Politique de protection des données personnelles de CGI

En tant qu’entité d’une organisation mondiale de services-conseils en technologie de l’information et en management, CGI s’engage à maintenir des niveaux de protection des données à caractère personnel conformes aux meilleures pratiques de l’industrie qui, à tout le moins, respectent les exigences de la législation applicable sur la protection des données et les obligations contractuelles de CGI. Dans le cadre de cet engagement, CGI exige que ses membres et tous les tiers sous contrat ou qui fournissent des biens et/ou services à CGI, y compris les fournisseurs tiers, sous-traitants et travailleurs autonomes, prennent des mesures appropriées pour protéger les données à caractère personnel dans l’exécution de leurs fonctions.

Pour faire preuve de transparence quant aux données à caractère personnel que nous traitons, nous avons mis au point la présente Politique de protection des données à caractère personnel (la « politique ») pour vous informer de notre engagement à protéger vos données à caractère personnel, des pratiques de CGI en matière de protection des données à caractère personnel, et de vos droits en tant que personne concernée par le traitement de données à caractère personnel.

CGI s’engage à accorder au traitement des données à caractère personnel le même niveau de protection, qu’il s’agisse de données à caractère personnel traitées en vue de répondre à ses propres besoins (données des employés, etc.) ou à ceux de ses clients, permettant la libre circulation des données à caractère personnel entre les entités juridiques de CGI.

 Télécharger notre politique de protection des données personnelles

1 - Définitions

Aux fins de la présente politique, les définitions suivantes s’appliquent :

données à caractère personnel – désigne toute information se rapportant à une personne physique identifiée ou identifiable; est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale. Les données à caractère personnel comprennent les données sensibles.

données sensibles – désigne des catégories particulières de données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, la religion ou les convictions philosophiques ou l’appartenance syndicale, de même que les données génétiques ou biométriques traitées dans le but d’identifier une personne physique de manière unique, et les données concernant la santé et la vie sexuelle ou l’orientation sexuelle d’une personne physique.

EEE – désigne l’Espace économique européen, qui regroupe les pays membres de l’Union européenne (UE) ainsi que l’Islande, le Liechtenstein et la Norvège, aussi appelés « États membres ».

employé – aux fins exclusives de la présente politique, désigne tout employé, membre du personnel, travailleur, conseiller, agent, administrateur ou directeur à l’emploi de CGI, et le terme « emploi » doit également être interprété en tant que tel. Les employés de CGI sont désignés en tant que « membres ».

entités juridiques de CGI – désigne toutes les entités juridiques contrôlées directement ou indirectement par CGI inc. qui traitent des données à caractère personnel, à l’exclusion des entités juridiques relevant des activités de CGI Federal.

législation applicable sur la protection des données – désigne i) le Règlement général sur la protection des données (RGPD – règlement européen no 2016/679) relatif au traitement des données à caractère personnel, ii) toute loi d’exécution du RGPD et iii) toute loi locale applicable relative au traitement des données à caractère personnel.

législation locale – désigne les règlements, les lois, les ordonnances et les normes obligatoires dans une région donnée.

personne concernée – désigne une personne physique identifiée ou identifiable dont les données à caractère personnel sont traitées. Il peut s’agir d’un membre de CGI ou d’un conseiller externe de CGI dans un contexte interne, ou encore d’employés ou d’utilisateurs finaux d’un client dans un contexte d’affaires. responsable du traitement – désigne toute entité (personne physique ou morale, autorité publique, service ou autre organisme) qui, seule ou conjointement avec d’autres responsables du traitement, détermine les finalités et les moyens du traitement de données à caractère personnel.

sous-traitant – désigne toute entité (personne physique ou morale, autorité publique, service ou autre organisme) qui traite des données à caractère personnel pour le compte et conformément aux instructions du responsable du traitement ou d’un autre sous-traitant.

traiter, traitement ou traité(e)s – désigne toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation, la modification, l’extraction, la consultation (y compris l’accès à distance), l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.

2 – Champ d’application

La présente politique établit la norme générale mise en œuvre par CGI lorsqu’elle procède au traitement de données à caractère personnel. Cette politique est en vigueur lorsque CGI agit en tant que responsable du traitement ou sous-traitant, et s’applique au traitement de toutes les données à caractère personnel, quels que soient la nature ou la catégorie de ces données et le support sur lequel elles sont stockées.

Des renseignements supplémentaires concernant certaines activités particulières de traitement sont inclus dans les mentions d’information relatives à la protection des données à caractère personnel.

3 – Catégories de Personnes Concernées

Dans le cadre de ses activités, CGI collecte et traite des données à caractère personnel relatives :

• aux candidats à l’emploi;
• aux employés et anciens employés;
• aux clients actuels et potentiels des secteurs public et privé;
• aux clients des clients actuels et potentiels des secteurs public et privé;
• aux actionnaires;
• aux fournisseurs de services, conseillers, fournisseurs, entrepreneurs et sous-traitants;
• à tout autre tiers.

4 – Données à caractère personnel que nous utilisons

Sous réserve de la législation applicable sur la protection des données, les catégories de données à caractère personnel suivantes peuvent être, en partie ou en totalité, traitées par CGI et par tout tiers mandaté par CGI ou fournissant des biens et/ou des services à CGI :

• données sur l’identité et coordonnées (p. ex. prénom, nom de famille, titre, nom d’utilisateur ou autre identifiant);
• renseignements professionnels et d’affaires (p. ex. adresse courriel, employeur, service, titre de poste, numéros de téléphone, adresse de facturation ou de livraison);
• renseignements personnels (p. ex. date de naissance, coordonnées personnelles, CV, affiliations, conflits d’intérêts, données sur la santé, renseignements sur la diversité);
• données économiques et financières;
• données relatives à la localisation, à l’authentification, au trafic et au suivi, et données démographiques.

