En collaboration avec les équipes en charge des systèmes d’information, une mission d’inventaire non seulement des applications informatiques mais également des traitements de données à caractère personnel mis en œuvre par les entités du Groupe opérant au sein de l’Union européenne et l’Espace Économique Européen, avait été menée au cours de l’exercice 2017-2018. Cette mission s’était concrétisée par le déploiement du programme global de conformité au RGPD, incluant notamment la mise en place de registres des traitements.
Ce même exercice d’inventaire et de déploiement du programme s’est poursuivi au cours de l’exercice 2018-2019 en Asie Pacifique, aux États-Unis et au Brésil, et au cours de ce l’exercice 2019-2020, en Amérique du Sud, en Russie et au Moyen Orient.
Sodexo a également choisi de déposer des Règles Contraignantes d’Entreprise (Binding Corporate Rules) auprès de la Commission Nationale de l’Informatique et des Libertés (« CNIL »), autorité de contrôle française désignée comme autorité chef de file pour le Groupe. Il s’agit d’un cadre légal proposé par le RGPD qui permet aux entreprises multinationales de disposer d’un Code de conduite contraignant qui, une fois approuvé par la CNIL, permettra à Sodexo de partager de manière plus effective encore des règles communes de gestion de conformité avec toutes les entités du Groupe et d’encadrer les transferts de données à caractère personnel au sein du Groupe.
Un Code de bonnes pratiques pour le partage des données et des clauses types d’accord sur les traitements de données à caractère personnel avec les fournisseurs, établis par la Déléguée Groupe à la protection des données et partagés avec le réseau de points de contact locaux, ont permis, et ce dès l’exercice 2017-2018, une harmonisation des pratiques au sein du Groupe en cas d’externalisation de tout ou partie des opérations de traitement de données.
Une cartographie des lois applicables en matière de protection des données personnelles a en outre été réalisée lors de l’exercice 2019-2020 afin de disposer d’une vision claire des formalités à accomplir dans les pays où opèrent les entités du Groupe et, ainsi, de préparer le déploiement des Règles Contraignantes d’Entreprise du groupe Sodexo.
L’exercice 2019-2020 a été marqué par la gestion et l’encadrement des transferts de données à caractère personnel à destination du Royaume-Uni d’une part, du fait des incertitudes liées au Brexit, ainsi qu’à destination des États-Unis, d’autre part, du fait de l’invalidation par la Cour de Justice de l’Union européenne de la décision d’adéquation du « Privacy Shield », adoptée en 2016 par la Commission européenne, qui permettait le transfert de données entre l’Union européenne et les opérateurs américains ayant adhéré aux principes de protection des données du « Privacy Shield ».(1)
Un renforcement des procédures existantes destinées à intégrer la revue des risques pour la vie privée et les droits fondamentaux des personnes a été initié à travers la mise en place d’un questionnaire automatisé devant être complété par les parties prenantes en interne en amont du lancement des projets impliquant le traitement de données à caractère personnel. Ce questionnaire dénommé « Privacy Risk Assessment Questionnaire » permet ainsi aux équipes en charge de la protection des données, chacune en ce qui les concerne, de mieux identifier le niveau de risque desdits projets et de décider de la suite des actions de conformité à mener.
Ainsi, en cas d’identification d’un risque élevé et lorsque certains critères sont remplis, une analyse d’impact pourra le cas échéant être menée, étant précisé que le processus d’analyse d’impact a également fait l’objet d’une simplification et d’une automatisation au cours de l’exercice 2019-2020 facilitant ainsi l’analyse de risques et les échanges avec les parties prenantes en interne.
Une analyse de risques est également réalisée en amont de la phase contractuelle avec les fournisseurs et a été automatisée pour les fournisseurs au niveau global.
Un plan de suivi régulier des points de contact dédiés à la protection des données a été mis en œuvre pour les accompagner dans la gestion itérative de la conformité. La dimension « gestion de projet » intégrée désormais dans le suivi régulier des progrès réalisés par les entités du Groupe dans l’exécution du programme permet ainsi de disposer d’une vision complète et à jour des risques liés aux éventuels écarts de conformité avec les lois applicables et les politiques et procédures du Groupe en matière de protection des données à caractère personnel.
L’exercice 2019-2020 a été marqué par la création d’un registre des risques d’une part, destiné à mieux cibler les audits internes à réaliser en matière de protection des données et, d’une liste de points de contrôle d’autre part, ayant vocation à permettre aux contrôleurs et auditeurs internes de mieux mesurer l’application effective du programme.
La gestion de la crise Covid-19 a également généré des problématiques liées à la protection des données à caractère personnel. Des lignes directrices ont été émises par la Déléguée Groupe à la protection des données afin d’assurer une cohérence dans les pratiques du Groupe quant à la mise en place de traitements de données à caractère personnel des collaborateurs liés à la gestion de la santé et la sécurité au travail d’une part, et aux services fournis aux clients, tels que la prise de température à l’entrée des sites d’autre part.
1 Décision de la Commission du 26 juillet 2000 conformément à la directive 95/46/CE du Parlement européen et du Conseil relative à la pertinence de la protection assurée par les principes de la « sphère de sécurité » et par les questions souvent posées y afférentes, publiés par le ministère du commerce des États-Unis d’Amérique (JO 2000, L 215, p. 7).