Règles d’Entreprise Contraignantes

Les présentes BCR-C s’appliquent lorsqu’une Entité CGI agit en tant que Responsable du Traitement ainsi que lorsqu’une Entité CGI agit en tant que Sous-Traitant pour le compte d’une autre Entité CGI.

La liste des Entités CGI soumises aux BCR-C est fournie à l’Annexe A.

Les catégories de Personnes Concernées et de Données à Caractère Personnel, ainsi que les types de Traitements et leurs finalités, couverts par les BCR-C sont énoncées à l’Annexe B.

Les BCR-C s’appliquent à tout Transfert de Données à Caractère Personnel effectué par les Entités CGI établies dans l’EEE vers des Entités CGI établies dans un Pays Tiers, ainsi qu’à tout transfert ultérieur vers d’autres Entités CGI établies dans un Pays Tiers. Ainsi, les BCR-C s’appliquent pour toutes les Personnes Concernées dont les Données à Caractère Personnel sont transférées dans le cadre des BCR-C par les Entités CGI relevant du champ d’application de la Législation Applicable en matière de Protection des Données, étant entendu que les BCR-C s’appliquent aux Transferts de Données à Caractère Personnel effectués par les Entités CGI établies dans un Pays Tiers vers les Entités CGI également établies dans un Pays Tiers dans la mesure où le RGPD s’applique aux Traitements concernés conformément à la Législation Applicable en matière de Protection des Données.

3.1 Responsabilité de CGI

Chaque Entité CGI énumérée à l’Annexe A, agissant en tant que Responsable du Traitement ou Sous-Traitant Interne, a la responsabilité de démontrer sa conformité aux BCR-C.

3.2 Conformité des Associés de CGI

Tous les Associés de CGI sont liés par les BCR-C au travers de leur engagement prévu dans tous les contrats de travail de se conformer aux obligations de confidentialité et de protection des données ainsi qu’aux politiques, processus et normes de CGI, tel que prévu dans le Code d’Ethique de CGI. Chaque année, si applicable et dans la mesure autorisée par la loi, les Associés de CGI signeront ou prendront connaissance des BCR-C et du Code d’Ethique.

Tel que détaillé aux Sections 13.1 et 14 des BCR-C, les Associés de CGI sont informés des BCR par le biais de formations et de communications internes. Les Associés de CGI ont aussi connaissance du fait que la non-conformité avec le Code d’Ethique, et dans ce cas spécifique avec les BCR-C, peut entrainer des sanctions conformément aux législations locales applicables.

3.3 Conformité relative aux fournisseurs et sous-traitants de CGI et des autres Tiers

Tout Tiers qui Traite des Données à Caractère Personnel pour le compte de CGI est tenu de mettre en œuvre des mesures organisationnelles appropriées pour assurer la conformité aux principes et aux exigences des BCR-C.

Une Entité CGI, agissant en tant que Responsable du Traitement ou Sous-Traitant Interne, n’autorise pas d’autres Entités CGI ou des Tiers à Traiter des Données à Caractère Personnel pour son compte, sauf si un contrat, comprenant les exigences prévues par l’article 28-3 du RGPD, a été signé entre eux.

3.4 Résiliation

Lorsqu’une Entité CGI Importatrice de Données cesse d’être liée par les BCR-C, elle peut conserver, renvoyer ou supprimer les Données à Caractère Personnel reçues au titre des BCR-C. Si l’Entité CGI Exportatrice de Données et l’Entité CGI Importatrice de Données conviennent que les Données à Caractère Personnel peuvent être conservées par l’Entité CGI Importatrice de Données, leur protection doit être maintenue conformément au Chapitre V du RGPD.

Les Entités CGI doivent respecter les principes énumérés ci-après.

(i)Transparence, licéité et loyauté

CGI Traite les Données à Caractère Personnel des Personnes Concernées de manière licite, loyale et transparente, conformément aux exigences des BCR-C, en particulier, des Sections 4.1 et 13 des BCR-C.

(ii) Limitation de la finalité

Tout Traitement de Données à Caractère Personnel par CGI, en particulier leur collecte, doit avoir une finalité précise qui doit être explicite et légitime. Les Données à Caractère Personnel ne peuvent pas être Traitées ultérieurement d’une manière qui est incompatible avec cette finalité.

(iii) Minimisation des données

CGI ne collecte des Données à Caractère Personnel que dans la mesure nécessaire à l’atteinte de la finalité du Traitement. Chaque élément du Traitement est revu dans le cadre des premières phases de conception de la solution et inclus dans le processus de revue de la protection des données afin de veiller à ce que les Données à Caractère Personnel soient adéquates, pertinentes et limitées à ce qui est nécessaire au regard de la finalité pour laquelle elles sont Traitées.

(iv) Exactitude des Données à Caractère Personnel

Tout au long du cycle de vie de tout Traitement, CGI s’assure que les Données à Caractère Personnel collectées demeurent exactes et à jour. Toutes les mesures raisonnables sont prises pour veiller à ce que les Données à Caractère Personnel inexactes soient supprimées ou corrigées sans délai, y compris, sans s’y limiter, les options de libre-service pour les Personnes Concernées. CGI fournit notamment des moyens adéquats aux Personnes Concernées pour qu’elles puissent demander la modification de leurs Données à Caractère Personnel. CGI réalisera des audits non programmés conformément à la Section 15.

(v) Limitation des durées de conservation des données

CGI veille à conserver les Données à Caractère Personnel pendant une durée n’excédant pas celle nécessaire au regard de la finalité pour laquelle elles sont collectées. Par conséquent, CGI détermine une période de conservation appropriée avant la mise en œuvre de tout Traitement. Pour ce faire, CGI évalue la période pendant laquelle les Données à Caractère Personnel sont nécessaires aux fins du Traitement, tout en tenant compte des facteurs suivants :

• la période après laquelle la conservation de telles Données à Caractère Personnel peut avoir un impact sur le droit à l’oubli des Personnes Concernées ;
• toute obligation légale imposant une période minimale de conservation des données, comme définie dans la Politique de Conservation des Informations et le Calendrier de Conservation des Informations de CGI ou autrement.