4.1 Données Personnelles de nos Membres et anciens Employés

Lorsque nous traitons, à titre de responsable du traitement, des données à caractère personnel qui concernent nos membres et anciens employés, nous nous conformons à la législation applicable sur la protection des données (y compris, le cas échéant, aux exigences s’appliquant à l’obtention du consentement des personnes concernées ou de toute entité qui représente légitimement des employés – p. ex. comité d’entreprise). En sus de la présente politique, les contrats de travail standards de CGI, la notice d’information sur la confidentialité du membre de CGI, les politiques applicables et les communications aux membres peuvent préciser et détailler les finalités pour lesquelles CGI peut occasionnellement collecter et traiter des données à caractère personnel.

Le traitement des données à caractère personnel (y compris des données sensibles) qui concernent les membres peut notamment avoir les finalités suivantes :

Paie, régime de retraite, services financiers et actionnariat – CGI peut partager des données à caractère personnel pertinentes avec les administrateurs et les prestataires des régimes d’achat d’actions et de retraite, les compagnies d’assurance, les autorités fiscales et d’autres fournisseurs de services eu égard aux obligations professionnelles et aux avantages de ses membres. CGI peut également traiter des données à caractère personnel afin d’identifier et de rétribuer ses membres, et peut aussi traiter des données sensibles (p. ex. origine raciale ou ethnique, religion ou convictions philosophiques, données sur la santé) lorsque la législation locale l’exige.

Administration et gestion commerciales – CGI peut utiliser des données à caractère personnel dans le cadre d’activités commerciales telles que le paiement de factures, la communication avec ses partenaires d’affaires ou des partenaires d’affaires potentiels, l’organisation de réunions, les voyages d’affaires, les demandes de visa, la gestion d’actifs, et le respect et la gestion de ses obligations contractuelles envers ses partenaires d’affaires (y compris l’assignation ou l’affectation de ses membres au service de ses clients).

Administration et gestion et des employés – CGI peut traiter des données à caractère personnel (y compris des données sensibles, le cas échéant et sous réserve de la présente politique et de la législation applicable sur la protection des données à caractère personnel) concernant les membres ainsi que leurs personnes à charge et leurs plus proches parents (s’il y a lieu), à des finalités liées à leur emploi chez CGI. Il peut s’agir du recrutement, de la gestion générale, de la gestion de la performance, du perfectionnement professionnel, de la conformité en matière de santé et de sécurité, de l’assurance maladie, de l’assurance vie, de la surveillance et de la conformité en matière de maladie, de la surveillance de la diversité, des procédures disciplinaires, des vérifications de sécurité (si requis), vérification des antécédents, des demandes de visa et autres exigences en matière d’immigration, des communications bidirectionnelles avec les membres, des annuaires des membres, des contrôles d’accès aux zones sensibles ou sécurisées, de l’administration et de la gestion des systèmes TI, de l’imposition, du traitement des dépenses et des avantages sociaux des membres. De temps à autre et sous réserve des exigences locales, CGI peut offrir à ses membres une gamme d’avantages et de rabais préalablement négociés avec des tiers et peut communiquer des données à caractère personnel pertinentes à des organisations externes soigneusement sélectionnées pour pouvoir offrir ces avantages.

Sécurité d’entreprise et contrôle de la qualité – CGI met à disposition de ses membres un équipement numérique (des ordinateurs, des ordinateurs portables, des appareils mobiles, et des tablettes) qui leur permettent d’accéder à Internet, au courrier électronique, aux médias sociaux, à CGI Intranet et à divers outils et applications logicielles. En plus de cet équipement numérique, CGI peut également mettre à leur disposition des voitures et des espaces de travail (qui appartiennent à l’entreprise). CGI tient pour acquis que chaque membre agit de façon responsable et licite lorsqu’il utilise les biens de l’entreprise et qu’il respecte rigoureusement l’ensemble des codes de conduite applicables à cette pratique, notamment, mais sans s’y limiter, le Code d’éthique et de conduite professionnelle, la Politique de sécurité et d’utilisation acceptable et la politique régissant l’utilisation des logiciels tiers. Pour des raisons de sécurité, CGI peut surveiller ses locaux à l’aide de caméras. CGI peut avoir des raisons valables et juridiquement justifiables de surveiller l’utilisation et le trafic des équipements et appareils numériques utilisés par ses membres, en tenant compte des exigences de surveillance et de la préservation de la vie privée de ses membres. Au besoin, une enquête peut être menée, mais uniquement pour des motifs raisonnables et dans un contexte clairement circonscrit. Le cas échéant, le service de Sécurité mondiale de CGI sera automatiquement appelé à y participer dans le respect des processus d’enquête et de signalement des incidents de sécurité. La surveillance et l’enregistrement de l’historique d’utilisation d’Internet et de la correspondance par courriel à l’échelle de l’organisation ne peuvent être mis en œuvre qu’après consultation avec le comité d’entreprise.

Finances, fusions et acquisitions – De temps à autre, CGI achète, vend et/ou cède des sociétés affiliées, des actifs commerciaux, des instruments financiers, des ententes financières et des contrats. Dans le cadre de ces transactions, opérations et accords, CGI peut transmettre des données à caractère personnel pertinentes à des acheteurs potentiels, vendeurs, conseillers et organismes de réglementation (y compris pour les déclarations réglementaires aux autorités gouvernementales pertinentes), sous réserve des obligations de confidentialité et des restrictions juridiques locales qui s’appliquent.

Exigences liées à la réglementation, aux associations professionnelles et aux adhésions – CGI peut traiter les données à caractère personnel des membres et les transférer à des organismes de réglementation, à des autorités gouvernementales et à des organisations professionnelles, commerciales ou industrielles pertinentes, eu égard aux demandes et aux renouvellements d’adhésion, aux exigences réglementaires (y compris les exigences de déclaration en matière de sécurité, de réglementation et d’obligations juridiques), aux normes professionnelles, etc.

