Document d’enregistrement universel - Exercice 2023

7.3. Autres informations

7.3.4. Protection des données à caractère personnel

7.3.4 Protection des données à caractère personnel

L’innovation, les nouvelles technologies et les données, y compris les données à caractère personnel, sont essentielles chez Sodexo. Partout où nous servons nos clients et nos consommateurs ou encore partout où se trouvent nos collaborateurs, nous faisons un usage responsable des données dans le respect de la vie privée et des règles applicables en matière de protection des données personnelles.

Le 25 mai 2023, le groupe Sodexo a célébré les cinq ans du Règlement général sur la protection des données à caractère personnel (« RGPD »)⁽¹⁾. Au cours de ces cinq dernières années, nous avons déployé un Programme Global de Protection des Données qui s’appuie sur un socle de normes communes dans le monde entier.

Le tableau ci-dessous a vocation à synthétiser les actions clés mises en place dans le cadre de ce programme.

Piliers du Programme Global de Protection des Données	Description des actions clés mises en place
Piliers du Programme Global de Protection des Données Les mécanismes de gouvernance en matière de protection des données	Description des actions clés mises en place La désignation d’une Déléguée à la Protection des Données et la mise en place d’une gouvernance hybride Le Groupe Sodexo a mis en place une équipe dédiée à la protection des données dès l’exercice 2017 et une Déléguée à la Protection des Données rattachée au Directeur Juridique Groupe a été désignée lors de l’exercice 2018. La Déléguée à la Protection des Données du Groupe, chargée d’assurer le respect des lois applicables et des politiques et procédures du Groupe en matière de protection des données, dispose d’une équipe d’experts au niveau central. Ensemble, ils constituent le Global Data Protection Office. Elle s’appuie également sur un réseau d’une centaine de points de contact dédiés à la protection des données au niveau des pays. Ces points de contact sont responsables, avec le soutien d’instances de gouvernance locale, de l’exécution et, si nécessaire de l’adaptation du programme de conformité à leurs enjeux et spécificités propres à leurs périmètres respectifs. Afin d’assurer une meilleure intégration de ces points de contact et de renforcer leur niveau d’expertise, le Global Data Protection Office créé une « Data Protection Academy » qui consiste dans une formation théorique et pratique de deux jours. Depuis l’entrée en application du RGPD, huit académies ont été organisées au bénéfice des points de contact dédiés à la protection des données. En outre, afin de maintenir un niveau de formation continue du réseau et assurer une harmonisation des bonnes pratiques ainsi qu’un déploiement cohérent des politiques et procédures de protection des données du Groupe, le réseau est animé de manière constante par la Déléguée à la Protection des Données et son équipe centrale. Une gouvernance intégrée avec les équipes en charge de la sécurité des systèmes d’information La Déléguée à la Protection des Données du Groupe et son équipe travaillent en étroite collaboration avec d’autres fonctions du Groupe telles que le Responsable de la Sécurité des Systèmes d’Information ou encore le Responsable des données. Cette collaboration s’est structurée à l’échelle du Groupe dès l’exercice 2019 sous la forme d’un Comité de revue dédié à la cyber sécurité et la protection des données à caractère personnel au niveau global, composé également du Directeur Juridique Groupe, de la Directrice des Systèmes d’Information du Groupe, de la Directrice du Contrôle Interne et de plusieurs membres de la Leadership Team de Sodexo. Cette collaboration s’est par ailleurs concrétisée par la mise en place d’une part de processus intégrés, que ce soit au niveau de la revue des projets, dès leur conception, ou encore au niveau de la revue des fournisseurs, en amont de la phase contractuelle et, d’autre part, de protocoles de réponse conjoints notamment en ce qui concerne la gestion des incidents de sécurité et les violations de données personnelles. Une gouvernance intégrée avec les équipes en charge des données et des technologies Le Groupe Sodexo s’intéresse aux évolutions technologiques, comme l’intelligence artificielle générative qui pourrait présenter un potentiel pour améliorer le quotidien de ses collaborateurs et des consommateurs qu’il sert. Afin de maintenir dans le même temps une discipline dans le respect de nos valeurs et d’une conduite responsable des affaires, le Groupe Sodexo a mis en place un comité multidisciplinaire destiné à faciliter les initiatives des opérationnels et répondre à leurs questions de manière efficace et dans le respect d’un socle de règles de bonne conduite lequel est adapté et mis à jour de manière empirique.