(vi) Mesures de sécurité

CGI met en œuvre des mesures techniques et organisationnelles appropriées, au moins équivalentes à celles prescrites dans les politiques et normes de sécurité de CGI, compte tenu de l’état des connaissances (i.e. meilleures pratiques de l’industrie), des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du Traitement ainsi que des risques dont le degré de probabilité et de gravité varie, pour les droits et libertés des Personnes Concernées.

CGI accorde aux Associés de CGI l’accès aux Données à Caractère Personnel seulement lorsque cela est nécessaire, pour l’accomplissement des tâches assignées conformément à la finalité pour laquelle les Données à Caractère Personnel sont traitées.

En cas d’accès et/ou de Traitement illicite, CGI se conforme à sa Politique de Sécurité de l’Information et aux procédures connexes.

(vii) Définition d’une base légale

En plus des principes susmentionnés, le Traitement ne peut être effectué que si :

• Il est nécessaire au respect d’une obligation légale applicable à CGI ; ou
• Il est nécessaire dans le cadre d’un contrat avec une Personne Concernée ; ou
• Il est nécessaire aux fins de l’intérêt légitime de CGI, qui existe si :
  1. le Traitement est nécessaire aux fins de l’intérêt légitime poursuivi par CGI sans nuire à l’intérêt de la Personne Concernée,
  2. les droits fondamentaux ou intérêts de la Personne Concernée ne prévalent pas sur l’intérêt légitime de CGI, et
  3. CGI agit conformément à toute législation applicable. 
• Si le Traitement ne relève d’aucun des cas susmentionnés, CGI obtient le consentement préalable de la Personne Concernée avant de Traiter ses Données à Caractère Personnel.

Le consentement est valide lorsqu’il :

1. est donné librement par un acte positif clair ; et
2. représente une indication précise, éclairée et univoque de l’accord de la Personne Concernée pour le Traitement de ses Données à Caractère Personnel.

Le Traitement des Données à Caractère Personnel par CGI est jugé licite lorsque le Traitement est nécessaire à la sauvegarde des intérêts vitaux de la Personne Concernée ou lorsque le Traitement est nécessaire à l’exécution d’une mission d’intérêt public, conformément aux exigences de la Législation Applicable en matière de Protection des Données.

Le Traitement portant sur des catégories particulières de Données à Caractère Personnel exige que des garanties renforcées, telles que décrites ci-après, soient mises en œuvre.

CGI ne Traite les Données à Caractère Personnel Sensibles que lorsque cela est strictement nécessaire. Lors du Traitement de Données à Caractère Personnel Sensibles pour son propre compte, CGI s’assure qu’au moins une des conditions suivantes soit remplie :

• La Personne Concernée a donné son consentement explicite ;
• Le Traitement est nécessaire aux fins de l'exécution des obligations et de l'exercice des droits propres de CGI ou ceux de la Personne Concernée en matière de droit du travail, de la sécurité sociale et de la protection sociale ;
• La Personne Concernée n’est pas en mesure de donner son consentement (p. ex. pour des raisons médicales) et le Traitement est nécessaire pour protéger les intérêts vitaux de la Personne Concernée ou d’une autre personne ;
• Le Traitement est requis dans le cadre de la médecine préventive ou du diagnostic médical par un professionnel de la santé en vertu du droit national ;
• La Personne Concernée a déjà manifestement rendu public les Données à Caractère Personnel Sensibles concernées
• Le Traitement est nécessaire à la constatation, l’exercice ou la défense d’un droit en justice, pourvu qu’il n’y ait aucune raison de présumer que la Personne Concernée ait un intérêt légitime supérieur à s’assurer que ces Données à Caractère Personnel Sensibles ne soient pas Traitées ; ou
• Le Traitement est explicitement autorisé par les lois de l’EEE et de l’Etat Membre (p. ex. recensement et protection des groupes minoritaires).

Dans tous les cas, CGI traite les Données à Caractère Personnel Sensibles conformément à la Législation Applicable en matière de Protection des Données. Lorsqu’une telle loi exige des conditions précises d’hébergement et de Traitement des données, CGI obtient la certification ou la qualification requise ou fait appel à un Tiers déjà certifié ou qualifié à cette fin.

6.1 Transfert de Données à Caractère Personnel au sein de CGI

Aucun Transfert de Données à Caractère Personnel au titre des BCR-C n’est effectué vers une Entité CGI à moins que celle-ci ne soit effectivement liée par les BCR-C et ne soit en mesure de s’y conformer, ce qui implique qu’une formation appropriée sur les BCR-C puisse être effectivement dispensée aux Associés de CGI.

L’Entité CGI Importatrice de Données doit informer rapidement l’Entité CGI Exportatrice de Données si elle n’est pas en mesure de se conformer aux BCR-C, pour quelque raison que ce soit, y compris dans les situations décrites plus en détail à la Section 13.5 ci-dessous.

Lorsque l’Entité CGI Importatrice de Données enfreint les BCR-C ou n’est pas en mesure de s’y conformer, l’Entité CGI Exportatrice de Données suspend le Transfert des Données à Caractère Personnel.

L’Entité CGI Importatrice de Données doit, au choix de l’Entité Exportatrice de Données, immédiatement restituer ou supprimer toutes les Données à Caractère Personnel qui ont été transférées en vertu des BCR-C, lorsque :

• l’Entité CGI Exportatrice de Données a suspendu le Transfert des Données à Caractère Personnel et le respect des BCR-C n’est pas rétabli dans un délai raisonnable, et, en tout état de cause, dans un délai d’un mois à compter de la suspension ; ou
• l’Entité CGI Importatrice de Données est en violation substantielle ou persistante des BCR-C ; ou
• l’Entité CGI Importatrice de Données ne se conforme pas à une décision contraignante d’une juridiction ou de l’Autorité de Contrôle Compétente concernant ses obligations au titre des BCR-C.

Les mêmes engagements s’appliquent à toute copie des données. L’Entité CGI Importatrice de Données doit certifier la suppression des données à l’Entité Exportatrice de Données.

Jusqu’à ce que les Données à Caractère Personnel soient effacées ou restituées, l’Entité CGI Importatrice de Données doit continuer de veiller au respect des BCR-C.