Santé, sécurité, droit et assurance – CGI peut traiter des données à caractère personnel et les transférer à des tiers appropriés (y compris les gestionnaires d’installations de CGI, les organisateurs d’événements, les assureurs, les conseillers et les partenaires d’affaires) afin de se conformer aux exigences en matière de santé, de sécurité, de réglementation, d’assurance, de voyage et de gestion des urgences.

Conformité aux exigences juridiques locales et aux pratiques convenues – CGI peut traiter des données à caractère personnel et les transférer à d’autres entités de CGI Inc. et/ou à des tiers appropriés lorsque la législation locale l’exige ou le permet, ou lorsque des pratiques locales ont été convenues avec les membres, les représentants des employés, les responsables de la protection des données et/ou le

4.2 Données à caractère personnel de nos clients

Lorsque nous traitons les données à caractère personnel de nos clients, nous agissons en tant que sous- traitant et nous respectons les instructions dûment documentées des clients concernés ainsi que les finalités définies par ces clients, qui peuvent comprendre les suivantes :

Gestion de projets et de services clients dans des secteurs d’activité tels que les services bancaires, les services publics, le secteur manufacturier, les assurances, l’administration gouvernementale, le commerce de détail, les services aux consommateurs, la santé et les sciences de la vie, le transport et la logistique, l’industrie pétrolière et gazière ou l’industrie des communications et des médias. Le traitement de données à caractère personnel peut comprendre la saisie, la correction et la consolidation, le stockage, la tenue de registres et la sauvegarde, la gestion et l’analyse des données, la gestion des demandes individuelles, la gestion des applications et des infrastructures, le développement et les tests, la correspondance, l’administration déléguée, consolidée ou externalisée des systèmes informatiques, l’hébergement et la gestion, y compris le contrôle d’accès et l’audit, la gestion des actifs, le traitement des dépenses, le marketing et l’analyse de la recherche.

Lorsque nous agissons comme responsable du traitement, nous traitons les données à caractère personnel pour arriver aux finalités suivantes :

Gestion de la gouvernance, de l’exécution et de la clôture des projets et services clients, y compris les opérations de recrutement, la formation, la gestion des fournisseurs et des sous-traitants, la facturation, la production de rapports et les activités d’audit.

Communiqués de presse ou renseignements de marketing – Dans le cadre de nos communications d’entreprise et de la création ou la mise à jour des listes d’envoi connexes, il se peut que nous traitions les données à caractère personnel suivantes : le nom, l’adresse courriel, l’adresse et, le cas échéant, des renseignements supplémentaires tels que les numéros de téléphone. Ce traitement est effectué conformément aux points a) et f) de l’article 6 du RGPD, c’est-à-dire qu’il nécessite l’obtention du consentement de la personne concernée et qu’il doit être nécessaire aux fins des intérêts légitimes de CGI, soit l’efficacité et la pertinence des communications d’entreprise. Les données à caractère personnel sont conservées seulement aussi longtemps qu’il est nécessaire de le faire pour parvenir aux finalités relatives aux communications d’entreprise, ou seront supprimées avant l’atteinte de ces finalités si la personne concernée nous informe qu’elle ne souhaite plus recevoir de communications de CGI.

4.3 Données à caractère personnel relatives à d’autres personnes concernées

CGI peut également traiter des données à caractère personnel à propos d’autres personnes concernées (p. ex. demandeurs, visiteurs du site Web, contacts commerciaux/marketing, candidats potentiels, visiteurs des bureaux de CGI, etc.) aux finalités énumérées ci-dessous :

• planification et administration;
• ressources humaines et recrutement (incluant la vérification des antécédents lorsque cela est applicable);
• finances;
• sécurité et TI;
• communications et marketing;
• ingénierie d’affaires et opérations;
• affaires juridiques.

CGI agit généralement en tant que responsable du traitement dans le cadre de ces opérations de traitement, et tout tiers qui collabore avec CGI ou qui lui fournit des biens et/ou des services agit en tant que sous-traitant.

5 – Raisons de l’utilisation de données à caractère personnel

CGI ne traite les données à caractère personnel que lorsque cela est strictement nécessaire et applique des principes supplémentaires selon que CGI agit en tant que responsable du traitement ou en tant que sous- traitant.

5.1 Principes applicables lorsque CGI agit en qualité de responsable du traitement

Transparence, équité et légalité – CGI traite les données à caractère personnel des personnes concernées de façon légale, équitable et transparente, conformément aux exigences de la présente politique. Pour ce faire, CGI a recours à des avis de confidentialité indiquant de manière précise les renseignements nécessaires pour assurer le respect de la législation applicable sur la protection des données.

Détermination des finalités – Tout traitement de données à caractère personnel par CGI, en particulier la collecte, doit être précédé de la détermination des finalités précises pour lesquelles il est exécuté. Ces finalités doivent être explicites et légitimes. Les données à caractère personnel ne peuvent pas être traitées ultérieurement d’une manière qui est incompatible avec ces finalités.

Minimisation des données – Une fois que les finalités du traitement des données à caractère personnel auront été déterminées, CGI ne collectera que les données à caractère personnel nécessaires au regard des finalités à atteindre. Les détails de tout traitement de données à caractère personnel doivent être examinés au cours des phases préliminaires de conception de la solution et inclus dans le processus d’examen et d’approbation de la protection des données personnelles et de sécurité, ou encore être examinés de manière à s’assurer que les données à caractère personnel sont adéquates, pertinentes et limitées à ce qui est nécessaire pour atteindre les finalités pour lesquelles elles sont traitées.