Piliers du Programme Global de Protection des Données

Description des actions clés mises en place

Les mécanismes de gouvernance en matière de protection des données

La désignation d’une Déléguée à la Protection des Données et la mise en place d’une gouvernance hybride

Le Groupe Sodexo a mis en place une équipe dédiée à la protection des données dès l’exercice 2017 et une Déléguée à la Protection des Données rattachée au Directeur Juridique Groupe a été désignée lors de l’exercice 2018.

La Déléguée à la Protection des Données du Groupe, chargée d’assurer le respect des lois applicables et des politiques et procédures du Groupe en matière de protection des données, dispose d’une équipe d’experts au niveau central. Ensemble, ils constituent le Global Data Protection Office. Elle s’appuie également sur un réseau d’une centaine de points de contact dédiés à la protection des données au niveau des pays. Ces points de contact sont responsables, avec le soutien d’instances de gouvernance locale, de l’exécution et, si nécessaire de l’adaptation du programme de conformité à leurs enjeux et spécificités propres à leurs périmètres respectifs.

Afin d’assurer une meilleure intégration de ces points de contact et de renforcer leur niveau d’expertise, le Global Data Protection Office créé une « Data Protection Academy » qui consiste dans une formation théorique et pratique de deux jours. Depuis l’entrée en application du RGPD, huit académies ont été organisées au bénéfice des points de contact dédiés à la protection des données. En outre, afin de maintenir un niveau de formation continue du réseau et assurer une harmonisation des bonnes pratiques ainsi qu’un déploiement cohérent des politiques et procédures de protection des données du Groupe, le réseau est animé de manière constante par la Déléguée à la Protection des Données et son équipe centrale.

Une gouvernance intégrée avec les équipes en charge de la sécurité des systèmes d’information

La Déléguée à la Protection des Données du Groupe et son équipe travaillent en étroite collaboration avec d’autres fonctions du Groupe telles que le Responsable de la Sécurité des Systèmes d’Information ou encore le Responsable des données. Cette collaboration s’est structurée à l’échelle du Groupe dès l’exercice 2019 sous la forme d’un Comité de revue dédié à la cyber sécurité et la protection des données à caractère personnel au niveau global, composé également du Directeur Juridique Groupe, de la Directrice des Systèmes d’Information du Groupe, de la Directrice du Contrôle Interne et de plusieurs membres de la Leadership Team de Sodexo. Cette collaboration s’est par ailleurs concrétisée par la mise en place d’une part de processus intégrés, que ce soit au niveau de la revue des projets, dès leur conception, ou encore au niveau de la revue des fournisseurs, en amont de la phase contractuelle et, d’autre part, de protocoles de réponse conjoints notamment en ce qui concerne la gestion des incidents de sécurité et les violations de données personnelles.

Une gouvernance intégrée avec les équipes en charge des données et des technologies

Le Groupe Sodexo s’intéresse aux évolutions technologiques, comme l’intelligence artificielle générative qui pourrait présenter un potentiel pour améliorer le quotidien de ses collaborateurs et des consommateurs qu’il sert. Afin de maintenir dans le même temps une discipline dans le respect de nos valeurs et d’une conduite responsable des affaires, le Groupe Sodexo a mis en place un comité multidisciplinaire destiné à faciliter les initiatives des opérationnels et répondre à leurs questions de manière efficace et dans le respect d’un socle de règles de bonne conduite lequel est adapté et mis à jour de manière empirique.

(1) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE.