CAPGEMINI : COLLABORATEURS, RESPONSABILITÉ SOCIALE ET ENVIRONNEMENTALE (RSE) ET ÉTHIQUE

3.1 Notre approche

3

107

Document de référence 2016 — Capgemini

Intégration des anciens collaborateurs d’IGATE

dédiée au droit de la concurrence du Groupe) leur ont été

assignés. Troisièmement, les anciens collaborateurs d’IGATE ont

communiquée à tous par la Direction Générale et par le

Chief

Ethics & Compliance Officer

en février. Deuxièmement, les

trois modules d’e-learning spécifiques E&C décrits ci-dessus

(Charte Éthique, Politique anti-corruption du Groupe, Politique

En 2016, le Programme Éthique & Conformité du Groupe a été

axé sur l’intégration des anciens collaborateurs d’IGATE à ce

programme. Premièrement, une Charte Éthique mise à jour a été

formation E&C du Groupe.

été intégrés aux activités régulières de communication et de

accomplissement majeur pour l’ensemble de l’organisation.

Bien qu’il s’agisse d’un effort continu, cela représente un

à l’intégration de plus de 30 000 anciens collaborateurs d’IGATE

en 2016, le pourcentage total des collaborateurs du Groupe

(Capgemini + anciens collaborateurs d’IGATE) ayant chacun suivi

les trois modules d’e-learning E&C a augmenté significativement.

Plus de 80 000 sessions d’e-learning E&C ont été suivies par les

anciens collaborateurs d’IGATE en 2016, soit environ

50 000 heures de formation. D’un exercice à l’autre, parallèlement

Une procédure dédiée en cas d’alerte

dernier ne lui propose aucune solution, s’il est réticent à en

discuter avec sa hiérarchie ou si les autres procédures de

traitement de réclamations individuelles s’avèrent ne pas être

applicables, le collaborateur peut suivre la procédure dédiée de

Selon la Charte Éthique, si un collaborateur est confronté à une

question ou un problème concernant l’Éthique ou la Conformité, il

doit d’abord en discuter avec son management local. Si ce

(DJ-EC), voire directement auprès du CECO basé à Paris.

Opérationnelle depuis fin 2013, la procédure RCP est appliquée

au cas par cas dans les pays où le Groupe est implanté,

conformément aux législations en vigueur.

conseil aux salariés et d’alerte professionnelle (RCP :

Raising

Concern Procedure

). Il pourra ainsi solliciter des conseils ou des

avis sur la conduite à tenir auprès du Directeur Juridique local

Cyber-sécurité et protection des données

3.1.5

nouvelles réglementations en la matière (notamment en ce qui

concerne la protection des données personnelles).

tenir compte des exigences de ses clients et des enjeux de la

protection des données. Le Programme CySIP (Cyber Sécurité et

Protection des Informations) a été lancé en novembre 2014 et vise

à renforcer la compétitivité du Groupe tout en anticipant les

En juillet 2014, le Comité Exécutif du Groupe a décidé de modifier

son approche en matière de sécurité informatique afin de mieux

application dans toutes les entités de Capgemini avant fin 2017.

«CySIP» décrivant les enjeux, les objectifs et la gouvernance, les

règles «CySIP» (pratiques minimales et obligatoires), la stratégie de

confidentialité des données, ainsi qu’une politique sur la protection

des données personnelles. Ces règles doivent être mis en

Sous l’égide du Secrétaire général du Groupe, l’équipe en charge

du Programme CySIP a publié en mars 2015 une stratégie

données personnelles et la confidentialité des données) et les

Responsables de la Sécurité de l’Information (CISO :

Chief

Information Security Officer

, centrés sur la sécurité informatique

interne).

Officers

: centrés sur les exigences des clients et la sécurité des

projets délivrés), les Responsables de la Protection des Données

(DPO :

Data Protection Officer

centrés sur la protection des

Le Programme CySIP regroupe trois communautés collaborant

sous le pilotage du Directeur «CySIP» du Groupe : les

Responsables «CySIP» des

Strategic Business Units

(

CySIP

des outils multimédia innovants.

ont été harmonisés. Sous le haut patronage du

Président-directeur général du Groupe, un programme de

sensibilisation global a été lancé auprès de tous les collaborateurs.

Il comprend notamment des modules e-learning obligatoires et

Les trois communautés CySIP se réunissent deux jours par an

pour préparer un plan d’action annuel. À fin 2016, la gouvernance

est en place au niveau du Groupe et les politiques et les standards

celles-ci sont actuellement mises en application au sein de

l’organisation. Les BCR ont été publiées sur le site Internet

externe de Capgemini et les clients ont désormais la possibilité

d’utiliser ces BCR dans le cadre du transfert des données

approuvées par la Commission Nationale Informatique et Libertés

(CNIL) le 2 mars 2016 agissant au nom des autorités de

protection des données personnelles de l’UE. Toutes les entités

du groupe Capgemini ont formellement adhéré aux BCR, et

sous-traitant pour les données de ses clients. Elles ont été

des données personnelles couvrent les activités du Groupe aussi

bien en sa qualité de responsable de traitement que de

Capgemini situées en dehors de l’UE.

personnelles dont ils sont responsables vers les filiales de

La confidentialité et la protection des données ont été une priorité

majeure en 2016. Les Règles Contraignantes d’Entreprise (BCR :

Binding Corporate Rules

) de Capgemini en matière de protection

mis en œuvre en 2016 en vue de sécuriser l’accès et les données

lorsque des appareils personnels sont utilisés à titre professionnel.

de Sécurité de Capgemini en Europe et en Inde mettent en œuvre

de nouveaux services de supervision des réseaux et des

infrastructures. Enfin, une politique et des outils visant à sécuriser

la pratique du BYOD (

Bring Your Own Device

) ont été définis et

trois sujets majeurs : la gestion des identités et des accès (pour

renforcer le contrôle d’accès aux applications et aux données) et

la gestion des événements et des incidents (pour renforcer les

capacités de détection et de réaction). Les Centres Opérationnels

Depuis 2015, les projets opérationnels de « CySIP » portent sur

annuel de réduction des risques au niveau global et pour chaque

entité. L’enjeu est d’atteindre les objectifs fixés dans la stratégie,

la gouvernance et les règles CySIP d’ici à fin 2017.

« CySIP », des évaluations de maturité sont effectuées chaque

année dans le cadre d’un plan plus large de contrôle et d’audit.

Les auto-évaluations menées par chaque entité sont complétées

par des audits et des tests qui permettent d’élaborer un plan

Afin de mesurer la mise en œuvre des règles et des projets