Lorsque la législation locale applicable à l’Entité CGI Importatrice de Données interdit la restitution ou l’effacement des Données à Caractère Personnel transférées, l’Entité CGI Importatrice de Données doit continuer à respecter les BCR-C et ne Traiter les Données à Caractère Personnel que dans la mesure où cette législation locale l’exige et aussi longtemps qu’elle l’exigera.

Dans les cas où les législations et/ou pratiques locales applicables ont une incidence sur le respect des BCR-C, la Section 13.5 ci-après s’applique.

6.2 Transfert de Données à Caractère Personnel à l’extérieur de CGI

Lorsqu’un Transfert de Données à Caractère Personnel a lieu entre CGI située au sein de l’EEE et un Tiers situé en dehors de l’EEE, ou un transfert ultérieur entre CGI située en dehors de l’EEE et un Tiers situé en dehors de l’EEE, le Transfert de Données à Caractère Personnel doit comprendre l’une des garanties appropriées suivantes, si applicable :

• l’adoption par les parties des clauses types de protection des données de l’UE découlant de la décision (UE) 2021/914 de la Commission datée du 4 juin 2021 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers en vertu du RGPD ;
• toute autre garantie appropriée reconnue par la Législation Applicable en matière de Protection des Données qui exige un niveau de protection des Données à Caractère Personnel identique ou supérieur à celui prévu par le RGPD, comme un code de conduite approuvé ou un mécanisme de certification approprié.

Tout autre flux d’informations personnelles qui ne sont pas des Données à Caractère Personnel et qui ne proviennent pas d’une entité située au sein de l’EEE n’est pas considéré comme un Transfert de Données à Caractère Personnel en vertu des BCR-C. Par conséquent, un tel transfert n’est pas assujetti aux exigences énoncées aux présentes.

Les Personnes Concernées ont le droit de se prévaloir en tant que Tiers bénéficiaires de ce qui suit :

• Section 4 – PRINCIPES ESSENTIELS EN MATIÈRE DE TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL
• Section 5 – TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL SENSIBLES
• Section 6.2 – TRANSFERT DE DONNÉES À CARACTÈRE PERSONNEL EN DEHORS DE CGI
• Section 7 – DROITS DES TIERS BÉNÉFICIAIRES
• Section 8 – RESPONSABILITÉ DE CGI EN CAS DE VIOLATION DES BCR-C
• Section 9 – PROCÉDURE DE TRAITEMENT DES DEMANDES ET DES RECLAMATIONS DES PERSONNES CONCERNÉES
• Section 10 – DROITS DES PERSONNES CONCERNÉES
• Section 13 – TRANSPARENCE
• Section 18 – MISE A JOUR DES BCR-C

En cas de violation de l’un des éléments opposables des BCR-C énumérés ci-dessus, les Personnes Concernées et CGI pourront rechercher une solution à l’amiable en vertu d’un règlement conclu conformément à la Section 9 des BCR-C (« Procédure de traitement des demandes et réclamations des Personnes Concernées »).

Dans le cas d’une telle violation, les Personnes Concernées ont également le droit d’introduire une réclamation directement auprès de l’Autorité de Contrôle, en particulier dans l’Etat Membre de leur résidence habituelle, de leur lieu de travail ou du lieu de la violation présumée et de former un recours juridictionnel devant les juridictions compétentes de l’Etat Membre dans lequel se trouve un établissement de CGI ou dans lequel la Personne Concernée a sa résidence habituelle. Les Personnes Concernées ont le droit à des recours juridictionnels et le droit d’obtenir réparation et, le cas échéant, une indemnisation pour tout préjudice matériel ou moral résultant d’une telle violation. CGI encourage les Personnes Concernées à utiliser la procédure de traitement des réclamations dédiée, bien qu’elles soient libres de ne pas y recourir.

Les Personnes Concernées peuvent choisir d'être représentées par un organisme, une organisation ou une association à but non lucratif dans les conditions prévues à l'article 80, paragraphe 1, du RGPD.

En cas de violation des BCR-C par toute Entité CGI, CGI France SAS assume la responsabilité de cette violation et s’assure que les mesures nécessaires soient prises pour remédier à la violation et verser la réparation due pour les dommages avérés qui en découlent.

Lorsque les Personnes Concernées peuvent démontrer qu’elles ont subi un préjudice et établir des faits qui montrent qu’il est probable que le préjudice a été causé par la violation des BCR-C, il incombera à CGI France SAS de prouver que l’Entité CGI située en dehors de l’EEE n’était pas responsable de la violation des BCR-C donnant lieu à ce préjudice ou qu’aucune violation de ce type n’a eu lieu.

Si l’Entité CGI située en dehors de l’EEE enfreint les BCR-C, les tribunaux ou autres autorités judiciaires au sein de l’EEE auront compétence et les Personnes Concernées auront les mêmes droits et recours contre CGI France SAS que si la violation avait été causée par cette dernière en France, au lieu de l’Entité CGI située en dehors de l’EEE.

La procédure énoncée dans la présente Section s’applique à la réclamation introduite par une Personne Concernée ou lorsqu’une Personne Concernée exerce son droit d’accès, de rectification ou de suppression de ses Données à Caractère Personnel.

Les Personnes Concernées peuvent introduire une demande ou une réclamation concernant le Traitement des Données à Caractère Personnel si elles estiment que CGI contrevient aux BCR-C. La demande ou la réclamation peut être déposée contre l’Entité CGI soupçonnée d’être en violation ou, si la violation résulte d’une action effectuée par une Entité CGI située en dehors de de l’EEE, la Personne Concernée a le droit d’introduire une demande ou une réclamation directement contre CGI France SAS.

Une telle demande ou réclamation doit être transmise auprès de l’équipe responsable de la protection des données personnelles de CGI au moyen des coordonnées fournies dans la Section 19 ci-dessous, étant entendu que ces coordonnées peuvent changer de temps à autre et les dernières informations sont publiées sur l’intranet de CGI et sur le site web de CGI accessible au public. CGI informera le demandeur des actions prises dans les meilleurs délais et, en tout état de cause, dans un délai d’un mois, par un service ou une personne clairement identifié(e) et disposant d'un niveau d'indépendance approprié dans l'exercice de ses fonctions. En fonction de la complexité et du nombre des demandes, ce délai d'un mois peut être prolongé au maximum de deux mois supplémentaires, auquel cas le demandeur en sera informé.

