En tant qu’organisation mondiale de services-conseils en technologie de l’information et en management, CGI s’engage à maintenir des niveaux de protection des Données Personnelles conformes aux meilleures pratiques de l’industrie qui, à tout le moins, respectent les exigences de la Législation applicable sur la protection des données personnelles et les obligations contractuelles de l’entreprise.

Dans le cadre de cet engagement, CGI exige que ses membres et tous les tiers sous contrat ou qui fournissent des biens et/ou services à CGI, y compris les Fournisseurs Tiers, Sous-traitants et Travailleurs indépendants, prennent des mesures appropriées pour protéger les Données Personnelles dans l’exécution de leurs fonctions.

Faisant preuve de transparence quant aux données qu’elle utilise, CGI a mis au point la présente Politique de protection des données personnelles (« Politique ») pour vous informer de la façon et des raisons pour lesquelles nous recueillons et Traitons vos Données Personnelles, des pratiques de CGI en matière de protection des Données Personnelles et de vos droits en tant que Personnes Concernées par le Traitement de Données Personnelles.

La présente Politique établit la norme générale mise en œuvre par CGI lorsqu’elle procède au Traitement de Données Personnelles. Elle s’applique lorsque CGI agit en tant que Responsable du traitement ou Sous-traitant. Elle s’applique au Traitement de toutes les Données Personnelles, quelle que soit la nature ou la catégorie de ces données ou le support sur lequel elles sont stockées. 

Des renseignements supplémentaires concernant certaines activités particulières de Traitement sont inclus dans les mentions d’information pertinentes. 

CGI s’engage à toujours accorder au Traitement des Données Personnelles le même niveau de protection, qu’il s’agisse de Données Personnelles traitées en vue de répondre à ses propres besoins ou à ceux de ses clients ou d’un tiers. La mise en œuvre de la présente Politique de protection des données personnelles nécessite la pleine participation de l’ensemble des Membres de toutes les Entités juridiques de l’entreprise et des tiers, sans exception.
 

Télécharger notre politique de protection des données personnelles

 

Politique de protection des données personnelles de CGI - Version publique

1 - Définitions

Aux fins de la présente Politique de protection des données personnelles, les définitions suivantes s’appliquent :

Législation applicable sur la protection des données personnelles – désigne i) le Règlement général sur la Protection des Données (RGPD – règlement européen no 2016/679) relatif au Traitement des Données Personnelles, ii) toute loi d’exécution du RGPD et iii) toute loi locale applicable relative au Traitement des Données Personnelles.

Entités juridiques de l’entreprise – désigne toutes les entités juridiques contrôlées directement ou indirectement par CGI inc. qui Traitent des Données Personnelles, à l’exclusion des entités juridiques relevant des activités de CGI Federal.

Responsable du traitement – désigne toute entité (p. ex. une personne physique ou morale, une autorité publique ou une agence) qui, seule ou conjointement avec d’autres Responsables du traitement, détermine les finalités et les moyens de Traitement des Données Personnelles.

Sous-traitant – désigne toute entité (p. ex. une personne physique ou une personne morale, une autorité publique, une agence ou toute autre organisation) agissant au nom d’un Responsable du traitement ou d’un autre Sous-traitant pour Traiter des Données Personnelles.

Personne Concernée – désigne une personne physique identifiée ou identifiable dont les Données Personnelles sont Traitées. Il peut s’agir d’un membre de CGI ou d’un conseiller externe de CGI dans un contexte interne, ou encore d’Employés ou d’utilisateurs finaux d’un client dans un contexte d’affaires.

EEE – désigne l’Espace économique européen, qui regroupe les pays membres de l’Union européenne (UE) ainsi que l’Islande, le Liechtenstein et la Norvège, aussi appelés « États membres ».

Employé – aux fins exclusives de la présente Politique, désigne un employé, un membre du personnel, un travailleur, un conseiller, un agent, un responsable ou un directeur, et le terme « emploi » doit également être interprété en tant que tel. Les Employés de CGI sont désignés en tant que « Membre » ou « Membres ».

Législation locale – désigne les règlements, les lois, les ordonnances et les normes obligatoires dans une région donnée.

Données Personnelles – désigne toute information relative à une personne physique identifiée ou identifiable. Par personne physique identifiable, on entend qu’elle peut être identifiée directement ou indirectement, notamment par référence à un identifiant tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne ou à un ou plusieurs éléments propres à l’identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale de cette personne physique. Les Données Personnelles comprennent les Données Personnelles dites « sensibles ».

Traiter, Traitement ou Traité(e)s – désigne toute opération ou tout ensemble d’opérations effectué sur les Données Personnelles, que ce soit ou non par des moyens automatisés, comme la collecte, la sauvegarde, l’organisation, la structuration, le stockage, l’adaptation, la modification, la récupération, la consultation (y compris par accès à distance), l’utilisation, la divulgation par la transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou la combinaison, la restriction, l’effacement ou la destruction.

Données personnelles sensibles – désigne des catégories particulières de Données Personnelles révélant l’origine raciale ou ethnique, les opinions politiques, les croyances religieuses ou philosophiques ou l’appartenance syndicale, de même que les données génétiques ou biométriques Traitées dans le but d’identifier une personne physique, et celles concernant la santé et la vie sexuelle ou l’orientation sexuelle d’une personne physique.

