Les BCR sont un mécanisme juridiquement contraignant permettant à toute entité CGI de transférer des données personnelles de résidents de l'Union européenne à toute autre entité CGI en dehors de l'Espace économique européen.
CGI a deux types de Règles d'Entreprise Contraignantes (BCR) :
- Les Règles d’Entreprise Contraignantes Responsable du Traitement (BCR-C)
- Les Règles d’Entreprise Contraignantes Sous-traitant (BCR-P).
Les présentes Règles d’Entreprise Contraignantes (BCR-C) s’appliquent lorsque CGI agit en tant que Responsable du Traitement ainsi que lorsque CGI agit en tant que Sous-Traitant pour le compte de CGI, ainsi qualifié de Sous-Traitant Interne.
- 1 – Définitions
-
Aux fins des présentes Règles d’Entreprise Contraignantes en tant que Responsable de Traitement (BCR-C), les définitions suivantes s’appliquent.
« Législation Applicable en matière de Protection des Données » désigne i) le Règlement Général sur la Protection des Données (RGPD – règlement européen no 2016/679) relatif au Traitement des Données à Caractère Personnel, à compter de son entrée en vigueur et ii) toute loi d’exécution du RGPD.
« CGI » désigne, selon le cas, une, plusieurs ou toutes les entités juridiques participantes contrôlées ou détenues par CGI inc., ainsi que les unités d’affaires stratégiques et les unités d’affaires agissant en leur nom, qui Traitent des Données à Caractère Personnel et pour lesquelles l’adhésion aux présentes BCR-C n’enfreint ni ne contrevient aux lois, règlements, textes législatifs, ordonnances, normes obligatoires ou engagements contraignants. Les entités de CGI participantes sont énumérées à l’Annexe A. Cette liste peut être mise à jour de temps à autre.
« Responsable du Traitement » désigne toute entité juridique qui, seule ou conjointement avec d’autres Responsables du Traitement , détermine les finalités et les moyens du Traitement des Données à Caractère Personnel.
« Sous-Traitant » désigne toute entité juridique agissant pour le compte d’un Responsable du Traitement.
« Personne Concernée » désigne une personne physique identifiée ou identifiable dont les Données à Caractère Personnel sont Traitées par CGI, comprenant tout Membre CGI, conseiller externe de CGI, ou employés ou utilisateurs finaux d’un client de CGI.
« Espace Economique Européen » ou « EEE » désigne les pays membres de l’Union Européenne
(Allemagne, Autriche, Belgique, Bulgarie, Chypre, Croatie, Danemark, Espagne, Estonie, Finlande, France, Grèce, Hongrie, Irlande, Italie, Lettonie, Lituanie, Luxembourg, Malte, Pays-Bas, Pologne, Portugal, République tchèque, Roumanie, Slovaquie, Slovénie et Suède), ainsi que l’Islande, le Liechtenstein et la Norvège, ci-après dénommé également « Etats Membres ».
« RGPD » désigne le Règlement Européen no 2016/679 intitulé Règlement Général sur la Protection des Données.
« Sous-Traitant Interne » désigne toute entité CGI listée en Annexe A qui agit en qualité de Sous-Traitant pour le compte d’une autre entité CGI listée en Annexe A agissant en qualité de Responsable de Traitement.
« Législation Locale » a le sens attribué à la Section 13.5 du présent document.
« Membre », « Membres » désigne les employés de CGI
« Données à Caractère Personnel » désigne toute information relative à une Personne Concernée qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne ou à un ou plusieurs éléments propres à l’identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale de cette personne physique. Les Données à Caractère Personnel comprennent les Données à Caractère Personnel Sensibles.
« Traiter », « Traitement » ou « Traité(e)s » désigne toute opération ou tout ensemble d’opérations effectuées sur des Données à Caractère Personnel que ce soit ou non par des procédés automatisés, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation, la modification, l’extraction, la consultation (y compris par accès à distance), l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.
« Données à Caractère Personnel Sensibles » désigne des catégories particulières de Données à Caractère
Personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, les croyances religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le Traitement de données génétiques ou biométriques dans le but d’identifier de façon unique une personne physique, des données concernant la santé et des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique.
« Tiers » désigne les fournisseurs et les sous-traitants de CGI, ainsi que toute autre entité ou organisme public pour lesquels les Données à Caractère Personnel peuvent être communiquées.
« Transfert de Données à Caractère Personnel » désigne le transfert de Données à Caractère Personnel situées dans l’Espace Economique Européen (EEE) vers un pays situé à l’extérieur de l’EEE.
- 2 – Champ d’application
-
2.1 Activités concernées
Les présentes Règles d’Entreprise Contraignantes (BCR-C) s’appliquent lorsque CGI agit en tant que Responsable du Traitement ainsi que lorsque CGI agit en tant que Sous-Traitant pour le compte de CGI, ainsi qualifié de Sous-Traitant Interne.
Les types de Traitement, les Personnes Concernées et la nature et les catégories de Données à Caractère Personnel visées par ces BCR-C sont énoncées à l’Annexe B.
2.2 Territoires concernés
Les principes mentionnés aux présentes s’appliquent au Transfert de Données à Caractère Personnel dans les cas suivants :
- de CGI au sein de l’EEE vers CGI à l’extérieur de l’EEE;
- de CGI à l’extérieur de l’EEE vers CGI au sein ou à l’extérieur de l’EEE, mais seulement dans la mesure où les Données à Caractère Personnel des Personnes Concernées au sein de l’EEE sont Traitées;
- de CGI au sein de l’EEE vers des Tiers à l’extérieur de l’EEE;
- des Tiers à l’extérieur de l’EEE vers CGI au sein de l’EEE, mais seulement dans la mesure où les Données à Caractère Personnel des Personnes Concernées au sein de l’EEE sont Traitées.
- 3 – Respect des Règles d’Entreprise Contraignantes
-
3.1 Responsabilité de CGI
Les présentes BCR-C sont contraignantes pour CGI, ainsi que pour toutes les entités juridiques participantes de CGI énumérées à l’Annexe A.
Chaque entité de CGI énumérée à l’Annexe A, agissant en tant que Responsable du Traitement ou SousTraitant Interne, a la responsabilité de démontrer sa conformité à ces BCR-C.
3.2 Conformité des Membres
Tous les Membres (employés) de CGI sont liés par ces BCR-C au travers de leur devoir, dans tous les contrats de travail, de se conformer aux obligations de confidentialité et de protection des données personnelles ainsi qu’aux politiques, processus et normes de CGI, tel que prévu dans le Code d’Ethique de CGI. Chaque année, les Membres de CGI prendront connaissance de ces BCR-C, si applicable, avec le Code d’Ethique.
Ainsi que détaillé aux Sections 13.1 et 14 des BCR-C, les Membres CGI sont au fait des BCR par le biais de formation et de communication interne. Les Membres CGI ont aussi connaissance que la non-conformité avec le Code d’Ethique, et dans ce cas spécifique les BCR-C, peut entrainer des sanctions conformément aux législations locales applicables.
3.3 Conformité relative aux fournisseurs et sous-traitants de CGI et des autres Tiers
Tout Tiers qui Traite des Données à Caractère Personnel pour le compte de CGI est tenu de mettre en œuvre des mesures organisationnelles appropriées pour assurer la conformité aux principes et aux exigences des présentes BCR-C.
Une entité de CGI, agissant en tant que Responsable du Traitement ou Sous-Traitant Interne n’autorise pas d’autres entités de CGI ou des Tiers à Traiter des Données à Caractère Personnel pour son compte, sauf si, un contrat entre eux, comprenant les exigences énoncées à l’article 28-3 du RGPD, a été signé.
- 4 – Principes de base de CGI en matière de Traitement des Données à Caractère Personnel
-
Conformément aux principes ci-après, le Traitement des Données à Caractère Personnel respecte ou dépasse non seulement la Législation Applicable sur la Protection des Données, mais également les normes et pratiques les plus élevées du marché concernant le Traitement des Données à Caractère Personnel.
4.1 Principes applicables lorsque CGI agit en tant que Responsable du Traitement
I. Transparence, licéité et loyauté
CGI Traite les Données à Caractère Personnel des Personnes Concernées de manière licite, loyale et transparente, conformément aux exigences de ces BCR-C et, en particulier, des Sections 4.1 et 13.
II. Limitation de la finalité
Tout Traitement de Données à Caractère Personnel par CGI, en particulier leur collecte, fait d’abord l’objet de l’identification de la finalité précise du Traitement. Cette finalité doit être explicite et légitime. Les Données à Caractère Personnel ne peuvent pas être Traitées ultérieurement d’une manière qui est incompatible avec cette finalité.
III. Minimisation des données
Une fois la finalité du Traitement des Données à Caractère Personnel déterminée, CGI ne collecte des Données à Caractère Personnel que dans la mesure nécessaire à l’atteinte de cette finalité. Chaque détail du Traitement est revu dans le cadre des premières phases de conception de la solution et inclus dans le processus de revue de la liste de vérification de la protection des Données à Caractère Personnel ou autrement afin de veiller à ce que les Données à Caractère Personnel soient adéquates, pertinentes et limitées à ce qui est nécessaire au regard de la finalité pour laquelle elles sont Traitées.
IV. Exactitude des Données à Caractère Personnel
Tout au long du cycle de vie de tout Traitement, CGI s’assure que les Données à Caractère Personnel collectées demeurent exactes et à jour. Toutes les mesures raisonnables sont prises pour veiller à ce que les Données à Caractère Personnel inexactes soient effacées ou corrigées sans délai, y compris, sans s’y limiter, les options de libre-service pour les Personnes Concernées. CGI fournit notamment des moyens adéquats aux Personnes Concernées pour qu’elles informent CGI en cas de changement de leurs Données à Caractère Personnel. CGI réalisera des audits non programmés conformément à la Section 15.
V. Limitation des durées de conservation des données
CGI veille à conserver les Données à Caractère Personnel pendant une durée n’excédant pas celle nécessaire au regard de la finalité pour laquelle elles sont collectées. Par conséquent, CGI détermine une période de conservation appropriée avant de commencer le Traitement. Pour ce faire, CGI évalue la période pendant laquelle les Données à Caractère Personnel sont nécessaires aux fins du Traitement, tout en tenant compte des facteurs suivants :
- la période après laquelle le maintien de telles Données à Caractère Personnel peut avoir un impact sur les droits à l’oubli des Personnes Concernées ;
- toute obligation légale imposant une période minimale de conservation des données, comme définie dans la Politique de Conservation des Documents et le Calendrier de Conservation des Documents de CGI ou autrement.
VI. Mesures de sécurité
CGI met en œuvre des mesures opérationnelles et techniques appropriées, au moins équivalentes à celles prescrites dans les politiques et normes de sécurité de CGI, pour se prémunir contre l’accès, la perte, la destruction illicite, la modification et/ou le Traitement illicite des Données à Caractère Personnel.
Plus particulièrement, CGI accorde aux Membres l’accès aux Données à Caractère Personnel seulement lorsque cela est nécessaire, pour l’accomplissement des tâches assignées conformément à la finalité pour laquelle les Données à Caractère Personnel sont traitées.