Lorsque CGI agit en tant que Responsable du Traitement, les Personnes Concernées peuvent à tout moment :

• accéder à leurs Données à Caractère Personnel ;
• demander la rectification ou l’effacement de toute Donnée à Caractère Personnel inexacte ou incomplète les concernant ou qui n’est plus Traitée à des fins valides ou appropriées ;
• s’opposer au Traitement de leurs Données à Caractère Personnel à tout moment, sauf si la législation de l’EEE ou d’un Etat Membre exige un tel Traitement, à condition que les Personnes Concernées démontrent que cette opposition tient à leur situation particulière (par exemple, les Personnes Concernées peuvent s’opposer au motif que le Traitement leur cause des torts ou des préjudices importants (comme une perte financière), ou un Associé de CGI peut demander à CGI de retirer sa photo d’un organigramme parce qu’elle représente faussement son apparence) ;
• demander à ce que le Traitement de leurs données ne fasse pas l’objet d’une décision fondée uniquement sur le Traitement automatisé, y compris le profilage, qui produit des effets juridiques les concernant ou qui les affecte de façon importante ;
• demander la limitation du Traitement lorsque les Données à Caractère Personnel ne sont plus exactes ou nécessaires, lorsque le Traitement est illicite ou lorsque la Personne Concernée s’est opposée au Traitement pendant que le Responsable du Traitement vérifie le fondement juridique du Traitement ; et
• recevoir leurs Données à Caractère Personnel dans un format structuré, couramment utilisé et lisible par machine lorsque les Données à Caractère Personnel ont été collectées avec le consentement des Personnes Concernées ou dans le cadre d’un contrat avec ces dernières.

CGI notifie à chaque destinataire auquel les Données à Caractère Personnel ont été communiquées toute rectification ou tout effacement de Données à Caractère Personnel effectué conformément aux exigences du RGPD, à moins qu’une telle communication se révèle impossible ou exige des efforts disproportionnés. CGI fournit à la Personne Concernée des informations sur ces destinataires si la Personne Concernée en fait la demande. CGI s’assure de traiter ces demandes dans les meilleurs délais et conformément à la procédure de traitement des réclamations de CGI.

Conformément aux principes énoncés dans les BCR-C, CGI fournit le niveau de protection approprié aux Données à Caractère Personnel qu’elle Traite.

Afin de s’assurer que ces principes sont effectivement pris en compte quand CGI Traite des Données à Caractère Personnel, CGI détermine et met en œuvre des contraintes relatives à la protection des données au cours des cycles de développement et de livraison de tout projet ou service qui comprend le Traitement de Données à Caractère Personnel.

CGI est responsable de contrôler la conformité du Traitement à la Législation Applicable en matière de Protection des Données. Par conséquent, CGI a mis en œuvre une procédure d’analyse d’impact qui lui permet :

i) de déterminer quel Traitement est susceptible d’engendrer un risque élevé pour la protection des Données à Caractère Personnel ;

ii) d’évaluer le degré de conformité aux principes de Traitement prévus par la Législation Applicable en matière de Protection des Données ;

iii) d’évaluer le degré de gravité ou la probabilité des risques associés au Traitement ; et

iv) de déterminer les mesures correctives à mettre en œuvre pour s’assurer que les Données à Caractère Personnel soient Traitées conformément à la Législation Applicable en matière de Protection des Données et que les risques soient atténués.

Si, après avoir pris des mesures pour atténuer le risque, le risque pour les Personnes Concernées demeure élevé, l’Autorité de Contrôle compétente sera consultée préalablement à la mise en œuvre du Traitement concerné.

13.1 Concernant les BCR-C

CGI fera connaître les BCR-C afin d’encourager la conformité à celles-ci. CGI fournira aux Personnes Concernées, dont les Données à Caractère Personnel sont Traitées par CGI, les informations visées aux articles 13 et 14 du RGPD (listées à la Section 13.2 ci-dessous) et les informations sur leurs droits en tant que Tiers bénéficiaires à l’égard du Traitement de leurs Données à Caractère Personnel et sur les moyens d’exercer ces droits, sur la description du champ d’application des BCR-C, sur les clauses de responsabilité, ainsi que sur les clauses portant sur les principes relatifs à la protection des données, à la licéité du Traitement, à la sécurité et la notification de la violation de Données à Caractère Personnel, aux restrictions sur les transferts ultérieurs et les clauses relatives aux droits des Personnes Concernées (c’est-à-dire les principales exigences des BCR-C mentionnées aux Sections 1, 2, 4, 5, 6.2, 7, 8, 9, 10, 13, 18, 19, Annexe A et Annexe B). Ces informations doivent être à jour et présentées aux Personnes Concernées de manière claire, intelligible et transparente. Elles seront fournies dans leur intégralité, par l’intermédiaire de l’intranet d’entreprise de CGI et de son site web accessible au public pour les autres Personnes Concernées, s’il y a lieu. La liste des définitions qui sont utilisées dans les BCR-C sera incluse dans les BCR-C qui sont publiées.

13.2 Concernant le Traitement des données

Lorsque CGI agit en tant que Responsable du Traitement, CGI fournit aux Personnes Concernées l’information pertinente sur le Traitement de leurs Données à Caractère Personnel, conformément à la Législation Applicable en matière de Protection des Données, incluant ce qui suit :

• l’identité et les coordonnées du Responsable du Traitement ;
• les coordonnées du Chef de la Protection des Données (CPO) et de son équipe ;
• les finalités du Traitement et la base juridique de celui-ci ;
• les entités auxquelles les Données à Caractère Personnel sont communiquées et/ou rendues accessibles ;
• le cas échéant, l’existence du Transfert de Données à Caractère Personnel en dehors de l’EEE, les pays vers lesquels les Données à Caractère Personnel sont transférées et les mesures mises en œuvre pour assurer un niveau de protection adéquat ;
• la durée de conservation des données ;
• les droits des Personnes Concernées, tels que définis à la Section 10 ci-dessus ;
• le droit d’introduire une réclamation auprès de l’Autorité de Contrôle ;
• des explications concernant l’intérêt légitime poursuivi par CGI pour le Traitement ;
• l’existence du droit de retrait du consentement à tout moment ;
• si la communication de Données à Caractère Personnel est une exigence législative ou contractuelle ou une exigence liée à la signature d’un contrat et si la Personne Concernée est tenue de fournir les Données à Caractère Personnel, ainsi que les conséquences possibles en cas de défaut de fourniture de ces données ;
• lorsque CGI a l’intention de poursuivre le Traitement des Données à Caractère Personnel pour des finalités autres que celles pour lesquelles elles ont été collectées, CGI fournit aux Personnes Concernées des informations sur les autres finalités ainsi que toute autre information pertinente, comme expliqué précédemment dans cette Section.

