En collaboration avec les équipes en charge des systèmes d’information, une mission d’inventaire des applications informatiques et des traitements de données à caractère personnel, par finalités de traitement, avait été menée au cours de l’exercice 2017-2018 au sein des entités du Groupe opérant dans l'Espace Économique Européen. Cet inventaire a également été mené dans les autres régions du monde où Sodexo opère. Au cours de l’exercice 2020-2021 , les équipes centrales et locales en charge de la protection des données à caractère personnel se sont attachées à maintenir les registres des traitements.
Sodexo a également choisi de déposer des Règles Contraignantes d’Entreprise (Binding Corporate Rules) auprès de la Commission Nationale de l’Informatique et des Libertés (« CNIL »), autorité de contrôle française désignée comme autorité chef de file pour le Groupe. Il s’agit d’un cadre légal proposé par le RGPD qui permet aux entreprises multinationales de disposer d’un Code de conduite contraignant qui, une fois approuvé par la CNIL, permettra à Sodexo de partager de manière plus effective encore des règles communes de gestion de conformité avec toutes les entités du Groupe et d’encadrer les transferts de données à caractère personnel au sein du Groupe. Au cours de l’exercice 2020-2021, le projet de Règles Contraignantes d'Entreprise de Sodexo a franchi une nouvelle étape dans le mécanisme de revue et d'approbation par les autorités européennes de protection des données. L'instruction du projet par la CNIL étant désormais terminée, celui-ci a été transmis par la CNIL aux autorités
co-examinatrices (belge et espagnole) pour commentaires. Suite à cette étape le projet sera soumis officiellement au Comité européen de la protection des données.
Un Code de bonnes pratiques pour le partage des données et des clauses types d’accord sur les traitements de données à caractère personnel avec les fournisseurs, établis par la Déléguée Groupe à la protection des données, ont permis, et ce dès l’exercice 2017-2018, une harmonisation des pratiques au sein du Groupe en cas d’externalisation de tout ou partie des opérations de traitement de données.
Une cartographie des lois applicables en matière de protection des données personnelles a en outre été réalisée lors de l’exercice 2019-2020 afin de disposer d’une vision claire des formalités à accomplir dans les pays où opèrent les entités du Groupe et, ainsi, de préparer le déploiement des Règles Contraignantes d’Entreprise du groupe Sodexo.
L’exercice 2020-2021 a été marqué par le déploiement d'un plan d'action destiné à assurer la revue et l’encadrement des transferts de données à caractère personnel à destination de pays tiers à l'Union européenne et l'Espace Économique Européen ne disposant pas d'un niveau de protection adéquat suite à l’invalidation par la Cour de Justice de l’Union européenne du bouclier de protection des données Union Européenne-États-Unis(1) et la publication de recommandations par le Comité européen de la protection des données. En particulier, les actions suivantes ont été initiées : une cartographie des fl ux de données à caractère personnel intra-groupe et extra-groupe, la sensibilisation des équipes Groupe en charge des systèmes d'information et de la sécurité de ces systèmes, la mise en place d'un questionnaire d'analyse d'impact des transferts à destination de pays hors Espace Économique Européen ainsi que le renforcement des clauses types d'accord sur les traitements de données à caractère personnel avec les fournisseurs.
Au cours de l'exercice 2020-2021 , les procédures destinées à intégrer la revue des risques pour la vie privée et les droits fondamentaux des personnes ont continué à être déployées par le biais d’un questionnaire automatisé devant être complété par les parties prenantes en interne en amont du lancement de tout projet informatique ou digital impliquant un traitement de données à caractère personnel. Ce questionnaire dénommé « Privacy Risk Assessment Questionnaire » permet aux équipes en charge de la protection des données, chacune en ce qui les concerne, de mieux identifier le niveau de risque desdits projets et de décider de la suite des actions de conformité à mener. Pour mieux accompagner les équipes en charge de la protection des données, la Déléguée Groupe à la protection des données et son équipe ont largement sensibilisé leurs points de contact locaux dédiés, au travers notamment d'un guide, à la méthodologie à appliquer pour analyser les risques et assurer une conformité des projets au RGPD et aux lois de protection des données applicables.
En cas d’identification d’un risque élevé et lorsque certains critères sont remplis, une analyse d’impact complète est dès lors engagée par le biais d'un processus automatisé.
Une analyse de risques est également réalisée en amont de la phase contractuelle avec les fournisseurs et a été automatisée pour les fournisseurs au niveau global.
Un plan de suivi régulier des points de contact dédiés à la protection des données a été mis en œuvre pour les accompagner dans la gestion itérative de la conformité. La dimension « gestion de projet » intégrée désormais dans ce plan permet de disposer d’une vision complète et à jour des risques liés aux éventuels écarts de conformité avec les lois de protection des données applicables et les politiques et procédures du Groupe en matière de protection des données à caractère personnel.
L’exercice 2020-2021 a été marqué par la création d’un questionnaire d'auto-évaluation permettant aux points de contact dédiés à la protection des données d'évaluer le niveau d'application eff ective du programme global de conformité. Ce questionnaire est également désormais utilisé par les équipes de contrôle interne dans le cadre d'un contrôle annuel dédié à la protection des données avec un focus sur les traitements de données à caractère personnel portant la gestion des ressources humaines pour l'exercice 2020-2021. Dans ce cadre les équipes de contrôle interne et d'Audit Interne ont bénéficié d'une formation complète sur les points de conformité à vérifier.
L'équipe centrale en charge de la protection des données s'est également attachée à assurer une cohérence dans les pratiques du Groupe quant à la mise en place de traitements de données à caractère personnel des collaborateurs liés à la gestion de la santé et la sécurité au travail dans le cadre de la gestion de la pandémie. Elle a également conduit plusieurs audits de conformité auprès de certaines entités du Groupe.
1 Arrêt de la Cour de Justice de l'Union Européenne du 16 juillet 2020 dans l'affaire C-311/18 Data Protection Commissioner/Maximillian Schrems et Facebook Ireland.