En cas d’accès et/ou de Traitement illicite, CGI se conforme à sa Politique de Sécurité de l’Information et aux procédures connexes.
VII. Définition d’une base légale
En plus des principes susmentionnés, le Traitement ne peut être effectué que si :
- Il est nécessaire au respect d’une obligation légale applicable à CGI (p. ex. déclaration de données aux autorités fiscales).
- Il est nécessaire dans le cadre d’un contrat avec une Personne Concernée (p. ex. contrat de travail); ou
En l’absence d’un contrat avec une Personne Concernée, il est nécessaire aux fins des intérêts légitimes de CGI, qui seront évalués en fonction des intérêts de la Personne Concernée. Un intérêt légitime existe si :
- le Traitement est nécessaire pour atteindre l’intérêt légitime poursuivi par CGI sans nuire à l’intérêt de la Personne Concernée;
- l'intérêt de CGI n'est pas outrepassé par les droits fondamentaux ou intérêts des Personnes Concernées, et
- CGI se conforme à toute législation applicable et respecte ses obligations de manière transparente.
Un tel intérêt légitime est donc déterminé à la lumière des activités principales de CGI et de la loi applicable, ainsi que de tout impact négatif sur la vie privée des Personnes Concernées.
Si le Traitement ne relève d’aucune des conditions susmentionnées, CGI obtient le consentement préalable de la Personne Concernée avant de Traiter ses Données à Caractère Personnel.
Le consentement est valide lorsqu’il :
- est donné librement par un acte positif clair;
- et représente une indication précise, éclairée et univoque de l’accord de la Personne Concernée pour le Traitement de ses Données à Caractère Personnel.
Le Traitement des Données à Caractère Personnel par CGI est jugé licite lorsque le Traitement est nécessaire à la sauvegarde des intérêts vitaux de la Personne Concernée ou quand le Traitement est nécessaire à l’exécution d’une mission d’intérêt public, conformément à la Législation Applicable en matière de Protection des Données.
- 5 – Traitement des Données à Caractère Personnel Sensibles
-
Le Traitement portant sur des catégories particulières de Données à Caractère Personnel exige que des garanties renforcées, telles que décrites ci-après, soient mises en œuvre.
CGI ne Traite les Données à Caractère Personnel Sensibles que lorsque cela est strictement nécessaire. Lors du Traitement de Données à Caractère Personnel Sensibles pour son propre compte, CGI s’assure qu’au moins une des conditions suivantes est remplie :
- La Personne Concernée a donné son consentement explicite.
- Le Traitement est nécessaire aux fins de l'exécution des obligations et de l'exercice des droits propres au Responsable du traitement ou à la Personne Concernée en matière de droit du travail, de la sécurité sociale et de la protection sociale.
- Si la Personne Concernée n’est pas en mesure de donner son consentement (p. ex. pour des raisons médicales), le Traitement est nécessaire pour protéger les intérêts vitaux de la Personne Concernée ou d’une autre personne.
- Le Traitement est requis dans le cadre de la médecine préventive ou du diagnostic médical par un professionnel de la santé en vertu du droit national.
- La Personne Concernée a déjà manifestement rendu public les Données à Caractère Personnel Sensibles concernées.
- Le Traitement est essentiel dans la constatation, l’exercice ou la défense d’un droit en justice, pourvu qu’il n’y ait aucune raison de présumer que la Personne Concernée a un intérêt légitime supérieur à s’assurer que ces Données à Caractère Personnel Sensibles ne soient pas Traitées; ou
- Le Traitement est explicitement autorisé par les lois de l’EEE et de l’Etat Membre (p. ex. recensement et protection des groupes minoritaires).
Dans tous les cas, CGI traite les Données à Caractère Personnel Sensibles conformément à la Législation Applicable en matière de Protection des Données. Lorsqu’une telle loi exige des conditions précises d’hébergement et de Traitement des données, CGI obtient la certification ou la qualification requise ou fait appel à un Tiers déjà certifié ou qualifié à cette fin.
- 6 – Transfert de Données à Caractère Personnel vers des pays tiers
-
Un Transfert de Données à Caractère Personnel a lieu lorsqu’une entité située à l’extérieur de l’EEE participe au Traitement effectué par une entité située au sein de l’EEE.
Un Transfert de Données à Caractère Personnel peut nécessiter des garanties ou conditions supplémentaires, comme décrit ci-dessous.
6.1 Transfert de Données à Caractère Personnel au sein de CGI
Les présentes BCR-C offrent des mesures de protection appropriées pour tout Transfert de Données à Caractère Personnel :
- de CGI au sein de l’EEE agissant en tant que Responsable du Traitement vers CGI située à l’extérieur de l’EEE agissant en tant que Responsable du Traitement ou en tant que Sous-Traitant Interne;
- de CGI située à l’extérieur de l’EEE agissant en tant que Responsable du Traitement et traitant des Données à Caractère Personnel entrant dans le champ d’application des présentes BCR-C vers CGI agissant soit en tant que Responsable du Traitement, soit en tant que Sous-Traitant Interne, quel que soit sa localisation.
Les objectifs attendus de ces Transferts de Données à Caractère Personnel sont définis à la Section 2.1 cidessus.
6.2 Transfert de Données à Caractère Personnel à l’extérieur de CGI
Lorsqu’un Transfert de Données à Caractère Personnel a lieu entre CGI au sein de l’EEE et un Tiers situé à l’extérieur de l’EEE, le Transfert de Données à Caractère Personnel doit comprendre l’une des garanties appropriées suivantes, si applicable :
- l’adoption par les parties des clauses types de protection des données de l’UE découlant de la décision (UE) 2021/914 de la Commission datée du 4 juin 2021 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers en vertu du règlement (UE) 2016/679 du Parlement européen et du Conseil ;
- toute autre garantie appropriée reconnue par la Législation Applicable sur la Protection des Données qui exige un niveau de protection des Données à Caractère Personnel identique ou supérieur à celui prévu dans le Règlement Général sur la Protection des Données 2016/679, comme une décision d’adéquation, un code de conduite approuvé ou un mécanisme de certification approprié.
Tout autre flux d’information personnelle qui ne sont pas des Données à Caractère Personnel et qui ne proviennent pas d’une entité située au sein de l’EEE n’est pas considéré comme un Transfert de Données à Caractère Personnel en vertu des présentes BCR-C. Par conséquent, un tel transfert n’est pas assujetti aux exigences énoncées aux présentes. Toutefois, l’entité de CGI engageant de tels transferts met en œuvre toutes les mesures techniques et organisationnelles appropriées, nécessaires et raisonnables, adaptées aux risques relatifs à un tel Traitement, conformément à ces BCR-C et aux Politiques de Sécurité applicables de CGI.
- 7 – Droits des Tiers bénéficiaires
-
7.1 Lorsque CGI agit en tant que Responsable du Traitement
En cas de violation des présentes BCR-C par CGI, les Personnes Concernées ont le droit de se prévaloir des dispositions suivantes de ces BCR-C en tant que Tiers bénéficiaires :
- Section 4 – PRINCIPES DE BASE DE CGI EN MATIÈRE DE TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL
- Section 5 – TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL SENSIBLES
- Section 6 – TRANSFERT DE DONNÉES À CARACTÈRE PERSONNEL VERS DES PAYS TIERS
- Section 7 – DROITS DES TIERS BÉNÉFICIAIRES
- Section 8 – RESPONSABILITÉ DE CGI EN CAS DE VIOLATION DES REGLES D’ENTREPRISE CONTRAIGNANTES (BCR-C)
- Section 9 – PROCÉDURE DE TRAITEMENT DES DEMANDES ET DES RECLAMATIONS DES PERSONNES CONCERNÉES
- Section 10 – DROITS DES PERSONNES CONCERNÉES
- Section 11 – PROTECTION DE LA VIE PRIVÉE DÈS LA CONCEPTION/PAR DÉFAUT
- Section 13.1 – (TRANSPARENCE) CONCERNANT LES REGLES D’ENTREPRISE CONTRAIGNANTES (BCR-C)
- Section 13.4 – COOPÉRATION AVEC LES AUTORITÉS DE CONTRÔLE
- Section 13.5 – LORSQUE LA LOI LOCALE PRIME SUR LES PRÉSENTES BCR-C
En cas de violation des droits garantis par les présentes BCR-C, les Personnes Concernées et CGI pourront rechercher une solution à l’amiable en vertu d’un règlement conclu conformément à la Section 9 de ces BCR-C (« Procédure de traitement des demandes et réclamations des Personnes Concernées »).
Les Personnes Concernées ont également le droit d’introduire une réclamation directement auprès de l’autorité de contrôle de protection des données de l’Etat Membre ayant compétence sur le territoire où se trouve leur lieu de résidence habituel, leur lieu de travail ou le lieu où la violation aurait été commise ou d’intenter des recours juridictionnels directement contre CGI France SAS auprès du tribunal de l’Etat Membre ayant compétence sur le territoire où se trouve un établissement de CGI ou la résidence habituelle de la Personne Concernée pour toute violation des droits garantis par les présentes BCR-C et, le cas échéant, ont le droit d’obtenir réparation pour tout préjudice matériel ou moral résultant d’une telle violation. CGI encourage les
Personnes Concernées à utiliser cette procédure de traitement des réclamations, bien qu’elles soient libres de ne pas s’y fier.
7.2 Juridiction
Lorsqu’une Personne Concernée a l’intention d’introduire une réclamation conformément à la Section 7.1 cidessus pour la violation de tout droit garanti en vertu des présentes BCR-C relatif au Traitement entrant dans le champ d’application de ces BCR-C, les autorités ou les tribunaux suivants sont compétents :
- Lorsque la violation découle du Traitement effectué par CGI située au sein de l’EEE, la Personne
Concernée a le droit d’introduire une réclamation contre CGI auprès d’une des autorités suivantes :
- Autorité de contrôle compétente en matière de protection des données dans l’Etat Membre de sa résidence habituelle, de son lieu de travail ou du lieu où la violation aurait été commise;
- juridictions du pays de l’Etat Membre où la Personne Concernée réside habituellement;
- juridictions de l’Etat Membre où CGI, en tant qu’exportateur de données, a un établissement.
- Lorsque la violation découle du Traitement effectué par CGI située à l’extérieur de l’EEE, la Personne Concernée a le droit d’introduire une réclamation contre CGI France SAS directement auprès de l’autorité de contrôle de protection des données au sein de l’UE ayant compétence dans le territoire où se trouve son lieu de résidence, son lieu de travail ou le lieu où la violation aurait été commise ou devant la juridiction compétente de l’Etat Membre où se trouve un établissement de CGI ou le lieu de résidence de la Personne Concernée.
- 8 – Responsabilité de CGI en cas de violation des Règles d’Entreprise Contraignantes (BCR-C)
-
En cas de violation des présentes BCR-C par CGI située à l’extérieur de l’EEE, CGI France SAS est tenue responsable de cette violation et prend les mesures nécessaires pour remédier à la violation et verser une indemnité réparatrice pour les préjudices avérés qui en découlent. Il incombe également à CGI France SAS de démontrer que CGI n’est pas responsable de ladite violation alléguée de ces BCR-C.
