Document d’enregistrement universel 2019-2020

5.3.5 Protection des données à caractère personnel

Le respect de la vie privée et la protection des données à caractère personnel sont « l’affaire de tous » chez Sodexo et constituent l’un des piliers du programme de Conduite Responsable des Affaires du Groupe.

Avec la désignation d’une Déléguée Groupe à la protection des données rattachée au Directeur Juridique Groupe depuis l’exercice 2016-2017, la constitution d’une équipe dédiée, et le déploiement d’un programme global de conformité avec le Règlement général sur la protection des données personnelles (« RGPD »)⁽¹⁾, le groupe Sodexo a su renforcer sa relation de confiance avec ses collaborateurs, ses clients, ses consommateurs et ses actionnaires.

Par ailleurs, dans un contexte réglementaire mondial où les principes du RGPD sont largement repris dans la plupart des lois de protection des données en dehors de l’Union européenne, que ce soit dans les lois récemment adoptées comme au Brésil ou en Californie, ou encore dans les lois en cours d’adoption, comme en Inde ou au Chili, le choix fait par le groupe Sodexo de disposer d’un niveau de protection des données à caractère personnel uniforme au sein du Groupe, reposant sur les exigences du RGPD, tout en tenant compte des obligations légales applicables localement, s’avère aujourd’hui être un véritable atout commercial.

Tels que décrits ci-dessous, lors de l’exercice 2019-2020, des progrès majeurs ont été réalisés dans chacun des six piliers du programme, progrès tendant à renforcer notamment les mécanismes de gouvernance, les actions en lien avec la responsabilité (ou accountability), l’encadrement des transferts de données à caractère personnel, les processus et outils permettant d’assurer une meilleure gestion du risque et la protection des données à caractère personnel dès la conception des projets (privacy by design), les protocoles de réponses en cas de demandes des personnes concernées, ainsi que la transparence et la sensibilisation des collaborateurs.

5.3.5.1 Gouvernance Protection des données

Un modèle de gouvernance hybride

Le modèle de gouvernance hybride mis en place par Sodexo consiste à combiner une gouvernance centralisée et une gouvernance locale. La Déléguée Groupe à la protection des données chargée de contrôler le respect des lois applicables et les politiques et procédures du Groupe en matière de protection des données à caractère personnel, dispose aujourd’hui en central d’une équipe d’experts au niveau du Groupe, renforcée par une ressource spécialisée dans la gestion de projets. Elle s’appuie par ailleurs sur un réseau de points de contact locaux dédiés à la protection des données dans chacune des entités concernées du Groupe lesquels soutiennent l’exécution du programme global de protection des données à caractère personnel au travers d’instances de gouvernance locale.

Afin d’assurer une meilleure intégration des nouveaux points de contact locaux et renforcer leur niveau d’expertise, une « Data Protection Academy » a été créée et s’est tenue à deux reprises au cours de l’exercice 2019-2020. En outre, afin de maintenir un niveau de formation continue du réseau et assurer une harmonisation des bonnes pratiques et un déploiement cohérent des politiques et procédures de protection des données du Groupe, le réseau continue d’être animé de manière constante par la Déléguée Groupe à la protection des données et son équipe centrale (réunions trimestrielles par groupes et réunions avec l’ensemble du réseau deux fois par an).

Pendant l’exercice 2019-2020, le système de reporting mensuel permettant un retour des points de contact locaux sur un certain nombre d’indicateurs chiffrés, tels que le nombre de demandes de droits d’accès ou encore le nombre d’analyses d’impact pour la protection des données, a été simplifié et automatisé. Les informations ainsi transmises permettent de donner une vision d’ensemble à la Déléguée Groupe à la protection des données et de documenter les rapports transmis au Directeur Général du Groupe sur une base trimestrielle.

Une gouvernance mutualisée

La gouvernance mutualisée avec les équipes en charge de la sécurité des systèmes d’information qui s’est structurée à l’échelle du Groupe dès l’exercice 2018-2019 a perduré durant l’exercice fiscal 2019-2020 au travers des instances suivantes :

• un Comité de revue dédié à la cyber sécurité et la protection des données à caractère personnel au niveau global, composé du Responsable global de la Sécurité des Systèmes d’Information, de la Déléguée Groupe à la protection des données, du Directeur Juridique Groupe, de la Directrice du Contrôle Interne et de sept membres du Comité Exécutif.
  • Ce Comité, qui a vocation à se réunir environ trois fois par an, a pour missions (i) d’approuver les stratégies et programmes du Responsable global de la Sécurité des Systèmes d’Information et de la Déléguée Groupe à la protection des données et de suivre l’état d’avancement du déploiement de leurs feuilles de route respectives, (ii) de tirer les enseignements des éventuels incidents de sécurité et violations de données à caractère majeur et d’ajuster si nécessaire lesdits programmes, (iii) de revoir les rapports des auditeurs internes et externes ainsi que les réponses à y apporter et (iv) d’identifier les risques résiduels majeurs pour le Groupe et de décider des actions de remédiation adéquates. Le sujet des ordinateurs et smartphones personnels utilisés à des fins professionnelle (Bring Your Own Device) a fait partie des analyses de risques réalisées par la Déléguée Groupe à la protection des données et le Responsable global de la Sécurité des Systèmes d’Information du Groupe et présentées au Comité ;
• un Comité de Gestion de la Conformité au niveau du Groupe composé du Responsable global de la Sécurité des Systèmes d’Information, de la Déléguée Groupe à la protection des données, du Responsable Global de la Conformité IT et du Contrôle et des membres de leurs équipes respectives au niveau du Groupe.
  • Ce Comité se réunit de manière régulière avec le soutien, si nécessaire, des représentants des segments, activités ou fonctions du Groupe. Il a pour missions d’assurer l’adéquation entre d’une part, les risques d’un point de vue protection des données à caractère personnel et, d’autre part les mesures techniques et organisationnelles de sécurité et de confidentialité à mettre en place d’un point de vue informatique. Le Comité s’est concentré cette année sur le lancement d’une campagne de sensibilisation et de recommandations destinées à l’ensemble des entités du Groupe ayant vocation à assurer une application effective des politiques de durées de conservation des données à caractère personnel.

1 Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE.