Nous tenons à jour la présente Politique de protection des Données Personnelles qui décrit nos principes, nos normes et nos pratiques en matière de protection des Données Personnelles et la façon dont nous protégeons toutes les Données Personnelles dans le cadre de nos activités, que nous les Traitions à nos propres fins ou pour répondre aux besoins de nos clients.
Les termes qui commencent par une lettre majuscule sont définis à l’annexe 1 ci-jointe.
Principes
En tant qu’organisation mondiale de services de conseil en TI et en management, CGI s’engage à maintenir des niveaux de protection des Données Personnelles conformes aux meilleures pratiques, à la Législation Applicable sur la Protection des Données et aux obligations contractuelles de l’entreprise.
CGI recueille ou utilise des Données Personnelles pour ses propres besoins.
CGI peut également Traiter des Données Personnelles au nom et sur instructions d’un client, y compris les mesures techniques et organisationnelles requises pour prévenir la destruction, la perte, la modification, la divulgation ou l’accès accidentel ou illégal à des Données Personnelles. Tout engagement relatif à ces responsabilités et à ces mesures doit être expressément reflété dans tout engagement conclu entre CGI et ses clients.
La proposition de valeur de CGI comprend la protection des Données Personnelles et la prévention de l’exposition aux risques liés aux données. CGI guide ses clients et les aide à gérer et à protéger leurs Données Personnelles afin de répondre aux exigences de conformité. Sur instructions d’un client, CGI mettra en œuvre des mesures de sécurité efficaces pour protéger les Données Personnelles et prévenir les violations de données.
Portée et conformité
La présente Politique de protection des Données Personnelles fait partie intégrante des Assises de gestion de CGI et lie toutes les Entités Juridiques et tous les employés de CGI (les « Associés de CGI »), peu importe leur emplacement, de même que les Tierces Parties engagées par l’entreprise. Dans la mesure permise par la loi, toute violation de la présente Politique de protection des Données Personnelles peut entraîner des mesures administratives ou disciplinaires de la part de CGI (y compris des sanctions pécuniaires, une suspension ou une cessation d’emploi).
Les Associés de CGI reconnaissent ces obligations et, chaque année, acceptent de se conformer à la présente Politique de protection des Données Personnelles dans le cadre de leur engagement à l’égard du Code d’éthique. De plus, ils doivent se conformer aux autres obligations applicables en matière de confidentialité et de protection des Données Personnelles, y compris celles qui sont définies dans la Législation Applicable sur la Protection des Données, leurs contrats de travail, les Assises de gestion de CGI ou les instructions des clients.
Toute Tierce Partie qui Traite des Données Personnelles au nom de CGI est tenue de mettre en œuvre des mesures techniques et organisationnelles appropriées pour assurer la conformité aux principes et aux exigences de la présente Politique de protection des Données Personnelles. Lorsque CGI Traite des Données Personnelles au nom d’un client, tous les engagements contractuels ou autres obligations de CGI envers son client doivent être répercutés à toutes les Tierces Parties concernées. Tout engagement ou toute obligation doivent être expressément intégrés dans les accords conclus entre CGI et les Tierces Parties.
Quelles catégories de Données Personnelles CGI Traite-t-elle dans le cadre de ses activités?
Sous réserve de la Législation Applicable sur la Protection des Données, CGI et toute Tierce Partie peuvent Traiter les catégories de Données Personnelles qui figurent sur la liste non exhaustive suivante :
- Données démographiques et renseignements sur la vie privée (p. ex. âge, genre, traits physiques, date de naissance, adresse domiciliaire, état matrimonial, affiliations, préférences, champs d’intérêt)
- Données relatives à la localisation, aux identifiants, au trafic et au suivi (p. ex. adresse IP, empreinte digitale de navigateur, connexions)
- Données économiques et financières (p. ex. numéro de compte, santé financière, actions, situation fiscale, salaire, transactions financières)
- Données Personnelles Sensibles (p. ex. numéro d’assurance sociale, données biométriques, renseignements sur la santé)
- Données relatives à l’identité et aux coordonnées (p. ex. nom, adresse courriel, numéro de téléphone, photo, nationalité, numéros d’identification et de passeport)
- Données relatives à la vie professionnelle et à l’information commerciale (p. ex. employeur, service, titre de poste, antécédents professionnels, performances, entrevues, diplômes et certifications, facturation, adresse de livraison)
Ces catégories de Données Personnelles se rapportent à la liste non exhaustive de personnes qui suit :
- les candidats à l’emploi, les stagiaires et les étudiants;
- les Associés de CGI et les anciens employés, ainsi que leurs proches;
- les employés et les anciens employés de clients, ainsi que leurs proches;
- les patients, les clients ou les citoyens de clients;
- les employés et les clients de clients potentiels;
- les visiteurs de sites Web de CGI;
- les actionnaires;
- les employés et les pigistes de Tierces Parties.