2 – Champ d’application

La présente Politique établit la norme générale mise en œuvre par CGI lorsqu’elle procède au Traitement de Données Personnelles. Elle s’applique lorsque CGI agit en tant que Responsable du traitement ou Sous-traitant. Elle s’applique au Traitement de toutes les Données Personnelles, quelle que soit la nature ou la catégorie de ces données ou le support sur lequel elles sont stockées.

Des renseignements supplémentaires concernant certaines activités particulières de Traitement sont inclus dans les avis de confidentialité pertinents.

CGI s’engage à toujours accorder au Traitement des Données Personnelles le même niveau de protection, qu’il s’agisse de Données Personnelles traitées en vue de répondre à ses propres besoins ou à ceux de ses clients ou d’un tiers. La mise en œuvre de la présente Politique de protection des données personnelles nécessite la pleine participation de l’ensemble des Membres de toutes les Entités juridiques de l’entreprise et des tiers, sans exception.

3 – Catégories de Personnes Concernées

Dans le cadre de ses activités, CGI collecte et Traite les Données Personnelles relatives :

  • aux candidats à l’emploi;
  • aux Employés et anciens Employés;
  • aux clients et clients potentiels des secteurs public et privé;
  • aux clients et clients potentiels des clients des secteurs public et privé;
  • aux actionnaires;
  • aux fournisseurs de services, conseillers, fournisseurs, entrepreneurs et Sous-traitants;
  • à tout autre tiers.
4 – Données Personnelles qui vous concernent et que nous utilisons

Sous réserve de la Législation applicable sur la protection des données personnelles, les catégories de Données Personnelles suivantes peuvent être, en partie ou en totalité, Traitées par CGI et par tout tiers mandaté par CGI ou fournissant des biens et/ou des services à CGI :

  • données sur l’identité et coordonnées (p. ex. prénom, nom de famille, titre, nom d’utilisateur ou identifiant);
  • renseignements sur la vie professionnelle et renseignements d’affaires (p. ex. adresse courriel, employeur, service, poste, numéros de téléphone, adresse de facturation ou de livraison);
  • renseignements personnels (p. ex. date de naissance, coordonnées personnelles, CV, affiliations, conflits d’intérêts, données sur la santé, renseignements sur la diversité);
  • données économiques et financières;
  • données relatives à la localisation, à l’authentification, au trafic, et au suivi, et données démographiques.

4.1 Données Personnelles de nos Membres et anciens Employés

Lorsque nous Traitons des Données Personnelles qui concernent nos Membres et anciens Employés à titre de Responsable du traitement, nous nous conformons à la Législation applicable sur la protection des données personnelles (y compris, le cas échéant, aux exigences en matière de consentement d’une Personne Concernée ou de toute entité qui représente légitimement des Employés – p. ex. comité d’entreprise). En sus de la présente Politique, les contrats de travail standard de CGI, les politiques applicables et les communications aux Membres peuvent préciser et détailler les objectifs pour lesquels CGI peut, occasionnellement, collecter et Traiter des Données Personnelles.

Le Traitement des Données personnelles (y compris des Données Personnelles Sensibles) qui concernent les Membres peut notamment avoir les objectifs suivants :

Paie, régime de retraite, services financiers et actionnariat – CGI peut partager des Données Personnelles pertinentes avec les administrateurs et les prestataires des régimes d’achat d’actions et de retraite, les compagnies d’assurance, les autorités fiscales et d’autres fournisseurs de services eu égard aux obligations professionnelles et aux avantages de ses Membres. CGI peut également Traiter des Données Personnelles afin d’identifier et de rétribuer ses Membres.

Administration et gestion commerciales – CGI peut utiliser des Données Personnelles dans le cadre d’activités commerciales telles que le paiement de factures, la communication avec ses partenaires d’affaires ou des partenaires d’affaires potentiels, l’organisation de réunions, de voyages d’affaires, les demandes de visa, la gestion d’actifs et le respect de ses obligations contractuelles avec des partenaires d’affaires (y compris l’assignation ou l’affectation de ses Membres au service de ses clients).

Gestion et administration des Employés – CGI peut Traiter les Données Personnelles (y compris, le cas échéant, et sous réserve de la présente Politique et de la Législation applicable sur la protection des données et des Données personnelles sensibles) concernant les Membres et (le cas échéant) leurs personnes à charge et leurs proches parents, à des fins liées à leur emploi chez CGI. Il peut s’agir du recrutement, de la gestion générale, de la gestion de la performance, du perfectionnement professionnel, de la conformité en matière de santé et de sécurité, de l’assurance-maladie, de l’assurance-vie, de la surveillance et de la conformité en matière de maladie, de la surveillance de la diversité, des procédures disciplinaires, des vérifications de sécurité ( si requis), des demandes de visa et autres exigences en matière d’immigration, des communications bidirectionnelles avec les Membres, des annuaires des Membres, des contrôles d’accès aux zones sensibles ou sécurisées, de l’administration et de la gestion des systèmes TI, de l’imposition, du Traitement des dépenses et des avantages sociaux des Membres. De temps à autre et sous réserve des exigences locales, CGI peut offrir à ses Membres une gamme d’avantages et de rabais préalablement négociés avec des tiers et peut communiquer des Données Personnelles pertinentes à des organisations externes soigneusement sélectionnées pour pouvoir offrir ces avantages.