En plus de ce qui précède, si les Données à Caractère Personnel ne sont pas collectées directement auprès de la Personne Concernée, CGI va informer les Personnes Concernées sur :

• les catégories de Données à Caractère Personnel Traitées et la source d’où proviennent les Données à Caractère Personnel et, le cas échéant, une mention indiquant qu’elles sont issues ou non de sources accessibles au public ;
• dans un délai raisonnable après l’obtention des Données à Caractère Personnel, mais au minimum dans un délai d’un mois, en fonction des circonstances particulières dans lesquelles les Données à Caractère Personnel sont Traitées ;
• si les Données à Caractère Personnel doivent être utilisées pour communiquer avec la Personne Concernée, au plus tard au moment de la première communication avec cette personne ;
• si une communication à un autre destinataire est envisagée, au plus tard au moment de la première communication des Données à Caractère Personnel.

CGI fournit ces informations dans un format facilement compréhensible et accessible, généralement lors de la collecte des Données à Caractère Personnel, au moyen d’une courte mention d’information avec un lien vers la politique de confidentialité publiée sur l’intranet de CGI et sur son site web accessible au public pour les autres Personnes Concernées, s’il y a lieu. Pour certains systèmes informatiques, une courte mention d’information est fournie au moment de l’accès, avec un lien vers la politique de confidentialité détaillée pour ce système informatique.

13.3 Notification d’une violation de Données à Caractère Personnel

Conformément aux politiques et normes de CGI en matière de sécurité, si une Entité CGI détecte une violation de la sécurité entraînant de façon accidentelle ou illicite la destruction, la perte, l’altération, la divulgation non autorisée ou l’accès non autorisé à des Données à Caractère Personnel transmises, stockées ou autrement Traitées, cette Entité CGI notifie cette violation de Données à Caractère Personnel :

(i) dans les meilleurs délais, à CGI France SAS et au Chef de la Protection des Données (CPO), ainsi qu’à l’Entité CGI agissant en tant que Responsable du Traitement lorsque l’Entité CGI agissant en tant que Sous-Traitant Interne prend connaissance de la violation de Données à Caractère Personnel ;

(ii) dans les meilleurs délais, et si possible dans un délai de 72 heures au plus tard après avoir pris connaissance de la violation de Données à Caractère Personnel, à l’Autorité de Contrôle Compétente, à moins que la violation de Données à Caractère Personnel ne soit pas susceptible d'engendrer un risque pour les droits et libertés des personnes physiques ;

(iii) dans les meilleurs délais, aux Personnes Concernées si la violation des Données à Caractère Personnel est susceptible d’entraîner un risque élevé pour leurs droits et libertés conformément à la Législation Applicable en matière de Protection des Données.

Toutes les violations des Données à Caractère Personnel doivent être documentées (y compris les faits relatifs à la violation des Données à Caractère Personnel, ses effets, et les mesures de remédiation prises) et la documentation doit être mise à la disposition de l’Autorité de Contrôle Compétente sur demande conformément à la Législation Applicable en matière de Protection des Données.

13.4 Coopération avec les Autorités de Contrôle

CGI vise à entretenir de solides relations avec les Autorités de Contrôle. CGI collabore avec les Autorités de Contrôle Compétentes concernant toute demande envoyée conformément à la Législation Applicable en matière de Protection des Données, y compris toute demande d’audit à distance et sur place. CGI prendra également en considération les conseils formulés par les Autorités de Contrôle Compétentes et se conformera aux décisions prises par les Autorités de Contrôle Compétentes concernant le Traitement des Données à Caractère Personnel effectué par CGI en tant que Responsable du Traitement.

CGI fournira aux Autorités de Contrôle Compétentes, sur demande, toute information sur les opérations de Traitement couvertes par les BCR-C.

CGI accepte que tout litige lié à l’exercice du contrôle du respect des BCR-C par l’Autorité de Contrôle Compétente soit résolu par les tribunaux de l’Etat Membre de cette Autorité de Contrôle Compétente, conformément au droit procédural de cet Etat Membre. Les Entités CGI acceptent de se soumettre à la juridiction de ces tribunaux.

13.5 Législations et pratiques locales qui impactent le respect des BCR-C

Les Entités CGI n’utiliseront les BCR-C comme outil de transfert que si elles ont évalué que le droit et les pratiques du Pays Tiers de destination applicables au Traitement des Données à Caractère Personnel par l’Entité CGI Importatrice de Données, y compris toute obligation de divulguer des Données à Caractère Personnel ou toute mesure autorisant l’accès des autorités publiques à ces données, ne l’empêchent pas de remplir ses obligations en vertu des BCR-C.

Cela est fondé sur l’interprétation selon laquelle les lois et les pratiques qui respectent l’essence des libertés et droits fondamentaux et n’excèdent pas ce qui est nécessaire et proportionné dans une société démocratique pour garantir l’un des objectifs énumérés à l’article 23, paragraphe 1, du RGPD, ne sont pas en contradiction avec les BCR-C. Lors de l’évaluation des lois et des pratiques du Pays Tiers susceptibles de compromettre le respect des engagements contenus dans les BCR-C, les Entités CGI prennent dûment en considération, en particulier, les éléments suivants :

(i) les circonstances particulières des transferts ou de l’ensemble de transferts, et de tout transfert ultérieur envisagé à l’intérieur du même Pays Tiers ou vers un autre Pays Tiers, y compris :

• des finalités pour lesquelles les Données à Caractère Personnel sont transférées et Traitées ;
• les types d’Entités CGI impliquées dans le Traitement ;
• le secteur économique dans lequel le transfert ou l’ensemble des transferts ont lieu ;
• les catégories et le format des Données à Caractère Personnel transférées ;
• le lieu du Traitement, y compris le stockage ; et
• les canaux de transmission utilisés.