Des renseignements plus détaillés sont disponibles dans les mentions d’information pertinentes.
À qui CGI transmet-elle vos Données Personnelles?
Dans le cadre de ses activités, CGI peut divulguer des Données Personnelles à ses Entités Juridiques, à ses clients actuels et potentiels, à ses Tierces Parties ou à d’autres tiers (y compris des banques et des conseillers financiers, des conseillers externes et des auditeurs) ainsi qu’à des autorités administratives, judiciaires ou gouvernementales, à des agences d’État ou à des organismes publics, conformément à la Législation Applicable sur la Protection des Données.
Comment CGI protège-t-elle les Données Personnelles Traitées pour ses propres besoins?
CGI est responsable de protéger toute Donnée Personnelle Traitée dans le cadre de ses activités.
Par conséquent, les Associés de CGI se conforment aux principes fondamentaux suivants :
- 01 Transparence, équité et légalité
Les Données Personnelles des personnes concernées sont Traitées de façon légale, impartiale et transparente, conformément aux exigences de la présente Politique de protection des Données Personnelles. CGI fournit des renseignements détaillés sur le Traitement des données aux personnes concernées, dans un format facile à comprendre et accessible, au moyen de mentions d’information.- 02 Restriction d’utilisation
Tout Traitement de Données Personnelles est précédé de la détermination de sa finalité précise, qui doit être explicite et légitime, et conforme à ce à quoi une personne peut raisonnablement s’attendre.- 03 Minimisation des données
Les Données Personnelles sont uniquement recueillies et utilisées dans la mesure nécessaire à l’atteinte des finalités pour lesquelles elles sont Traitées. Elles doivent être adéquates, pertinentes et limitées à ce qui est strictement nécessaire pour atteindre ces finalités.- 04 Exactitude
Les Données Personnelles recueillies doivent demeurer exactes et à jour. Des mesures raisonnables doivent être prises pour s’assurer que les Données Personnelles inexactes sont effacées ou corrigées sans délai, y compris au moyen d’options de libre-service pour les personnes concernées. Des moyens adéquats doivent être fournis aux personnes concernées pour qu’elles informent CGI de tout changement à leurs Données Personnelles.- 05 Limitation de stockage
Les Données Personnelles ne doivent pas être conservées plus longtemps que nécessaire pour atteindre les finalités pour lesquelles elles sont recueillies. Par conséquent, CGI doit déterminer la période de conservation des données requise conformément à son calendrier de conservation et à la Législation Applicable sur la Protection des Données.- 06 Intégrité et confidentialité
Des mesures techniques et organisationnelles appropriées, comme celles prescrites dans le Cadre de gestion de la sécurité d’entreprise (ESMF) de CGI, doivent être mises en œuvre pour se prémunir contre l’accès frauduleux aux Données Personnelles ou leur Traitement frauduleux.
Sur quels fondements juridiques CGI Traite-t-elle les Données Personnelles pour ses propres besoins?
Le plus souvent, CGI peut Traiter des Données Personnelles dans les circonstances suivantes :
- Lorsque CGI doit respecter une obligation légale.
- Lorsque le Traitement est nécessaire pour l’exécution d’un contrat avec une personne.
- Lorsque CGI a un intérêt légitime de Traiter des Données Personnelles dans le cadre de ses activités.
Il peut arriver que CGI doive Traiter des Données Personnelles pour protéger les intérêts des personnes concernées. Elle peut aussi en Traiter si elle obtient un consentement préalable.
