5.3.5.5 Protocoles de réponse et mesures d’exécution
La réponse aux demandes portant sur les droits en matière de protection des données à caractère personnel
L’accent a par ailleurs été mis durant l’exercice 2019-2020 sur la mise à jour de la politique et la procédure de gestion des demandes portant sur les droits en matière de protection des données à caractère personnel (droits d’accès, rectification, etc.) ainsi que sur la digitalisation des processus de traitement de gestion des droits des personnes (formulaire en ligne, outil permettant un meilleur suivi dans le traitement des demandes, etc.).
La réponse aux incidents de sécurité et violations de données à caractère personnel
Afin d’assurer la bonne gestion des incidents de sécurité, pouvant résulter en violation de données à caractère personnel, la Déléguée Groupe à la protection des données et le Responsable global de la Sécurité des Systèmes d’Information du Groupe ont rédigé conjointement une directive Groupe ayant vocation à être localisée par l’ensemble des entités du Groupe. Un outil dédié est également déployé pour assurer un traitement encore plus efficace des éventuels incidents de sécurité et permettre la tenue d’un registre de ces incidents. Des formations ont également été dispensées aux points de contact locaux dédiés à la protection des données afin de les préparer à analyser le risque pour les personnes concernées.
Un registre global des violations de données à caractère personnel est par ailleurs maintenu par la Déléguée Groupe à la protection des données et enrichi grâce au système de reporting désormais simplifié et automatisé par lequel les points de contact dédiés à la protection des données peuvent facilement reporter les éventuelles violations de données à caractère personnel.
La coopération avec les autorités de contrôle
Au cours de l’exercice 2019-2020, Sodexo, pour ses activités de restauration collective en France, a fait l’objet d’un contrôle de l’autorité de contrôle française, la CNIL. Ce contrôle a été réalisé dans le cadre du programme annuel de l’autorité qui avait annoncé en 2018 qu’elle porterait une attention particulière aux conditions dans lesquelles un prestataire traite des données personnelles pour le compte d’un responsable de traitement. Il est ressorti des éléments constatés par la CNIL que Sodexo a fait preuve d’un bon niveau de maturité dans l’application du nouveau cadre légal aux traitements de données personnelles mis en œuvre, en tant que sous-traitant, pour le compte de ses clients. La CNIL a dès lors décidé de clore la procédure de contrôle.
5.3.5.6 Transparence et sensibilisation
Transparence
L’exercice 2019-2020 a été l’occasion de mettre à jour des modèles de notices et politiques de confidentialité, notamment celles destinées aux collaborateurs du Groupe mais également celles comprenant les informations nécessaires relatives aux cookies.
Un outil destiné à assurer l’enregistrement du consentement et des préférences des utilisateurs, préalablement à l’installation de cookies, a été sélectionné et sera déployé lors de l’exercice 2020-2021 sur l’ensemble des sites Internet et applications des entités Sodexo concernés.
Sensibilisation
Dans le prolongement du programme de formation global sur les principes du RGPD, initié lors de l’exercice 2018-2019 auprès des collaborateurs de Sodexo, une nouvelle campagne globale pratique et ludique, autour de 10 règles d’or mais également d’un logo, une identité visuelle et le slogan « We believe in privacy », est venue renforcer les efforts de Sodexo dans la sensibilisation de ses collaborateurs à la confidentialité et la protection des données personnelles.
Un module de formation permettant de rappeler à l’ensemble des collaborateurs du Groupe les principes de la protection des données à caractère personnel sera déployé lors de l’exercice 2020-2021.