Sécurité d’entreprise et contrôle de la qualité – CGI met à disposition de ses Membres des ordinateurs, des ordinateurs portables et des téléphones mobiles qui leur permettent d’accéder à Internet, au courrier électronique et aux médias sociaux, à CGI Intranet et à divers outils et applications logicielles. En sus de ces équipements, CGI peut également mettre à leur disposition des voitures et des espaces de travail (qui appartiennent à l’entreprise). CGI tient pour acquis que chaque Membre agit de façon responsable et licite lorsqu’il utilise les biens de l’entreprise et qu’il respecte rigoureusement l’ensemble des codes de conduite applicables à cette pratique, notamment mais sans s’y limiter le Code d’éthique et de conduite professionnelle, la Politique de sécurité et d’utilisation acceptable et la politique régissant l’utilisation des logiciels tiers. Pour des raisons de sécurité, CGI peut surveiller ses locaux à l’aide de caméras. CGI peut avoir des raisons valables et légalement justifiables de surveiller l’utilisation et le trafic des équipements et appareils numériques utilisés par ses Membres, en tenant compte des exigences de surveillance et de la préservation de la vie privée de ses Membres. Au besoin, une enquête peut être menée, mais uniquement pour motifs raisonnables et dans un contexte clairement circonscrit, et le service de Sécurité mondiale de CGI sera automatiquement appelé à y participer dans le respect des processus d’enquête et de signalement des incidents de sécurité. La surveillance et l’enregistrement de l’historique d’utilisation d’Internet et de la correspondance courriel à l’échelle de l’organisation ne peuvent être mis en œuvre qu’après consultation avec le comité d’entreprise.

Finances, fusions et acquisitions – De temps à autre, CGI achète, vend et/ou cède des sociétés affiliées, des actifs commerciaux, des instruments financiers, des ententes financières et des contrats. Dans le cadre de ces transactions, opérations et accords, CGI peut transmettre des Données Personnelles pertinentes à des acheteurs potentiels, vendeurs, conseillers et organismes de réglementation (y compris pour les déclarations réglementaires aux autorités gouvernementales pertinentes), sous réserve des obligations de confidentialité et des restrictions juridiques locales qui s’appliquent.

Exigences réglementaires, professionnelles et relatives aux Membres – CGI peut Traiter les Données Personnelles des Membres et les communiquer à des organismes de réglementation, à des autorités gouvernementales et à des organisations professionnelles, commerciales ou industrielles, eu égard aux demandes et aux renouvellements d’adhésion, aux exigences réglementaires (y compris les exigences de déclaration en matière de sécurité, de réglementation et d’affaires juridiques), aux normes professionnelles, etc.

Santé, sécurité, droit et assurance – CGI peut Traiter et communiquer des Données Personnelles à des tiers (y compris les gestionnaires d’installations de CGI, les organisateurs d’événements, les assureurs, les conseillers et les partenaires d’affaires) afin de se conformer aux exigences en matière de santé, de réglementation, de sécurité, d’assurance, de voyage et de situation d’urgence.

Conformité aux exigences juridiques locales et aux pratiques convenues – CGI peut Traiter et communiquer des Données Personnelles à d’autres Entités de CGI inc. et/ou à des tiers appropriés lorsque la réglementation locale l’exige ou le permet, ou lorsque des pratiques locales ont été approuvées avec les Membres, les représentants des Employés, les responsables de la protection des données et/ou les organismes de réglementation ou de protection des données.

4.2 Données Personnelles de nos clients

Lors du Traitement des Données Personnelles de nos clients, nous agissons en tant que Sous-traitant et satisfaisons aux instructions dûment documentées des clients concernés aux fins suivantes :

Gestion de la gouvernance, de la livraison et de la clôture des projets et services clients, y compris les opérations de recrutement, la formation, la gestion des fournisseurs et des Sous-traitants, la facturation, la production de rapports et les activités d’audit;

Gestion de projets et de services clients dans des secteurs d'activité tels que la banque, les services publics, le secteur manufacturier, les assurances, l'administration, le commerce de détail, les services aux consommateurs, la santé et les sciences de la vie, le transport et la logistique, l’industrie pétrolière et gazière ou l’industrie des communications et des médias, y compris la saisie, la correction et la consolidation des Données Personnelles, le stockage, la tenue et la sauvegarde, la gestion et l’analyse des données, la gestion des demandes individuelles, la gestion des applications et des infrastructures, le développement et  les tests, la correspondance, l'administration déléguée/consolidée/ou externalisée des systèmes informatiques, l'hébergement et la gestion, y compris le contrôle d’accès et l’audit, la gestion des actifs, le traitement des dépenses, le marketing et l’analyse de la recherche.

