Règles d’Entreprise Contraignantes

Les présentes Règles d’Entreprise Contraignantes (BCR-C) s’appliquent lorsque CGI agit en tant que Responsable du Traitement ainsi que lorsque CGI agit en tant que Sous-Traitant pour le compte de CGI, ainsi qualifié de Sous-Traitant Interne.

Télécharger BCR-C

1 – Définitions

Aux fins des présentes Règles d’Entreprise Contraignantes en tant que Responsable de Traitement (BCR-C), les définitions suivantes s’appliquent.

« Législation Applicable en matière de Protection des Données » désigne i) le Règlement Général sur la Protection des Données (RGPD – règlement européen n^o 2016/679) relatif au Traitement des Données à Caractère Personnel, à compter de son entrée en vigueur et ii) toute loi d’exécution du RGPD.

« CGI » désigne, selon le cas, une, plusieurs ou toutes les entités juridiques participantes contrôlées ou détenues par CGI inc., ainsi que les unités d’affaires stratégiques et les unités d’affaires  agissant en leur nom, qui Traitent des Données à Caractère Personnel et pour lesquelles l’adhésion aux présentes BCR-C n’enfreint ni ne contrevient aux lois, règlements, textes législatifs, ordonnances, normes obligatoires ou engagements contraignants. Les entités de CGI participantes sont énumérées à l’Annexe A. Cette liste peut être mise à jour de temps à autre.   

« Responsable du Traitement » désigne toute entité juridique qui, seule ou conjointement avec d’autres Responsables du Traitement , détermine les finalités et les moyens du Traitement des Données à Caractère Personnel. 

« Sous-Traitant » désigne toute entité juridique agissant  pour le compte d’un Responsable du Traitement.

« Personne Concernée » désigne une personne physique identifiée ou identifiable dont les Données à Caractère Personnel sont Traitées par CGI, comprenant tout Membre CGI, conseiller externe de CGI, ou employés ou utilisateurs finaux d’un client de CGI.

« Espace Economique Européen » ou « EEE » désigne les pays membres de l’Union Européenne

(Allemagne, Autriche, Belgique, Bulgarie, Chypre, Croatie, Danemark, Espagne, Estonie, Finlande, France, Grèce, Hongrie, Irlande, Italie, Lettonie, Lituanie, Luxembourg, Malte, Pays-Bas, Pologne, Portugal, République tchèque, Roumanie, Slovaquie, Slovénie et Suède), ainsi que l’Islande, le Liechtenstein et la Norvège, ci-après dénommé également « Etats Membres ».

« RGPD » désigne le Règlement Européen n^o 2016/679 intitulé Règlement Général sur la Protection des Données.

« Sous-Traitant Interne » désigne toute entité CGI listée en Annexe A qui agit en qualité de Sous-Traitant pour le compte d’une autre entité CGI listée en Annexe A agissant en qualité de Responsable de Traitement.

« Législation Locale » a le sens attribué à la Section 13.5 du présent document.

« Membre », « Membres » désigne les employés de CGI

« Données à Caractère Personnel » désigne toute information relative à une Personne Concernée qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne ou à un ou plusieurs éléments propres à l’identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale de cette personne physique. Les Données à Caractère Personnel comprennent les Données à Caractère Personnel Sensibles. 

« Traiter », « Traitement » ou « Traité(e)s » désigne toute opération ou tout ensemble d’opérations effectuées sur des Données à Caractère Personnel que ce soit ou non par des procédés automatisés, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation, la modification, l’extraction, la consultation (y compris par accès à distance), l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction. 

« Données à Caractère Personnel Sensibles » désigne des catégories particulières de Données à Caractère

Personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, les croyances religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le Traitement de données génétiques ou biométriques dans le but d’identifier de façon unique une personne physique, des données concernant la santé et des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique. 

« Tiers » désigne les fournisseurs et les sous-traitants de CGI, ainsi que toute autre entité ou organisme public pour lesquels les Données à Caractère Personnel peuvent être communiquées. 

« Transfert de Données à Caractère Personnel » désigne le transfert de Données à Caractère Personnel situées dans l’Espace Economique Européen (EEE) vers un pays situé à l’extérieur de l’EEE.

2 – Champ d’application 

2.1 Activités concernées

Les présentes Règles d’Entreprise Contraignantes (BCR-C) s’appliquent lorsque CGI agit en tant que Responsable du Traitement ainsi que lorsque CGI agit en tant que Sous-Traitant pour le compte de CGI, ainsi qualifié de Sous-Traitant Interne. 

Les types de Traitement, les Personnes Concernées et la nature et les catégories de Données à Caractère Personnel visées par ces BCR-C sont énoncées à l’Annexe B.

2.2 Territoires concernés

Les principes mentionnés aux présentes s’appliquent au Transfert de Données à Caractère Personnel dans les cas suivants : 

• de CGI au sein de l’EEE vers CGI à l’extérieur de l’EEE; 
• de CGI à l’extérieur de l’EEE vers CGI au sein ou à l’extérieur de l’EEE, mais seulement dans la mesure où les Données à Caractère Personnel des Personnes Concernées au sein de l’EEE sont Traitées;
• de CGI au sein de l’EEE vers des Tiers à l’extérieur de l’EEE;
• des Tiers à l’extérieur de l’EEE vers CGI au sein de l’EEE, mais seulement dans la mesure où les Données à Caractère Personnel des Personnes Concernées au sein de l’EEE sont Traitées.

3 – Respect des Règles d’Entreprise Contraignantes  

3.1 Responsabilité de CGI

Les présentes BCR-C sont contraignantes pour CGI, ainsi que pour toutes les entités juridiques participantes de CGI énumérées à l’Annexe A. 

