Document d’enregistrement universel 2020-2021

6.3.5 Protection des données à caractère personnel

Le respect de la vie privée et la protection des données à caractère personnel sont « l’affaire de tous » chez Sodexo et constituent l’un des piliers du programme de Conduite Responsable des Affaires du Groupe.

Avec la désignation d’une Déléguée Groupe à la protection des données rattachée au Directeur Juridique Groupe depuis l’exercice 2016-2017, la constitution d’une équipe dédiée, et le déploiement d’un programme global de conformité avec le Règlement général sur la protection des données personnelles (« RGPD »)⁽¹⁾ et les autres lois de protection des données applicables, le groupe Sodexo a su renforcer sa relation de confiance avec ses collaborateurs, ses clients, ses consommateurs et ses actionnaires.

Lors de l’exercice 2020-2021, de nouvelles actions ont été menées dans chacun des six piliers du programme. Ces nouvelles actions sont précisées ci-dessous.

6.3.5.1 Gouvernance Protection des données

Un modèle de gouvernance hybride

Le modèle de gouvernance hybride mis en place par Sodexo consiste à combiner une gouvernance centralisée et une gouvernance locale.

La gouvernance centralisée repose sur la Déléguée Groupe à la protection des données, chargée de contrôler le respect des lois applicables et les politiques et procédures du Groupe en matière de protection des données à caractère personnel mais également sur une équipe d’experts, renforcée par une ressource spécialisée dans la gestion de projets.

La gouvernance locale s’appuie sur un réseau de points de contact ou délégués à la protection des données dans chacune des entités concernées du Groupe lesquels sont en charge de l’exécution du programme global de protection des données à caractère personnel avec le support d’instances de gouvernance régionales et locales.

Pendant l’exercice 2020-2021, le système de reporting mensuel des points de contact ou délégués à la protection des données locaux vers la Déléguée Groupe à la protection des données a été renforcé avec un nombre plus important d'indicateurs chiffrés (exemples : nombre de demandes d'exercice de droits des personnes, nombre d’analyses d’impact pour la protection des données, nombre de formations sur la protection des données conduites au niveau local, nombre de violations de données à caractère personnel, nombre de plaintes des autorités de contrôle, etc.). Les informations transmises permettent de donner une vision d’ensemble à la Déléguée Groupe à la protection des données et de documenter les rapports transmis au Directeur Général du Groupe sur une base trimestrielle.

Une gouvernance mutualisée

La gouvernance mutualisée avec les équipes en charge de la sécurité des systèmes d’information qui s’est structurée à l’échelle du Groupe lors des exercices précédents a perduré durant l’exercice fiscal 2020-2021 au travers des instances suivantes :

•  un Comité de Revue dédié à la cyber sécurité et la protection des données à caractère personnel au niveau global, composé du Responsable global de la Sécurité des Systèmes d’Information, de la Déléguée Groupe à la protection des données, du Directeur Juridique Groupe, de la Directrice du Contrôle Interne et de sept membres du Comité Exécutif.
• Ce Comité, qui a vocation à se réunir environ trois fois par an, a pour missions (i) d’approuver les stratégies et programmes du Responsable global de la Sécurité des Systèmes d’Information et de la Déléguée Groupe à la protection des données et de suivre l’état d’avancement du déploiement de leurs feuilles de route respectives, (ii) de tirer les enseignements des éventuels incidents de sécurité et violations de données à caractère majeur et d’ajuster si nécessaire lesdits programmes, (iii) de revoir les rapports des auditeurs internes et externes ainsi que les réponses à y apporter et (iv) d’identifier les risques résiduels majeurs pour le Groupe et de décider des actions de remédiation adéquates. Au cours de l’exercice 2020-2021, le Comité de Revue s'est réuni trois fois. Au-delà de la revue des principaux projets et initiatives en matière de cyber sécurité et protection des données à caractère personnel, les travaux réalisés dans le cadre de la gouvernance des noms de domaine ont été présentés au Comité.
• un Comité de Gestion de la Conformité au niveau du Groupe composé de la Déléguée Groupe à la protection des données, du Responsable Global de la Conformité IT et du Contrôle et des membres de leurs équipes respectives au niveau du Groupe.
  • Ce Comité se réunit de manière régulière avec le soutien, si nécessaire, des représentants des segments, activités ou fonctions du Groupe. Il a pour missions d’assurer l’adéquation entre d’une part, les risques d’un point de vue protection des données à caractère personnel et, d’autre part les mesures techniques et organisationnelles de sécurité et de confidentialité à mettre en place d’un point de vue informatique. Le Comité s’est notamment concentré au cours de l’exercice fiscal
    2020-2021 sur les thématiques suivantes : le suivi de la campagne de sensibilisation et de recommandations destinées à assurer une application effective des politiques de durées de conservation des données à caractère personnel, la maintenance de la conformité des traitements de données à caractère personnel de niveau Groupe et l'encadrement des transferts de données à caractère personnel en dehors de l'Espace Économique Européen suite à la décision de la Cour de Justice de l'Union européenne ayant invalidé le bouclier de protection des données Union Européenne-États-Unis⁽²⁾. Ce comité s'est réuni neuf fois au cours de l'exercice 2020-2021.

1 Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE.

2 Arrêt de la Cour de Justice de l'Union Européenne du 16 juillet 2020 dans l'affaire C-311/18 Data Protection Commissioner/Maximillian Schrems et Facebook Ireland.