Qualité des données à caractère personnel – Tout au long du cycle de vie de tout traitement des données à caractère personnel, CGI s’assure que les données à caractère personnel collectées demeurent exactes et tenues à jour. Elle veille à prendre toutes les mesures raisonnables pour que les données à caractère personnel inexactes soient effacées ou corrigées sans tarder, y compris, sans s’y limiter, au moyen d’options de libre-service offertes aux personnes concernées. CGI fournit notamment des moyens adéquats aux personnes concernées pour informer CGI en cas de modification de leurs données à caractère personnel.

Limitation de la conservation des données – CGI ne conserve pas les données à caractère personnel au- delà de la période nécessaire à l’atteinte des finalités pour lesquelles elles ont été collectées. Par conséquent, CGI détermine la durée de conservation appropriée avant la mise en œuvre du traitement des données. Pour ce faire, CGI évalue la période pendant laquelle les données à caractère personnel sont nécessaires aux fins du traitement, tout en tenant compte des facteurs suivants :

• la durée au-delà de laquelle la conservation des données à caractère personnel peut avoir une incidence sur le droit à l’oubli des personnes concernées;
• toute obligation légale imposant une période minimale de conservation des données, comme définie dans la Politique de conservation des documents et le calendrier de conservation des documents de CGI ou autrement.

Définition de la base légale – Outre les principes susmentionnés, tout traitement de données ne peut être effectué que dans l’une des circonstances énoncées ci-dessous ou à l’article 5.3 de la présente politique :

• il est nécessaire pour la conformité à une obligation légale applicable à CGI, p. ex. pour la déclaration de données aux autorités fiscales [art. 6, par. 1, pt c) du RGPD];
• il est nécessaire à l’exécution d’un contrat, p. ex. une entente de services avec un client ou une entente avec un comité d’entreprise [art. 6, par. 1, pt b) et art. 88, par. 1 du RGPD];
• il est nécessaire pour l’intérêt légitime de CGI, étant entendu que cet intérêt légitime de CGI doit être évalué par rapport aux intérêts des personnes concernées [art. 6, par. 1, pt f) du RGPD] :
  • le traitement des données est nécessaire pour l’atteinte des finalités poursuivies par CGI sans nuire à l’intérêt ou à la protection des données à caractère personnel de la personne concernée;
  • les droits ou les intérêts fondamentaux de la personne concernée ne prévalent pas sur les intérêts de CGI;
  • les intérêts de CGI seront déterminés en fonction des activités de CGI, mais devront se conformer de manière transparente à toute législation applicable sur la protection des données;
• il est nécessaire à l’intérêt vital de la personne concernée [art. 6, par. 1, pt d) du RGPD];
• il est nécessaire à l’exécution d’une mission d’intérêt public [art. 6, par. 1, pt e) du RGPD].

Si aucun des fondements juridiques définis ci-dessus ne s’applique, CGI demandera et conservera le consentement préalable des personnes concernées [art. 6, par. 1, pt a) du RGPD] avant le traitement de leurs données à caractère personnel, étant entendu que le consentement des personnes concernées est valide lorsqu’il (i) est donné librement par un acte positif clair; et (ii) représente une indication précise, éclairée et univoque de l’accord de la personne concernée pour le traitement de ses données à caractère personnel.

Mesures techniques et organisationnelles – CGI mettra en œuvre des mesures techniques et organisationnelles appropriées pour prévenir la consultation et le traitement illicites des données à caractère personnel, y compris la destruction, la perte, l’altération et la divulgation accidentelles ou frauduleuses des données à caractère personnel transmises, conservées ou autrement traitées. Plus particulièrement, CGI accorde l’accès aux données à caractère personnel seulement lorsqu’il est nécessaire à l’accomplissement des tâches assignées conformément aux finalités définies pour le traitement des données à caractère personnel.

Lorsque CGI fait appel à un tiers pour procéder au traitement pour son compte, CGI s’assure que des mesures équivalentes sont mises en place par ce tiers dans le cadre d’ententes contractuelles. En cas d’accès ou de traitement illicite, CGI se conforme à sa politique de sécurité de l’information et aux procédures connexes.

Analyse d'impact relative à la protection des données (AIPD) – CGI est responsable de contrôler la conformité du traitement des données à la législation applicable sur la protection des données. Lorsqu’un type de traitement utilisant notamment les nouvelles technologies est susceptible d’entraîner un risque élevé pour la protection des données des personnes concernées, en tenant compte de sa nature, de sa portée, du contexte et de sa finalité, CGI met en œuvre une procédure d’analyse d’impact relative à la protection des données qui lui permet :

• de déterminer quel traitement présente un risque particulier pour la protection des données à caractère personnel;
• d’évaluer le degré de conformité aux principes de traitement prévus par la législation applicable sur la protection des données;
• d’évaluer le degré de gravité des risques associés au traitement ou la probabilité qu’ils se concrétisent;
• de déterminer les mesures correctives à mettre en œuvre de façon à ce que les données à caractère personnel soient traitées conformément à la législation applicable sur la protection des données et de manière à atténuer les risques. Si, après avoir pris des mesures pour atténuer le risque, le risque pour les personnes concernées demeure élevé, et si la législation applicable sur la protection des données l’exige, l’autorité de contrôle compétente sera consultée préalablement au démarrage du traitement concerné.

Pour respecter notre obligation de responsabilité conformément au paragraphe 2 de l’article 5 du RGPD, tout document d’analyse d’impact relative à la protection des données sera conservé pendant toute la durée du traitement des données auquel il s’applique.

5.2 Principes applicables lorsque CGI agit en qualité de sous-traitant

CGI s’assure de traiter les données à caractère personnel uniquement en conformité avec les instructions du responsable du traitement.

Plus particulièrement, le traitement des données devra être effectué :

• pour les seules finalités exprimées par le responsable du traitement;
• dans le respect des conditions convenues entre CGI et le responsable du traitement;
• dans le respect de la durée de conservation expressément définie par le responsable du traitement;
• conformément aux instructions documentées énoncées dans l’entente de traitement des données conclue entre CGI et le responsable du traitement.