Chaque entité de CGI énumérée à l’Annexe A, agissant en tant que Responsable du Traitement ou SousTraitant Interne, a la responsabilité de démontrer sa conformité à ces BCR-C.

3.2 Conformité des Membres

Tous les Membres (employés) de CGI sont liés par ces BCR-C au travers de leur devoir, dans tous les contrats de travail, de se conformer aux obligations de confidentialité et de protection des données personnelles ainsi qu’aux politiques, processus et normes de CGI, tel que prévu dans le Code d’Ethique de CGI. Chaque année, les Membres de CGI prendront connaissance de ces BCR-C, si applicable, avec le Code d’Ethique.

Ainsi que détaillé aux Sections 13.1 et 14 des BCR-C, les Membres CGI sont au fait des BCR par le biais de formation et de communication interne. Les Membres CGI ont aussi connaissance que la non-conformité avec le Code d’Ethique, et dans ce cas spécifique les BCR-C, peut entrainer des sanctions conformément aux législations locales applicables.

3.3 Conformité relative aux fournisseurs et sous-traitants de CGI et des autres Tiers

Tout Tiers qui Traite des Données à Caractère Personnel pour le compte de CGI est tenu de mettre en œuvre des mesures organisationnelles appropriées pour assurer la conformité aux principes et aux exigences des présentes BCR-C.

Une entité de CGI, agissant en tant que Responsable du Traitement ou Sous-Traitant Interne n’autorise pas d’autres entités de CGI ou des Tiers à Traiter des Données à Caractère Personnel pour son compte, sauf si, un contrat entre eux, comprenant les exigences énoncées à l’article 28-3 du RGPD, a été signé.

4 – Principes de base de CGI en matière de Traitement des Données à Caractère Personnel 

Conformément aux principes ci-après, le Traitement des Données à Caractère Personnel respecte ou dépasse non seulement la Législation Applicable sur la Protection des Données, mais également les normes et pratiques les plus élevées du marché concernant le Traitement des Données à Caractère Personnel. 

4.1 Principes applicables lorsque CGI agit en tant que Responsable du Traitement

  I.     Transparence, licéité et loyauté 

CGI Traite les Données à Caractère Personnel des Personnes Concernées de manière licite, loyale et transparente, conformément aux exigences de ces BCR-C et, en particulier, des Sections 4.1 et 13.

 II.        Limitation de la finalité

Tout Traitement de Données à Caractère Personnel par CGI, en particulier leur collecte, fait d’abord l’objet de l’identification de la finalité précise du Traitement. Cette finalité doit être explicite et légitime. Les Données à Caractère Personnel ne peuvent pas être Traitées ultérieurement d’une manière qui est incompatible avec cette finalité.

 III.       Minimisation des données

Une fois la finalité du Traitement des Données à Caractère Personnel déterminée, CGI ne collecte des Données à Caractère Personnel que dans la mesure nécessaire à l’atteinte de cette finalité. Chaque détail du Traitement est revu dans le cadre des premières phases de conception de la solution et inclus dans le processus de revue de la liste de vérification de la protection des Données à Caractère Personnel ou autrement afin de veiller à ce que les Données à Caractère Personnel soient adéquates, pertinentes et limitées à ce qui est nécessaire au regard de la finalité pour laquelle elles sont Traitées. 

 IV.      Exactitude des Données à Caractère Personnel

Tout au long du cycle de vie de tout Traitement, CGI s’assure que les Données à Caractère Personnel collectées demeurent exactes et à jour. Toutes les mesures raisonnables sont prises pour veiller à ce que les Données à Caractère Personnel inexactes soient effacées ou corrigées sans délai, y compris, sans s’y limiter, les options de libre-service pour les Personnes Concernées. CGI fournit notamment des moyens adéquats aux Personnes Concernées pour qu’elles informent CGI en cas de changement de leurs Données à Caractère Personnel.  CGI réalisera des audits non programmés conformément à la Section 15. 

 V.       Limitation des durées de conservation des données

CGI veille à conserver les Données à Caractère Personnel pendant une durée n’excédant pas celle nécessaire au regard de la finalité pour laquelle elles sont collectées. Par conséquent, CGI détermine une période de conservation appropriée avant de commencer le Traitement. Pour ce faire, CGI évalue la période pendant laquelle les Données à Caractère Personnel sont nécessaires aux fins du Traitement, tout en tenant compte des facteurs suivants :

• la période après laquelle le maintien de telles Données à Caractère Personnel peut avoir un impact sur les droits à l’oubli des Personnes Concernées ; 
• toute obligation légale imposant une période minimale de conservation des données, comme définie dans la Politique de Conservation des Documents et le Calendrier de Conservation des Documents de CGI ou autrement. 

VI.      Mesures de sécurité

CGI met en œuvre des mesures opérationnelles et techniques appropriées, au moins équivalentes à celles prescrites dans les politiques et normes de sécurité de CGI, pour se prémunir contre l’accès, la perte, la destruction illicite, la modification et/ou le Traitement illicite des Données à Caractère Personnel. 

Plus particulièrement, CGI accorde aux Membres l’accès aux Données à Caractère Personnel seulement lorsque cela est nécessaire, pour l’accomplissement des tâches assignées conformément à la finalité pour laquelle les Données à Caractère Personnel sont traitées.

En cas d’accès et/ou de Traitement illicite, CGI se conforme à sa Politique de Sécurité de l’Information et aux procédures connexes.