Données Personnelles Sensibles Traitées pour les besoins de CGI
CGI ne Traitera les Données Personnelles Sensibles que si l’une des conditions suivantes est remplie :
- la personne concernée a donné son consentement préalable;
- le Traitement est nécessaire aux fins de l’exécution des obligations et de l’exercice des droits propres à CGI ou à la personne concernée en matière de droit du travail, de la sécurité sociale et de la protection sociale;
- la personne concernée n’est pas en mesure de donner son consentement (p. ex. pour des raisons médicales), et le Traitement est nécessaire pour protéger les intérêts vitaux de la personne concernée ou d’une autre personne;
- le Traitement est requis dans le cadre de la médecine préventive ou du diagnostic médical par un professionnel de la santé en vertu de la Législation Locale;
- la personne concernée a déjà manifestement rendu publiques les Données Personnelles Sensibles pertinentes;
- le Traitement est essentiel à l’établissement, à l’exercice ou à la défense d’un droit en justice, pourvu qu’il n’y ait aucune raison de présumer que la personne concernée a un intérêt légitime supérieur à s’assurer que ces Données Personnelles Sensibles ne sont pas Traitées;
- le Traitement est explicitement autorisé par une Législation Locale.
Comment CGI protège-t-elle les Données Personnelles des clients?
Lorsque CGI Traite les Données Personnelles d’un client, elle s’assure de les Traiter aux seules fins exprimées par le client, et conformément aux instructions écrites du client, y compris en ce qui concerne la durée, énoncées dans les modalités et conditions convenues entre CGI et le client.
Le client est seul responsable de s’assurer que le Traitement des données effectué par CGI repose sur des fondements juridiques valables et que les instructions de Traitement fournies à CGI respectent la Législation Applicable sur la Protection des Données, y compris la durée de conservation prescrite. Toutefois, CGI est tenue d’informer rapidement le client si, selon elle, une des instructions constitue une violation de la Législation Applicable sur la Protection des Données
Sauf indication contraire du client, CGI appliquera (au minimum) ses exigences de base en matière de sécurité, conformément à son Cadre de gestion de la sécurité d’entreprise (ESMF). Tout écart par rapport à ces exigences de base nécessite des évaluations des risques pertinentes et l’approbation des équipes de protection des Données Personnelles et de sécurité de CGI, conformément aux Assises de gestion de CGI.
CGI fournira, sous réserve des conditions financières, techniques et organisationnelles convenues par écrit, une aide raisonnable au client afin d’assurer le respect de ses obligations en vertu de la Législation Applicable sur la Protection des Données.
Protection des Données Personnelles dès la conception et par défaut
Afin de s’assurer que les principes énoncés dans la présente Politique de protection des Données Personnelles sont effectivement pris en compte lorsque CGI Traite des Données Personnelles, CGI identifiera et adressera toute contrainte liée à la protection des Données Personnelles avant de commencer tout nouveau projet interne ou toute opportunité avec un client afin que les principes contenus dans la présente Politique soient reflétés dans la conception du projet et mis en œuvre de manière appropriée. CGI a donc mis en œuvre des processus d’évaluation de la protection des Données Personnelles et de la sécurité, ainsi qu’un Code de pratique de protection des Données Personnelles dès la conception et plusieurs cadres de gestion (p. ex. utilisation responsable des données, utilisation responsable de l’intelligence artificielle et utilisation responsable de l'infonuagique) applicables à tous les projets internes de CGI et aux opportunités clients nécessitant le Traitement de Données Personnelles afin d’aider chaque Associé de CGI concerné à analyser et à gérer les risques liés à la protection des Données Personnelles.
Conformément à la Législation Applicable sur la Protection des Données, CGI procédera à une évaluation de l’impact sur la protection des Données Personnelles pour tous les projets internes de CGI où le Traitement des Données Personnelles est susceptible d’entraîner un risque élevé pour les droits et les libertés des personnes concernées, et déterminera les mesures correctives à mettre en œuvre pour atténuer les risques.
L’organisation responsable de la protection des Données Personnelles de CGI examine et approuve les aspects relatifs à la protection des Données Personnelles des offres de services et/ou des services élaborés pour les clients, et de toute propriété intellectuelle de CGI ou de tout nouveau projet interne, conformément aux Assises de gestion de CGI. L’Associé de CGI responsable de la solution, du service ou du projet doit conserver une preuve de conformité aux exigences d’approbation de l’organisation responsable de la protection des Données Personnelles de CGI.