(ii) les lois et les pratiques du Pays Tiers de destination pertinentes au regard des circonstances du transfert, y compris celles exigeant la divulgation de données aux autorités publiques ou autorisant l’accès de ces autorités et celles prévoyant l’accès à ces données pendant le transit entre le pays de l’Entité CGI Exportatrice de Données et le pays de l’Entité CGI Importatrice de Données, ainsi que les limitations et sauvegardes applicables ;

(iii) toute garantie contractuelle, technique ou organisationnelle pertinente mise en place pour compléter les garanties prévues par les BCR-C, y compris les mesures appliquées pendant la transmission et au Traitement des Données à Caractère Personnel dans le pays de destination.

Lorsque des garanties supplémentaires à celles envisagées au titre des BCR-C doivent être mises en place, CGI France SAS et le Chef de la Protection des Données (CPO) doivent être informés et impliqués dans cette évaluation.

Les Entités CGI devront documenter de manière appropriée cette évaluation, ainsi que les mesures supplémentaires sélectionnées et mises en œuvre. Elles devront mettre cette documentation à la disposition de l’Autorité de Contrôle Compétente sur demande.

L’Entité CGI Importatrice de Données devra notifier rapidement l’Entité CGI Exportatrice de Données si, lors de l’utilisation des BCR-C comme outil de transfert, et pendant toute la durée de l’adhésion aux BCR-C, elle a des raisons de croire qu’elle est ou est devenue soumise à des lois ou à des pratiques qui l’empêcheraient de remplir ses obligations au titre des BCR-C, y compris à la suite d’une modification des lois dans le Pays Tiers ou d’une mesure (telle qu’une demande de divulgation). Ces informations doivent également être communiquées à CGI France SAS.

Après vérification de cette notification, l’Entité CGI Exportatrice de Données, ainsi que CGI France SAS et le Chef de la Protection des Données (CPO), devront identifier rapidement des mesures supplémentaires (par exemple, des mesures techniques ou organisationnelles visant à garantir la sécurité et la confidentialité) à adopter par l’Entité CGI Exportatrice de Données et/ou l’Entité CGI Importatrice de Données, afin de leur permettre de remplir leurs obligations au titre des BCR-C. Il en va de même si l’Entité CGI Exportatrice de Données a des raisons de croire que l’Entité CGI Importatrice de Données ne peut plus remplir ses obligations au titre des BCR-C.

Lorsque l’Entité CGI Exportatrice de Données, aux côtés de CGI France SAS et du Chef de la Protection des Données (CPO), estime que les BCR-C, même accompagnées des mesures supplémentaires, ne peuvent être respectés aux fins d’un transfert ou d’un ensemble de transferts, ou sur instruction des Autorités de Contrôle Compétentes, elle s’engage à suspendre le transfert ou l’ensemble de transferts en question, ainsi que tous les transferts pour lesquels la même évaluation et le même raisonnement aboutiraient à un résultat similaire, jusqu’à ce que le respect soit à nouveau assuré ou que le transfert prenne fin. A la suite d’une telle suspension, l’Entité CGI Exportatrice de Données doit mettre fin au transfert ou à la série de transferts si les BCR-C ne peuvent pas être respectées et si le respect des BCR-C n’est pas rétabli dans un délai d’un mois à compter de la suspension. Dans ce cas, les Données à Caractère Personnel qui ont été transférées avant la suspension, ainsi que toute copie de celles-ci, doivent, au choix de l’Entité CGI Exportatrice de Données, lui être restituées ou détruites dans leur intégralité.

CGI France SAS et le Chef de la Protection des Données (CPO) informeront toutes les autres Entités CGI de l’évaluation effectuée et de ses résultats, afin que les mesures supplémentaires identifiées soient appliquées au cas où le même type de transferts serait effectué par une autre Entité CGI ou, lorsque des mesures supplémentaires efficaces n’ont pas pu être mises en place, que les transferts en cause soient suspendus ou qu’il y soit mis un terme.

Les Entités CGI Exportatrices de Données doit surveiller, de manière continue et, le cas échéant, en collaboration avec les Entités CGI Importatrices De Données, les évolutions dans les Pays Tiers vers lesquels les Entités CGI Exportatrices de Données ont transféré les Données à Caractère Personnel susceptibles d’avoir une incidence sur l’évaluation initiale du niveau de protection et les décisions prises en conséquence sur ces transferts.

13.6 Demandes d’accès gouvernementales

Sans préjudice de l’obligation de l’Entité CGI Importatrice de Données d’informer l’Entité CGI Exportatrice de Données de son incapacité à respecter les engagements contenus dans les BCR-C (voir la Section 13.5 ci-dessus), l’Entité CGI Importatrice de Données notifiera rapidement l’Entité CGI Exportatrice de Données et, si possible, la Personne Concernée (si nécessaire avec l’aide de l’Entité CGI Exportatrice de Données), si elle :

(i) reçoit une demande juridiquement contraignante d'une autorité publique en vertu de la législation du pays de destination, ou d'un autre Pays Tiers, en vue de la divulgation de Données à Caractère Personnel transférées conformément aux BCR-C ; cette notification comprend des informations sur les Données à Caractère Personnel demandées, l'autorité à l’origine de la demande, la base juridique de la demande et la réponse fournie ;

(ii) a connaissance de tout accès direct des autorités publiques aux Données à Caractère Personnel transférées en vertu des BCR-C conformément à la législation du pays de destination ; cette notification inclura toutes les informations dont dispose l’Entité CGI Importatrice de Données.