VII.     Définition d’une base légale 

En plus des principes susmentionnés, le Traitement ne peut être effectué que si : 

• Il est nécessaire au respect d’une obligation légale applicable à CGI (p. ex. déclaration de données aux autorités fiscales).
• Il est nécessaire dans le cadre d’un contrat avec une Personne Concernée (p. ex. contrat de travail); ou

En l’absence d’un contrat avec une Personne Concernée, il est nécessaire aux fins des intérêts légitimes de CGI, qui seront évalués en fonction des intérêts de la Personne Concernée. Un intérêt légitime existe si :

1. le Traitement est nécessaire pour atteindre l’intérêt légitime poursuivi par CGI sans nuire à l’intérêt de la Personne Concernée;
2. l'intérêt de CGI n'est pas outrepassé par les droits fondamentaux ou intérêts des Personnes Concernées, et 
3. CGI se conforme à toute législation applicable et respecte ses obligations de manière transparente.

Un tel intérêt légitime est donc déterminé à la lumière des activités principales de CGI et de la loi applicable, ainsi que de tout impact négatif sur la vie privée des Personnes Concernées.

Si le Traitement ne relève d’aucune des conditions susmentionnées, CGI obtient le consentement préalable de la Personne Concernée avant de Traiter ses Données à Caractère Personnel.  

Le consentement est valide lorsqu’il :

• est donné librement par un acte positif clair;
• et représente une indication précise, éclairée et univoque de l’accord de la Personne Concernée pour le Traitement de ses Données à Caractère Personnel.

Le Traitement des Données à Caractère Personnel par CGI est jugé licite lorsque le Traitement est nécessaire à la sauvegarde des intérêts vitaux de la Personne Concernée ou quand le Traitement est nécessaire à l’exécution d’une mission d’intérêt public, conformément à la Législation Applicable en matière de Protection des Données.

5 – Traitement des Données à Caractère Personnel Sensibles 

Le Traitement portant sur des catégories particulières de Données à Caractère Personnel exige que des garanties renforcées, telles que décrites ci-après, soient mises en œuvre.

CGI ne Traite les Données à Caractère Personnel Sensibles que lorsque cela est strictement nécessaire. Lors du Traitement de Données à Caractère Personnel Sensibles pour son propre compte, CGI s’assure qu’au moins une des conditions suivantes est remplie :

• La Personne Concernée a donné son consentement explicite.
• Le Traitement est nécessaire aux fins de l'exécution des obligations et de l'exercice des droits propres au Responsable du traitement ou à la Personne Concernée en matière de droit du travail, de la sécurité sociale et de la protection sociale.
• Si la Personne Concernée n’est pas en mesure de donner son consentement (p. ex. pour des raisons médicales), le Traitement est nécessaire pour protéger les intérêts vitaux de la Personne Concernée ou d’une autre personne.
• Le Traitement est requis dans le cadre de la médecine préventive ou du diagnostic médical par un professionnel de la santé en vertu du droit national.
• La Personne Concernée a déjà manifestement rendu public les Données à Caractère Personnel Sensibles concernées. 
• Le Traitement est essentiel dans la constatation, l’exercice ou la défense d’un droit en justice, pourvu qu’il n’y ait aucune raison de présumer que la Personne Concernée a un intérêt légitime supérieur à s’assurer que ces Données à Caractère Personnel Sensibles ne soient pas Traitées; ou
• Le Traitement est explicitement autorisé par les lois de l’EEE et de l’Etat Membre (p. ex. recensement et protection des groupes minoritaires).

Dans tous les cas, CGI traite les Données à Caractère Personnel Sensibles conformément à la Législation Applicable en matière de Protection des Données. Lorsqu’une telle loi exige des conditions précises d’hébergement et de Traitement des données, CGI obtient la certification ou la qualification requise ou fait appel à un Tiers déjà certifié ou qualifié à cette fin.

6 – Transfert de Données à Caractère Personnel vers des pays tiers 

Un Transfert de Données à Caractère Personnel a lieu lorsqu’une entité située à l’extérieur de l’EEE participe au Traitement effectué par une entité située au sein de l’EEE.

Un Transfert de Données à Caractère Personnel peut nécessiter des garanties ou conditions supplémentaires, comme décrit ci-dessous. 

6.1 Transfert de Données à Caractère Personnel au sein de CGI

Les présentes BCR-C offrent des mesures de protection appropriées pour tout Transfert de Données à Caractère Personnel : 

• de CGI au sein de l’EEE agissant en tant que Responsable du Traitement vers CGI située à l’extérieur de l’EEE agissant en tant que Responsable du Traitement ou en tant que Sous-Traitant Interne;
• de CGI située à l’extérieur de l’EEE agissant en tant que Responsable du Traitement et traitant des Données à Caractère Personnel entrant dans le champ d’application des présentes BCR-C vers CGI agissant soit en tant que Responsable du Traitement, soit en tant que Sous-Traitant Interne, quel que soit sa localisation.

Les objectifs attendus de ces Transferts de Données à Caractère Personnel sont définis à la Section 2.1 cidessus.

6.2 Transfert de Données à Caractère Personnel à l’extérieur de CGI

Lorsqu’un Transfert de Données à Caractère Personnel a lieu entre CGI au sein de l’EEE et un Tiers situé à l’extérieur de l’EEE, le Transfert de Données à Caractère Personnel doit comprendre l’une des garanties appropriées suivantes, si applicable :

• l’adoption par les parties des clauses types de protection des données de l’UE découlant de la décision (UE) 2021/914 de la Commission datée du 4 juin 2021 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers en vertu du règlement (UE) 2016/679 du Parlement européen et du Conseil ;
• toute autre garantie appropriée reconnue par la Législation Applicable sur la Protection des Données qui exige un niveau de protection des Données à Caractère Personnel identique ou supérieur à celui prévu dans le Règlement Général sur la Protection des Données 2016/679, comme une décision d’adéquation, un code de conduite approuvé ou un mécanisme de certification approprié.