Quels sont les droits des personnes concernées, et comment peuvent-ils être exercés?
Les droits que les personnes concernées ont par rapport à leurs Données Personnelles varient d’un pays à l’autre. CGI agit conformément à la Législation Applicable sur la Protection des Données.
Selon les régions, la Législation Applicable sur la Protection des Données peut accorder aux personnes concernées les droits suivants :
- Accéder à leurs Données Personnelles et à l’information sur leur Traitement;
- Demander la rectification ou l’effacement de toute Donnée Personnelle inexacte ou incomplète les concernant;
- Retirer leur consentement ou s’opposer, pour motif légitime, au Traitement de leurs Données Personnelles, à moins que ce Traitement ne soit imposé par la loi;
- Demander des restrictions de Traitement lorsque les Données Personnelles ne sont plus exactes ou nécessaires, ou lorsque leur Traitement est illégal;
- Demander à ce que le Traitement de leurs Données Personnelles ne fasse pas l’objet d’une décision fondée uniquement sur le traitement automatisé, y compris le profilage, qui produit des effets juridiques les concernant ou qui les affecte de manière significative;
- Recevoir leurs Données Personnelles dans un format structuré, couramment utilisé et lisible par machine;
- Nommer une personne pour exercer leurs droits en cas de décès ou d’incapacité.
Les personnes qui souhaitent exercer ces droits ou obtenir de l’information sur le Traitement de leurs Données Personnelles peuvent envoyer une demande en suivant les directives énoncées à la section « Questions, demandes et recours » ci-dessous.
Lorsque CGI Traite des Données Personnelles pour ses propres besoins : CGI doit communiquer toute modification ou suppression de Données Personnelles ou toute restriction de Traitement mise en œuvre conformément à la Législation Applicable sur la Protection des Données à chaque destinataire auquel les Données Personnelles ont été divulguées, à moins qu’une telle communication ne s’avère impossible ou nécessite des efforts disproportionnés. CGI doit s’assurer de gérer les demandes sans retard indu et conformément au processus de CGI pour les demandes liés aux droits des personnes concernées.
Lorsque CGI Traite les Données Personnelles des clients : Si CGI reçoit des plaintes ou des demandes de la part de personnes concernées souhaitant exercer leurs droits, CGI communiquera rapidement toute information pertinente au client et indiquera expressément aux personnes concernées qu’il incombe au client de gérer de telles plaintes ou demandes. CGI peut seulement gérer les plaintes ou les demandes conformément aux instructions du client.
Comment CGI gère-t-elle les violations de Données Personnelles?
CGI dispose d’un processus de gestion et d’intervention mature et basé sur des normes, conçu pour gérer toutes les phases d’un incident de sécurité, y compris les incidents qui ont des répercussions sur la protection des Données Personnelles. Les responsabilités des Associés de CGI sont clairement définies à tous les niveaux. Les normes d’évaluation et de priorisation des incidents sont suivies pour assurer des niveaux d’engagement appropriés et une résolution rapide.
Les dossiers d’incidents sont conservés et communiqués à la haute direction de CGI, le cas échéant. Tous les incidents sont gérés par le centre mondial de gestion de la sécurité (GSOC) de CGI, ouvert 24 heures sur 24 et 7 jours sur 7, où des professionnels hautement qualifiés sont sur place en tout temps pour coordonner les efforts d’intervention. L’équipe de protection des Données Personnelles de CGI prend part au processus de gestion des incidents aussitôt que des Données Personnelles ont été compromises ou qu’il existe un risque qu’elles aient été compromises.
Si CGI a des motifs raisonnables de croire qu’une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de Données Personnelles transmises, conservées ou Traitées d’une autre manière, ou l’accès non autorisé à de telles données s’est produite, CGI doit fournir un avis d’incident de sécurité et des mises à jour sur l’état d’avancement à l’autorité responsable de la protection des Données Personnelles, aux personnes concernées ou aux clients (selon le cas), conformément à la Législation Applicable sur la Protection des Données ainsi qu’aux Assises de gestion de CGI.
De même, dans l’éventualité où une violation des Données Personnelles est constatée par une Tierce Partie engagée par CGI, celle-ci doit en informer CGI comme convenu dans l’accord pertinent, et conformément à la Législation Applicable sur la Protection des Données.
