Au cours de l’exercice social 2022, Sodexo a entrepris un travail d’adaptation des Règles Contraignantes d’Entreprise de Sodexo avec la législation en matière de protection des données applicable au Royaume-Uni afin d’encadrer les transferts de données à caractère personnel réalisés depuis les entités du Groupe basées au Royaume-Uni vers des entités du Groupe situées en dehors du Royaume-Uni. Un nouveau dossier dédié devra donc être soumis auprès de l’autorité de contrôle anglaise, l’Information Commissionner Office (ICO), pour validation.
Par ailleurs, au cours de l’exercice social 2022, Sodexo a poursuivi sa coopération avec les autres autorités de contrôle européennes dans le cadre de sa gestion des plaintes et demandes d’exercice de droits, conformément aux réglementations applicables sur la protection des données à caractère personnel.
Le déploiement d’une plateforme de gestion des consentements et des préférences des utilisateurs préalablement à l’installation de cookies et autres traceurs sur leur navigateur ou téléphone portable s’est poursuivi au cours de l’exercice social 2022.
La conformité des sites internet et applications du groupe Sodexo avec les législations applicables relatives aux cookies et autres traceurs est devenue un élément essentiel requis par les équipes Groupe en charge des Systèmes d’information dédiées à la plateforme de services liés aux données (Data Services Platform).
Par ailleurs, Sodexo a tiré les conséquences des différentes décisions des autorités de contrôle européennes prises au cours de l’exercice social 2022 sur l’utilisation de Google Analytics en tant qu’outil de mesure d’audience(4). La DPD Groupe a donc travaillé avec les équipes en charge du déploiement de la plateforme susvisée, afin d’identifier et déployer des solutions alternatives appropriées.
Enfin, une réflexion sur l’utilisation d’un outil global de gestion de tous les consentements a été lancée et plusieurs outils sont en cours d’étude pour un déploiement lors du prochain exercice.
Dans le prolongement du programme de formation global sur les principes du RGPD, initié lors de l’exercice social 2019 auprès des collaborateurs de Sodexo, une nouvelle initiative de refonte de la formation en commun avec les équipes en charge de la Sécurité des Systèmes d’Information a été initiée.
Par ailleurs, il est envisagé de déployer un module de formation permettant de rappeler à l’ensemble des collaborateurs du Groupe les principes de la protection des données à caractère personnel et de les sensibiliser aux Règles Contraignantes d’Entreprise du groupe Sodexo au cours de l’exercice social 2023.
Enfin, suite au développement du nouveau processus de conformité de bout en bout (End2End Privacy Compliance Process) par les équipes de la DPD Groupe, un guide d’utilisation des différents questionnaires automatisés d’évaluation de risques et d’analyse d’impact a été déployé auprès des points de contact locaux dédiés à la protection des données à caractère personnel mais également auprès des parties prenantes en interne.
(4) Décisions de l’autorité autrichienne des 21 décembre 2021 et 22 avril 2022 ; décisions de l’autorité française des 10 février 2022 et 2 mars 2022 ; décision de l’autorité italienne du 23 juin 2022.