S’il lui est interdit d’informer l’Entité CGI Exportatrice de Données et/ou la Personne Concernée, l’Entité CGI Importatrice de Données mettra tout en œuvre pour obtenir une dérogation à cette interdiction, en vue de communiquer autant d’informations que possible et dans les meilleurs délais, et documentera ses meilleurs efforts afin de pouvoir les démontrer à la demande de l’Entité CGI Exportatrice de Données.

L’Entité CGI Importatrice de Données fournira à l’Entité CGI Exportatrice de Données, à intervalles réguliers, autant d'informations pertinentes que possible sur les demandes reçues (en particulier, le nombre de demandes, le type de données demandées, l'autorité ou les autorités requérante(s), si les demandes ont été contestées et l’issue de ces contestations, etc.). Si l’Entité CGI Importatrice de Données est ou devient partiellement ou totalement interdite de fournir à l’Entité CGI Exportatrice de Données les informations susmentionnées, elle en informera l’Entité CGI Exportatrice de Données dans les plus brefs délais.

L'Entité CGI Importatrice de Données conservera les informations susmentionnées aussi longtemps que les Données à Caractère Personnel seront soumises aux garanties prévues par les BCR-C et les mettra à la disposition de l'Autorité de Contrôle Compétente sur demande.

L'Entité CGI Importatrice de Données contrôlera la légalité de la demande de divulgation, en particulier pour vérifier si elle s’inscrit dans les limites des pouvoirs conférés à l’autorité publique requérante, et la contestera si, après une évaluation minutieuse, elle conclut qu’il existe des motifs raisonnables de considérer qu’elle est illégale en vertu des lois locales, des obligations applicables en vertu du droit international et des principes de courtoisie internationale.

L’Entité CGI Importatrice de Données exercera les possibilités d’appel ultérieures dans les mêmes conditions.

Lorsqu’elle conteste une demande, l’Entité CGI Importatrice de Données demandera des mesures provisoires visant à suspendre les effets de la demande jusqu’à ce que l’autorité judiciaire compétente se prononce sur son bien-fondé. Elle ne divulguera pas les Données à Caractère Personnel demandées tant qu’elle n’est pas obligée de le faire en vertu des règles de procédure applicables.

L’Entité CGI Importatrice de Données gardera une trace documentaire de son évaluation juridique ainsi que de toute contestation de la demande de divulgation et, dans la mesure où la législation du pays de destination le permet, mettra les documents concernés à la disposition de l’Entité CGI Exportatrice de Données. Elle les mettra également à la disposition des Autorités de Contrôle Compétentes qui en feront la demande.

L’Entité CGI Importatrice de Données fournira le minimum d’informations autorisé lorsqu’elle répond à une demande de divulgation, sur la base d’une interprétation raisonnable de la demande.

En tout état de cause, les Transferts de Données à Caractère Personnel à toute autorité publique par une Entité CGI liée aux BCR-C ne peuvent pas être massifs, disproportionnés et anarchiques au point d’excéder ce qui est nécessaire dans une société démocratique.

Transferts ou divulgations non autorisés par le droit de l'Union

Pour les Entités CGI au sein de l’EEE, toute décision d'une juridiction ou d'une autorité administrative d'un Pays Tiers exigeant d'un Responsable du Traitement ou d'un Sous-Traitant qu'il transfère ou divulgue des Données à Caractère Personnel ne peut être reconnue ou rendue exécutoire de quelque manière que ce soit qu'à la condition qu'elle soit fondée sur un accord international, tel qu'un traité d'entraide judiciaire, en vigueur entre le Pays Tiers demandeur et l'Union ou un État Membre, sans préjudice d'autres motifs de transfert en vertu du Chapitre V du RGPD.

CGI élabore et met en œuvre un programme de formation annuel et actualisé sur les fondamentaux de la protection des données afin que les Associés de CGI aient connaissance des procédures et des principes essentiels énoncés dans les BCR-C.

Le programme de formation offre aux Associés de CGI :

• des connaissances de base relatives aux principes applicables au Traitement des Données à Caractère Personnel ;
• une bonne compréhension des procédures existantes et de leur application ;
• un panorama des dernières évolutions de la Législation Applicable en matière de Protection des Données et des conséquences qui en découlent pour les activités de CGI à tous les niveaux de l’organisation ;
• des modules de formation spécifiques adaptés aux différentes fonctions au sein de l’organisation.

Ce programme de formation vise à assurer qu’une formation appropriée soit effectivement dispensée aux Associés de CGI qui ont un accès permanent ou régulier aux Données à Caractère Personnel, qui participent à la collecte de Données à Caractère Personnel ou au développement d’outils utilisés pour Traiter les Données à Caractère Personnel.

En plus de la mise en œuvre d’un programme de formation approprié sur la protection des données, CGI continuera à promouvoir une culture de la protection des données au sein de son organisation. À cette fin, elle mettra en œuvre des actions de communication spécifiques, y compris des campagnes de sensibilisation, des documents sur la protection des données, des webinaires et des forums, afin de fournir des conseils et de répondre aux demandes d’information concernant les BCR-C.

La formation annuelle sur les principes fondamentaux de la protection des données est obligatoire pour tous les Associés de CGI.

CGI intègre à son programme d’audit interne un examen de la conformité de CGI avec tous les aspects des BCR-C.

Le processus d’audit interne définit ce qui suit :

• le calendrier d’exécution des audits ;
• la portée prévue des audits ;
• l’équipe responsable des audits.

Le processus d’audit interne peut être révisé périodiquement. Toutefois, CGI effectue régulièrement des audits internes par l’entremise d’une équipe d’audit qualifiée. Les personnes responsables des audits sont assurées de leur indépendance dans l'exercice de leurs missions d’audit. Les délégués à la protection des données ne doivent pas être chargés de vérifier le respect des BCR-C si une telle situation peut entraîner un conflit d'intérêts. Ce programme est supervisé par le service d’audit interne de CGI.

Les résultats de l’audit seront communiqués au conseil d’administration de CGI Inc., au conseil d’administration de CGI France SAS et à l’équipe responsable de la protection des données personnelles. Les mesures qui en découlent sont définies et un ordre de priorité est établi pour permettre à l’équipe responsable de la protection des données personnelles de planifier la mise en œuvre de mesures correctives et préventives.