Communication et formation
CGI fait continuellement la promotion d’une culture de protection des Données Personnelles au sein de son organisation. Elle déploie un programme annuel de formation sur la protection des Données Personnelles, qui est régulièrement mis à jour pour tenir compte des changements technologiques et législatifs. Cette formation est obligatoire pour tous les sous-traitants, les pigistes et les Associés de CGI. Tous les leaders de CGI doivent s’assurer que les Associés de CGI qui relèvent d’eux suivent la formation.
Des cours d’apprentissage sur la protection des Données Personnelles adaptés et spécifiques à plusieurs fonctions au sein de l’organisation et des formations sur la sécurité sont également disponibles sur la plateforme d’apprentissage de CGI.
Des renseignements supplémentaires destinés aux Associés de CGI peuvent également être fournis par l’entremise de plusieurs canaux, y compris des séances d’information ciblées sur la protection des Données Personnelles, des webinaires, des réunions individuelles, des bulletins d’information, des séances de partage de « savoir-faire », des campagnes de sensibilisation à la sécurité et des communications annuelles au sujet de la Journée mondiale de la protection des Données Personnelles.
Les Associés de CGI apprennent ainsi les principes fondamentaux énoncés dans la présente Politique de protection des Données Personnelles et les meilleures pratiques qui s'y rapportent afin de protéger CGI et ses parties prenantes contre l’accès non autorisé et le Traitement inapproprié des Données Personnelles.
Audit
CGI intègre à son programme d’audit interne à l’échelle de l’entreprise un examen de sa conformité à la présente Politique de protection des Données Personnelles. Le programme d’audit interne définit ce qui suit :
- le calendrier d’exécution des audits;
- la portée prévue des audits;
- l’équipe responsable des audits.
Le programme d’audit interne à l’échelle de l’entreprise comprend une vérification tant au niveau de la prestation de services que des fonctions et des Services corporatifs. Les programmes d’audit peuvent être révisés périodiquement. Pour effectuer régulièrement des audits internes, CGI a toutefois recours à des équipes qualifiées. Ces audits sont mis en œuvre par les services d’audit concernés de CGI pour chaque niveau.
Les résultats d’un audit sont communiqués à l’organisation responsable de la protection des Données Personnelles de CGI, puis des mesures sont définies et un ordre de priorité est établi pour permettre à cette organisation de planifier la mise en œuvre de mesures correctives et préventives.
Les autorités compétentes en matière de protection des Données Personnelles, ainsi que les clients, peuvent demander l’accès aux résultats de l’audit (dans ce dernier cas, sous réserve des obligations contractuelles définies dans le Cadre de gestion des contrats [CMF]). Cette communication fait l’objet d’un accord de confidentialité, et les résultats de l’audit ne comprennent pas de renseignements confidentiels d’autres clients ou domaines d’affaires internes de CGI. La publication de ces résultats est soumise à l’approbation de l’organisation responsable de la protection des Données Personnelles et de l’équipe des Affaires juridiques de CGI.
Dans le cadre de la certification ISO 27701:2019 de CGI, des auditeurs externes indépendants de CGI agissent à titre d’agents de conformité supplémentaires. Ils assurent la surveillance et l’assurance de la mise en œuvre de la norme ISO 27701:2019 dans l’ensemble de l’organisation et effectuent des audits annuels. Les résultats de ces audits sont traités conformément aux protocoles pour tous les résultats d’audit, et les mesures correctives et préventives recommandées sont gérées en priorité dans tous les secteurs de l’entreprise.
Organisation responsable de la protection des Données Personnelles de CGI
CGI a nommé un chef de la protection des données et formé un réseau de partenaires d’affaires en matière de protection des données qui peuvent être nommés Délégué à la protection des données (DPO) conformément à la Législation Applicable sur la Protection des Données, ainsi que spécialistes de la gestion de l’information. L’organisation responsable de la protection des Données Personnelles de CGI est définie plus en détail sur la page de l’intranet de CGI portant sur la protection des Données Personnelles.
Registre des activités de Traitement
CGI tient un registre des activités de Traitement effectuées dans le cadre de ses opérations, nommé l’« inventaire du traitement des Données Personnelles » (DPI). CGI s’assure que tout nouveau Traitement des Données Personnelles y est consigné, notamment les informations pertinentes concernant le contexte de chaque Traitement des Données Personnelles. Elle met le registre des activités de Traitement à la disposition de l’autorité de contrôle sur demande.