En cas de violation des présentes BCR-C par CGI située au sein de l’EEE, CGI France SAS est tenue responsable de cette violation et prend les mesures nécessaires pour remédier à la violation et verser une indemnité réparatrice pour les préjudices avérés qui en résultent. Toute indemnisation versée par CGI France
SAS est appuyée par CGI inc., l’entité de contrôle de toutes les filiales opérationnelles de CGI, confirmant ainsi que CGI France SAS accepte la responsabilité pour les actes des filiales opérationnelles de CGI liées par les présentes BCR-C à l’extérieur de l’UE et dispose des ressources financières suffisantes pour payer les préjudices résultant de la violation des présentes. Il incombe également à CGI France SAS de démontrer que CGI n’est pas responsable de ladite violation alléguée de ces BCR-C.
Dans chacune des situations susmentionnées, les Personnes Concernées ont le droit d’introduire une réclamation conformément aux conditions définies à la Section 7.1 ci-dessus.
- 9 – Procédure de traitement des demandes et des réclamations des Personnes Concernées
-
La procédure énoncée dans la présente Section s’applique à la réclamation introduite par une Personne Concernée ou lorsqu’une Personne Concernée exerce son droit d’accès, de rectification ou de suppression de ses Données à Caractère Personnel.
Les Personnes Concernées peuvent introduire une demande ou une réclamation concernant le traitement des Données à Caractère Personnel si elles estiment que CGI contrevient aux présentes BCR-C. La demande ou la réclamation peut être déposée contre l’entité de CGI étant soupçonnée d’être en violation ou, si la violation résulte d’une action effectuée par une entité de CGI située à l’extérieur de l’EEE, la Personne Concernée a le droit d’introduire une demande ou une réclamation directement contre CGI France SAS.
Une telle demande ou réclamation doit être déposée auprès du Service de Protection des Données d’Entreprise au moyen des coordonnées fournies sur l’intranet et le site internet de CGI. La demande ou la réclamation est traitée par le Service de Protection des Données d’Entreprise avec l’aide des fonctions concernées, dans les meilleurs délais et au plus tard un mois après la réception de la demande ou de la réclamation.
- 10 – Droits des Personnes Concernées
-
Lorsque CGI agit en tant que Responsable du Traitement, les Personnes Concernées peuvent à tout moment :
- accéder à leurs Données à Caractère Personnel et Traitées par CGI;
- demander la rectification ou l’effacement de toute Donnée Personnelle inexacte ou incomplète les concernant ou qui n’est plus Traitée à des fins valides ou appropriées;
- s’opposer au Traitement de leurs Données à Caractère Personnel à tout moment, sauf si la législation applicable d’un Etat-Membre/EEE, exige un tel Traitement, à condition que les Personnes Concernées démontrent qu’elles ont une raison de s’opposer compte tenu de leur situation particulière. Par exemple, les Personnes Concernées peuvent s’opposer au motif que le Traitement leur cause des torts ou des préjudices importants (comme une perte financière), ou un Membre de CGI peut demander à CGI de retirer sa photo d’un organigramme parce qu’elle représente faussement son apparence;
- demander à ce que le Traitement de leurs données ne fasse pas l’objet d’une décision fondée uniquement sur le Traitement automatisé, y compris le profilage, qui produit des effets juridiques les concernant ou qui les affecte de façon importante;
- demander la limitation du Traitement lorsque les Données à Caractère Personnel ne sont plus exactes ou nécessaires, lorsque le Traitement est illicite ou lorsque la Personne Concernée s’est opposée au Traitement pendant que le Responsable du Traitement vérifie le fondement juridique du Traitement; ou
- recevoir leurs Données à Caractère Personnel dans un format structuré, couramment utilisé et lisible par machine lorsque les Données à Caractère Personnel ont été collectées avec le consentement des Personnes Concernées ou dans le cadre d’un contrat avec ces dernières.
CGI s’assure de traiter ces demandes dans les meilleurs délais et conformément à la procédure de traitement des réclamations.
- 11 – Protection de la vie privée dès la conception/par défaut
-
Conformément aux principes énoncés dans les présentes BCR-C, CGI fournit le niveau de protection approprié aux Données à Caractère Personnel qu’elle traite.
Afin de s’assurer que ces principes sont effectivement pris en compte quand CGI Traite des Données à Caractère Personnel, CGI détermine et met en œuvre des contraintes relatives à la protection des données au cours des cycles de développement et de livraison de tout projet ou service qui comprend le Traitement des Données à Caractère Personnel.
- 12 – Analyse d’impact relative à la protection des données
-
CGI est responsable de contrôler la conformité du Traitement à la Législation Applicable sur la Protection des Données. Par conséquent, CGI a mis en œuvre une procédure d’analyse d’impact qui lui permet :
i) de déterminer quel Traitement est susceptible d’engendrer un risque élevé pour la protection des Données à Caractère Personnel;
ii) d’évaluer le degré de conformité aux principes de Traitement prévus par la Législation Applicable sur la Protection des Données;
iii) d’évaluer le degré de gravité ou la probabilité des risques associés au Traitement; et
iv) de déterminer les mesures correctives à mettre en œuvre pour s’assurer que les Données à Caractère Personnel soient Traitées conformément à la Législation Applicable sur la Protection des Données et que les risques soient atténués.
Si, après avoir pris des mesures pour atténuer le risque, le risque pour les Personnes Concernées demeure élevé, l’Autorité de Contrôle compétente sera consultée préalablement au démarrage du traitement concerné.
- 13 – Transparence
-
13.1 Concernant les Règles d’Entreprise Contraignantes (BCRC)
CGI fera connaître ces BCR-C afin d’encourager la conformité à celles-ci.
CGI fournira aux Personnes Concernées, dont les Données à Caractère Personnel sont Traitées par CGI, des informations visées aux articles 13 et 14 du RGPD (listées à la Section 13.2 ci-dessous), des informations sur leurs droits en tant que Tiers bénéficiaires à l’égard du Traitement de leurs Données Personnelles et sur les moyens d’exercer ces droits, sur la clause de responsabilité ainsi que sur les clauses portant sur les principes relatifs à la protection des données (c’est-à-dire les principales exigences de ces BCR-C mentionnées aux Sections 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 13.4 et 13.5) et rendra ces exigences accessibles, dans leur intégralité, par l’intermédiaire de son intranet d’entreprise et de son site Web pour les autres Personnes Concernées, s’il y a lieu.
13.2 Concernant le Traitement des données
CGI fournit aux Personnes Concernées l’information pertinente sur le Traitement de leurs Données à Caractère Personnel, conformément à la Législation Applicable en matière de Protection des Données, incluant ce qui suit :
- l’identité et les coordonnées du Responsable du Traitement;
- les coordonnées du Responsable en Chef de la Protection de la Vie Privée et de son équipe;
- les finalités du Traitement et le fondement juridique de celui-ci;
- les entités auxquelles les Données à Caractère Personnel sont communiquées et/ou rendues accessibles;
- le cas échéant, l’existence du Transfert de Données à Caractère Personnel à l’extérieur de l’EEE, les pays vers lesquels les Données à Caractère Personnel sont transférées et les mesures mises en œuvre pour assurer un niveau de protection adéquat;
- la durée de conservation des données;
- les droits des Personnes Concernées, tels que définis à la Section 10 ci-dessus;
- le droit d’introduire une réclamation auprès de l’autorité de contrôle de la protection des données;
- si le Traitement est fondé sur un intérêt légitime de CGI, des explications concernant ledit intérêt légitime;
- si le Traitement est fondé sur le consentement, l’existence du droit de retrait du consentement à tout moment;
- si la communication de Données à Caractère Personnel est une exigence législative ou contractuelle ou une exigence liée à la signature d’un contrat et si la Personne Concernée est tenue de fournir les Données à Caractère Personnel, ainsi que les conséquences possibles en cas de défaut de fourniture de ces données;
- lorsque CGI a l’intention de poursuivre le Traitement des Données à Caractère Personnel pour des finalités autres que celles pour lesquelles elles ont été collectées, CGI fournit aux Personnes Concernées, avant le Traitement, des renseignements sur les autres finalités ainsi que toute autre information pertinente, comme expliqué précédemment dans cette Section.
- En plus de ce qui précède, les éléments suivants s’appliquent si l’information n’est pas collectée directement auprès de la Personne Concernée :
- les catégories de Données à Caractère Personnel Traitées;
- la source d’où proviennent les Données à Caractère Personnel et, le cas échéant, une mention indiquant qu’elles sont issues ou non de sources accessibles au public;
- dans un délai raisonnable après l’obtention des Données à Caractère Personnel, mais au minimum dans un délai d’un mois, en fonction des circonstances particulières pour lesquelles les Données à Caractère Personnel sont Traitées ;
- si les Données à Caractère Personnel doivent être utilisées pour communiquer avec la Personne
Concernée, au plus tard au moment de la première communication avec cette personne; ou
- si une communication à un autre destinataire est envisagée, au plus tard au moment de la première communication des Données à Caractère Personnel.
13.3 Notification d’une violation de Données à Caractère Personnel
Conformément aux politiques et normes de CGI en matière de sécurité, si CGI détecte un incident de sécurité entraînant de façon accidentelle ou illicite la destruction, la perte, l’altération, la divulgation non autorisée ou l’accès à des Données à Caractère Personnel transmises, stockées ou autrement Traitées, CGI notifie l’incident de sécurité et les mises à jour sur l’état de l’incident à l’autorité de contrôle de la protection des données, c’est-à-dire, dans les meilleurs délais, et si possible 72 heures au plus tard après en avoir pris connaissance, et aux Personnes Concernées et/ou au Responsable du Traitement comme l’exige la Législation Applicable sur la Protection des Données ou l’entente pertinente. De même et pour plus de clarté, dans l’éventualité où une violation des Données à Caractère Personnel surviendrait à l’extérieur de l’EEE et impliquerait le Transfert de Données à Caractère Personnel depuis l’EEE, CGI France SAS est avisée, ainsi que les Personnes Concernées si la violation des Données à Caractère Personnel est susceptible d’entraîner un risque élevé pour leurs droits et libertés. Toutes les violations des Données à Caractère Personnel doivent être documentées et mises à la disposition des autorités de contrôle sur demande.
13.4 Coopération avec les autorités de contrôle
CGI vise à entretenir de solides relations avec les autorités de contrôle de la protection des données. CGI collabore avec les autorités de contrôle compétentes relativement à toute demande envoyée conformément à la Législation Applicable sur la Protection des Données, y compris toute demande d’audit. CGI se conforme également aux avis formulés par les autorités de contrôle compétentes relativement au Traitement des Données à Caractère Personnel effectué par CGI en tant que Responsable du Traitement.
13.5 Lorsque la Législation Locale prime sur les présentes BCR-C
Avant que le transfert n’ait lieu, l’entité exportatrice de données avec l’aide de l’entité importatrice de données, prenant en compte les circonstances du transfert, évalue si la législation locale, règlements, textes législatifs, ordonnances ou normes obligatoires (ci-après la « Législation Locale ») l’empêche de remplir les obligations qui lui incombent en vertu de ces BCR-C et détermine toute mesure supplémentaire appropriée à adopter.
