Un code de bonnes pratiques pour le partage des données et des clauses types d’accord sur les traitements de données à caractère personnel avec les fournisseurs, établis par la DPD Groupe et partagés avec le réseau de points de contact locaux, ont permis, au cours de l’exercice social 2018, une harmonisation des pratiques au sein du Groupe en cas d’externalisation de tout ou partie des opérations de traitement de données.
Une cartographie des lois applicables en matière de protection des données à caractère personnel a en outre été réalisée lors de l’exercice social 2020 afin de disposer d’une vision claire des formalités à accomplir dans les pays où opèrent les entités du Groupe et, ainsi, préparer le déploiement des Règles Contraignantes d’Entreprise du groupe Sodexo. En complément, l’exercice social 2022 a été l’occasion de réaliser une mise à jour de cette cartographie ainsi qu’un recensement des obligations de localisation des données susceptibles de limiter le déploiement des outils globaux du Groupe dans certains pays ou de nécessiter la mise en œuvre de mesures spécifiques préalables.
Enfin, suite à la publication de la nouvelle version des CCT par la Commission européenne et au calendrier qu’elle a imposé pour mettre à jour l’ensemble des contrats commerciaux impliquant des transferts de données à caractère personnel, Sodexo a lancé un chantier dédié à cette mise à jour pour les contrats commerciaux de niveau global. La DPD Groupe a également publié un guide à destination de l’ensemble des points de contact locaux afin de leur donner un plan d’action à suivre pour assurer la mise à jour des CCT intégrées dans des contrats commerciaux de niveau local, dans le respect du calendrier fixé par la Commission européenne.
Les processus existants permettant l’évaluation des risques pour les droits et libertés des personnes physiques concernées dès la conception des projets qui impliquent un traitement de données à caractère personnel ont été renforcés au cours de l’exercice social 2022. En effet, le processus de conformité de bout en bout (End2End Privacy Compliance Process), qui comprend différents questionnaires d’évaluation des risques et d’analyse d’impact a été mis à jour.
Le point d’entrée du processus demeure le questionnaire qui doit être rempli pour tout projet informatique ou digital afin d’identifier les risques liés à la sécurité des systèmes d’information. Dans l’hypothèse où les parties prenantes internes indiquent que le projet implique un traitement de données à caractère personnel, les équipes en charge de la protection des données sont automatiquement impliquées dans la revue du projet. Elles sont alors en mesure de réaliser, de manière systématique et, dès la conception du projet, une évaluation de l’impact des traitements des données à caractère personnel concernés pour les droits et libertés des personnes physiques concernées. En cas de traitement présentant un risque élevé, une analyse d’impact pour évaluer l'origine, la nature, la particularité et la gravité de ce risque est réalisé par les équipes en charge de la protection des données. Ainsi, celles-ci demeurent à même de déterminer, dès la conception des projets, les premières mesures à mettre en œuvre pour assurer la conformité de ces traitements avec le programme global de conformité de Sodexo et les réglementations applicables de protection des données.
Le nouveau processus donne néanmoins plus de responsabilités (accountability) aux parties prenantes internes et permet de réaliser d’autres évaluations de conformité de manière automatisée (par exemple, l’analyse de risque en cas de recours à un fournisseur qui pourra être amené à traiter des données à caractère personnel, l’analyse d’impact d’un transfert international de données, ou encore l’analyse de l’intérêt légitime de Sodexo).
Une analyse de risques est réalisée en amont de la phase contractuelle avec les fournisseurs.
Cette analyse des risques quant aux conditions de traitement des données à caractère personnel par les fournisseurs de Sodexo a été automatisée. Par ailleurs, un travail de processus intégré avec les équipes globales de la Sécurité des Systèmes d’information est en cours afin de disposer d’un score commun du niveau de conformité des fournisseurs tant d’un point de vue de la protection des données à caractère personnel que du point de vue de la sécurité des systèmes d’information.
Un plan de suivi régulier des points de contact dédiés à la protection des données a été mis en œuvre pour les accompagner dans la gestion itérative de la conformité. La dimension « gestion de projet », intégrée désormais dans le suivi régulier des progrès réalisés par les entités du Groupe dans l’exécution du programme, permet ainsi de disposer d’une vision complète et à jour des risques liés aux éventuels écarts de conformité avec les lois applicables et les politiques et procédures du Groupe en matière de protection des données à caractère personnel.
L’exercice social 2022 a été marqué par l’utilisation du référentiel d’autoévaluation des points de contact dédiés à la protection des données à caractère personnel par les équipes de l’audit et du contrôle interne pour mieux mesurer l’application effective du programme global de conformité avec le RGPD.
Ces équipes ont par ailleurs fait l’objet d’une formation renforcée sur les éléments de protection des données à caractère personnel à contrôler, afin qu’ils contribuent de manière plus efficace encore à l’effectivité du programme de conformité.
Les équipes en charge de la protection des données à caractère personnel au sein du Groupe demeurent dans un processus d’amélioration continue des procédures de gestion des demandes portant sur les droits en matière de protection des données à caractère personnel (droits d’accès, rectification, etc.). Elles s’appuient pour ce faire sur les recommandations des autorités de contrôle compétentes et des bonnes pratiques partagées par le réseau dédié à la protection des données de Sodexo.
Elles ont dû faire face à un nombre accru de demandes de la part des consommateurs et des employés du Groupe qui va de pair avec la prise de conscience des personnes concernées par rapport à leurs droits et libertés.
Afin d’assurer la bonne gestion des incidents de sécurité, pouvant résulter en violation de données à caractère personnel, la DPD Groupe et le Responsable global de la sécurité des systèmes d’information du Groupe ont rédigé conjointement une directive Groupe ayant vocation à être adaptée localement par l’ensemble des entités du Groupe. Un outil dédié est également déployé pour assurer un traitement encore plus efficace des éventuels incidents de sécurité et permettre la tenue d’un registre de ces incidents. Des formations sont par ailleurs régulièrement dispensées auprès des points de contact locaux dédiés à la protection des données afin de les préparer à analyser le risque pour les personnes concernées, sur la base notamment des recommandations du CEPD.
Un registre global des violations de données à caractère personnel est par ailleurs maintenu par la DPD Groupe et enrichi grâce au système de reporting désormais simplifié et automatisé par lequel les points de contact dédiés à la protection des données peuvent facilement reporter les éventuelles violations de données à caractère personnel.
L’exercice social 2022 a été marqué par l’organisation par le Groupe d’un exercice de gestion de crise portant sur un incident de sécurité fictif. La DPD Groupe a ainsi participé à cet exercice qui avait pour objectif d’améliorer l’organisation des cellules internes de crise, leur réactivité, et donc l’effectivité du protocole de réponse aux incidents de sécurité et violations de données à caractère personnel.