4.3 Données Personnelles relatives à d’autres Personnes Concernées

CGI peut également Traiter des Données Personnelles à propos d’autres Personnes Concernées (p. ex. demandeurs, visiteurs du site Web, contacts commerciaux/marketing, candidats potentiels, personnes qui visitent les bureaux de CGI, etc.) aux fins énumérées ci-dessous :

  • planification et administration;
  • ressources humaines, recrutement;
  • finances;
  • sécurité et TI;
  • communication/marketing;
  • ingénierie d’affaires et opérations;
  • affaires juridiques.

CGI agit généralement en tant que Responsable du traitement dans le cadre de ces opérations de Traitement, et tout tiers qui collabore avec CGI ou qui lui fournit des biens et/ou des services agit en tant que Sous-traitant.

5 – Pourquoi nous utilisons vos Données Personnelles ?

5.1 Principes lorsque CGI agit en qualité de Responsable du traitement

Transparence, équité et légalité – CGI Traite les Données Personnelles des Personnes Concernées de façon légale, équitable et transparente, conformément aux exigences de la présente Politique et, pour ce faire, a recours à des mentions d’information indiquant de manière précise les renseignements nécessaires pour assurer le respect de la Législation applicable sur la protection des données personnelles.

Détermination des finalités  Tout Traitement de Données Personnelles par CGI, en particulier la collecte, doit être précédé de la détermination des finalités précises pour lesquelles il est exécuté. Cette finalité doit être clairement définie et légitime. Les Données Personnelles ne peuvent pas être Traitées ultérieurement d’une manière qui est incompatible avec cette finalité.

Minimisation des données – Une fois les finalités du Traitement des Données Personnelles déterminées, CGI ne collectera que les Données Personnelles nécessaires au regard des finalités à atteindre. Les détails de tout Traitement de Données Personnelles doivent être examinés au cours des phases préliminaires de conception de la solution et inclus dans le processus d’examen et d’approbation de la protection des données personnelles et de sécurité, ou encore être examinés de manière à s’assurer que les Données Personnelles sont appropriées, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont Traitées.

Qualité des Données Personnelles – Tout au long du cycle de vie de tout Traitement des Données Personnelles, CGI s’assure que les Données Personnelles collectées demeurent exactes et tenues à jour. Elle s’assure de prendre toutes les mesures raisonnables pour que les Données Personnelles inexactes soient effacées ou corrigées sans tarder, y compris, sans s’y limiter, les options de libre-service pour les Personnes Concernées. CGI fournit notamment des moyens adéquats aux Personnes Concernées pour informer CGI en cas de modification de leurs Données personnelles.

Limitation de la conservation des données – CGI veille à ne pas conserver les Données Personnelles au-delà de la période nécessaire à l’atteinte de la finalité pour lesquelles elles ont été collectées. Par conséquent, CGI détermine la durée de conservation appropriée avant la mise en œuvre du Traitement des données. Pour ce faire, CGI évalue la période pendant laquelle les Données Personnelles sont nécessaires aux fins du Traitement, tout en tenant compte des facteurs suivants :

  • la durée au-delà de laquelle la conservation des Données Personnelles peut avoir une incidence sur le droit à l’oubli des Personnes Concernées; et
  • toute obligation légale imposant une période minimale de conservation des données, comme définie dans la Politique de conservation des documents et le calendrier de conservation des documents de CGI ou autrement.

Définition de la base légale – Outre les principes susmentionnés, tout Traitement de données ne peut être effectué que dans l’une des circonstances énoncées ci-dessous.

  • Il est nécessaire au respect d’une obligation légale applicable à CGI (p. ex. déclaration de données aux autorités fiscales). ou
  • Il est nécessaire à l’exécution d’un contrat (p. ex. entente de services avec un client). ou
  • Il est nécessaire pour l’intérêt légitime de CGI, étant entendu que cet intérêt légitime de CGI doit être évalué par rapport aux intérêts des Personnes Concernées :
    • Le Traitement des données est nécessaire pour l’atteinte des objectifs poursuivis par CGI sans nuire à l’intérêt ou à la protection des Données Personnelles de la Personne Concernée;
    • Les droits ou les intérêts fondamentaux de la Personne Concernée ne prévalent pas sur les intérêts de CGI;
    • L’intérêt de CGI sera déterminé en fonction des activités de CGI, mais devra se conformer de manière transparente à toute Législation applicable sur la protection des données.
  • Il est nécessaire à l’intérêt vital de la Personne Concernée, ou;
  • Il est nécessaire à l’exécution d’une mission d’intérêt public.

Si aucune des bases légales définies ci-dessus ne s’applique, CGI demandera et conservera le consentement préalable des Personnes Concernées avant le Traitement de leurs Données Personnelles, étant entendu que le consentement de la Personne Concernée est valide lorsqu’il (i) est donné librement par un acte positif clair; et (ii) représente une indication précise, éclairée et univoque de l’accord de la Personne Concernée pour le Traitement de ses Données Personnelles.