Avant l’entrée en vigueur de toute Législation Locale mise à jour et lorsque le transfert est déjà en cours, l’entité exportatrice de données avec l’aide de l’entité importatrice de données, évaluera si la Législation Locale mise à jour, l’empêchera de remplir les obligations qui lui incombent en vertu de ces BCR-C et déterminera toute mesure supplémentaire appropriée à adopter.
Le Responsable en Chef de la Protection de la Vie Privée, l’Avocat en Chef et CGI France SAS examinent et valident cette analyse documentée et toute mesure supplémentaire proposée.
Lorsque la Législation Locale exige un niveau de protection des Données à Caractère Personnel plus élevé que celui prévu dans ces BCR-C, cette Législation Locale prime sur ces BCR-C, et tout Traitement assujetti à cette Législation Locale, est effectué conformément à celle-ci.
Lorsque le résultat de l’évaluation de la Législation Locale démontre la nécessité de mettre en œuvre des mesures supplémentaires, CGI les mettra en œuvre. Toutefois, si aucune mesure supplémentaire ne peut être mise en œuvre, CGI devra suspendre le transfert.
Les résultats de l’évaluation et les mesures supplémentaires proposées seront dûment documentés et mis à la disposition des Autorités de contrôle compétentes en matière de protection des données.
Lorsqu’une entité de CGI a des raisons de penser que toute obligation légale à laquelle CGI est ou pourrait être soumise dans un pays tiers empêche ou risque d’empêcher CGI de remplir les obligations qui lui incombent en vertu de ces BCR-C ou a ou risque d’avoir un effet négatif important sur les garanties fournies par la Législation Applicable en matière de Protection des Données, y compris, toute demande contraignante de divulgation de Données à Caractère Personnel émanant d’une autorité répressive ou d’un organisme de sécurité de l’État, elle en informe sans tarder le Responsable en Chef de la Protection de la Vie Privée et CGI France SAS (à moins qu’une autorité répressive ne l’interdise, par exemple en cas d’interdiction à caractère pénal visant à préserver le secret d’une enquête policière).
Dans les cas où la notification susmentionnée est interdite, l’entité de CGI concernée mettra tout en oeuvre pour obtenir que cette interdiction soit levée.
Si, malgré ses efforts, l’entité de CGI concernée n’est pas en mesure d’informer les Autorités de contrôle compétentes en matière de protection des données, elle fournit annuellement des informations générales sur les demandes reçues à ces Autorités de contrôle.
Dans tous les cas, les transferts de Données à Caractère Personnel vers une autorité publique, quelle qu’elle soit, par une entité de CGI liée aux présentes BCR-C ne peuvent pas être massifs, disproportionnés et indifférenciés d’une manière qui excéderait ce qui est nécessaire dans une société démocratique.
Transferts ou divulgations non autorisés par le droit de l'Union
Pour les entités CGI au sein de l’EEE, toute décision d'une juridiction ou d'une autorité administrative d'un pays tiers exigeant d'un Responsable du Traitement ou d'un Sous-traitant qu'il transfère ou divulgue des Données à Caractère Personnel ne peut être reconnue ou rendue exécutoire de quelque manière que ce soit qu'à la condition qu'elle soit fondée sur un accord international, tel qu'un traité d'entraide judiciaire, en vigueur entre le pays tiers demandeur et l'Union ou un État membre, sans préjudice d'autres motifs de transfert en vertu du chapitre V du RGPD.
- 14 – Formation
-
CGI adopte et met en œuvre un programme de formation sur la protection des données personnelles afin que ses Membres aient connaissance des procédures et des principes énoncés dans ces BCR-C.
Le programme de formation offre aux Membres de CGI :
- des connaissances de base relatives aux principes applicables au Traitement des Données à Caractère Personnel;
- une bonne compréhension des procédures existantes et de leur application;
- une formation précise adaptée aux différentes fonctions au sein de l’organisation.
Ce programme de formation vise à assurer une formation adéquate des Membres dont les fonctions nécessitent le Traitement de Données à Caractère Personnel.
En plus de ce programme de formation, CGI continue de promouvoir une culture de protection des données au sein de son organisation. À cette fin, elle met en œuvre des mesures de communication précises, y compris des campagnes de sensibilisation, des documents sur la protection des données, des webinaires et des forums, afin de fournir des conseils et de répondre aux demandes d’information concernant les présentes BCRC.
La formation sur la protection des Données Personnelles est obligatoire pour les Membres dont les fonctions exigent le Traitement de Données à Caractère Personnel.
- 15 – Audit
-
CGI intègre à son programme d’audit interne un examen de la conformité de l’entreprise de tous les aspects de ces BCR-C.
Le processus d’audit interne définit ce qui suit :
- le calendrier d’exécution des audits;
- la portée prévue des audits;
- l’équipe responsable des audits.
Le processus d’audit interne peut être révisé périodiquement. Toutefois, CGI effectue régulièrement des audits internes par l’entremise d’une équipe d’audit qualifiée. Ce programme est mené par le service d’audit interne de CGI.
Les résultats de l’audit sont communiqués au siège social de CGI ainsi qu’à l’équipe responsable de la protection de la vie privée. Les mesures qui en découlent sont définies et un ordre de priorité est établi pour permettre à l’équipe responsable de la protection de la vie privée de planifier la mise en œuvre de mesures correctives et préventives.
Les autorités de contrôle compétentes peuvent demander à consulter les résultats de l’audit.
- 16 – Équipe responsable de la protection de la vie privée
-
La mise en œuvre de ces BCR-C exige que toutes les entités de CGI participantes énumérées à l’Annexe A contribuent pleinement à son application. Dans tous les cas, elles demeurent entièrement responsables de leur propre conformité aux BCR-C.
CGI met sur pied une équipe interne responsable de la Protection de la Vie Privée qui définit les normes, les politiques et les processus appropriés pour toutes les entités de CGI participantes et surveille la conformité aux BCR-C.
Plus particulièrement, CGI désigne un Responsable en Chef de la Protection de la Vie Privée (CPO), un réseau de Délégués à la Protection des Données et de Partenaires d’Affaires régionaux Responsables de la Protection de la Vie Privée, conformément à la Législation Applicable sur la Protection des Données.
Le CPO est sous la direction de l’Avocat en Chef, qui relève directement du Chef de la Direction. En ce qui concerne les présentes BCR-C, le CPO se consacre principalement aux tâches suivantes :
- Définir la stratégie du Groupe à l’égard de la mise en œuvre des présentes et des procédures dans l’ensemble de l’organisation pour s’assurer que chaque Unité d’Affaires (UA) et Unité d’Affaires Stratégique (UAS) s’y conforme.
- Définir le programme de formation.
- Définir la stratégie d’audit pour vérifier l’application efficace des présentes BCR-C.
- Fournir des conseils à l’UAS, au besoin.
Pour chaque Unité d’Affaires Stratégique de chaque zone géographique, nous avons nommé un Partenaire d’Affaires régional Responsable de la Protection de la Vie Privée qui peut compter sur un réseau de
Partenaires d’Affaires Responsables de la Protection de la Vie Privée nommés au niveau local et/ou de l’Unité d’Affaires. Les partenaires d’affaires en protection de la Vie Privée des unités d’affaires stratégiques doivent s’assurer que les présentes BCR-C sont dûment mises en œuvre au niveau de l’unité d’affaires stratégique et que toute réclamation soulevée à ce niveau, y compris les réclamations des Personnes Concernées, est traitée de façon appropriée et conformément au processus décrit dans ces BCR. Ils doivent également vérifier, de concert avec les Partenaires d’Affaires responsables de la protection de la Vie Privée locaux, que les transferts de données sont correctement effectués et que les engagements sont respectés.
Dans tous les cas, les coordonnées d’une personne-ressource clé possédant une expertise pertinente en cas de questions ou de réclamations sont communiquées aux Personnes Concernées.
- 17 – Registre des activités de Traitement
-
CGI tient un registre des activités de Traitement effectuées en tant que Responsable du Traitement, nommé l’« Inventaire de Traitement des Données », qui contient les informations suivantes:
- le nom et les coordonnées du Responsable du Traitement et, le cas échéant, du Responsable conjoint du Traitement, du représentant du Responsable du Traitement et du délégué à la protection des données;
- les finalités du traitement;
- une description des catégories de Personnes Concernées et des catégories de Données à Caractère Personnel;
- les catégories de destinataires auxquels les Données à Caractère Personnel ont été ou seront communiquées, y compris les destinataires dans des pays tiers ou des organisations internationales
- le cas échéant, les Transferts de Données à Caractère Personnel vers un pays tiers ou à une organisation internationale, y compris l'identification de ce pays tiers ou de cette organisation internationale et les documents attestant de l'existence de garanties appropriées
- dans la mesure du possible, les délais prévus pour l'effacement des différentes catégories de données;
- dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles.
CGI s’assure que tout nouveau Traitement de Données à Caractère Personnel est consigné dans l’Inventaire de Traitement des Données, avec les renseignements pertinents concernant le contexte de chaque Traitement des Données à Caractère Personnel. CGI mettra le(s) enregistrement(s) des activités de Traitement à la disposition des autorités de contrôle sur demande.
- 18 – Mise à jour des Règles d’Entreprise Contraignantes (BCR-C)
-
Les présentes BCR-C peuvent être modifiées, selon les besoins et conformément à une procédure précise.
Lorsque les modifications ont une incidence importante sur les Règles d’Entreprise Contraignantes (BCR) ou sur le niveau de protection offert, CGI informe dans les meilleurs délais l’autorité de contrôle compétente en matière de protection des données et toutes les entités de CGI énumérées à l’Annexe A. Pour tout autre changement à ces BCR-C, CGI communique, au moins une fois par an, avec tous les groupes suivants :
- chaque entité participante de CGI figurant à l’Annexe A;
- les Membres de CGI;
- les Personnes Concernées pour lesquelles CGI agit en tant que Responsable du Traitement; et
- les autorités de contrôle pertinentes en matière de protection des données, par l’intermédiaire de l’autorité de contrôle compétente avec une explication succincte des raisons justifiant l’actualisation.
CGI tient à jour une liste des entités liées par ces BCR-C, et l’équipe responsable de la Protection de la Vie
Privée consigne toute actualisation des règles, s’assure que l’information est communiquée en temps opportun aux parties prenantes susmentionnées et fournit l’information nécessaire aux Personnes Concernées ou aux autorités de contrôle compétentes en matière de protection des données, sur demande.
CGI s’engage à ne pas transférer de Données à Caractère Personnel à une nouvelle entité de CGI qui n’est pas formellement liée par ces BCR-C conformément à la procédure définie à la Section 3.
Lorsqu'une entité CGI hors EEE figurant à l'annexe A cesse à l'avenir de faire partie du groupe des entités CGI lié par ces BCR-C, il convient de s'assurer qu'elle continuera à appliquer les exigences des BCR-C au traitement des Données à caractère personnel qui lui ont été transférées au moyen des BCR, à moins que, au moment de quitter ce groupe, l'ancien membre n'efface ou ne renvoie la totalité de ces données aux entités auxquelles les BCR-C s'appliquent toujours.