Tout autre flux d’information personnelle qui ne sont pas des Données à Caractère Personnel et qui ne proviennent pas d’une entité située au sein de l’EEE n’est pas considéré comme un Transfert de Données à Caractère Personnel en vertu des présentes BCR-C. Par conséquent, un tel transfert n’est pas assujetti aux exigences énoncées aux présentes. Toutefois, l’entité de CGI engageant de tels transferts met en œuvre toutes les mesures techniques et organisationnelles appropriées, nécessaires et raisonnables, adaptées aux risques relatifs à un tel Traitement, conformément à ces BCR-C et aux Politiques de Sécurité applicables de CGI.

7 – Droits des Tiers bénéficiaires

7.1 Lorsque CGI agit en tant que Responsable du Traitement

En cas de violation des présentes BCR-C par CGI, les Personnes Concernées ont le droit de se prévaloir des dispositions suivantes de ces BCR-C en tant que Tiers bénéficiaires :

• Section 4 – PRINCIPES DE BASE DE CGI EN MATIÈRE DE TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL
• Section 5 – TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL SENSIBLES
• Section 6 – TRANSFERT DE DONNÉES À CARACTÈRE PERSONNEL VERS DES PAYS TIERS
• Section 7 – DROITS DES TIERS BÉNÉFICIAIRES
• Section 8 – RESPONSABILITÉ DE CGI EN CAS DE VIOLATION DES REGLES D’ENTREPRISE CONTRAIGNANTES (BCR-C) 
• Section 9 – PROCÉDURE DE TRAITEMENT DES DEMANDES ET DES RECLAMATIONS DES PERSONNES CONCERNÉES
• Section 10 – DROITS DES PERSONNES CONCERNÉES
• Section 11 – PROTECTION DE LA VIE PRIVÉE DÈS LA CONCEPTION/PAR DÉFAUT 
• Section 13.1 – (TRANSPARENCE) CONCERNANT LES REGLES D’ENTREPRISE CONTRAIGNANTES (BCR-C) 
• Section 13.4 – COOPÉRATION AVEC LES AUTORITÉS DE CONTRÔLE 
• Section 13.5 – LORSQUE LA LOI LOCALE PRIME SUR LES PRÉSENTES BCR-C

En cas de violation des droits garantis par les présentes BCR-C, les Personnes Concernées et CGI pourront rechercher une solution à l’amiable en vertu d’un règlement conclu conformément à la Section 9 de ces BCR-C (« Procédure de traitement des demandes et réclamations des Personnes Concernées »).

Les Personnes Concernées ont également le droit d’introduire une réclamation directement auprès de l’autorité de contrôle de protection des données de l’Etat Membre ayant compétence sur le territoire où se trouve leur lieu de résidence habituel, leur lieu de travail ou le lieu où la violation aurait été commise ou d’intenter des recours juridictionnels directement contre CGI France SAS auprès du tribunal de l’Etat Membre ayant compétence sur le territoire où se trouve un établissement de CGI ou la résidence habituelle de la Personne Concernée pour toute violation des droits garantis par les présentes BCR-C et, le cas échéant, ont le droit d’obtenir réparation pour tout préjudice matériel ou moral résultant d’une telle violation. CGI encourage les

Personnes Concernées à utiliser cette procédure de traitement des réclamations, bien qu’elles soient libres de ne pas s’y fier.   

7.2 Juridiction

Lorsqu’une Personne Concernée a l’intention d’introduire une réclamation conformément à la Section 7.1 cidessus pour la violation de tout droit garanti en vertu des présentes BCR-C relatif au Traitement entrant dans le champ d’application de ces BCR-C, les autorités ou les tribunaux suivants sont compétents :

• Lorsque la violation découle du Traitement effectué par CGI située au sein de l’EEE, la Personne

Concernée a le droit d’introduire une réclamation contre CGI auprès d’une des autorités suivantes :

• Autorité de contrôle compétente en matière de protection des données dans l’Etat Membre  de sa résidence habituelle, de son lieu de travail ou du lieu où la violation aurait été commise;
• juridictions du pays de l’Etat Membre où la Personne Concernée réside habituellement;
• juridictions de l’Etat Membre où CGI, en tant qu’exportateur de données, a un établissement.
• Lorsque la violation découle du Traitement effectué par CGI située à l’extérieur de l’EEE, la Personne Concernée a le droit d’introduire une réclamation contre CGI France SAS directement auprès de l’autorité de contrôle de protection des données au sein de l’UE ayant compétence dans le territoire où se trouve son lieu de résidence, son lieu de travail ou le lieu où la violation aurait été commise ou devant la juridiction compétente de l’Etat Membre où se trouve un établissement de CGI ou le lieu de résidence de la Personne Concernée.

8 – Responsabilité de CGI en cas de violation des Règles d’Entreprise Contraignantes (BCR-C)

En cas de violation des présentes BCR-C par CGI située à l’extérieur de l’EEE, CGI France SAS est tenue responsable de cette violation et prend les mesures nécessaires pour remédier à la violation et verser une indemnité réparatrice pour les préjudices avérés qui en découlent. Il incombe également à CGI France SAS de démontrer que CGI n’est pas responsable de ladite violation alléguée de ces BCR-C. 

