Document d'enregistrement universel exercice 2022

6.3.5 Protection des données à caractère personnel

6.3 Autres informations

6.3.5 Protection des données à caractère personnel

6.3.5 Protection des données à caractère personnel

Le respect de la vie privée et la protection des données à caractère personnel sont « l’affaire de tous » chez Sodexo et constituent l’un des piliers du programme de conduite responsable des affaires du Groupe.

Depuis de nombreuses années, le groupe Sodexo a su renforcer sa relation de confiance avec ses collaborateurs, ses clients, ses consommateurs et ses actionnaires à travers plusieurs actions :

  • la désignation d’une Déléguée à la protection des données du Groupe (ci-après « DPD Groupe ») rattachée au Directeur Juridique Groupe depuis l’exercice social 2017 ;
  • la constitution d’une équipe dédiée et d’un réseau mondial de points de contact dédiés ; et
  • le déploiement d’un programme global de protection des données, en conformité avec les obligations du Règlement général sur la protection des données à caractère personnel (« RGPD »(1))

Par ailleurs, le groupe Sodexo a fait le choix de disposer d’un niveau de protection des données à caractère personnel uniforme au sein du Groupe, reposant sur les exigences du RGPD, tout en intégrant les obligations légales spécifiques applicables localement. Ce choix, réalisé dans un contexte réglementaire mondial où les principes du RGPD sont largement repris dans la plupart des lois de protection des données en dehors de l’Union européenne, s’avère aujourd’hui être un véritable atout commercial.

Lors de l’exercice social 2022, de nouveaux progrès ont été réalisés dans chacun des six piliers du programme. Ces progrès tendent à renforcer notamment les mécanismes de gouvernance (6.3.5.1), les actions en lien avec la responsabilité (ou accountability) (6.3.5.2), l’encadrement des transferts de données à caractère personnel (6.3.5.3), les processus et outils permettant d’assurer une meilleure gestion du risque et la protection des données à caractère personnel dès la conception des projets (privacy by design) (6.3.5.4), les protocoles de réponses en cas de demandes des personnes concernées (6.3.5.5), ainsi que la transparence et la sensibilisation des collaborateurs (6.3.5.6).

6.3.5.1 Gouvernance Protection des données

Le modèle de gouvernance hybride mis en place par Sodexo consiste à combiner une gouvernance centralisée et une gouvernance locale. La DPD Groupe, chargée de contrôler le respect des lois applicables et les politiques et procédures du Groupe en matière de protection des données à caractère personnel, dispose aujourd’hui d’une équipe d’experts au niveau du Groupe. Elle s’appuie par ailleurs sur un réseau de points de contact locaux dédiés à la protection des données dans chacune des entités concernées du Groupe. Ces derniers contribuent à l’exécution et à l’adaptation locale, si nécessaire, du programme global de protection des données à caractère personnel, avec le soutien d’instances de gouvernance locale.

Afin d’assurer une meilleure intégration des nouveaux points de contact locaux et renforcer leur niveau d’expertise, une Data Protection Academy a été créée. Au cours de l’exercice social 2022, une Data Protection Academy s’est tenue pour intégrer en particulier les points de contact locaux dédiés à la protection des données en Asie (AMETA). En outre, afin de maintenir un niveau de formation continue du réseau et assurer une harmonisation des bonnes pratiques ainsi qu’un déploiement cohérent des politiques et procédures de protection des données du Groupe, le réseau est animé et formé de manière constante par la DPD Groupe et son équipe centrale. Un modèle de procédure locale de gouvernance a également été transmis au réseau afin de pouvoir documenter de manière uniforme l’organisation et le fonctionnement des instances de gouvernance locale.

La gouvernance mutualisée avec les différents métiers, en particulier les équipes en charge de la sécurité des systèmes d’information et les équipes en charge de la conformité du Groupe, qui s’est structurée à l’échelle du Groupe dès l’exercice social 2019 a perduré durant le présent exercice social au travers leurs instances respectives et des réunions régulières :

  • un Comité de Revue dédié à la cyber sécurité et la protection des données à caractère personnel au niveau global, composé du Responsable global de la Sécurité des Systèmes d’Information, de la DPD Groupe, du Directeur Juridique Groupe, de la Directrice du Contrôle Interne et de sept membres du Comité Exécutif ;
  • un Comité de Gestion de la Conformité au niveau du Groupe composé de la Responsable globale de la qualité, de la performance et de la gouvernance des Systèmes d’Information, de la DPD Groupe et des membres de leurs équipes respectives au niveau du Groupe.
6.3.5.2 Responsabilité (ou Accountability)

Afin d’offrir les garanties appropriées dans le cadre des transferts de données à caractère personnel intra-groupe, Sodexo a choisi de déposer des Règles Contraignantes d’Entreprise (Binding Corporate Rules) auprès de la Commission nationale de l’informatique et des libertés (« CNIL »), autorité de contrôle française désignée comme autorité chef de file pour le Groupe. Il s’agit d’un cadre légal proposé par le RGPD qui permet aux entreprises multinationales de disposer d’un Code de conduite contraignant pour l’application effective de règles communes à des fins de gestion de conformité et d’encadrement des transferts de données à caractère personnel au sein d’un même groupe. La procédure d’approbation de ces Règles Contraignantes d’Entreprise a suivi son cours tout au long de l’exercice social 2022 et le dossier de Sodexo se trouve désormais, après plusieurs années d’échanges avec la CNIL, dans la dernière phase de validation devant le Comité Européen de la Protection des Données (« CEPD »European Data Protection Board – EDPB).

Dans l’attente de cette approbation, Sodexo a déployé un accord intra-groupe de traitement des données à caractère personnel (Intra-Group Data Processing Agreement IGDPA) pour l’ensemble du Groupe. Ce document a été rédigé en utilisant les clauses contractuelles types (« CCT »Standard Contractual Clauses – SCC) publiées par la Commission européenne le 4 juin 2021, et impose contractuellement le respect par les entités du Groupe des grands principes et obligations de protection des données à caractère personnel prévus par le RGPD.

Enfin, suite à la décision de la Cour de Justice Européenne « Schrems II »(2), Sodexo a développé une évaluation automatisée de l’impact des transferts sur la protection des données à caractère personnel (Transfer Impact Assessment TIA) pour les droits et libertés des personnes physiques concernées. Cette évaluation est réalisée sur la base des recommandations publiées par le CEPD(3) et peut entraîner le déploiement de mesures techniques et organisationnelles supplémentaires si nécessaire, avec le support des équipes globales en charge de la Sécurité des Systèmes d’Information.

  1. Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE.
  2. Arrêt de la Cour (Grande Chambre) du 16 juillet 2020 – Data Protection Commissioner contre Facebook Ireland Ltd et Maximillian Schrems – C-311/2018, annulant la décision d’adéquation du Privacy Shield (Décision de la Commission du 26 juillet 2000 conformément à la directive 95/46/CE du Parlement européen et du Conseil relative à la pertinence de la protection assurée par les principes de la « sphère de sécurité » et par les questions souvent posées y afférentes, publiés par le ministère du commerce des États-Unis d’Amérique).
  3. Recommandations 01/2020 sur les mesures qui complètent les instruments de transfert destinés à garantir le respect du niveau de protection des données à caractère personnel de l’UE adoptées le 18 juin 2021.