Mesures techniques et organisationnelles – CGI mettra en œuvre des mesures techniques et organisationnelles appropriées, au moins équivalentes à celles prescrites dans le Cadre de gestion de la sécurité d’entreprise (ESMF) de CGI, pour prévenir l’accès ou le Traitement illicite des Données Personnelles Plus particulièrement, CGI accorde l’accès aux Données Personnelles seulement lorsqu’il est nécessaire à l’accomplissement des tâches assignées conformément aux finalités définies pour le Traitement des Données Personnelles. Lorsque CGI fait appel à un tiers pour procéder au Traitement pour son compte, CGI s’assure que des mesures équivalentes sont mises en place par ce tiers dans le cadre d’ententes contractuelles. En cas d’accès et/ou de Traitement illicite, CGI se conforme à sa Politique de sécurité de l’information et aux procédures connexes.

Analyse d'impact relative à la protection des données (AIPD) CGI est responsable de contrôler la conformité du Traitement des données à la Législation applicable sur la protection des données personnelles. . Lorsqu'un type de Traitement utilisant notamment les nouvelles technologies, et en tenant compte de sa nature, de sa portée, du contexte et de sa finalité, est susceptible d'entraîner un risque élevé pour la protection de vos données, CGI met en œuvre une procédure d'analyse d'impact relative à la protection des données qui permet de :

  • de déterminer quel Traitement présente un risque particulier pour la protection des Données Personnelles;
  • d’évaluer le degré de conformité aux principes de Traitement prévus par Législation applicable sur la protection des données personnelles;
  • d’évaluer le degré de gravité ou la probabilité des risques associés au Traitement; et
  • de déterminer les mesures correctives à mettre en œuvre de façon à ce que les Données Personnelles soient Traitées conformément à la Législation applicable sur la protection des données personnelles et de manière à atténuer les risques. Si, après avoir pris des mesures pour atténuer le risque, le risque pour les Personnes Concernées demeure élevé, et si la Législation applicable sur la protection des données l’exige, l’autorité de contrôle compétente sera consultée préalablement au démarrage du Traitement concerné.

Le document d'analyse d'impact relative à la protection des données doit être conservé pendant toute la durée du Traitement des données auquel il s’applique.

5.2 Principes lorsque CGI agit en qualité de Sous-traitant

CGI s’assure de Traiter les Données Personnelles uniquement en conformité avec les instructions du Responsable du traitement.

Plus particulièrement, le Traitement des données devra être effectué :

  • pour les seules finalités exprimées par le Responsable du traitement;
  • dans les conditions convenues entre CGI et le Responsable du traitement;
  • dans le respect de la durée de conservation expressément définie par le Responsable du traitement; et
  • conformément aux instructions documentées énoncées dans l’entente de Traitement des données conclue entre CGI et le Responsable du traitement.

Le Responsable du traitement est seul responsable de s’assurer que le Traitement des données effectué par CGI repose sur une base juridique valable et que la Législation applicable sur la protection des données personnelles est respectée, y compris la durée de conservation prescrite. Toutefois, CGI est tenue d’informer le Responsable du traitement si, selon elle, une des instructions du Responsable du traitement constitue une violation de la Législation applicable sur la protection des données personnelles.

Sauf instruction contraire de la part du Responsable du traitement, CGI applique (à tout le moins) les mêmes exigences de base en matière de sécurité que lorsqu’elle agit en qualité de Responsable du traitement. Les mesures de sécurité qui ne sont pas conformes aux exigences de base en matière de sécurité doivent être approuvées par les représentants en protection des Données Personnelles et en sécurité de CGI.

CGI fournit une aide raisonnable au Responsable du traitement afin d’assurer le respect de ses obligations en vertu de la Législation applicable sur la protection des données personnelles. L’aide que CGI fournit au Responsable du traitement à des fins de conformité en vertu de la présente section est assujettie aux conditions financières, techniques et organisationnelles convenues entre CGI et le Responsable du traitement dans le contrat pertinent. À l’expiration de l’entente de Traitement des données, CGI et tous les tiers engagés par CGI doivent détruire ou retourner au client toutes les Données Personnelles conformément à ses instructions et à la Législation applicable sur la protection des données personnelles. En cas de destruction des données, CGI certifie au Responsable du traitement qu’une telle suppression a eu lieu. En cas de retour des données au client, CGI assure la confidentialité des Données Personnelles transférées au Responsable du traitement en se conformant aux instructions du client.

Pour éviter toute ambiguïté, il est entendu que rien dans la présente Politique de protection des données personnelles ne limite le droit de CGI de conserver des Données Personnelles dans le cas d’un litige existant ou de déposer ou de défendre des réclamations futures, conformément aux lois de prescription applicables à CGI.

5.3 Principes de CGI pour le Traitement des Données personnelles sensibles

CGI, lorsqu’elle agit à titre de Responsable du traitement, Traite les Données personnelles sensibles uniquement si cela est strictement nécessaire.