Chaque entité de CGI énumérée à l’Annexe A, agissant en tant que Responsable du Traitement ou SousTraitant Interne, a la responsabilité de démontrer sa conformité à ces BCR-C
- Annexe A - Liste des entités CGI liées par les BCR
- Annexe B - Activités couvertes par les BCRs
Les présentes Règles d’Entreprise Contraignantes (BCR-P) s’appliquent lorsque CGI agit en tant que SousTraitant pour le compte d’un Responsable de Traitement établi dans l’Union européenne mais n’étant pas une
entité de CGI.
- 1 – Définitions
-
Aux fins des présentes Règles d’Entreprise Contraignantes en tant que Sous-Traitant (BCR-P), les définitions suivantes s’appliquent.
« Législation Applicable en matière de Protection des Données » désigne i) le Règlement Général sur la Protection des Données (RGPD – règlement européen no 2016/679) relatif au Traitement des Données à Caractère Personnel, à compter de son entrée en vigueur, et ii) toute loi d’exécution du RGPD.
« CGI » désigne, selon le cas, une, plusieurs ou toutes les entités juridiques participantes contrôlées ou détenues par CGI inc., ainsi que les unités d’affaires stratégiques et les unités d’affaires agissant en leur nom, qui Traitent des Données à Caractère Personnel et pour lesquelles l’adhésion aux présentes BCR-P n’enfreint ni ne contrevient aux lois locales, règlements, textes législatifs, ordonnances, normes obligatoires ou engagements contraignants. Les entités de CGI participantes sont énumérées à l’Annexe A. Cette liste peut être mise à jour de temps à autre.
« Responsable du Traitement » désigne toute entité juridique qui, seule ou conjointement avec d’autres Responsables du Traitement, détermine les finalités et les moyens du Traitement des Données à Caractère Personnel.
« Sous-Traitant » désigne toute entité juridique agissant pour le compte d’un Responsable du Traitement.
« Personne Concernée » désigne une personne physique identifiée ou identifiable dont les Données à Caractère Personnel sont Traitées par CGI, comprenant tout membre CGI, conseiller externe de CGI, ou employés ou utilisateurs finaux d’un client de CGI.
« Espace Economique Européen » ou « EEE » désigne les pays membres de l’Union européenne
(Allemagne, Autriche, Belgique, Bulgarie, Chypre, Croatie, Danemark, Espagne, Estonie, Finlande, France, Grèce, Hongrie, Irlande, Italie, Lettonie, Lituanie, Luxembourg, Malte, Pays-Bas, Pologne, Portugal, République tchèque, Roumanie, Slovaquie, Slovénie et Suède), ainsi que l’Islande, le Liechtenstein et la Norvège ci-après dénommé également « Etats Membres ».
« RGPD » désigne le Règlement Européen no 2016/679 intitulé Règlement Général sur la Protection des Données.
« Législation Locale » a le sens attribué à la Section 12.5 du présent document.
« Membre » ou « Membres » désigne les employés de CGI
« Données à Caractère Personnel » désigne toute information relative à une Personne Concernée qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne ou à un ou plusieurs éléments propres à l’identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale de cette personne physique. Les Données à Caractère Personnel comprennent les Données à Caractère Personnel Sensibles.
« Traiter », « Traitement » ou « Traité(e)s » désigne toute opération ou tout ensemble d’opérations effectuées sur des Données à Caractère Personnel que ce soit ou non par des procédés automatisés telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation, la modification, l’extraction, la consultation (y compris par accès à distance), l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.
« Données à Caractère Personnel Sensibles » désigne des catégories précises de Données à Caractère Personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, les croyances religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le Traitement de données génétiques ou biométriques dans le but d’identifier de façon unique une personne physique, et des données concernant la santé et des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique.
« Tiers » désigne les fournisseurs et les sous-traitants de CGI, ainsi que toute autre entité ou organisme public pour lesquels les Données à Caractère Personnel peuvent être communiquées.
« Transfert de Données à Caractère Personnel » désigne le transfert de Données à Caractère Personnel situées dans l’Espace Economique Européen (EEE) vers un pays situé à l’extérieur de l’EEE.
- 2 – Champ d’application
-
2.1 Activités concernées
Les présentes Règles d’Entreprise Contraignantes (BCR-P) s’appliquent lorsque CGI agit en tant que Sous-
Traitant pour le compte d’un Responsable de Traitement établi dans l’Union européenne mais n’étant pas une entité de CGI.
Les types de Traitement, les Personnes Concernées et la nature et les catégories de Données à Caractère Personnel visées par ces BCR-P sont énoncés à l’Annexe B.
2.2 Territoires concernés
Les principes mentionnés aux présentes s’appliquent au Transfert de Données à Caractère Personnel dans les cas suivants :
- de CGI au sein de l’EEE vers CGI à l’extérieur de l’EEE;
- de CGI à l’extérieur de l’EEE vers CGI au sein ou à l’extérieur de l’EEE, mais seulement dans la mesure où les Données à Caractère Personnel des Personnes Concernées au sein de l’EEE sont Traitées;
- de CGI au sein de l’EEE vers des Tiers à l’extérieur de l’EEE;
- des Tiers à l’extérieur de l’EEE vers des entités de CGI situées au sein de l’EEE, mais seulement dans la mesure où les Données à Caractère Personnel des Personnes Concernées au sein de l’EEE sont Traitées.
- 3 – Respect des Règles d’Entreprise Contraignantes
-
3.1 Responsabilité de CGI
Les présentes BCR-P sont contraignantes pour CGI, ainsi que pour toutes les entités juridiques participantes de CGI énumérées à l’Annexe A.
Toute entité de CGI agissant en tant que Sous-Traitant met à la disposition du Responsable du Traitement toute l’information raisonnable nécessaire pour démontrer la conformité à ses obligations en vertu de ces BCRP.
3.2 Conformité des employés
Tous les Membres (employés) de CGI sont liés par ces BCR-P au travers de leur devoir, dans tous les contrats de travail, de se conformer aux obligations de confidentialité et de protection des Données Personnelles ainsi qu’aux politiques, processus et normes de CGI, tel que prévu dans le Code d’Ethique de CGI. Chaque année, les Membres de CGI prendront connaissance de ces BCR-P, si applicable, avec le Code d’Ethique.
Ainsi que détaillé aux Sections 13.1 et 14 des BCR-P, les Membres CGI sont informés des BCR par le biais de formation et de communication interne. Les Membres CGI ont aussi connaissance que la non-conformité avec le Code d’Ethique, et dans ce cas spécifique avec les BCR-P, peut entrainer des sanctions conformément aux législations locales applicables.
3.3 Conformité relative aux clients de CGI et aux autres Responsables du Traitement
CGI, en tant que Sous-Traitant, s’engage auprès de ses clients mais aussi auprès des autres Responsables du Traitement à se conformer aux présentes BCR-P.
CGI, y compris ses employés, s’engage à Traiter les Données à Caractère Personnel des Responsables du Traitement uniquement conformément à leurs instructions et, en particulier, selon la nature, la méthode, la finalité et la durée du Traitement, ainsi que les mesures opérationnelles et techniques requises pour empêcher un accès illicite aux Données à Caractère Personnel. Conformément à l’article 28 du RGPD, un tel engagement sera expressément intégré dans les contrats conclus entre CGI et les Responsables du Traitement.
3.4 Conformité relative aux fournisseurs et sous-traitants de CGI et autres Tiers
Tout Tiers qui Traite des Données à Caractère Personnel pour le compte de CGI est tenu de mettre en œuvre des mesures organisationnelles appropriées pour assurer la conformité aux principes et aux exigences des présentes BCR-P ainsi que tous les éléments requis prévus au contrat conformément à l’article 28.3 du RGPD.
- 4 – Principes de base de CGI en matière de Traitement des Données à Caractère Personnel
-
Conformément aux principes ci-après, le Traitement des Données à Caractère Personnel respecte ou dépasse non seulement la Législation Applicable sur la Protection des Données, mais également les normes et pratiques les plus élevées du marché concernant le Traitement des Données à Caractère Personnel.
Lorsque CGI agit en tant que Sous-Traitant, CGI s’assure de Traiter les Données à Caractère Personnel uniquement conformément aux instructions du Responsable du Traitement, qui, dans la plupart des cas, est un client de CGI.
Plus particulièrement, un tel Traitement satisfera à chacune des conditions suivantes :
Être effectué conformément aux seules finalités exprimées par le Responsable du Traitement. Être effectué dans les conditions convenues entre CGI et le Responsable du Traitement. Être effectué uniquement pour la durée définie expressément par le Responsable du Traitement.
Pour éviter toute ambiguïté, il est entendu que rien dans les présentes BCR-P ne limite le droit de CGI de conserver des Données à Caractère Personnel dans le cas d’un litige existant ou d’introduire ou de défendre des réclamations futures, conformément aux lois de prescription applicables à CGI.
Le Responsable du Traitement demeure le seul responsable en ce qui concerne la conformité du Traitement à la Législation Applicable sur la Protection des Données.
Plus particulièrement, en tant que Sous-Traitant, CGI Traite les Données à Caractère Personnel conformément à la Législation Applicable sur la Protection des Données et aux instructions du Responsable du Traitement énoncées dans le contrat conclu entre CGI et le Responsable du Traitement. CGI effectue ce Traitement conformément aux instructions du Responsable du Traitement et ne peut pas effectuer de Traitement ultérieur de manière incompatible avec ces finalités, à moins d’en avoir été expressément autorisé par le Responsable du Traitement et sous réserve de la Législation Applicable sur la Protection des Données. CGI informe immédiatement le Responsable du Traitement si, de son point de vue, une des instructions du Responsable du Traitement contrevient à la Législation Applicable sur la Protection des Données.
Le Responsable du Traitement est responsable de définir la durée de conservation nécessaire au regard des finalités du Traitement, et CGI s’engage à ce titre à Traiter les Données à Caractère Personnel du Responsable du Traitement uniquement selon les instructions de ce dernier.
CGI Traite les Données à Caractère Personnel du Responsable du Traitement avec transparence, conformément à la Section 12 des BCR-P, et ne sous-traite ce Traitement à des Tiers qu’en vertu d’une autorisation préalable générale ou spécifique du Responsable du Traitement et conformément à la Section 6 cidessous. CGI assiste et fournit une aide raisonnable au Responsable du Traitement afin qu’il respecte ses obligations en vertu de la Législation Applicable sur la Protection des Données.
De plus, à la demande du Responsable du Traitement et conformément à ses instructions, CGI met à jour, corrige, anonymise ou supprime toute Donnée à Caractère Personnel et, s’il y a lieu, demande aux Tiers de se conformer à une telle demande.
Sur demande du Responsable du Traitement concernant ses obligations de répondre aux demandes d’exercice des droits des Personnes Concernées, CGI mettra en œuvre les mesures techniques et organisationnelles appropriées conformément à la procédure CGI pertinente.
Lorsque CGI agit en tant que Sous-Traitant, et sauf instruction contraire de la part du Responsable du
Traitement, CGI applique les mêmes exigences de base en matière de sécurité que lorsqu’elle agit en tant que Responsable du Traitement. Sous réserve de la nature du Traitement et de l’information à sa disposition, CGI fournit une aide raisonnable au Responsable du Traitement afin d’assurer le respect de ses obligations en vertu des articles 32 à 36 du RGPD.