Le responsable du traitement est seul responsable de s’assurer que le traitement des données effectué par CGI repose sur des fondements juridiques valables et que la législation applicable sur la protection des données est respectée, y compris la durée de conservation prescrite. Toutefois, CGI est tenue d’informer rapidement le responsable du traitement si, selon elle, une des instructions du responsable du traitement constitue une violation de la législation applicable sur la protection des données.

Sauf instruction contraire de la part du responsable du traitement, CGI applique (à tout le moins) les mêmes exigences de base en matière de sécurité que lorsqu’elle agit en qualité de responsable du traitement.

CGI fournit une aide raisonnable au responsable du traitement afin d’assurer le respect de ses obligations en vertu de la législation applicable sur la protection des données. L’aide que CGI fournit au responsable du traitement à des fins de conformité en vertu de la présente section est assujettie aux conditions financières, techniques et organisationnelles convenues entre CGI et le responsable du traitement dans le contrat pertinent. À l’expiration de l’entente de traitement des données, CGI et tous les tiers engagés par CGI doivent détruire ou retourner au client toutes les données à caractère personnel conformément à ses instructions et à la législation applicable sur la protection des données. En cas de destruction des données, CGI certifie au responsable du traitement qu’une telle suppression a eu lieu. En cas de remise des données au client, CGI assure la confidentialité des données à caractère personnel transférées au responsable du traitement en se conformant aux instructions du client.

Pour éviter toute ambiguïté, il est entendu que rien dans la présente Politique de protection des données personnelles ne limite le droit de CGI de conserver des données à caractère personnel dans le cas d’un litige existant ou de déposer ou de défendre des réclamations futures, conformément aux lois de prescription applicables à CGI.

5.3 Principes de CGI pour le Traitement des Données personnelles sensibles

Lorsqu’elle agit à titre de responsable du traitement, CGI traite les données sensibles uniquement si cela est strictement nécessaire.

Dans un tel cas, CGI doit s’assurer qu’au moins une des conditions suivantes est remplie :

• la personne concernée a donné son consentement préalable [art. 9, par. 2, pt a) du RGPD];
• le traitement est nécessaire aux fins de l’exécution des obligations et de l’exercice des droits propres au responsable du traitement ou à la personne concernée en matière de droit du travail, de la sécurité sociale et de la protection sociale [art. 9, par. 2, pt b) du RGPD];
• si la personne concernée n’est pas en mesure de donner son consentement (p. ex. pour des raisons médicales), le traitement est nécessaire pour protéger l’intérêt vital de la personne concernée ou d’une autre personne [art. 9, par. 2, pt c) du RGPD];
• le traitement est requis dans le cadre de la médecine préventive ou du diagnostic médical par un professionnel de la santé en vertu de la législation locale [art. 9, par. 2, pt h) du RGPD];
• la personne concernée a déjà manifestement rendu publiques les données sensibles pertinentes
• [art. 9, par. 2, pt e) du RGPD];
• le traitement est essentiel dans la constatation, l’exercice ou la défense d’un droit en justice, pourvu qu’il n’y ait aucune raison de présumer que la personne concernée a un intérêt légitime supérieur à s’assurer que ces données sensibles ne soient pas traitées [art. 9, par. 2, pt f) du RGPD];
• le traitement est explicitement autorisé par une législation locale (art. 9, par. 4 du RGPD, conjointement avec la législation locale), p. ex. pour le recensement ou la protection des groupes minoritaires.

Lorsque CGI agit en tant que sous-traitant et est tenue de traiter des données sensibles, elle doit suivre les instructions écrites du responsable du traitement et appliquer les mesures convenues entre les parties, lesquelles doivent au moins être équivalentes aux exigences de base en matière de sécurité de CGI.

Le responsable du traitement doit assurer que le traitement des données effectué par CGI repose sur des fondements juridiques valables.

Dans tous les cas, CGI traite les données sensibles conformément à la législation applicable sur la protection des données et respecte les conditions précises d’hébergement et de traitement des données.

5.4 Protection des données « dès la conception » et « par défaut »

Comme le démontrent les engagements pris dans le cadre de la présente politique, CGI s’engage à fournir le niveau de protection approprié pour les données à caractère personnel qu’elle traite. Afin de s’assurer que les principes énoncés dans la présente politique sont effectivement pris en compte lorsque CGI traite des données à caractère personnel, CGI identifie et traite toute contrainte liée à la protection des données au début d’un nouveau projet afin que les principes contenus dans la présente politique soient reflétés dans la conception du projet et mis en œuvre de manière appropriée.

Lorsque CGI agit en qualité de sous-traitant, l’organisation interne responsable de la protection des données à caractère personnel doit examiner et approuver les aspects liés à la protection des données à caractère personnel de l’offre de service ou des services élaborés pour un client. Lorsque CGI agit en qualité de responsable du traitement, l’organisation interne responsable de la protection des données à caractère personnel doit approuver tout nouveau projet interne de CGI avant le début de son développement et sa mise en œuvre ultérieure.

6 - Gestion des violations et des incidents concernant les données

6.1 Gestion des incidents

CGI dispose d’un processus de gestion et d’intervention mature et basé sur des normes, conçu pour traiter toutes les phases d’un incident de sécurité. Les responsabilités des membres sont clairement définies à tous les niveaux. Les normes d’évaluation et de priorisation des incidents sont suivies pour assurer des niveaux d’engagement appropriés et une résolution rapide. Les dossiers d’incidents sont conservés et communiqués à la direction générale, le cas échéant. Les incidents hautement prioritaires sont gérés par le Centre mondial des opérations de sécurité (SOC) de CGI, ouvert 24 heures sur 24 et 7 jours sur 7, où des professionnels hautement qualifiés sont sur place en tout temps pour coordonner les efforts d’intervention. L’organisation interne responsable de la protection des données à caractère personnel est immédiatement impliquée dans le processus de gestion des incidents lorsqu’on soupçonne que des données à caractère personnel ont été compromises.