Dans un tel cas, CGI doit s’assurer qu’au moins une des conditions suivantes est remplie :

  • La Personne Concernée a donné son consentement explicite.
  • Le Traitement est nécessaire aux fins de l’exécution des obligations et de l’exercice des droits propres au Responsable du traitement ou à la Personne Concernée en matière de droit du travail, de la sécurité sociale et de la protection sociale.
  • Si la Personne Concernée n’est pas en mesure de donner son consentement (p. ex. pour des raisons médicales), le Traitement est nécessaire pour protéger l’intérêt vital de la Personne Concernée ou d’une autre personne.
  • Le Traitement est requis dans le cadre de la médecine préventive ou du diagnostic médical par un professionnel de la santé en vertu de la législation locale.
  • La Personne Concernée a déjà manifestement rendu publiques les Données personnelles sensibles concernées.
  • Le Traitement est essentiel dans la constatation, l’exercice ou la défense d’un droit en justice, pourvu qu’il n’y ait aucune raison de présumer que la Personne Concernée a un intérêt légitime supérieur à s’assurer que ces Données personnelles sensibles ne soient pas traitées; ou
  • Le Traitement est explicitement autorisé par une législation locale (p. ex. recensement et protection des groupes minoritaires).

Lorsque CGI, en tant que Sous-traitant, est tenue de traiter les Données personnelles sensibles, elle doit suivre les instructions écrites du Responsable du traitement et appliquer les mesures convenues entre les parties, lesquelles doivent au moins être équivalentes aux exigences de base en matière de sécurité de CGI.

Le Responsable du traitement doit assurer que le Traitement des données effectué par CGI repose sur une base juridique valable.

Dans tous les cas, CGI Traite les Données personnelles sensibles conformément à la Législation applicable sur la protection des données personnelles et respecte les conditions précises d’hébergement et de Traitement des données.

5.4 Protection des données « dès la conception » et « par défaut »

Comme le démontrent les engagements pris dans le cadre de cette Politique, CGI s’engage à fournir le niveau de protection approprié pour les Données Personnelles qu’elle Traite. Afin de s’assurer que les principes énoncés dans la présente Politique sont effectivement pris en compte lorsque CGI Traite des Données Personnelles, CGI identifie et Traite toute contrainte liée à la protection des données au début d'un nouveau projet afin que les principes contenus dans la présente Politique soient reflétés dans la conception du projet et mis en œuvre de manière appropriée.

Lorsque CGI agit en qualité de Sous-traitant, l’équipe de protection des Données Personnelles doit examiner et approuver les aspects liés à la protection des Données Personnelles de l’offre de service ou des services élaborés pour un client. Lorsque CGI agit en qualité de Responsable du traitement, l’équipe de protection des Données Personnelles doit approuver tout nouveau projet interne de CGI avant le début de son développement et sa mise en œuvre ultérieure

Lorsqu'une solution est développée pour devenir une propriété intellectuelle de CGI et être proposée aux clients dans le cadre des services de CGI, l’équipe de protection des Données Personnelles doit fournir son approbation.

6 – Gestion des violations et des incidents concernant les données

6.1 Gestion des incidents

CGI dispose d'un processus de gestion et de réponse aux incidents de sécurité mature et basé sur des normes, conçu pour traiter toutes les phases d'un incident de sécurité. Les responsabilités des membres sont clairement définies à tous les niveaux. Les normes d'évaluation et de priorisation des incidents sont suivies pour assurer des niveaux d'engagement appropriés et une résolution rapide. Les dossiers d'incidents sont conservés et communiqués à la direction générale, le cas échéant. Les incidents hautement prioritaires sont gérés par le Centre mondial des opérations de sécurité (SOC) de CGI, ouvert 24 heures sur 24, 7 jours sur 7, où des professionnels hautement qualifiés et travaillant à plein temps coordonnent les efforts d'intervention. L'équipe de CGI chargée de la protection des données est immédiatement impliquée dans le processus de gestion des incidents lorsque des Données Personnelles sont suspectées d'être impliquées.

6.2 Notification de violation des Données Personnelles

Si en agissant en qualité de Responsable du traitement ou de Sous-traitant, CGI a des motifs raisonnables de croire qu’une atteinte à la sécurité de nature accidentelle ou frauduleuse entraînant la destruction, la perte, l’altération ou la consultation des données transmises, stockées ou autrement Traitées s'est produite, CGI fournira une notification d'incident de sécurité et des mises à jour de statut à l'Autorité de protection des données compétente, aux Personnes concernées et/ou au Responsable du traitement, comme l’exige la Législation applicable sur la protection des Données Personnelles et toute autre loi locale en vigueur.

De même, et par souci de clarté, dans l’éventualité où une violation des Données Personnelles est constatée par un tiers engagé par CGI, ce dernier devra en informer CGI comme convenu dans l’entente pertinente.

7 – Avec qui nous partageons vos Données Personnelles

Dans le cadre des activités de CGI, nous pouvons collecter vos Données Personnelles et les divulguer aux entités suivantes :

  • entités juridiques de CGI, ce qui vous permet de bénéficier de notre gamme complète de solutions et de services dans le cadre de notre modèle mondial de prestation de services;
  • tiers engagés par CGI qui fournissent des biens à CGI ou qui dispensent des services en notre nom (p. ex. fournisseurs, sous-traitants et indépendants);
  • certaines professions réglementées (p. ex. banquiers, avocats, notaires et auditeurs).

CGI peut divulguer vos Données Personnelles si cette action s’avère raisonnablement nécessaire à la protection des droits de CGI et à l’exercice de tout recours à sa disposition pour faire respecter les conditions générales, enquêter sur une fraude ou protéger ses activités ou ses utilisateurs.