Mises à jour de la Politique de protection des Données Personnelles
La présente Politique de protection des Données Personnelles peut être modifiée de temps à autre, au besoin, et CGI publiera les communications pertinentes relatives à ces changements en temps opportun.
Questions, demandes et recours
Questions et demandes – Pour toute question relative à l’interprétation ou à l’application de la présente Politique, ou pour toute demande relative au Traitement de vos Données Personnelles par CGI, veuillez :
- envoyer un courriel à l’adresse privacy@cgi.com
- communiquer avec le chef de la protection des Données Personnelles de CGI à l’adresse suivante : Paris – Carré Michelet, 10-12 Cours Michelet, 92800 Puteaux, France; ou
- remplir le présent formulaire en ligne.
Mécanisme de recours indépendant – Si vous pensez avoir des preuves d’un manquement à la protection des Données Personnelles pouvant nuire à CGI, aux Associés de CGI, à ses clients ou à ses actionnaires, vous devez le signaler par l'entremise de la ligne d’assistance de CGI en matière d'éthique.
CGI cherche à entretenir des relations solides avec les autorités de protection des Données Personnelles et à coopérer avec elles dans le cadre de toute question pertinente, y compris toute demande d’audit. CGI se conforme également aux recommandations formulées par les autorités compétentes relativement au Traitement des Données Personnelles qu’elle effectue dans le cadre de ses opérations.
Si vous avez des questions ou des demandes concernant vos Données Personnelles qui ne sont pas prises en charge par CGI conformément à la Législation Applicable sur la Protection des Données, ou si vous avez besoin de l’aide d’une autorité compétente en matière de protection des Données Personnelles, vous pouvez soumettre une plainte ou communiquer avec l’autorité concernée. Voici des ressources utiles :
- Canada
- UE/Espace économique européen
- Commission fédérale du commerce (FTC) des États-Unis(FTC)
- Inde
- Malaisie
- Philippines
- Québec
- Préposé fédéral à la protection des données et à la transparence de la Suisse
- Bureau du commissaire à l’information (ICO) du Royaume-Uni or Autorité de régulation de Gibraltar (GRA)
Tribunal de révision de la protection des Données Personnelles (DPR) – Conformément au cadre de protection des Données Personnelles mis en place entre l’Union européenne et les États-Unis (DPF UE-US) et validé par la Commission européenne le 10 juillet 2023, le Tribunal de révision de la protection des Données Personnelles constitue le deuxième niveau d’un mécanisme de recours à deux niveaux qui prévoit l’examen des plaintes admissibles déposées par les individus, auprès des autorités publiques compétentes dans les pays étrangers désignés ou les organisations d’intégration économique régionale désignées, pour des plaintes alléguant certaines violations des lois américaines relatives aux activités de renseignement des États-Unis.
Propriétaire de la politique
Chef de la protection des données de CGI
Autorité approbatrice
Comité de direction de l’entreprise
Date d’entrée en vigueur
1er janvier 2025
Annexe 1
Glossaire – Protection des Données Personnelles
Aux fins de la présente Politique de protection des Données Personnelles, les termes suivants, accompagnés de leur définition, sont utilisés :
| Termes | Définitions |
| Associés de CGI |
Employés des Entités Juridiques de CGI. |
| BCR | Règles d’Entreprise Contraignantes, telles qu’elles sont décrites à l’annexe 2 « Transfert de Données Personnelles ». |
| Chef de la protection des Données | Chef de la protection des Données Personnelles, tel qu’il est décrit à la section « Organisation responsable de la protection des données de CGI ». |
| Données Personnelles | Toute information relative à une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu’un nom, un numéro d’identification, des données de localisation ou un identifiant en ligne, ou à un ou plusieurs éléments propres à l’identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale de cette personne physique. Les Données Personnelles comprennent les Données Personnelles dites « sensibles ». |
| Données Personnelles Sensibles | Catégories particulières de Données Personnelles qui révèlent l’origine raciale ou ethnique, les opinions politiques, la religion ou les convictions philosophiques, ou l’appartenance syndicale, de même que les données génétiques ou biométriques Traitées dans le but d’identifier une personne physique de manière unique, et les données concernant la santé et la vie sexuelle ou l’orientation sexuelle d’une personne physique, ainsi que ses antécédents criminels. |