6.2 Notification de violation des données à caractère personnel

Si, en agissant en qualité de responsable du traitement ou de sous-traitant, CGI a des motifs raisonnables de croire qu’une atteinte à la sécurité pouvant avoir entraîné la destruction, la perte, l’altération, la divulgation ou la consultation accidentelle ou frauduleuse des données à caractère personnel transmises, stockées ou autrement traitées s’est produite ou risque de s’être produite, CGI fournira un avis d’incident de sécurité et des mises à jour de statut à l’autorité de protection des données compétente, aux personnes concernées et/ou au responsable du traitement, comme l’exigent la législation applicable sur la protection des données et toute autre loi locale en vigueur./p>

De même, et par souci de clarté, dans l’éventualité où une violation des données à caractère personnel est constatée par un tiers engagé par CGI, ce dernier devra en informer CGI comme convenu dans l’entente pertinente.

7 – Partage de données à caractère personnel

Dans le cadre de ses activités, il se peut que CGI recueille des données à caractère personnel et les divulgue aux entités suivantes :

• entités juridiques de CGI s’il est possible que la personne concernée puisse bénéficier de notre gamme complète de solutions et de services dans le cadre de notre modèle mondial de prestation de services;
• tiers engagés par CGI qui fournissent des biens à CGI ou qui dispensent des services en son nom (p. ex. fournisseurs, sous-traitants et travailleurs autonomes);
• membres de certaines professions réglementées (p. ex. banquiers, avocats, notaires et auditeurs).

CGI peut divulguer des données à caractère personnel si cette action s’avère raisonnablement nécessaire à la protection des droits de CGI et à l’exercice de tout recours à sa disposition pour faire respecter les conditions générales, enquêter sur une fraude ou protéger ses activités ou ses utilisateurs.

CGI peut également divulguer des données à caractère personnel aux autorités administratives, judiciaires ou gouvernementales et à des agences ou organismes publics, strictement en accord avec la législation applicable sur la protection des données et les lois locales, et après un examen approfondi de la recevabilité de toute ordonnance de divulgation de données. CGI contestera une telle ordonnance si les lois du pays concerné le permettent et avisera la personne concernée d’une ordonnance potentielle conformément à la législation locale.

8 – Transfert de données à caractère personnel

Le transfert des données à caractère personnel de l’UE concerne les données à caractère personnel de citoyens de l’Union Européenne ou de Personnes concernées se trouvant dans l’Union Européenne qui sont traitées (par exemple, consultées, envoyées, utilisées, visualisées, copiées ou supprimées) dans un pays tiers en dehors de l’EEE.

8.1 Au sein de CGI

Lorsqu’elle agit à titre de responsable du traitement ou de sous-traitant, CGI transférera les données à caractère personnel de l’UE conformément à la législation applicable sur la protection des données et à ses règles contraignantes d’entreprise, approuvées en vertu du RGPD par l’autorité française de contrôle le 22 juillet 2021. Par conséquent, les droits de la personne concernée demeurent les mêmes, peu importe où ses données à caractère personnel sont traitées.

Pour en savoir davantage sur les règles contraignantes d’entreprise de CGI, veuillez consulter le registre du Comité européen de la protection des données ou les Règles d’Entreprise Contraignantes sur CGI.com.

Lorsque CGI agit à titre de sous-traitant, le consentement préalable spécifique ou général précisant le mécanisme de transfert convenu (art. 44 et suivants du RGPD) doit être fourni par écrit par le responsable du traitement avant que le transfert puisse être amorcé.

Les transferts de données à caractère personnel de résidents non européens se font conformément à la législation applicable sur la protection des données.

8.2 À des tiers

Chaque fois que CGI fait appel à des tiers pour traiter des données à caractère personnel, CGI s’assure que ces tiers fournissent un niveau de protection adéquat pour les données à caractère personnel qu’ils traitent, conformément à la législation applicable sur la protection des données. Avant de conclure une entente de traitement de données, CGI effectue une revue diligente et des évaluations des risques liés à la protection des données et à la sécurité auprès de tous tiers afin d’établir leurs capacités et leur maturité en matière de sécurité et de protection des données, conformément à l’article 28, paragraphe 3 du RGPD ou à l’article 26 du RGPD, le cas échéant. Lorsqu’un transfert concerne des pays situés à l’extérieur de l’UE et de l’EEE, une entente relative au mécanisme de transfert (art. 44 et suivants du RGPD) sera conclue.

9 – Droits des personnes concernées et exercice de ces droits

En vertu de la législation applicable sur la protection des données, les personnes concernées disposent de plusieurs droits. Elles peuvent notamment demander d’accéder à leurs données à caractère personnel détenues par CGI et/ou demander d’obtenir des informations sur la manière dont CGI traite leurs données à caractère personnel. Si vous avez des requêtes concernant le traitement de vos données à caractère personnel, veuillez envoyer une demande formelle à privacy@cgi.com ou remplir le formulaire en ligne.

Lorsqu’elle agit en qualité de sous-traitant, CGI fournit aux clients, sur demande, les renseignements pertinents leur permettant de respecter leurs propres obligations envers les personnes concernées. Sauf indication contraire dans une entente contractuelle, CGI n’est pas tenue d’informer directement les personnes concernées, car cette responsabilité incombe au responsable du traitement.