CGI peut également divulguer des Données Personnelles aux autorités administratives, judiciaires ou gouvernementales, à des agences ou à des organismes publics, strictement en accord avec la Législation applicable sur la protection des données personnelles et les lois locales, et après un examen approfondi de la recevabilité de toute ordonnance de divulgation de données. CGI peut contester une telle ordonnance, si les lois du pays concerné le permettent.

8 – Transfert de Données Personnelles

Le transfert des Données Personnelles de l’UE désigne les données à caractère personnel de résidents de l'UE ou de personnes concernées situées dans l'UE qui sont Traitées (par exemple, consultées, envoyées, utilisées, visualisées, copiées, supprimées) dans un pays tiers en dehors de l'EEE.

8.1 Au sein de CGI

CGI, au titre de Responsable du traitement ou de Sous-traitant, transférera les Données Personnelles de l’UE conformément à la Législation applicable sur la protection des données personnelles et à ses règles contraignantes d’entreprise, approuvées en vertu du Règlement général sur la protection des données (RGPD) par l’autorité française de contrôle le 22 juillet 2021. Par conséquent, les droits de la Personne Concernée demeurent les mêmes, peu importe où ses Données Personnelles sont Traitées.

Pour tout renseignement sur les règles d’entreprise contraignantes (BCR) de CGI, veuillez consulter le Registre Comité Européen de la Protection des Données (EDPB) ou CGI – Politique de protection des données personnelles | CGI.com.

Lorsque CGI agit au titre de Sous-traitant, un consentement préalable spécifique ou général du Responsable du traitement est requis par écrit avant que le transfert puisse être amorcé.

Les transferts de Données Personnelles de résidents non européens se font conformément à la Législation applicable en matière de protection des données.

8.2 Aux tiers

Les transferts de Données Personnelles à des tiers auront lieu conformément à la Législation applicable sur la protection des données personnelles.

CGI effectue régulièrement une revue diligente et des évaluations des risques liées à la protection des données et à la sécurité auprès de tous tiers afin d’établir leurs capacités et leur maturité en matière de sécurité et de protection des données.

Chaque fois que CGI fait appel à ces tiers pour Traiter des Données Personnelles, CGI s'assure que ces tiers fournissent un niveau de protection adéquat aux Données Personnelles qu'ils Traitent, conformément à la Législation applicable en matière de protection des données.

9 – Quels sont vos droits et comment les exercer?

Les Personnes Concernées disposent de plusieurs droits en vertu de la Législation applicable en matière de protection des données pour demander l'accès à leurs Données Personnelles détenues par CGI et/ou des informations sur la manière dont CGI Traite leurs Données Personnelles. Si vous avez des questions concernant le Traitement de vos Données Personnelles, veuillez envoyer votre demande formelle à privacy@cgi.com

Lorsqu’elle agit en qualité de Sous-traitant, CGI fournit aux clients, sur demande, les renseignements pertinents leur permettant de respecter leurs propres obligations envers les Personnes Concernées. Sauf indication contraire dans une entente contractuelle, CGI n’est pas tenue d’informer directement les Personnes Concernées, car cette responsabilité incombe au Responsable du traitement.

Conformément à la Législation applicable sur la protection des données personnelles, lorsque CGI agit en tant que Responsable du traitement, vous disposez des droits suivants :

  • accéder à vos Données Personnelles;
  • demander la rectification ou l’effacement de toute Donnée Personnelle inexacte ou incomplète;
  • s’opposer, pour motif raisonnable et en tout temps, au Traitement de vos Données Personnelles, sauf si un tel Traitement est exigé par la Législation applicable sur la protection des données personnelles ou toute législation locale;
  • limiter le Traitement lorsque vos Données Personnelles ne sont plus exactes ou nécessaires;
  • recevoir vos Données Personnelles dans un format structuré, couramment utilisé et lisible par machine;
  • retirer votre consentement au Traitement de vos Données Personnelles.

CGI agit conformément à la Législation applicable en matière de protection des données et aux autres obligations légales et contractuelles pertinentes lors de la recherche et de la communication des Données Personnelles pertinentes. CGI demande aux Sous-traitants qui Traitent des Données Personnelles de faire de même. CGI peut avoir besoin de vous poser des questions supplémentaires concernant vos Données Personnelles ou pour vérifier votre identité.

Lors de la résiliation d’un contrat d’emploi pour quelque motif que ce soit, CGI conserve les Données Personnelles des anciens Employés durant la période permise conformément aux lois et règlements applicables et nécessaire à la fourniture des avantages et services continus appropriés (p. ex. administration des régimes d’achat d’actions et de retraite).

10 – Conformité à la politique

Conformité des Membres

Chaque année, les Membres reconnaissent ces obligations et acceptent de se conformer à la présente Politique. De plus, ils doivent se conformer aux autres obligations en matière de confidentialité et de protection des données, y compris celles qui sont définies dans la Législation applicable sur la protection des données personnelles, leurs contrats de travail et les politiques, processus et normes de CGI ou les instructions du client.