| DPF | Cadre de protection des données, tel qu’il est décrit à l’annexe 2 « Transfert de Données Personnelles ». |
| Entités Juridiques de CGI | Toutes les Entités Juridiques contrôlées directement ou indirectement par CGI inc., à l’exception de CGI Federal Inc. et de ses filiales. |
| Législation Applicable sur la Protection des Données |
Toutes les lois applicables au Traitement des Données Personnelles, y compris, sans toutefois s’y limiter : i) le règlement européen no 2016/679 intitulé Règlement général sur la protection des données (RGPD) relatif au Traitement des Données Personnelles; ii) toute Législation Locale applicable. |
| Législation Locale | Toutes les lois applicables dans les marchés géographiques où CGI exerce ses activités, y compris, sans s’y limiter, les lois sur la protection des données, la sécurité, l’emploi, les secteurs d’activité et les consommateurs. |
| Responsable du Traitement | Toute entité qui détermine les finalités du Traitement des Données Personnelles et les moyens de Traitement utilisés. Le client est le Responsable du Traitement lorsque CGI Traite des Données Personnelles en son nom dans le cadre d’un projet client. CGI peut agir en tant que Responsable du Traitement lorsqu’elle met en œuvre une nouvelle solution interne de Traitement des Données Personnelles pour ses propres besoins. |
| Contrôleur de données | Toute entité qui détermine les finalités du Traitement des Données Personnelles et les moyens de Traitement utilisés. Le client est le contrôleur de données lorsque CGI Traite des Données Personnelles en son nom dans le cadre d’un projet client. CGI peut agir à titre de contrôleur de données lorsqu’elle met en œuvre une nouvelle solution interne de Traitement des Données Personnelles pour ses propres besoins. |
| Sous-Traitant | Toute entité agissant au nom et sous les instructions d’un Responsable du Traitement. CGI agit en tant que Sous-Traitant lorsqu’elle Traite des Données Personnelles au nom de ses clients. |
| Responsable du Traitement des données | Toute entité agissant au nom et sous les instructions d’un contrôleur de données. CGI est responsable du Traitement des données lorsqu’elle Traite des Données Personnelles au nom de ses clients. |
| Tierce Partie | Tout tiers engagé par CGI ou fournissant des biens ou des services à CGI, y compris les fournisseurs, les entrepreneurs, les sous-traitants et les pigistes. |
| Traiter, Traitement ou Traité(e)s | Toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des Données Personnelles, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation, la modification, l’extraction, la consultation (y compris l’accès à distance), l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction. |
| Transfert, Transférer | Envoi de Données Personnelles à une autre Entité Juridique de CGI ou à toute autre partie, ou mise à disposition des Données Personnelles par celle-ci, lorsque l’autre partie ou Entité Juridique de CGI n’est pas située dans le même pays, la même province ou la même région géographique, tel qu’il est décrit à l’annexe 2 « Transfert de Données Personnelles ». |
Annexe 2
Transfert de Données Personnelles
Les Transferts de Données Personnelles doivent se faire conformément à la Législation Applicable sur la Protection des Données et aux dispositions de la présente annexe 2.
1) 1)TRANSFERT AU SEIN DE CGI
Une Entité Juridique de CGI participant à un Transfert doit veiller à ce que des mesures techniques et organisationnelles appropriées proportionnelles aux risques de Traitement soient mises en œuvre conformément à la présente Politique de protection des Données Personnelles et aux politiques, aux processus et aux normes de sécurité de CGI. Ces mesures techniques et organisationnelles appropriées doivent être convenues et énoncées dans une entente de Traitement des données ou tout autre accord équivalent.
I) RÈGLES D’ENTREPRISE CONTRAIGNANTES
CGI peut seulement Transférer des Données Personnelles de personnes concernées dans l’Union européenne (UE) conformément à la Législation Applicable sur la Protection des Données et à ses Règles d’Entreprise Contraignantes (« BCR »), approuvées par l’autorité française de protection des données le 22 juillet 2021, telles qu’elles peuvent être modifiées. Les « BCR » s’appliquent à toutes les Entités Juridiques de CGI énumérées dans celles-ci, et chaque Entité Juridique de CGI participante est responsable de se conformer aux « BCR ». Tous les Associés de CGI sont liés par les « BCR ».