Les Autorités de Contrôle Compétentes peuvent, sur demande, avoir accès aux résultats de l’audit.

La mise en œuvre des BCR-C exige que toutes les Entités CGI énumérées à l’Annexe A contribuent à son application. Dans tous les cas, elles demeurent entièrement responsables de leur propre conformité aux BCR-C.

CGI a mis en place une organisation interne responsable de la protection des données personnelles qui définit les normes, les politiques et les processus appropriés pour toutes les Entités CGI participantes et surveille la conformité aux BCR-C.

Plus particulièrement, CGI a désigné un Chef de la Protection des Données (CPO), un réseau de Délégués à la Protection des Données et de Partenaires d’Affaires de la Protection des Données d’Unités d’Affaires Stratégiques, conformément à la Législation Applicable en matière de Protection des Données. Une équipe de Services Partagés de la Gestion de l’Information soutient l’organisation dans le cadre de l’application des règles relatives à la conservation et des obligations en matière de gestion de l’information.

Le CPO rend directement compte au Vice-président exécutif, affaires juridiques et économiques, et secrétaire de l’entreprise, qui rend directement compte au Directeur général. Le CPO bénéficie du soutien du Vice-président exécutif, affaires juridiques et économiques, et secrétaire de l’entreprise, et peut informer le Vice-président exécutif, affaires juridiques et économiques, et secrétaire de l’entreprise de toute question ou de tout problème survenant dans l’exercice de ses fonctions. En ce qui concerne les BCR-C, le CPO se consacre principalement aux tâches suivantes :

• définir la stratégie du Groupe à l’égard de la mise en œuvre des BCR-C et des procédures dans l’ensemble de l’organisation pour s’assurer que chaque Unité d’Affaires (UA) et Unité d’Affaires Stratégique (UAS) s’y conforme ;
• définir le programme de formation ;
• définir la stratégie d’audit pour vérifier la bonne application des BCR-C ;
• fournir des conseils aux Unités d’Affaires Stratégiques (UAS), au besoin.

Le CPO ne doit pas être chargé de tâches susceptibles d'entraîner des conflits d'intérêts. Le CPO ne doit pas être chargé d'effectuer des analyses d'impact relatives à la protection des données, ni d’effectuer les audits BCR-C si de telles situations peuvent donner lieu à un conflit d'intérêts.

Pour chaque Unité d’Affaires Stratégique de CGI, qui regroupe les Entités CGI présentes dans les principales régions géographiques, CGI a nommé un Partenaire d’Affaires de la Protection des Données d’Unité d’Affaires Stratégique qui peut compter sur un réseau de Partenaires d’Affaires de la Protection des Données nommés au niveau local. Les experts locaux en matière de protection des données doivent s’assurer que les BCR-C sont dûment mises en œuvre au niveau de l’Unité d’Affaires Stratégique et que toute réclamation soulevée à ce niveau, y compris les réclamations des Personnes Concernées, est traitée de façon appropriée et conformément au processus décrit dans les BCR. Ils vérifient également les mécanismes de transfert de données et s’assurent que les engagements associés sont respectés.

En tout état de cause, le CPO peut être directement contacté via les coordonnées indiquées à la Section 19 ci-dessous. CGI publie également les coordonnées du CPO sur l’intranet de CGI et le site web de CGI accessible au public.

CGI tient un registre des activités de Traitement effectuées en tant que Responsable du Traitement, nommé l’« Inventaire de Traitement des Données », qui contient les informations suivantes :

• le nom et les coordonnées du Responsable du Traitement et, le cas échéant, du Responsable conjoint du Traitement, du représentant du Responsable du Traitement et du délégué à la protection des données ;
• les finalités du Traitement ;
• une description des catégories de Personnes Concernées et des catégories de Données à Caractère Personnel ;
• les catégories de destinataires auxquels les Données à Caractère Personnel ont été ou seront communiquées, y compris les destinataires dans des Pays Tiers ou des organisations internationales ;
• le cas échéant, les Transferts de Données à Caractère Personnel vers un Pays Tiers ou à une organisation internationale, y compris l'identification de ce Pays Tiers ou de cette organisation internationale et les documents attestant de l'existence de garanties appropriées ;
• dans la mesure du possible, les délais prévus pour l'effacement des différentes catégories de Données à Caractère Personnel ;
• dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles.

CGI s’assure que tout nouveau Traitement de Données à Caractère Personnel est consigné dans l’Inventaire de Traitement des Données, avec les informations pertinentes concernant le contexte de chaque Traitement des Données à Caractère Personnel. CGI mettra le(s) registre(s) des activités de Traitement à la disposition des Autorités de Contrôle Compétentes sur demande.

Les BCR-C peuvent être modifiées, selon les besoins et conformément à une procédure précise. CGI doit, dans les meilleurs délais, notifier les modifications apportées aux BCR-C à toutes les Entités CGI énumérées à l’Annexe A.

Lorsque les modifications ont une incidence importante sur les BCR ou sur le niveau de protection offert, CGI informe à l’avance les Autorités de Contrôle, par l'intermédiaire de l'Autorité de Contrôle chef de file des BCR-C, avec une brève explication des raisons de l’actualisation.

Pour toute autre modification des BCR-C, CGI informe, au moins une fois par an, les Autorités de Contrôle, par l'intermédiaire de l'Autorité de Contrôle chef de file des BCR-C, avec une brève explication des raisons de ces modifications. Les Autorités de Contrôle seront également informées une fois par an dans les cas où aucune modification n’est faite.

CGI tient à jour une liste des Entités CGI liées par les BCR-C, et l’équipe responsable de la protection des données personnelles consigne toute actualisation des BCR-C, s’assure que l’information est communiquée en temps opportun aux parties prenantes susmentionnées et fournit l’information nécessaire aux Personnes Concernées ou aux Autorités de Contrôle Compétentes, sur demande.

Toute question, demande ou orientation en lien avec les BCR-C doit être envoyée à l’adresse email suivante : privacy@cgi.com ou à l’attention du Service du Chef de la Protection des Données (CPO) de CGI, à l’Immeuble Carré Michelet, 12 Cours Michelet, 92800 Puteaux, France, ou en complétant le formulaire en ligne disponible ici.