En cas de violation des présentes BCR-C par CGI située au sein de l’EEE, CGI France SAS est tenue responsable de cette violation et prend les mesures nécessaires pour remédier à la violation et verser une indemnité réparatrice  pour les préjudices avérés qui en résultent. Toute indemnisation versée par CGI France

SAS est appuyée par CGI inc., l’entité de contrôle de toutes les filiales opérationnelles de CGI, confirmant ainsi que CGI France SAS accepte la responsabilité pour les actes des filiales opérationnelles de CGI liées par les présentes BCR-C à l’extérieur de l’UE et dispose des ressources financières suffisantes pour payer les préjudices résultant de la violation des présentes. Il incombe également à CGI France SAS de démontrer que CGI n’est pas responsable de ladite violation alléguée de ces BCR-C. 

Dans chacune des situations susmentionnées, les Personnes Concernées ont le droit d’introduire une réclamation conformément aux conditions définies à la Section 7.1 ci-dessus.  

9 – Procédure de traitement des demandes et des réclamations des Personnes Concernées 

La procédure énoncée dans la présente Section s’applique à la réclamation introduite par une Personne Concernée ou lorsqu’une Personne Concernée exerce son droit d’accès, de rectification ou de suppression de ses Données à Caractère Personnel. 

Les Personnes Concernées peuvent introduire une demande ou une réclamation concernant le traitement des Données à Caractère Personnel si elles estiment que CGI contrevient aux présentes BCR-C. La demande ou la réclamation peut être déposée contre l’entité de CGI étant soupçonnée d’être en violation ou, si la violation résulte d’une action effectuée par une entité de CGI située à l’extérieur de l’EEE, la Personne Concernée a le droit d’introduire une demande ou une réclamation directement contre CGI France SAS. 

Une telle demande ou réclamation doit être déposée auprès du Service de Protection des Données d’Entreprise au moyen des coordonnées fournies sur l’intranet et le site internet de CGI. La demande ou la réclamation est traitée par le Service de Protection des Données d’Entreprise avec l’aide des fonctions concernées, dans les meilleurs délais et au plus tard un mois après la réception de la demande ou de la réclamation.

10 – Droits des Personnes Concernées

Lorsque CGI agit en tant que Responsable du Traitement, les Personnes Concernées peuvent à tout moment : 

• accéder à leurs Données à Caractère Personnel et Traitées par CGI;
• demander la rectification ou l’effacement de toute Donnée Personnelle inexacte ou incomplète les concernant ou qui n’est plus Traitée à des fins valides ou appropriées;
• s’opposer au Traitement de leurs Données à Caractère Personnel à tout moment, sauf si la législation applicable d’un Etat-Membre/EEE, exige un tel Traitement, à condition que les Personnes Concernées démontrent qu’elles ont une raison de s’opposer compte tenu de leur situation particulière. Par exemple, les Personnes Concernées peuvent s’opposer au motif que le Traitement leur cause des torts ou des préjudices importants (comme une perte financière), ou un Membre de CGI peut demander à CGI de retirer sa photo d’un organigramme parce qu’elle représente faussement son apparence; 
• demander à ce que le Traitement de leurs données ne fasse pas l’objet d’une décision fondée uniquement sur le Traitement automatisé, y compris le profilage, qui produit des effets juridiques les concernant ou qui les affecte de façon importante;
• demander la limitation du Traitement lorsque les Données à Caractère Personnel ne sont plus exactes ou nécessaires, lorsque le Traitement est illicite ou lorsque la Personne Concernée s’est opposée au Traitement pendant que le Responsable du Traitement vérifie le fondement juridique du Traitement; ou
• recevoir leurs Données à Caractère Personnel dans un format structuré, couramment utilisé et lisible par machine lorsque les Données à Caractère Personnel ont été collectées avec le consentement des Personnes Concernées ou dans le cadre d’un contrat avec ces dernières.

CGI s’assure de traiter ces demandes dans les meilleurs délais et conformément à la procédure de traitement des réclamations.

11 – Protection de la vie privée dès la conception/par défaut

Conformément aux principes énoncés dans les présentes BCR-C, CGI fournit le niveau de protection approprié aux Données à Caractère Personnel qu’elle traite. 

Afin de s’assurer que ces principes sont effectivement pris en compte quand CGI Traite des Données à Caractère Personnel, CGI détermine et met en œuvre des contraintes relatives à la protection des données au cours des cycles de développement et de livraison de tout projet ou service qui comprend le Traitement des Données à Caractère Personnel.

12 – Analyse d’impact relative à la protection des données 

CGI est responsable de contrôler la conformité du Traitement à la Législation Applicable sur la Protection des Données. Par conséquent, CGI a mis en œuvre une procédure d’analyse d’impact qui lui permet :

i)    de déterminer quel Traitement est susceptible d’engendrer un risque élevé pour la protection des Données à Caractère Personnel;

ii)    d’évaluer le degré de conformité aux principes de Traitement prévus par la Législation Applicable sur la Protection des Données;

iii)   d’évaluer le degré de gravité ou la probabilité des risques associés au Traitement; et

iv)   de déterminer les mesures correctives à mettre en œuvre pour s’assurer que les Données à Caractère Personnel soient Traitées conformément à la Législation Applicable sur la Protection des Données et que les risques soient atténués. 

Si, après avoir pris des mesures pour atténuer le risque, le risque pour les Personnes Concernées demeure élevé, l’Autorité de Contrôle compétente sera consultée préalablement au démarrage du traitement concerné.

13 – Transparence

13.1 Concernant les Règles d’Entreprise Contraignantes (BCRC) 

CGI fera connaître ces BCR-C afin d’encourager la conformité à celles-ci.

