Cap Gemini - Document de référence 2016

CAPGEMINI : COLLABORATEURS, RESPONSABILITÉ SOCIALE ET ENVIRONNEMENTALE (RSE) ET ÉTHIQUE

3.1 Notre approche

Intégration des anciens collaborateurs d’IGATE En 2016, le Programme Éthique & Conformité du Groupe a été axé sur l’intégration des anciens collaborateurs d’IGATE à ce programme. Premièrement, une Charte Éthique mise à jour a été dédiée au droit de la concurrence du Groupe) leur ont été assignés. Troisièmement, les anciens collaborateurs d’IGATE ont communiquée à tous par la Direction Générale et par le Chief Ethics & Compliance Officer en février. Deuxièmement, les trois modules d’e-learning spécifiques E&C décrits ci-dessus (Charte Éthique, Politique anti-corruption du Groupe, Politique formation E&C du Groupe. été intégrés aux activités régulières de communication et de Plus de 80 000 sessions d’e-learning E&C ont été suivies par les anciens collaborateurs d’IGATE en 2016, soit environ 50 000 heures de formation. D’un exercice à l’autre, parallèlement accomplissement majeur pour l’ensemble de l’organisation. Bien qu’il s’agisse d’un effort continu, cela représente un à l’intégration de plus de 30 000 anciens collaborateurs d’IGATE en 2016, le pourcentage total des collaborateurs du Groupe (Capgemini + anciens collaborateurs d’IGATE) ayant chacun suivi les trois modules d’e-learning E&C a augmenté significativement. nouvelles réglementations en la matière (notamment en ce qui concerne la protection des données personnelles). tenir compte des exigences de ses clients et des enjeux de la protection des données. Le Programme CySIP (Cyber Sécurité et Protection des Informations) a été lancé en novembre 2014 et vise à renforcer la compétitivité du Groupe tout en anticipant les En juillet 2014, le Comité Exécutif du Groupe a décidé de modifier son approche en matière de sécurité informatique afin de mieux application dans toutes les entités de Capgemini avant fin 2017. «CySIP» décrivant les enjeux, les objectifs et la gouvernance, les règles «CySIP» (pratiques minimales et obligatoires), la stratégie de confidentialité des données, ainsi qu’une politique sur la protection des données personnelles. Ces règles doivent être mis en Sous l’égide du Secrétaire général du Groupe, l’équipe en charge du Programme CySIP a publié en mars 2015 une stratégie Le Programme CySIP regroupe trois communautés collaborant sous le pilotage du Directeur «CySIP» du Groupe : les Responsables «CySIP» des Strategic Business Units ( CySIP données personnelles et la confidentialité des données) et les Responsables de la Sécurité de l’Information (CISO : Chief Information Security Officer , centrés sur la sécurité informatique interne). Officers : centrés sur les exigences des clients et la sécurité des projets délivrés), les Responsables de la Protection des Données (DPO : Data Protection Officer centrés sur la protection des Les trois communautés CySIP se réunissent deux jours par an pour préparer un plan d’action annuel. À fin 2016, la gouvernance est en place au niveau du Groupe et les politiques et les standards des outils multimédia innovants. ont été harmonisés. Sous le haut patronage du Président-directeur général du Groupe, un programme de sensibilisation global a été lancé auprès de tous les collaborateurs. Il comprend notamment des modules e-learning obligatoires et Cyber-sécurité et protection des données 3.1.5

Une procédure dédiée en cas d’alerte

dernier ne lui propose aucune solution, s’il est réticent à en discuter avec sa hiérarchie ou si les autres procédures de traitement de réclamations individuelles s’avèrent ne pas être applicables, le collaborateur peut suivre la procédure dédiée de Selon la Charte Éthique, si un collaborateur est confronté à une question ou un problème concernant l’Éthique ou la Conformité, il doit d’abord en discuter avec son management local. Si ce conseil aux salariés et d’alerte professionnelle (RCP : Raising Concern Procedure ). Il pourra ainsi solliciter des conseils ou des avis sur la conduite à tenir auprès du Directeur Juridique local (DJ-EC), voire directement auprès du CECO basé à Paris. Opérationnelle depuis fin 2013, la procédure RCP est appliquée au cas par cas dans les pays où le Groupe est implanté, conformément aux législations en vigueur.

3

celles-ci sont actuellement mises en application au sein de l’organisation. Les BCR ont été publiées sur le site Internet externe de Capgemini et les clients ont désormais la possibilité d’utiliser ces BCR dans le cadre du transfert des données approuvées par la Commission Nationale Informatique et Libertés (CNIL) le 2 mars 2016 agissant au nom des autorités de protection des données personnelles de l’UE. Toutes les entités du groupe Capgemini ont formellement adhéré aux BCR, et sous-traitant pour les données de ses clients. Elles ont été des données personnelles couvrent les activités du Groupe aussi bien en sa qualité de responsable de traitement que de Capgemini situées en dehors de l’UE. personnelles dont ils sont responsables vers les filiales de La confidentialité et la protection des données ont été une priorité majeure en 2016. Les Règles Contraignantes d’Entreprise (BCR : Binding Corporate Rules ) de Capgemini en matière de protection trois sujets majeurs : la gestion des identités et des accès (pour renforcer le contrôle d’accès aux applications et aux données) et la gestion des événements et des incidents (pour renforcer les capacités de détection et de réaction). Les Centres Opérationnels Depuis 2015, les projets opérationnels de « CySIP » portent sur mis en œuvre en 2016 en vue de sécuriser l’accès et les données lorsque des appareils personnels sont utilisés à titre professionnel. de Sécurité de Capgemini en Europe et en Inde mettent en œuvre de nouveaux services de supervision des réseaux et des infrastructures. Enfin, une politique et des outils visant à sécuriser la pratique du BYOD ( Bring Your Own Device ) ont été définis et « CySIP », des évaluations de maturité sont effectuées chaque année dans le cadre d’un plan plus large de contrôle et d’audit. Les auto-évaluations menées par chaque entité sont complétées par des audits et des tests qui permettent d’élaborer un plan Afin de mesurer la mise en œuvre des règles et des projets annuel de réduction des risques au niveau global et pour chaque entité. L’enjeu est d’atteindre les objectifs fixés dans la stratégie, la gouvernance et les règles CySIP d’ici à fin 2017.

107

Document de référence 2016 — Capgemini