Conformément à la législation applicable sur la protection des données à caractère personnel, lorsque CGI agit en tant que responsable du traitement, les personnes concernées disposent généralement des droits suivants :

• accéder à une copie de leurs données à caractère personnel et en conserver une copie;
• demander la rectification ou l’effacement de toute donnée à caractère personnel inexacte ou incomplète;
• s’opposer, pour motif raisonnable et en tout temps, au traitement de leurs données à caractère personnel, sauf si un tel traitement est exigé par la législation applicable sur la protection des données à caractère personnel ou toute législation locale;
• limiter le traitement lorsque leurs données à caractère personnel ne sont plus exactes ou nécessaires;
• recevoir leurs données à caractère personnel dans un format structuré, couramment utilisé et lisible par une machine;
• retirer leur consentement au traitement de leurs données à caractère personnel.

CGI agit conformément à la législation applicable sur la protection des données et aux autres obligations légales et contractuelles pertinentes lors de la recherche et de la communication des données à caractère personnel pertinentes. CGI demande aux sous-traitants qui traitent des données à caractère personnel de faire de même. CGI peut avoir besoin de poser des questions supplémentaires aux personnes concernées pour préciser leurs données à caractère personnel ou pour vérifier leur identité.

Lors de la résiliation d’un contrat d’emploi pour quelque motif que ce soit, CGI conserve les données à caractère personnel des anciens employés durant la période permise conformément aux lois et règlements applicables et nécessaire à la fourniture des avantages et services continus appropriés (p. ex. administration des régimes d’achat d’actions et de retraite).

10 – Conformité à la politique

10.1 Conformité des membres

Chaque année, les membres reconnaissent leurs obligations et acceptent de se conformer à la présente politique. De plus, ils doivent se conformer aux autres obligations applicables en matière de confidentialité et de protection des données, y compris celles qui sont définies dans la législation applicable sur la protection des données, leurs contrats de travail et les politiques, processus et normes de CGI ou les instructions du client.

Les membres doivent suivre l’ensemble des programmes de formation et de sensibilisation obligatoires de CGI en matière de confidentialité. Ces programmes comprennent notamment des formations obligatoires en ligne sur la confidentialité des données, la sécurité de l’information, la lutte contre la corruption et la gestion des documents, des campagnes de communication, et des formations spécifiques adaptées aux différentes fonctions au sein de l’organisation.

Ces formations et programmes de sensibilisation sont régulièrement mis à jour pour refléter les changements apportés à la législation applicable sur la protection des données.

CGI tient à jour une page dédiée à la protection des données à caractère personnel sur l’intranet de CGI où les politiques, les normes, les directives, l’information et autre documentation liées au programme mondial de protection des données à caractère personnel sont mis à la disposition de tous les membres.

Dans la mesure autorisée par la loi, toute violation de cette Politique de protection des données à caractère personnel peut se traduire par des mesures administratives et disciplinaires de la part de CGI (y compris des amendes, une suspension ou une cessation d'emploi).

10.2 Conformité relative aux tiers

Dans le cas où un tiers traite des données à caractère personnel pour le compte de CGI, ce tiers doit :

• s’assurer que le personnel qui a accès à des renseignements confidentiels de CGI et traite des données à caractère personnel au nom de CGI suit l’ensemble des formations obligatoires en matière de conformité (y compris les formations en ligne sur la sensibilisation à la sécurité et à la protection des données à caractère personnel) dans les 30 jours suivant l’entrée en vigueur de l’entente de services signée avec CGI;
• respecter la présente politique ainsi que les normes et politiques de sécurité de CGI, en plus des contrôles de sécurité prévus aux ententes contractuelles entre CGI et ses clients et/ou partenaires;
• traiter les données à caractère personnel conformément aux instructions documentées par CGI et à aucune autre fin que celle expressément définie par écrit par CGI, à moins d’y être forcé en vertu d’une obligation juridique. Dans un tel cas, le tiers doit informer CGI immédiatement de cette obligation juridique avant de procéder au traitement;
• mettre en œuvre et maintenir les mesures techniques, organisationnelles et contractuelles appropriées pour assurer un niveau adéquat de protection des données à caractère personnel, et pour prévenir tout traitement non autorisé ou illégal de données à caractère personnel ainsi que toute perte ou destruction de telles données et tout dommage. Ces mesures doivent i) tenir compte des normes les plus élevées et des risques posés par les activités de traitement; ii) être conçues pour mettre en œuvre les principes de protection des données d’une manière efficace et prévoir les mesures de protection nécessaires afin que les activités de traitement respectent les exigences de la législation applicable sur la protection des données;
• aviser CGI, dans la mesure prévue par la loi, de toute demande de divulgation de données à caractère personnel en provenance d’un tiers, d’une autorité publique ou d’un tribunal, ainsi que de toute action et/ou mesure concernant le traitement de données à caractère personnel lié à CGI faisant l’objet d’une enquête de la part des autorités;
• se conformer à toute demande d’accès, de rectification, de blocage, de restauration, d’effacement ou d’opposition relative aux données à caractère personnel de CGI et assurer la portabilité et le respect du droit à l’oubli concernant les données à caractère personnel de CGI;
• aviser immédiatement CGI de tout changement pouvant avoir une incidence sur le traitement des données à caractère personnel de CGI;
• collaborer activement avec CGI pour évaluer et documenter la conformité du traitement des données à caractère personnel de CGI, en lui communiquant notamment toute information dont elle pourrait avoir besoin ou nécessaire à la satisfaction des exigences de la législation applicable sur la protection des données (y compris toute information requise pour l’évaluation de l’impact du transfert de données);
• informer immédiatement CGI par écrit si, à son avis, une instruction de CGI concernant le traitement des données à caractère personnel constitue une violation de la législation applicable sur la protection des données.

10.3 Cadre de protection des données (« Data Privacy Framework » ou DPF) Union européenne-États-Unis (UE-EU), l'extension britannique et le DPF Suisse-États-Unis

Conformément à l'approbation accordée par le département du Commerce des États-Unis, les entités juridiques suivantes de CGI sont autocertifiées en vertu du DPF UE-US, de l'extension britannique et du DPF Suisse-US :

• CGI Technologies and Solutions Inc.
• CGI Information Systems and Management Consultants (New York) Inc.
• Groupe CGI Holdings USA Inc.
• Accounts Receivable Automated Solutions Inc.

