de données.
  3. Clients : AECOM partage certains renseignements personnels dans le cadre de la prestation de services professionnels sous contrat à ses clients, y compris des organismes gouvernementaux, dans le cadre de travaux liés à des projets, aux fins des habilitations de sécurité ou conformément aux protocoles de sécurité.
  4. Autres tierces parties : AECOM divulgue certains renseignements personnels à d’autres tierces parties dans les cas suivants :
    1. lorsque le droit ou un processus juridique l’exige (p. ex. aux autorités fiscales ou de la sécurité sociale);
    2. lorsqu’AECOM détermine qu’il est légal et approprié de le faire;
    3. pour protéger les droits légaux d’AECOM (par exemple pour se défendre en cas de litige ou dans le cadre d’une enquête ou d’une demande du gouvernement) ou pour protéger les employés, ressources et lieux de travail de l’entreprise;
    4. en cas d’urgence, lorsque la santé ou la sécurité de personnes est en jeu.
  5. Sécurité publique et autorités policières : AECOM peut être tenue de divulguer des renseignements personnels en réponse à des demandes légitimes d’autorités gouvernementales, y compris pour remplir des exigences de sécurité nationale ou d’application de la loi.

AECOM est une entreprise mondiale qui compte des bureaux, des clients et des fournisseurs dans le monde entier. Les renseignements personnels peuvent donc être transférés à d’autres bureaux d’AECOM, à des centres de données et à des serveurs en Europe, en Asie, en Amérique du Sud ou aux États-Unis aux fins déterminées. Tout transfert de renseignements personnels de ce type doit être effectué conformément aux lois applicables.

AECOM prendra les mesures nécessaires pour se conformer à toutes les lois locales applicables lors du traitement des renseignements personnels, y compris toutes les conditions et restrictions prévues aux termes des lois locales concernant le transfert de renseignements personnels.

AECOM peut également protéger les données par d’autres méthodes juridiquement valables, notamment des ententes sur le transfert international de données ou des clauses contractuelles types qui ont été reconnues par les autorités de protection des données comme fournissant un niveau adéquat de protection des renseignements personnels que nous traitons à l’échelle mondiale.

AECOM veillera à ce que tous les transferts de renseignements personnels soient assujettis à des mesures de protection appropriées selon la définition des règlements et des lois sur la protection des données.

9. Bouclier de protection des données Union européenne-États-Unis

AECOM se conforme à la structure du bouclier de protection des données UE-États-Unis, comme établie par le Département du Commerce des États-Unis en ce qui a trait à la collecte, l’utilisation et la conservation des renseignements personnels transférés de l’Union européenne (UE) aux États-Unis. AECOM a certifié au Département du Commerce qu’elle respecte les principes du bouclier de protection des données. Pour consulter le statut de certification de l’entreprise : https://www.privacyshield.gov/participant?id=a2zt0000000GncYAAS&status=Active.

Dans le cas d’un transfert ultérieur, AECOM est responsable du traitement des renseignements personnels qu’elle reçoit dans le cadre du bouclier de protection des données et les transfère par la suite à une tierce partie agissant en son nom à titre de mandataire. AECOM demeurera redevable en vertu des principes si son mandataire traite les renseignements personnels d’une manière qui ne respecte pas ces principes, à moins que l’organisation puisse prouver qu’elle n’est pas responsable de l’évènement qui a entraîné le dommage.

En cas de divergence entre les modalités du présent énoncé de confidentialité et les principes du bouclier de protection des données, ces derniers prévaudront. Pour en savoir plus long sur le programme de bouclier de protection des données et pour consulter notre certification, veuillez visiter le https://www.privacyshield.gov/.

AECOM fait appel aux services de JAMS, un fournisseur de service de résolution des différends, pour examiner les plaintes et fournir gratuitement les recours appropriés en ce qui a trait au bouclier de protection. Les particuliers peuvent communiquer avec JAMS au https://www.jamsadr.com/eu-us-privacy-shield. Comme il est expliqué dans les principes du bouclier de protection des données, une option d’arbitrage exécutoire vous sera proposée pour traiter toute plainte résiduelle non résolue par d’autres moyens. AECOM est sujette aux pouvoirs d’enquête et d’application de la loi de la Federal Trade Commission des États-Unis.

Conformément aux principes du Bouclier de protection des données, AECOM s’engage à résoudre les plaintes sur la façon dont elle recueille et utilise vos renseignements personnels. Les citoyens de l’Union européenne qui ont des questions ou des plaintes au sujet de la politique de confidentialité d’AECOM doivent communiquer en premier lieu avec le bureau de la protection des renseignements personnels à : privacyquestions@aecom.com.

10. Sécurité des données

AECOM a adopté et met en œuvre des politiques, des processus et des procédures de sécurité de l’information raisonnables et appropriés pour protéger les renseignements personnels contre les accès non autorisés, la perte, la mauvaise utilisation, la divulgation, la modification, la destruction et d’autres traitements non autorisés.

Les processus de sécurité de l’information d’AECOM veillent à la classification des renseignements et à l’affectation des exigences de protection et des contrôles de la sécurité de l’information en fonction de la classification des renseignements. Les mesures de protection utilisées pour protéger les renseignements personnels sont proportionnelles au degré de risque en jeu.

11. Exceptions

Dans certaines circonstances limitées ou exceptionnelles, AECOM pourrait, si les lois et les règlements applicables le permettent ou l’exigent ou si le Bouclier de protection des données s’applique, traiter des renseignements personnels sans donner de préavis ou d’accès ou sans chercher à obtenir votre consentement. Voici quelques exemples de telles circonstances : enquête à la suite d’allégations d’actes répréhensibles, de non-respect des politiques de l’entreprise ou d’activité criminelle; protection des employés, du public ou d’AECOM contre un préjudice ou un acte répréhensible; collaboration avec des organismes d’application de la loi; vérification de résultats financiers ou d’activités de conformité; réponse à des ordonnances de tribunaux, à des assignations à comparaître ou à d’autres divulgations exigées par la loi; respect d’exigences juridiques ou en matière d’assurance ou défense de droits ou d’intérêts juridiques; respect des lois sur le travail, de conventions collectives ou d’autres obligations juridiques; recouvrement de dettes; protection des sources d’information, de la propriété intellectuelle et des secrets commerciaux d’AECOM; dans le cadre de situations d’urgence, lorsque les intérêts vitaux d’une personne, comme sa vie ou sa santé, sont en jeu; dans le cadre de demandes d’accès, lorsque le fardeau ou les frais liés à l’accès seraient disproportionnés par rapport aux risques pour la confidentialité ou lorsque le droit à la vie privée d’une personne serait compromis; en cas de nécessité commerciale.

12. Plaintes et questions

Si vous estimez que vos droits n’ont pas été suffisamment pris en compte, vous avez le droit de déposer une plainte auprès du bureau de la protection des renseignements personnels d’AECOM (privacyquestions@aecom.com) ou auprès de l’autorité de contrôle de votre pays de résidence.

Si vous avez des questions sur le présent avis ou sur notre traitement des renseignements personnels, veuillez communiquer avec le bureau de la protection des renseignements personnels à l’adresse privacyquestions@aecom.com.