À la fin du contrat avec le Responsable du Traitement, CGI et tout Tiers détruit ou restitue au Responsable du
Traitement toutes les Données à Caractère Personnel conformément à ses instructions et à la Législation Applicable sur la Protection des Données. Dans un tel cas, CGI certifie au Responsable du Traitement que la suppression et/ou la restitution a été exécutée. En cas de restitution, CGI assure la confidentialité des Données à Caractère Personnel transférées au Responsable du Traitement.
L’aide que CGI fournit au Responsable du Traitement à des fins de conformité en vertu de la présente Section est assujettie aux conditions financières, techniques et organisationnelles convenues entre CGI et le Responsable du Traitement dans le contrat de services pertinent.
- 5 – Traitement des Données à Caractère Personnel Sensibles
-
Le Traitement portant sur des catégories particulières de Données à Caractère Personnel exige que des garanties renforcées, telles que décrites ci-après, soient mises en œuvre.
Lorsque CGI est tenue par un Responsable du Traitement de Traiter des Données à Caractère Personnel
Sensibles réglementées comme telles en vertu de la Législation Applicable sur la Protection des Données, ledit
Responsable du Traitement demeure le seul responsable de la définition des mesures de sécurité qu’il juge appropriées pour gérer les risques sous-jacents, conformément à la Législation Applicable sur la Protection des Données. Toutefois, sauf instruction contraire de la part du Responsable du Traitement, CGI traite les Données à Caractère Personnel conformément aux meilleures pratiques qu’elle applique normalement dans des circonstances similaires. Dans tous les cas, CGI suit les instructions du Responsable du Traitement et applique les mesures convenues entre les parties.
Lorsque CGI exécute le Traitement des Données à Caractère Personnel Sensibles en tant que Sous-Traitant,
CGI n’est pas tenue de s’assurer que le Traitement repose sur l’une des bases légales définies à l’article 9 du RGPD.
Dans tous les cas, CGI Traite les Données à Caractère Personnel Sensibles conformément aux lois applicables. Lorsqu’une loi exige des conditions précises d’hébergement et de Traitement des données à Caractère Personnel, CGI obtient la certification ou la qualification requise ou fait appel à un Tiers déjà certifié ou qualifié à cette fin.
- 6 – Transfert de Données à Caractère Personnel vers des pays tiers
-
Un Transfert de Données à Caractère Personnel a lieu lorsqu’une entité située à l’extérieur de l’EEE participe au Traitement effectué par une entité située au sein de l’EEE.
Un Transfert de Données à Caractère Personnel peut nécessiter des garanties ou conditions supplémentaires, comme décrit ci-dessous.
6.1 Transfert de Données à Caractère Personnel au sein de CGI
Les présentes BCR-P offrent des mesures de protection appropriées pour tout Transfert de Données à Caractère Personnel :
de CGI au sein de l’EEE agissant en tant que Sous-Traitant vers CGI située à l’extérieur de l’EEE agissant en tant que Sous-Traitant; de CGI située à l’extérieur de l’EEE agissant en tant que Sous-Traitant et Traitant des Données à
Si une autorisation générale est accordée, CGI informe le Responsable du Traitement de tout changement prévu concernant l’ajout ou le remplacement d’un sous-traitant ultérieur externe en temps opportun, de sorte que le Responsable du Traitement ait la possibilité de s’opposer au changement ou de résilier le contrat avant tout Transfert de Données à Caractère Personnel vers le nouveau sous-traitant ultérieur externe.
Tout autre flux d’information personnelle qui ne sont pas des Données à Caractère Personnel et qui ne proviennent pas d’une entité située au sein de l’EEE n’est pas considéré comme un Transfert de Données à Caractère Personnel, en vertu de ces BCR-P. Par conséquent, un tel transfert n’est pas assujetti aux exigences énoncées aux présentes. Toutefois, l’entité de CGI engageant de tels transferts met en œuvre toutes les mesures techniques et organisationnelles nécessaires et raisonnables, adaptées aux risques relatifs à un tel Traitement, conformément aux présentes BCR-P et aux politiques de sécurité applicables de CGI.
Transfert des Données à Caractère Personnel en faisant usage de l’une des garanties appropriées mentionnées ci-dessous :
- l’adoption par les parties des clauses types de protection des données de l’UE découlant de la décision (UE) 2021/914 de la Commission datée du 4 juin 2021 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers en vertu du règlement (UE) 2016/679 du Parlement européen et du Conseil ;
- toute mesure de garantie appropriée reconnue par la Législation Applicable sur la Protection des Données qui exige un niveau de protection des Données à Caractère Personnel identique ou supérieur à celui prévu dans le Règlement Général sur la Protection des Données 2016/679, comme une décision d’adéquation, un code de conduite approuvé ou un mécanisme de certification approprié.
Caractère Personnel entrant dans le champ d’application de ces BCR vers CGI agissant en tant que Sous-Traitant, quel que soit sa localisation.
Les activités concernées par ces Transferts de Données à Caractère Personnel sont définis à la Section 2.1 cidessus.
Lorsqu’elle agit en tant que Sous-Traitant, CGI s’assure d’obtenir l’autorisation écrite générale ou spécifique du
Responsable du Traitement avant d’effectuer tout Transfert de Données à Caractère Personnel. Si une autorisation générale est accordée, CGI informe le Responsable du Traitement de tout changement prévu concernant l’ajout ou le remplacement d’un sous-traitant ultérieur en temps opportun, de sorte que le
Responsable du Traitement ait la possibilité de s’opposer au changement ou de résilier le contrat avant tout Transfert de Données à Caractère Personnel vers le nouveau sous-traitant ultérieur.
6.2 Transfert de Données à Caractère Personnel à l’extérieur de CGI
Lorsque CGI agit en tant que Sous-Traitant pour le compte d’un Responsable du Traitement situé au sein de l’EEE et que les Données à Caractère Personnel du Responsable du Traitement sont ensuite transférées à un Tiers situé à l’extérieur de l’EEE, CGI s’assure
que le Responsable du Traitement donne une autorisation écrite préalable, générale ou spécifique à un tel Transfert et que le Responsable du Traitement au sein de l’EEE et le Tiers situé à l’extérieur de l’EEE effectuent le
- 7 – Droits des Tiers bénéficiaires
-
7.1 Lorsque CGI agit en tant que Sous-Traitant
Lorsque CGI agit en tant que Sous-Traitant, les Personnes Concernées ont le droit de se prévaloir des sections suivantes des présentes BCR-P en tant que Tiers bénéficiaires directement auprès de CGI lorsque les exigences en cause incombent spécifiquement aux Sous-Traitants conformément au Règlement européen 2016/679 relatif au Traitement de Données Personnelles.
- Section 3.3. - CONFORMITÉ RELATIVE AUX CLIENTS DE CGI ET AUX AUTRES RESPONSABLES DU TRAITEMENT
- Section 4 – PRINCIPES DE BASE DE CGI EN MATIÈRE DE TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL
- Section 5 – TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL SENSIBLES
- Section 6 – TRANSFERT DE DONNÉES À CARACTÈRE PERSONNEL VERS DES PAYS TIERS Section 7 – DROITS DES TIERS BÉNÉFICIAIRES
- Section 8 – RESPONSABILITÉ DE CGI EN CAS DE VIOLATION DES REGLES D’ENTREPRISE CONTRAIGNANTES (BCR-P)
- Section 9 – PROCÉDURE DE TRAITEMENT DES DEMANDES ET DES RECLAMATIONS DES PERSONNES CONCERNÉES
- Section 12.1 – (TRANSPARENCE) CONCERNANT LES REGLES D’ENTREPRISE CONTRAIGNANTES (BCR-P)
- Section 12.2 – (TRANSPARENCE) CONCERNANT LE TRAITEMENT DE DONNEES
- Section 12.3 : NOTIFICATION DES VIOLATIONS DE DONNEES A CARACTERE PERSONNEL
- Section 12.4 – COOPÉRATION AVEC LES AUTORITÉS DE CONTRÔLE
- Section 12.5 – LORSQUE LA LEGISLATION LOCALE PRIME SUR LES PRÉSENTES BCR-P
Dans le cas où le Responsable du Traitement a disparu dans les faits, a cessé d’exister juridiquement ou est devenu insolvable et qu’aucune autre entité n’a assumé les obligations juridiques du Responsable du Traitement, les Personnes Concernées ont le droit de faire valoir leurs droits contenus dans ces BCR-P et d’introduire une réclamation directement contre CGI en tant que Tiers bénéficiaires.
Dans un tel cas, les Personnes Concernées et CGI pourront rechercher une solution à l’amiable en vertu d’un règlement conclu conformément à la Section 9 de ces BCR-P (« Procédure de traitement des demandes et des réclamations des Personnes Concernées »).
Lorsque CGI agit en tant que Sous-Traitant et que le Responsable du Traitement participe au même
Traitement, ils sont conjointement responsables de tout préjudice causé par ledit Traitement. Les Personnes
Concernées ont droit de percevoir une indemnisation pour l’intégralité du préjudice directement auprès de CGI agissant en tant que Sous-Traitant ou du Responsable du Traitement.
Bien que CGI encourage les Personnes Concernées à utiliser la procédure consacrée au traitement des plaintes, elles ont également le droit d’introduire une réclamation directement auprès de l’autorité de contrôle en matière de protection des données au sein de l’UE ayant compétence sur le territoire où se trouve leur lieu de résidence habituel, leur lieu de travail ou le lieu où la violation aurait été commise ou d’intenter des recours juridictionnels contre CGI France SAS auprès de la jurisdiction de l’Etat-Membre ayant compétence sur le territoire où se trouve un établissement de CGI ou la résidence habituelle de la Personne Concernée pour toute violation des droits garantis par les présentes BCR-P et, le cas échéant, ont le droit d’obtenir réparation pour tout préjudice matériel ou moral résultant d’une telle violation.
7.2 Juridiction
Lorsqu’une Personne Concernée a l’intention d’introduire une réclamation conformément à la Section 7.1 cidessus pour la violation de tout droit garanti en vertu des présentes BCR-P relatif au Traitement entrant dans le champ d’application de ces BCR, les autorités ou les tribunaux suivants sont compétents :
- Lorsque la violation résulte du Traitement effectué par CGI située au sein de l’EEE, la Personne Concernée a le droit d’introduire une réclamation contre CGI auprès d’une des autorités suivantes :
- Autorité de contrôle compétente en matière de protection des données dans l’Etat-Membre de sa résidence habituelle, de son lieu de travail ou du lieu où la violation aurait été commise;
- juridictions du pays de l’Etat-Membre où la Personne Concernée réside habituellement;
- juridictions de l’Etat-Membre où CGI, en tant qu’exportateur de données, ou le Responsable de Traitement a un établissement.