Ces cadres de protection des données fournissent aux entités juridiques de CGI susmentionnées des mécanismes fiables pour les transferts de données à caractère personnel aux États-Unis à partir de l'Union européenne, du Royaume-Uni et de la Suisse, tout en garantissant une protection des données à caractère personnel conforme à la législation applicable de l'UE, du Royaume-Uni et de la Suisse en matière de protection des données à caractère personnel.

CGI se conforme au cadre de protection des données EU-U.S. et ses extensions britannique et suisse, tel qu'établis par le département du Commerce des États-Unis. CGI a certifié au département américain du Commerce qu'elle adhère aux principes du cadre de protection des données UE-US en ce qui concerne le traitement des données à caractère personnel reçues de l'Union européenne et du Royaume-Uni en vertu du DPF UE-US et de l'extension britannique. CGI a certifié au département du Commerce des États-Unis qu'elle adhère aux principes du cadre de protection des données Suisse-États-Unis en ce qui concerne le traitement des données à caractère personnel reçues de la Suisse en vertu du DPF Suisse-États-Unis. En cas de conflit entre les termes de la présente politique de protection des données à caractère personnel et les principes du DPF UE-US et/ou les principes du DPF Suisse-États-Unis, ces derniers prévaudront.

Pour en savoir plus sur le programme du cadre de protection des données (DPF) et pour consulter notre certification, veuillez consulter le site https://www.dataprivacyframework.gov/.

La Federal Trade Commission est compétente en matière de conformité de CGI au DPF UE-US et à l'extension britannique, ainsi qu'au cadre de protection des données Suisse-États-Unis

Dans le cadre d'un transfert ultérieur, CGI est responsable du traitement des données à caractère personnel qu'elle reçoit en vertu des principes du DPF et qu'elle transfère par la suite à un tiers agissant pour son compte. CGI demeure responsable en vertu des principes du DPF si un tiers engagé par CGI traite ces données à caractère personnel d'une manière incompatible avec les principes du DPF, à moins que CGI ne prouve qu'elle ne soit pas responsable du fait ayant donné lieu au dommage.

Les personnes concernées peuvent, sous certaines conditions, recourir à un arbitrage contraignant pour les plaintes concernant le respect du DPF qui ne sont pas résolues par l'un des autres mécanismes du DPF, tels que détaillés dans l'ANNEXE I du DPF.

11 – Registre des activités de traitement

CGI tient un registre des activités de traitement qu’elle effectue en tant que responsable du traitement et de sous-traitant. CGI s’assure que tout nouveau traitement des données à caractère personnel y est consigné, notamment les informations pertinentes concernant le contexte de chaque traitement des données à caractère personnel. Elle doit mettre le registre des activités de traitement à la disposition de l’autorité de contrôle sur demande.

12 – Modifications à la présente politique

La présente politique peut être modifiée de temps à autre pour se conformer à la législation applicable sur la protection des données. CGI doit s’assurer que les personnes concernées sont promptement informées de tout changement important apporté à la politique au moyen d’une « mise à jour » publiée sur CGI.com, ou communiquée par courriel ou par tout autre moyen de communication approprié. Si vous souhaitez recevoir une mise à jour sur l’état de la politique, veuillez nous faire parvenir votre demande en écrivant à privacy@cgi.com.

13 – Organisation interne responsable de la protection des données à caractère personnel

CGI a désigné un chef de la protection des données personnelles qui supervise la stratégie mondiale de CGI en matière de protection des données, les politiques et procédures de protection des données mises en œuvre à l’échelle de l’entreprise, et la conformité réglementaire en matière de protection des données. Elle a aussi formé un réseau de partenaires d’affaires en protection des données, et nommé des responsables de la protection des données lorsque la législation applicable sur la protection des données l’exige.

14 – Questions et recours

14.1 Questions

En cas de questions concernant l’interprétation ou l’application de cette politique, veuillez envoyer un e-mail privacy@cgi.com ou contactez le Chef de la protection des données de CGI à Carré Michelet, 10-12 Cours Michelet, 92800 Puteaux, France.

14.2 Mécanisme de recours indépendant

Si votre question n’est pas résolue en contactant l’Équipe en charge de la protection des données de CGI ou si vous pensez avoir des preuves de comportement répréhensible pouvant nuire à CGI, à ses membres, à ses clients ou à ses actionnaires, vous pouvez contacter la ligne d’éthique de CGI..

14.3 Les autorités de protection des données

Si vous avez besoin d’assistance de la part de toute autorité compétente en matière de protection des données, veuillez contacter l’autorité pertinente en utilisant les ressources utiles ci-dessous :

• Canada
• États membres de l’UE/ EEE
• la Commission fédérale du commerce (FTC) des États-Unis
• Inde
• Malaisie
• Philippines
• Québec
• le Préposé fédéral à la protection des données et à la transparence de la Suisse
• le bureau du Commissaire à l’information du Royaume-Uni (ICO) ou l’Autorité de régulation de Gibraltar (GRA)

14.4 Tribunal de révision de la protection des données

Conformément au cadre de protection des données Union européenne-États-Unis (DPF UE-US) validé par la Commission européenne le 10 juillet 2023, le Tribunal de révision de la protection des données constitue le deuxième niveau d’un mécanisme de recours à deux niveaux qui prévoit l’examen des plaintes admissibles déposées par les individus, auprès des autorités publiques compétentes dans les pays étrangers désignés ou les organisations d’intégration économique régionale désignées, pour des plaintes alléguant certaines violations des lois américaines relatives aux activités de renseignement des États-Unis.

***