Les Membres doivent suivre l’ensemble des programmes de formation et de sensibilisation obligatoires de CGI en matière de confidentialité. Il s'agit, entre autres, de formations obligatoires en ligne sur la confidentialité des données, la sécurité des informations, la lutte contre la corruption et la gestion des documents, de campagnes de communication et de formations spécifiques adaptées aux différentes fonctions au sein de l'organisation.

Ces formations et programmes de sensibilisation sont régulièrement mis à jour pour refléter les changements apportés à la Législation applicable sur la protection des données personnelles.

Une page dédiée à la protection des Données Personnelles est accessible pour tous les Membres sur CGI Intranet et contient les politiques, normes, directives, renseignements et autres documents liés au programme mondial de protection des données personnelles.

Conformité relative aux tiers

Dans le cas où un tiers Traite des Données Personnelles pour le compte de CGI, ce tiers doit :.

  • s’assurer que le personnel qui a accès à des renseignements confidentiels de CGI et Traite des Données Personnelles au nom de CGI assiste à l’ensemble des formations obligatoires en matière de conformité (y compris les formations en ligne sur la sensibilisation à la sécurité et à la protection des Données Personnelles) dans les 30 jours suivant l’entrée en vigueur de l’entente de services signée avec CGI;
  • respecter la présente Politique ainsi que les normes et politiques de sécurité de CGI, en plus des contrôles de sécurité prévus aux ententes contractuelles entre CGI et ses clients et/ou partenaires;
  • traiter les Données Personnelles conformément aux instructions documentées par CGI et à aucune autre fin que celle expressément définie par écrit par CGI, à moins d’y être forcé en vertu d’une obligation juridique. Dans un tel cas, le tiers doit informer CGI immédiatement avant de procéder au Traitement;
  • mettre en œuvre et recourir aux mesures techniques, organisationnelles et contractuelles appropriées pour assurer un niveau adéquat de protection des Données Personnelles et prévenir tout Traitement non autorisé ou illégal de Données Personnelles et en prévenir toute perte, destruction ou dommage. Ces mesures doivent i)  prendre en compte les normes les plus élevées et les risques posés par les activités de Traitement, ii) être conçues pour la mise en œuvre efficace des principes de protection des données et fournir aux activités de Traitement les mesures de protection nécessaires pour répondre aux exigences de la Législation applicable sur la protection des données personnelles;
  • aviser CGI, en toute légalité, de toute demande de divulgation de Données Personnelles en provenance d’un tiers, d’une autorité publique ou d’un tribunal, ainsi que de toute action et/ou mesure concernant le Traitement de Données Personnelles lié à CGI faisant l’objet d’une enquête de la part des autorités;
  • se conformer à toute demande d’accès, de rectification, de blocage, de restauration, de suppression ou de rejet des Données Personnelles de CGI et assurer la portabilité et le droit à l’oubli des Données Personnelles de CGI;
  • aviser immédiatement CGI de tout changement pouvant avoir une incidence sur le Traitement des Données Personnelles de CGI;
  • collaborer activement avec CGI à l’évaluation et à la documentation de la conformité du Traitement des Données Personnelles de CGI, y compris, en lui communiquant toute information dont elle pourrait avoir besoin ou nécessaire à la satisfaction des exigences de la Législation applicable sur la protection des données personnelles (y compris toute information requise pour l’évaluation de l’incidence sur le transfert de données);
  • informer immédiatement CGI par écrit si, à son avis, une instruction de CGI concernant le Traitement des Données Personnelles constitue une violation de la Législation Applicable en matière de Protection des Données.
11 – Registre des activités de Traitement

CGI tient un registre des activités de Traitement effectuées en tant que Responsable du traitement ou Sous-traitant. CGI s’assure que tout nouveau Traitement des Données Personnelles y est consigné, notamment les informations pertinentes concernant le contexte de chaque Traitement des Données Personnelles. CGI met le(s) entrées du registre des activités de Traitement à la disposition de l'autorité de contrôle sur demande.

12 – Modifications à la présente Politique

La présente Politique peut être modifiée de temps à autre pour se conformer à la Législation applicable sur la protection des données personnelles. CGI doit s’assurer que les Personnes Concernées sont promptement informées de tout changement important apporté à la Politique au moyen d’une « mise à jour » publiée sur CGI.com, par courriel ou par tout autre moyen de communication approprié. Pour savoir si des mises à jour ont été effectuées, il est possible de soumettre une demande par courriel à privacy@cgi.com.

13 – Organisation interne responsable de la protection des Données Personnelles – Questions

CGI a désigné un chef de la protection des Données personnelles (CPO) qui supervise la stratégie mondiale de CGI en matière de protection des données, les politiques et procédures de protection des données à l'échelle de l'entreprise et la conformité réglementaire en matière de protection des données, ainsi qu'un réseau de partenaires d'affaires en matière de protection des données qui peuvent également être nommés Délégué à la Protection des Données (DPO) conformément à la Législation applicable en matière de protection des données.

Pour toute questions ou préoccupations concernant l’interprétation ou l’application de la présente Politique, veuillez envoyer un courriel (privacy@cgi.com) ou communiquer avec le chef de la protection des données personnelles de CGI à l’Immeuble CB16, 17, place des Reflets, 92097, Paris La Défense Cedex, France.