Le respect de la vie privée et la protection des données à caractère personnel sont « l’affaire de tous » chez Sodexo et constituent l’un des piliers du programme de conduite responsable des affaires du Groupe.
Depuis de nombreuses années, le groupe Sodexo a su renforcer sa relation de confiance avec ses collaborateurs, ses clients, ses consommateurs et ses actionnaires à travers plusieurs actions :
Par ailleurs, le groupe Sodexo a fait le choix de disposer d’un niveau de protection des données à caractère personnel uniforme au sein du Groupe, reposant sur les exigences du RGPD, tout en intégrant les obligations légales spécifiques applicables localement. Ce choix, réalisé dans un contexte réglementaire mondial où les principes du RGPD sont largement repris dans la plupart des lois de protection des données en dehors de l’Union européenne, s’avère aujourd’hui être un véritable atout commercial.
Lors de l’exercice social 2022, de nouveaux progrès ont été réalisés dans chacun des six piliers du programme. Ces progrès tendent à renforcer notamment les mécanismes de gouvernance (6.3.5.1), les actions en lien avec la responsabilité (ou accountability) (6.3.5.2), l’encadrement des transferts de données à caractère personnel (6.3.5.3), les processus et outils permettant d’assurer une meilleure gestion du risque et la protection des données à caractère personnel dès la conception des projets (privacy by design) (6.3.5.4), les protocoles de réponses en cas de demandes des personnes concernées (6.3.5.5), ainsi que la transparence et la sensibilisation des collaborateurs (6.3.5.6).
Le modèle de gouvernance hybride mis en place par Sodexo consiste à combiner une gouvernance centralisée et une gouvernance locale. La DPD Groupe, chargée de contrôler le respect des lois applicables et les politiques et procédures du Groupe en matière de protection des données à caractère personnel, dispose aujourd’hui d’une équipe d’experts au niveau du Groupe. Elle s’appuie par ailleurs sur un réseau de points de contact locaux dédiés à la protection des données dans chacune des entités concernées du Groupe. Ces derniers contribuent à l’exécution et à l’adaptation locale, si nécessaire, du programme global de protection des données à caractère personnel, avec le soutien d’instances de gouvernance locale.
Afin d’assurer une meilleure intégration des nouveaux points de contact locaux et renforcer leur niveau d’expertise, une Data Protection Academy a été créée. Au cours de l’exercice social 2022, une Data Protection Academy s’est tenue pour intégrer en particulier les points de contact locaux dédiés à la protection des données en Asie (AMETA). En outre, afin de maintenir un niveau de formation continue du réseau et assurer une harmonisation des bonnes pratiques ainsi qu’un déploiement cohérent des politiques et procédures de protection des données du Groupe, le réseau est animé et formé de manière constante par la DPD Groupe et son équipe centrale. Un modèle de procédure locale de gouvernance a également été transmis au réseau afin de pouvoir documenter de manière uniforme l’organisation et le fonctionnement des instances de gouvernance locale.
La gouvernance mutualisée avec les différents métiers, en particulier les équipes en charge de la sécurité des systèmes d’information et les équipes en charge de la conformité du Groupe, qui s’est structurée à l’échelle du Groupe dès l’exercice social 2019 a perduré durant le présent exercice social au travers leurs instances respectives et des réunions régulières :
Afin d’offrir les garanties appropriées dans le cadre des transferts de données à caractère personnel intra-groupe, Sodexo a choisi de déposer des Règles Contraignantes d’Entreprise (Binding Corporate Rules) auprès de la Commission nationale de l’informatique et des libertés (« CNIL »), autorité de contrôle française désignée comme autorité chef de file pour le Groupe. Il s’agit d’un cadre légal proposé par le RGPD qui permet aux entreprises multinationales de disposer d’un Code de conduite contraignant pour l’application effective de règles communes à des fins de gestion de conformité et d’encadrement des transferts de données à caractère personnel au sein d’un même groupe. La procédure d’approbation de ces Règles Contraignantes d’Entreprise a suivi son cours tout au long de l’exercice social 2022 et le dossier de Sodexo se trouve désormais, après plusieurs années d’échanges avec la CNIL, dans la dernière phase de validation devant le Comité Européen de la Protection des Données (« CEPD » – European Data Protection Board – EDPB).
Dans l’attente de cette approbation, Sodexo a déployé un accord intra-groupe de traitement des données à caractère personnel (Intra-Group Data Processing Agreement – IGDPA) pour l’ensemble du Groupe. Ce document a été rédigé en utilisant les clauses contractuelles types (« CCT » – Standard Contractual Clauses – SCC) publiées par la Commission européenne le 4 juin 2021, et impose contractuellement le respect par les entités du Groupe des grands principes et obligations de protection des données à caractère personnel prévus par le RGPD.
Enfin, suite à la décision de la Cour de Justice Européenne « Schrems II »(2), Sodexo a développé une évaluation automatisée de l’impact des transferts sur la protection des données à caractère personnel (Transfer Impact Assessment – TIA) pour les droits et libertés des personnes physiques concernées. Cette évaluation est réalisée sur la base des recommandations publiées par le CEPD(3) et peut entraîner le déploiement de mesures techniques et organisationnelles supplémentaires si nécessaire, avec le support des équipes globales en charge de la Sécurité des Systèmes d’Information.