Pour en savoir davantage sur nos « BCR », veuillez consulter le site intranet de CGI, son site Web accessible au public et le Registre du Comité européen de la protection des données.
II) CADRE DE PROTECTION DES DONNÉES (« DATA PRIVACY FRAMEWORK » OU DPF) UNION EUROPÉENNE–ÉTATS-UNIS (UE-US), EXTENSION BRITANNIQUE ET DPF SUISSE–ÉTATS-UNIS (SUISSE-US)
Conformément à l’approbation accordée par le département du Commerce des États-Unis, les Entités Juridiques suivantes de CGI sont auto-certifiées en vertu du cadre de protection des Données Personnelles mis en place entre l’Union européenne et les États-Unis (DPF UE-US), de l’extension britannique et du DPF Suisse–États-Unis (DPF Suisse-US) :
- CGI Technologies and Solutions Inc.
- CGI Information Systems and Management Consultants (New York) Inc.
- CGI Group Holdings USA Inc.
- Accounts Receivable Automated Solutions Inc.
Ces cadres de protection des Données Personnelles fournissent aux Entités Juridiques de CGI susmentionnées des mécanismes fiables pour les Transferts de Données Personnelles aux États-Unis à partir de l’Union européenne, du Royaume-Uni et de la Suisse, tout en garantissant une protection des données conforme à la Législation Applicable de l’UE, du Royaume-Uni et de la Suisse sur la Protection des Données.
CGI se conforme au DPF UE-US, à l’extension britannique du DPF UE-US ainsi qu’au DPF Suisse-US, comme ils sont établis par le département du Commerce des États-Unis. CGI a certifié au département du Commerce des États-Unis qu’elle adhère aux principes du DPF UE-US en ce qui concerne le Traitement des Données Personnelles reçues de l’Union européenne et du Royaume-Uni en vertu du DPF UE-US et de l’extension britannique du DPF UE-US. CGI a certifié au département du Commerce des États-Unis qu’elle adhère aux principes du DPF Suisse-US en ce qui concerne le Traitement des Données Personnelles reçues de la Suisse en vertu du DPF Suisse-US. En cas de conflit entre les conditions de la présente Politique de protection des Données Personnelles et les principes du DPF UE-US ou du DPF Suisse-US, ces derniers prévaudront.
Pour en savoir plus sur le programme du cadre de protection des données (DPF) et pour consulter notre certification, veuillez visiter le site https://www.dataprivacyframework.gov/.
La Federal Trade Commission est compétente en matière de conformité de CGI au DPF UE-US et à l’extension britannique, ainsi qu’au DPF Suisse-US.
Dans le cadre d’un Transfert ultérieur, CGI est responsable du Traitement des Données Personnelles qu’elle reçoit en vertu des principes du DPF et qu’elle Transfère par la suite à une Tierce Partie agissant pour son compte. CGI demeure responsable en vertu des principes du DPF si une Tierce Partie engagée par CGI Traite ces Données Personnelles d’une manière incompatible avec les principes du DPF, à moins que CGI prouve qu’elle n’est pas responsable du fait ayant donné lieu au dommage.
Les personnes concernées peuvent, sous certaines conditions, recourir à un arbitrage contraignant pour les plaintes concernant le respect du DPF qui ne sont pas résolues par l’un des autres mécanismes du DPF présentés dans l’ANNEXE I du DPF.
2) TRANSFERT À DES TIERS
CGI effectue régulièrement des revues diligentes et des évaluations des risques liés à la sécurité et à la protection des Données Personnelles auprès de Tierces Parties engagées par CGI afin de mesurer leurs capacités et leur maturité en ce qui a trait à la sécurité et à la protection des Données Personnelles.
Chaque fois que CGI fait appel à des Tierces Parties pour Traiter des Données Personnelles, elle s’assure que ces Tierces Parties fournissent un niveau de protection adéquat pour les Données Personnelles qu’elles Traitent, conformément à la Législation Applicable sur la Protection des Données.
Télécharger la Politique de protection des Données Personnelles (PDF)