CGI fournira aux Personnes Concernées, dont les Données à Caractère Personnel sont Traitées par CGI, des informations visées aux articles 13 et 14 du RGPD (listées à la Section 13.2 ci-dessous), des informations sur leurs droits en tant que Tiers bénéficiaires à l’égard du Traitement de leurs Données Personnelles et sur les moyens d’exercer ces droits, sur la clause de responsabilité ainsi que sur les clauses portant sur les principes relatifs à la protection des données (c’est-à-dire les principales exigences de ces BCR-C mentionnées aux Sections 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 13.4 et 13.5) et rendra ces exigences accessibles, dans leur intégralité, par l’intermédiaire de son intranet d’entreprise et de son site Web pour les autres Personnes Concernées, s’il y a lieu.

13.2 Concernant le Traitement des données

CGI fournit aux Personnes Concernées l’information pertinente sur le Traitement de leurs Données à Caractère Personnel, conformément à la Législation Applicable en matière de Protection des Données, incluant ce qui suit :

• l’identité et les coordonnées du Responsable du Traitement;
• les coordonnées du Responsable en Chef de la Protection de la Vie Privée et de son équipe;
• les finalités du Traitement et le fondement juridique de celui-ci;
• les entités auxquelles les Données à Caractère Personnel sont communiquées et/ou rendues accessibles;
• le cas échéant, l’existence du Transfert de Données à Caractère Personnel à l’extérieur de l’EEE, les pays vers lesquels les Données à Caractère Personnel sont transférées et les mesures mises en œuvre pour assurer un niveau de protection adéquat;
• la durée de conservation des données;
• les droits des Personnes Concernées, tels que définis à la Section 10 ci-dessus;
• le droit d’introduire une réclamation auprès de l’autorité de contrôle de la protection des données;
• si le Traitement est fondé sur un intérêt légitime de CGI, des explications concernant ledit intérêt légitime;
• si le Traitement est fondé sur le consentement, l’existence du droit de retrait du consentement à tout moment;
• si la communication de Données à Caractère Personnel est une exigence législative ou contractuelle ou une exigence liée à la signature d’un contrat et si la Personne Concernée est tenue de fournir les Données à Caractère Personnel, ainsi que les conséquences possibles en cas de défaut de fourniture de ces données;
• lorsque CGI a l’intention de poursuivre le Traitement des Données à Caractère Personnel pour des finalités autres que celles pour lesquelles elles ont été collectées, CGI fournit aux Personnes Concernées, avant le Traitement, des renseignements sur les autres finalités ainsi que toute autre information pertinente, comme expliqué précédemment dans cette Section.
• En plus de ce qui précède, les éléments suivants s’appliquent si l’information n’est pas collectée directement auprès de la Personne Concernée :
• les catégories de Données à Caractère Personnel Traitées;
• la source d’où proviennent les Données à Caractère Personnel et, le cas échéant, une mention indiquant qu’elles sont issues ou non de sources accessibles au public;
• dans un délai raisonnable après l’obtention des Données à Caractère Personnel, mais au minimum dans un délai d’un mois, en fonction des circonstances particulières pour lesquelles les Données à Caractère Personnel sont Traitées ;
• si les Données à Caractère Personnel doivent être utilisées pour communiquer avec la Personne

Concernée, au plus tard au moment de la première communication avec cette personne; ou

• si une communication à un autre destinataire est envisagée, au plus tard au moment de la première communication des Données à Caractère Personnel.

13.3 Notification d’une violation de Données à Caractère Personnel

Conformément aux politiques et normes de CGI en matière de sécurité, si CGI détecte un incident de sécurité entraînant de façon accidentelle ou illicite la destruction, la perte, l’altération, la divulgation non autorisée ou l’accès à des Données à Caractère Personnel transmises, stockées ou autrement Traitées, CGI notifie l’incident de sécurité et les mises à jour sur l’état de l’incident à l’autorité de contrôle de la protection des données, c’est-à-dire, dans les meilleurs délais, et si possible 72 heures au plus tard après en avoir pris connaissance, et aux Personnes Concernées et/ou au Responsable du Traitement comme l’exige la Législation Applicable sur la Protection des Données ou l’entente pertinente. De même et pour plus de clarté, dans l’éventualité où une violation des Données à Caractère Personnel surviendrait à l’extérieur de l’EEE et impliquerait le Transfert de Données à Caractère Personnel depuis l’EEE, CGI France SAS est avisée, ainsi que les Personnes Concernées si la violation des Données à Caractère Personnel est susceptible d’entraîner un risque élevé pour leurs droits et libertés. Toutes les violations des Données à Caractère Personnel doivent être documentées et mises à la disposition des autorités de contrôle sur demande.

13.4 Coopération avec les autorités de contrôle 

CGI vise à entretenir de solides relations avec les autorités de contrôle de la protection des données. CGI collabore avec les autorités de contrôle compétentes relativement à toute demande envoyée conformément à la Législation Applicable sur la Protection des Données, y compris toute demande d’audit. CGI se conforme également aux avis formulés par les autorités de contrôle compétentes relativement au Traitement des Données à Caractère Personnel effectué par CGI en tant que Responsable du Traitement. 

13.5 Lorsque la Législation Locale prime sur les présentes BCR-C 

Avant que le transfert n’ait lieu, l’entité exportatrice de données avec l’aide de l’entité importatrice de données, prenant en compte les circonstances du transfert, évalue si la législation locale, règlements, textes législatifs, ordonnances ou normes obligatoires (ci-après la « Législation Locale ») l’empêche de remplir les obligations qui lui incombent en vertu de ces BCR-C et détermine toute mesure supplémentaire appropriée à adopter.

Avant l’entrée en vigueur de toute Législation Locale mise à jour et lorsque le transfert est déjà en cours, l’entité exportatrice de données avec l’aide de l’entité importatrice de données, évaluera si la Législation Locale mise à jour, l’empêchera de remplir les obligations qui lui incombent en vertu de ces BCR-C et déterminera toute mesure supplémentaire appropriée à adopter.