- Lorsque la violation résulte du Traitement effectué par CGI située à l’extérieur de l’EEE, la Personne Concernée a le droit d’introduire une réclamation contre CGI France SAS directement auprès de l’autorité de contrôle de protection des données au sein de l’UE ayant compétence sur le territoire où se trouve son lieu de résidence, son lieu de travail ou le lieu où la violation aurait été commise ou devant la jurisdiction de l’Etat-Membre dans lequel se trouve un établissement de CGI ou du Responsable de Traitement ou le lieu de résidence de la Personne Concernée.
- 8 – Responsabilité de CGI en cas de violation des Règles d’Entreprise Contraignantes (BCR-P)
-
Lorsque CGI ou un sous-traitant ultérieur externe engagé par CGI, Traite des Données à Caractère Personnel pour le compte d’un Responsable du Traitement, elle peut être tenue responsable de tout préjudice causé par le Traitement uniquement si elle ne s’est pas conformée à ses obligations ou si elle a agi contrairement aux instructions licites du Responsable du Traitement. Si le Responsable du Traitement et CGI France SAS participent au même Traitement et sont tenus responsables de tout préjudice causé par le Traitement, chacun d’eux peut être tenu responsable de l’intégralité du préjudice afin d’assurer une indemnisation efficace de la Personne Concernée.
Lorsque CGI Traite des Données à Caractère Personnel pour le compte d’un Responsable du Traitement qui a disparu dans les faits, a cessé d’exister juridiquement en tant qu’entité juridique ou est devenu insolvable et qu’aucune autre entité n’a assumé les obligations juridiques dudit Responsable du Traitement en vertu d’un contrat ou de l’application de la loi, la Personne Concernée peut faire valoir ses droits contre l’entité remplaçante, s’il y a lieu, ou contre CGI France SAS. Dans un tel cas, la Personne Concernée a le droit d’introduire un recours auprès d’une jurisdiction ou d’une autorité compétente en matière de protection des données qui a compétence sur ledit Responsable du Traitement ou sur CGI France SAS. Dans tous les cas, les Personnes Concernées ont le droit d’introduire une réclamation directement auprès de l’autorité de protection des données ayant compétence sur le territoire de l’Etat-Membre où se trouve leur lieu de résidence habituel, leur lieu de travail ou le lieu où la violation aurait été commise ou d’intenter des recours juridictionnels contre CGI auprès de la jurisdiction ayant compétence sur le territoire de l’Etat-Membre où se trouve un établissement de CGI ou la résidence habituelle de la Personne Concernée pour toute violation des droits garantis par les présentes BCR-P et, le cas échéant, ont le droit d’obtenir réparation pour tout préjudice matériel ou moral résultant d’une telle violation.
Il incombe à CGI France SAS de démontrer que CGI ou tout Tiers situé en dehors de l’EEE ne contrevient pas aux présentes BCR-P. Toutefois, dans l’éventualité d’une violation avérée dans de telles circonstances, CGI France SAS prend les mesures nécessaires pour remédier à la violation et verser une indemnité réparatrice pour les préjudices avérés qui en résultent. Toute indemnisation versée par CGI France SAS est appuyée par CGI inc., l’entité de contrôle de toutes les filiales opérationnelles de CGI, confirmant ainsi que CGI France SAS accepte la responsabilité pour les actes des filiales opérationnelles de CGI liées par ces BCRP à l’extérieur de l’UE et dispose de ressources financières suffisantes pour verser une indemnité en réparation des préjudices résultant de la violation de ces BCR-P.
De plus, le Responsable du Traitement concerné a le droit d’appliquer les présentes BCR-P à toute entité de CGI qui Traite des Données à Caractère Personnel pour son compte et qui ne s’y conforme pas. Dans l’éventualité où une telle violation implique une entité de CGI ou un sous-traitant externe engagé par CGI en dehors de l’UE, le Responsable du Traitement a le droit d’appliquer les présentes BCR-P à CGI France SAS, qui accepte la responsabilité au sein de l’UE/EEE, comme décrit précédemment dans cette Section. Le Responsable du Traitement a droit à une indemnisation et à des recours juridictionnels aux conditions énoncées dans le contrat pertinent conclu entre CGI et ce Responsable du Traitement.
- 9 – Procédure de traitement des demandes et des réclamations des Personnes Concernées
-
La procédure énoncée dans la présente Section s’applique également à l’exercice par une Personne
Concernée de son droit d’accès à ses Données à Caractère Personnel, de rectification ou de suppression.
Lorsqu’une Personne Concernée introduit une réclamation ou une demande directement auprès de CGI agissant en tant que Sous-Traitant, CGI informe le Responsable du Traitement de la réclamation ou de la demande et n’est pas légalement responsable de son traitement. CGI est responsable du traitement de ces demandes uniquement sous réserve des instructions du Responsable du Traitement. Si le Responsable du
Traitement a disparu dans les faits, a cessé d’exister juridiquement ou est devenu insolvable, CGI traite ces demandes directement, dans la mesure du possible, conformément à la procédure CGI pertinente.
Une telle réclamation ou demande est gérée par CGI dans les meilleurs délais et conformément à la procédure CGI pertinente.
À moins qu’un formulaire ou qu’une personne-ressource n’ait été nommé par CGI pour les demandes ou les réclamations dans le cadre des services fournis au Responsable du Traitement dont il est question, les Personnes Concernées peuvent envoyer leur demande ou introduire leur réclamation comme indiqué dans la Section Communication de ces BCR-P.
CGI communique toute information pertinente qu’elle reçoit de la Personne Concernée au Responsable du Traitement et indique expressément à ce dernier qu’il lui incombe de traiter une telle réclamation ou demande.
- 10 – Protection de la vie privée dès la conception/par défaut
-
Conformément aux principes énoncés dans les présentes BCR-P, CGI fournit le niveau de protection approprié aux Données à Caractère Personnel qu’elle Traite.
Afin de s’assurer que ces principes sont effectivement pris en compte quand CGI Traite des Données à
Caractère Personnel, CGI détermine et met en œuvre des contraintes relatives à la protection des données au cours des cycles de développement et de livraison de tout projet ou service qui comprend le Traitement de Données à Caractère Personnel.
- 11 – Analyse d’impact relative à la protection des données
-
Lorsque CGI agit en tant que Sous-Traitant, CGI peut être tenue par le Responsable du Traitement de coopérer et de fournir des informations pertinentes pour lui permettre de mener une analyse d’impact. CGI fournit alors au Responsable du Traitement toute information pertinente tout en s’assurant de ne pas prodiguer de conseils juridiques dans le cadre d’une telle analyse d’impact.
- 12 – Transparence
-
12.1 Concernant les Règles d’Entreprise Contraignantes (BCR-P)
CGI fera connaître ces BCR-P afin d’encourager la conformité à celles-ci.
CGI s’assure que le Responsable du Traitement peut facilement accéder aux présentes BCR-P, notamment en rendant une version publique accessible sur son site Web et en y faisant référence dans le contrat de service conclu avec le Responsable du Traitement.
12.2 Concernant le Traitement des données
Lorsque CGI agit en tant que Sous-Traitant, CGI fournit aux Responsables du Traitement, sur leur demande, les informations pertinentes leur permettant de respecter leurs propres obligations envers les Personnes
Concernées. Sauf indication contraire dans une clause contractuelle, CGI n’est pas tenue d’informer directement les Personnes Concernées, car ces obligations demeurent la responsabilité des Responsables du Traitement.
12.3 Notification d’une violation de Données à Caractère Personnel
Conformément aux politiques et normes de CGI en matière de sécurité, si CGI ou un sous-traitant ultérieur externe engagé par CGI, identifie un incident de sécurité entraînant de façon accidentelle ou illicite la destruction, la perte, l’altération, la divulgation non autorisée ou l’accès à des Données à Caractère Personnel transmises, stockées ou autrement Traitées, CGI notifie, dans les meilleurs délais, l’incident de sécurité et les mises à jour sur l’état au Responsable de Traitement et quand cela est convenu dans le contrat concerné, également à l’autorité de contrôle de la protection des données pertinente et/ou aux Personnes Concernées lorsque la violation de Données à Caractère Personnel est susceptible d'engendrer un risque élevé pour leurs droits et libertés. De même et pour plus de clarté, dans l’éventualité où une violation de Données à Caractère Personnel est identifiée par un sous-traitant ultérieur externe engagé par CGI, ce sous-traitrant ultérieur informera CGI conformément à ce qui est prévu au contrat, et dans le cas où la violation de Données à Caractère Personnel surviendrait à l’extérieur de l’EEE et impliquerait le Transfert de Données à Caractère Personnel depuis l’EEE, CGI France SAS est notifiée. Toutes les violations de Données à Caractère Personnel doivent être documentées et mises à la disposition des autorités de contrôle sur demande.
12.4 Coopération avec les autorités de contrôle
CGI vise à entretenir de solides relations avec les autorités de contrôle de la protection des données. Elle collabore avec les autorités de contrôle compétentes, y compris les autorités de contrôle compétentes pour le Responsable de Traitement, relativement à toute demande envoyée conformément à la Législation Applicable sur la Protection des Données, y compris toute demande d’audit. CGI se conforme également aux avis formulés par les autorités de contrôle compétentes relativement au Traitement des Données à Caractère Personnel effectué par CGI en tant que Sous-Traitant.
12.5 Lorsque la Législation Locale prime sur les présentes BCR-P
Avant que le transfert n’ait lieu, l’entité exportatrice de données avec l’aide de l’entité importatrice de données, prenant en compte les circonstances du transfert, évalue si la législation locale, règlements, textes législatifs, ordonnances ou normes obligatoires (ci-après la « Législation Locale ») empêche CGI de remplir les obligations qui lui incombent en vertu de ces BCR-P et détermine toute mesure supplémentaire appropriée à adopter.
Avant l’entrée en vigueur de toute Législation Locale mise à jour et lorsque le transfert est déjà en cours, l’entité exportatrice de données avec l’aide de l’entité importatrice de données, évaluera si la Législation Locale mise à jour, empêchera CGI de remplir les obligations qui lui incombent en vertu de ces BCR-P et déterminera toute mesure supplémentaire appropriée à adopter.
Le Responsable en Chef de la Protection de la Vie Privée, l’Avocat en Chef et CGI France SAS examinent et valident cette analyse documentée et toute mesure supplémentaire proposée et les présentent au Responsable du Traitement pour validation.
Lorsque la Législation Locale exige un niveau de protection des Données à Caractère Personnel plus élevé que celui prévu dans ces BCR-P, cette Législation Locale prime sur ces BCR-P, et tout Traitement assujetti à cette Législation Locale, est effectué conformément à celle-ci.
Lorsque le résultat de l’évaluation de la Législation Locale démontre la nécessité de mettre en œuvre des mesures supplémentaires, CGI les mettra en œuvre après consultation du Responsable du Traitement.
Toutefois, si aucune mesure supplémentaire ne peut être mise en œuvre, CGI en informera rapidement le Responsable du Traitement concerné pour lui permettre de suspendre le transfert de Données à Caractère Personnel et/ou de résilier le contrat.
Les résultats de l’évaluation et les mesures supplémentaires proposées seront dûment documentés et mis à la disposition des Autorités de contrôle compétentes en matière de protection des données.