Le Responsable en Chef de la Protection de la Vie Privée, l’Avocat en Chef et CGI France SAS examinent et valident cette analyse documentée et toute mesure supplémentaire proposée. 

Lorsque la Législation Locale exige un niveau de protection des Données à Caractère Personnel plus élevé que celui prévu dans ces BCR-C, cette Législation Locale prime sur ces BCR-C, et tout Traitement assujetti à cette Législation Locale, est effectué conformément à celle-ci.

Lorsque le résultat de l’évaluation de la Législation Locale démontre la nécessité de mettre en œuvre des mesures supplémentaires, CGI les mettra en œuvre. Toutefois, si aucune mesure supplémentaire ne peut être mise en œuvre, CGI devra suspendre le transfert.

Les résultats de l’évaluation et les mesures supplémentaires proposées seront dûment documentés et mis à la disposition des Autorités de contrôle compétentes en matière de protection des données.

Lorsqu’une entité de CGI a des raisons de penser que toute obligation légale à laquelle CGI est ou pourrait être soumise dans un pays tiers empêche ou risque d’empêcher CGI de remplir les obligations qui lui incombent en vertu de ces BCR-C ou a ou risque d’avoir un effet négatif important sur les garanties fournies par la Législation Applicable en matière de Protection des Données, y compris, toute demande contraignante de divulgation de Données à Caractère Personnel émanant d’une autorité répressive ou d’un organisme de sécurité de l’État, elle en informe sans tarder le Responsable en Chef de la Protection de la Vie Privée et CGI France SAS (à moins qu’une autorité répressive ne l’interdise, par exemple en cas d’interdiction à caractère pénal visant à préserver le secret d’une enquête policière).

Dans les cas où la notification susmentionnée est interdite, l’entité de CGI concernée mettra tout en oeuvre pour obtenir que cette interdiction soit levée. 

Si, malgré ses efforts, l’entité de CGI concernée n’est pas en mesure d’informer les Autorités de contrôle compétentes en matière de protection des données, elle fournit annuellement des informations générales sur les demandes reçues à ces Autorités de contrôle. 

Dans tous les cas, les transferts de Données à Caractère Personnel vers une autorité publique, quelle qu’elle soit, par une entité de CGI liée aux présentes BCR-C ne peuvent pas être massifs, disproportionnés et indifférenciés d’une manière qui excéderait ce qui est nécessaire dans une société démocratique.

Transferts ou divulgations non autorisés par le droit de l'Union

Pour les entités CGI au sein de l’EEE, toute décision d'une juridiction ou d'une autorité administrative d'un pays tiers exigeant d'un Responsable du Traitement ou d'un Sous-traitant qu'il transfère ou divulgue des Données à Caractère Personnel ne peut être reconnue ou rendue exécutoire de quelque manière que ce soit qu'à la condition qu'elle soit fondée sur un accord international, tel qu'un traité d'entraide judiciaire, en vigueur entre le pays tiers demandeur et l'Union ou un État membre, sans préjudice d'autres motifs de transfert en vertu du chapitre V du RGPD.

14 – Formation

CGI adopte et met en œuvre un programme de formation sur la protection des données personnelles afin que ses Membres aient connaissance des procédures et des principes énoncés dans ces BCR-C. 

Le programme de formation offre aux Membres de CGI :

• des connaissances de base relatives aux principes applicables au Traitement des Données à Caractère Personnel;
• une bonne compréhension des procédures existantes et de leur application;
• une formation précise adaptée aux différentes fonctions au sein de l’organisation.

Ce programme de formation vise à assurer une formation adéquate des Membres dont les fonctions nécessitent le Traitement de Données à Caractère Personnel. 

En plus de ce programme de formation, CGI continue de promouvoir une culture de protection des données au sein de son organisation. À cette fin, elle met en œuvre des mesures de communication précises, y compris des campagnes de sensibilisation, des documents sur la protection des données, des webinaires et des forums, afin de fournir des conseils et de répondre aux demandes d’information concernant les présentes BCRC. 

La formation sur la protection des Données Personnelles est obligatoire pour les Membres dont les fonctions exigent le Traitement de Données à Caractère Personnel.

15 – Audit

CGI intègre à son programme d’audit interne un examen de la conformité de l’entreprise de tous les aspects de ces BCR-C.

Le processus d’audit interne définit ce qui suit :

• le calendrier d’exécution des audits;  
• la portée prévue des audits; 
• l’équipe responsable des audits.

Le processus d’audit interne peut être révisé périodiquement. Toutefois, CGI effectue régulièrement des audits internes par l’entremise d’une équipe d’audit qualifiée. Ce programme est mené par le service d’audit interne de CGI. 

Les résultats de l’audit sont communiqués au siège social de CGI ainsi qu’à l’équipe responsable de la protection de la vie privée. Les mesures qui en découlent sont définies et un ordre de priorité est établi pour permettre à l’équipe responsable de la protection de la vie privée de planifier la mise en œuvre de mesures correctives et préventives.

Les autorités de contrôle compétentes peuvent demander à consulter les résultats de l’audit. 

16 – Équipe responsable de la protection de la vie privée

La mise en œuvre de ces BCR-C exige que toutes les entités de CGI participantes énumérées à l’Annexe A contribuent pleinement à son application. Dans tous les cas, elles demeurent entièrement responsables de leur propre conformité aux BCR-C.

CGI met sur pied une équipe interne responsable de la Protection de la Vie Privée qui définit les normes, les politiques et les processus appropriés pour toutes les entités de CGI participantes et surveille la conformité aux BCR-C.  