Lorsqu’une entité de CGI a des raisons de penser que la Législation Locale empêche ou risque d’empêcher CGI de se conformer aux instructions d’un Responsable du Traitement ou de remplir les obligations qui lui incombent en vertu du contrat ou des BCR-P, y compris, toute demande contraignante de divulgation de
Données à Caractère Personnel émanant d’une autorité répressive ou d’un organisme de sécurité de l’État, elle en informe sans tarder le Responsable en Chef de la Protection de la Vie Privée et CGI France SAS (à moins qu’une autorité répressive ne l’interdise, par exemple en cas d’interdiction à caractère pénal visant à préserver le secret d’une enquête policière).
Lorsque CGI reçoit une demande en vertu de laquelle une autorité répressive l’oblige à divulguer des Données à Caractère Personnel, et dans la mesure permise par la loi applicable, CGI en informe le Responsable du Traitement. Sauf disposition contraire, CGI met en attente la demande jusqu’à ce que les Autorités de contrôle compétentes en matière de protection des données en soient dûment informées. Dans les cas où la notification susmentionnée est interdite, l’entité de CGI concernée mettra tout en œuvre pour obtenir que cette interdiction soit levée. Si, malgré ses efforts, l’entité de CGI concernée n’est pas en mesure d’informer les Autorités de contrôle compétentes en matière de protection des données, elle fournit annuellement des informations générales sur les demandes reçues à ces Autorités de contrôle.
Dans tous les cas, les transferts de Données à Caractère Personnel vers une autorité publique, quelle qu’elle soit, par une entité de CGI liée aux présentes BCR-P ne peuvent pas être massifs, disproportionnés et indifférenciés d’une manière qui excéderait ce qui est nécessaire dans une société démocratique. Transferts ou divulgations non autorisés par le droit de l'Union
Pour les entités CGI au sein de l’EEE, toute décision d'une juridiction ou d'une autorité administrative d'un pays tiers exigeant d'un Responsable du Traitement ou d'un Sous-traitant qu'il transfère ou divulgue des Données à Caractère Personnel ne peut être reconnue ou rendue exécutoire de quelque manière que ce soit qu'à la condition qu'elle soit fondée sur un accord international, tel qu'un traité d'entraide judiciaire, en vigueur entre le pays tiers demandeur et l'Union ou un État membre, sans préjudice d'autres motifs de transfert en vertu du chapitre V du RGPD.
- 13 – Formation
-
CGI adopte et met en œuvre un programme de formation sur la protection des données afin que ses Membres aient connaissance des procédures et des principes énoncés dans ces BCR-P.
Le programme de formation offre aux Membres de CGI :
- des connaissances de base relatives aux principes applicables au Traitement des Données à Caractère Personnel;
- une bonne compréhension des procédures existantes et de leur application;
- une formation précise adaptée aux différentes fonctions au sein de l’organisation.
Ce programme de formation vise à assurer une formation adéquate des Membres dont les fonctions nécessitent le Traitement de Données à Caractère Personnel.
En plus de ce programme de formation, CGI continue de promouvoir une culture de protection des données au sein de son organisation. À cette fin, elle met en œuvre des mesures de communication précises, y compris des campagnes de sensibilisation, des documents sur la protection des données, des webinaires et des forums, afin de fournir des conseils et de répondre aux demandes d’information concernant les présentes BCR-P.
La formation sur la protection des Données Personnelles est obligatoire pour les Membres dont les fonctions exigent le Traitement de Données à Caractère Personnel.
- 14 – Audit
-
CGI intègre à son programme d’audit interne un examen de la conformité de l’entreprise de tous les aspects de ces BCR-P.
Le processus d’audit interne définit ce qui suit :
- le calendrier d’exécution des audits;
- la portée prévue des audits;
- l’équipe responsable des audits.
Le processus d’audit interne peut être révisé périodiquement. Toutefois, CGI effectue régulièrement des audits internes par l’entremise d’une équipe d’audit qualifiée. Ce programme est mené par le service d’audit interne de CGI.
Les résultats de l’audit sont communiqués au siège social de CGI ainsi qu’à l’équipe responsable de la Protection de la Vie Privée. Les mesures qui en découlent sont définies et un ordre de priorité est établi pour permettre à l’équipe responsable de la protection de la vie privée de planifier la mise en œuvre de mesures correctives et préventives.
Les autorités de contrôle compétentes, ainsi que les Responsables du Traitement lorsque CGI agit en tant que Sous-Traitant, peuvent demander l’accès aux résultats de l’audit.
De plus, lorsque CGI agit en tant que Sous-Traitant, un Responsable du Traitement peut lui demander, d’effectuer des audits pour évaluer la conformité de CGI ou de ses sous-traitants ultérieurs aux obligations contractuelles pertinentes et aux présentes BCR-P. Ces audits sont menés par le Responsable du Traitement ou un organisme de contrôle composé de membres indépendants.
- 15 – Équipe responsable de la Protection de la Vie Privée
-
La mise en œuvre de ces BCR-P exige que toutes les entités de CGI participantes énumérées à l’Annexe A contribuent pleinement à son application. Dans tous les cas, elles demeurent entièrement responsables de leur propre conformité aux BCR-P.
CGI met sur pied une équipe interne responsable de la Protection de la Vie Privée qui définit les normes, les politiques et les processus appropriés pour toutes les entités de CGI participantes et surveille la conformité aux BCR-P.
Plus particulièrement, CGI désigne un Responsable en Chef de la Protection de la Vie Privée (CPO), un réseau de Délégués à la Protection des données et de Partenaires d’Affaires régionaux Responsables de la Vie Privée, conformément à la Législation Applicable sur la Protection des Données.
Le CPO est sous la direction de l’Avocat en Chef, qui relève directement du Chef de la Direction. En ce qui concerne les présentes BCR-P, le CPO se consacre principalement aux tâches suivantes :
- Définir la stratégie du Groupe à l’égard de la mise en œuvre de ces BCR et des procédures dans l’ensemble de l’organisation pour s’assurer que chaque Unité d’Affaires (UA) et Unité d’Affaires Stratégique (UAS) s’y conforme.
- Définir le programme de formation.
- Définir la stratégie d’audit pour vérifier l’application efficace des présentes.
- Fournir des conseils à l’UAS, au besoin.
Pour chaque Unité d’Affaires Stratégique de chaque zone géographique, nous avons nommé un Partenaire d’Affaires Responsable de la Protection de la Vie Privée qui peut compter sur un réseau de Partenaires d’Affaires Responsables de la Protection de la Vie Privée nommés au niveau local et/ou de l’Unité d’Affaires. Les Partenaires d’Affaires en protection de la Vie Privée des Unités d’Affaires Stratégiques doivent s’assurer que les présentes BCR-P sont dûment mises en œuvre au niveau de l’UAS et que toute réclamation soulevée à ce niveau, y compris les réclamations des Personnes Concernées, est traitée de façon appropriée et conformément au processus décrit dans ces BCR. Ils doivent également vérifier, de concert avec les Partenaires d’Affaires responsables de la Protection de la Vie Privée locaux, que les transferts de données sont correctement effectués et que les engagements sont respectés.
Dans tous les cas, les coordonnées d’une personne-ressource clé possédant une expertise pertinente en cas de questions ou de réclamations sont communiquées aux Personnes Concernées et aux Responsables du Traitement (lorsque CGI agit en tant que Sous-Traitant).
- 16 – Registre des activités de Traitement
-
CGI tient un registre des activités de Traitement effectuées en tant que Sous-Traitant, nommé l’ « Inventaire de Traitement des Données » pour le compte du Responsable du Traitement qui contient les informations suivantes :
- le nom et les coordonnées du ou des Sous-Traitants et de chaque Responsable du Traitement pour le compte duquel le Sous-Traitant agit ainsi que, le cas échéant, les noms et les coordonnées du représentant du Responsable du Traitement ou du Sous-Traitant et celles du délégué à la protection des données;
- les catégories de traitements effectués pour le compte de chaque Responsable du Traitement;
- le cas échéant, les Transferts de Données à Caractère Personnel vers un pays tiers ou à une organisation internationale, y compris l'identification de ce pays tiers ou de cette organisation internationale et les documents attestant de l'existence de garanties appropriées;
- dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles.
CGI s’assure que tout nouveau Traitement des Données à Caractère Personnel est consigné dans l’Inventaire de Traitement des Données, notamment les informations pertinentes concernant le contexte de chaque Traitement des Données à Caractère Personnel. CGI mettra les enregistrements du registre des activités de Traitement à la disposition des autorités de contrôle sur demande.
- 17 – Mise à jour des Règles d’Entreprise Contraignantes (BCR-P)
-
Les présentes BCR-P peuvent être modifiées, selon les besoins et conformément à une procédure précise.
Lorsque les modifications ont une incidence importante sur les Règles d’Entreprise Contraignantes (BCR) ou sur le niveau de protection offert, CGI informe dans les meilleurs délais l’autorité de contrôle compétente et toutes les entités de CGI énumérées à l’Annexe A. Pour tout autre changement à ces BCR-P, CGI communique, au moins une fois par an, avec tous les groupes suivants :
- chaque entité participante de CGI figurant à l’Annexe A;
- les Membres de CGI;
- les autorités de contrôle pertinentes en matière de protection des données, par l’intermédiaire de l’autorité de contrôle compétente avec une explication succincte des raisons justifiant l’actualisation.
Lorsque CGI agit en tant que Sous-Traitant, tout changement aux BCR-P est communiqué en temps opportun aux Responsables du Traitement afin de leur permettre de s’opposer au changement ou de résilier le contrat avant que la modification soit effectuée.
CGI tient à jour une liste des entités liées par ces BCR-P, et l’équipe responsable de la Protection de la Vie Privée consigne toute actualisation des règles, s’assure que l’information est communiquée en temps opportun aux parties prenantes susmentionnées et fournit l’information nécessaire aux Responsables du Traitement ou aux autorités de contrôle compétentes en matière de protection des données, sur demande.
CGI s’engage à ne pas transférer de Données à Caractère Personnel à une nouvelle entité de CGI qui n’est pas formellement liée par les BCR-P conformément à la procédure définie à la Section 3.
Lorsqu'une entité CGI hors EEE figurant à l'annexe A cesse à l'avenir de faire partie du groupe des entités CGI liées par les BCR-P, il convient de s'assurer qu'elle continuera à appliquer les exigences des BCR-P au traitement des Données à caractère personnel qui lui ont été transférées au moyen des BCR, à moins que, au moment de quitter ce groupe, l'ancien membre n'efface ou ne renvoie la totalité de ces données aux entités auxquelles les BCR-P s'appliquent toujours.
- 18 – Communication
-
Pour les Membres de CGI – Toute question, demande ou orientation en lien avec les BCR-P doit être envoyée à enterprisedataprivacy@cgi.com.
Pour les Personnes Concernées autres que les Membres de CGI – Toute question, demande ou orientation en lien avec ces BCR-P doit être envoyée à privacy@cgi.com.
Les types de Traitement, les Personnes Concernées et la nature et les catégories de Données à Caractère
Personnel visées par ces BCR-P sont énoncés à l’Annexe B.
- Annexe A - CGI Liste des entités CGI liées par les BCR
- Annexe B - Activités concernées par les BCRs