Plus particulièrement, CGI désigne un Responsable en Chef de la Protection de la Vie Privée (CPO), un réseau de Délégués à la Protection des Données et de Partenaires d’Affaires régionaux Responsables de la Protection de la Vie Privée, conformément à la Législation Applicable sur la Protection des Données. 

Le CPO est sous la direction de l’Avocat en Chef, qui relève directement du Chef de la Direction. En ce qui concerne les présentes BCR-C, le CPO se consacre principalement aux tâches suivantes : 

• Définir la stratégie du Groupe à l’égard de la mise en œuvre des présentes et des procédures dans l’ensemble de l’organisation pour s’assurer que chaque Unité d’Affaires (UA) et Unité d’Affaires Stratégique (UAS) s’y conforme. 
• Définir le programme de formation. 
• Définir la stratégie d’audit pour vérifier l’application efficace des présentes BCR-C.
• Fournir des conseils à l’UAS, au besoin. 

Pour chaque Unité d’Affaires Stratégique de chaque zone géographique, nous avons nommé un Partenaire d’Affaires régional Responsable de la Protection de la Vie Privée qui peut compter sur un réseau de

Partenaires d’Affaires Responsables de la Protection de la Vie Privée nommés au niveau local et/ou de l’Unité d’Affaires. Les partenaires d’affaires en protection de la Vie Privée des unités d’affaires stratégiques doivent s’assurer que les présentes BCR-C sont dûment mises en œuvre au niveau de l’unité d’affaires stratégique et que toute réclamation soulevée à ce niveau, y compris les réclamations des Personnes Concernées, est traitée de façon appropriée et conformément au processus décrit dans ces BCR. Ils doivent également vérifier, de concert avec les Partenaires d’Affaires responsables de la protection de la Vie Privée locaux, que les transferts de données sont correctement effectués et que les engagements sont respectés.

Dans tous les cas, les coordonnées d’une personne-ressource clé possédant une expertise pertinente en cas de questions ou de réclamations sont communiquées aux Personnes Concernées. 

17 – Registre des activités de Traitement

CGI tient un registre des activités de Traitement effectuées en tant que Responsable du Traitement, nommé l’« Inventaire de Traitement des Données », qui contient les informations suivantes:

• le nom et les coordonnées du Responsable du Traitement et, le cas échéant, du Responsable conjoint du Traitement, du représentant du Responsable du Traitement et du délégué à la protection des données;
• les finalités du traitement; 
• une description des catégories de Personnes Concernées et des catégories de Données à Caractère Personnel;
• les catégories de destinataires auxquels les Données à Caractère Personnel ont été ou seront communiquées, y compris les destinataires dans des pays tiers ou des organisations internationales
• le cas échéant, les Transferts de Données à Caractère Personnel vers un pays tiers ou à une organisation internationale, y compris l'identification de ce pays tiers ou de cette organisation internationale et les documents attestant de l'existence de garanties appropriées 
• dans la mesure du possible, les délais prévus pour l'effacement des différentes catégories de données; 
• dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles.

CGI s’assure que tout nouveau Traitement de Données à Caractère Personnel est consigné dans l’Inventaire de Traitement des Données, avec les renseignements pertinents concernant le contexte de chaque Traitement des Données à Caractère Personnel. CGI mettra le(s) enregistrement(s) des activités de Traitement à la disposition des autorités de contrôle sur demande.

18 – Mise à jour des Règles d’Entreprise Contraignantes (BCR-C)

Les présentes BCR-C peuvent être modifiées, selon les besoins et conformément à une procédure précise.

Lorsque les modifications ont une incidence importante sur les Règles d’Entreprise Contraignantes (BCR) ou sur le niveau de protection offert, CGI informe dans les meilleurs délais l’autorité de contrôle compétente en matière de protection des données et toutes les entités de CGI énumérées à l’Annexe A. Pour tout autre changement à ces BCR-C, CGI communique, au moins une fois par an, avec tous les groupes suivants :

• chaque entité participante de CGI figurant à l’Annexe A;
• les Membres de CGI;
• les Personnes Concernées pour lesquelles CGI agit en tant que Responsable du Traitement; et
• les autorités de contrôle pertinentes en matière de protection des données, par l’intermédiaire de l’autorité de contrôle compétente avec une explication succincte des raisons justifiant l’actualisation.

CGI tient à jour une liste des entités liées par ces BCR-C, et l’équipe responsable de la Protection de la Vie

Privée consigne toute actualisation des règles, s’assure que l’information est communiquée en temps opportun aux parties prenantes susmentionnées et fournit l’information nécessaire aux Personnes Concernées ou aux autorités de contrôle compétentes en matière de protection des données, sur demande. 

CGI s’engage à ne pas transférer de Données à Caractère Personnel à une nouvelle entité de CGI qui n’est pas formellement liée par ces BCR-C conformément à la procédure définie à la Section 3. 

Lorsqu'une entité CGI hors EEE figurant à l'annexe A cesse à l'avenir de faire partie du groupe des entités CGI lié par ces BCR-C, il convient de s'assurer qu'elle continuera à appliquer les exigences des BCR-C au traitement des Données à caractère personnel qui lui ont été transférées au moyen des BCR, à moins que, au moment de quitter ce groupe, l'ancien membre n'efface ou ne renvoie la totalité de ces données aux entités auxquelles les BCR-C s'appliquent toujours.

Chaque entité de CGI énumérée à l’Annexe A, agissant en tant que Responsable du Traitement ou SousTraitant Interne, a la responsabilité de démontrer sa conformité à ces BCR-C

• Annexe A - Liste des entités CGI liées par les BCR
• Annexe B - Activités couvertes par les BCRs