Document d’enregistrement universel - Exercice 2023

Piliers du Programme Global de Protection des Données	Description des actions clés mises en place
Piliers du Programme Global de Protection des DonnéesLes actions en lien avec la responsabilité (ou accountability)	Description des actions clés mises en place Référentiel du Programme Global de Protection des Données Dans un contexte réglementaire mondial où les principes du RGPD sont largement repris dans la plupart des lois de protection des données en dehors de l’Union européenne, le Groupe Sodexo a fait le choix de disposer d’un niveau de protection des données à caractère personnel uniforme au sein du Groupe, reposant sur les exigences du RGPD, tout en intégrant les obligations légales spécifiques applicables localement. Ce choix s’est traduit par la soumission d’un dossier de Règles Contraignantes d’Entreprise (Binding Corporate Rules ou « BCR ») auprès de la Commission Nationale de l’Informatique et des Libertés (« CNIL »), autorité de contrôle française désignée comme autorité chef de file pour le Groupe. Il s’agit d’un cadre légal proposé par le RGPD qui permet aux entreprises multinationales de disposer d’un code de conduite contraignant pour l’application effective de règles communes à des fins de gestion de conformité et l’encadrement des transferts de données à caractère personnel au sein d’un même groupe. Le dossier du Groupe Sodexo se trouve désormais, après plusieurs années d’échanges avec la CNIL mais également avec les autres autorités de contrôle de l’Union européenne ainsi que le Comité Européen de la Protection des Données (« CEPD » - European Data Protection Board - EDPB) en état d’approbation formelle. Un outil de gestion de conformité avec les règles de protection des données Le Groupe Sodexo s’est doté d’un outil de gestion de conformité dès l’exercice 2018. Cet outil permet de soutenir le Programme Global de Protection des Données via la mise en place de processus automatisés permettant d’assurer : la tenue et la maintenance des registres des traitements de données ; la gestion et le suivi des demandes d’exercice des droits des personnes concernées ; l’évaluation des risques pour les droits et libertés des personnes physiques concernées dès la conception des projets qui impliquent un traitement de données à caractère personnel ; ou encore l’évaluation de risques en amont de la phase contractuelle avec les fournisseurs.
Piliers du Programme Global de Protection des DonnéesLe partage de données	Description des actions clés mises en place Partage de données intra-groupe Dans l’attente de l’approbation formelle des BCR du Groupe Sodexo par la CNIL, le Groupe a déployé un accord intra-groupe de traitement des données à caractère personnel (Intra-Group Data Processing Agreement - IGDPA) . Ce document intègre les clauses contractuelles types (« CCT » - Standard Contractual Clauses - « SCC ») publiées par la Commission européenne le 4 juin 2021. Il impose contractuellement le respect par l’ensemble des entités du Groupe des grands principes et obligations de protection des données à caractère personnel prévus par le RGPD. Le déploiement des BCR du Groupe Sodexo a été anticipé. En particulier, une cartographie des lois applicables en matière de protection des données personnelles a été réalisée lors de l’exercice 2020 afin de disposer d’une vision claire des formalités à accomplir. En complément, l’exercice 2022 a été l’occasion de réaliser une mise à jour de cette cartographie ainsi qu’un recensement des obligations de localisation des données applicables dans certains pays. Partage de données avec des tiers Un code de bonnes pratiques pour le partage des données avec les tiers établi par la Déléguée à la Protection des Données du Groupe a permis, au cours de l’exercice 2018, une harmonisation des pratiques en cas d’externalisation de tout ou partie des opérations de traitement de données auprès de tiers. Plus récemment, suite à la décision de la Cour de Justice Européenne « Schrems II »⁽¹⁾, Sodexo a développé une évaluation automatisée de l’impact des transferts sur la protection des données à caractère personnel (Transfer Impact Assessment - « TIA ») pour les droits et libertés des personnes physiques concernées. Cette évaluation est réalisée sur la base des recommandations publiées par le CEPD⁽²⁾.

Piliers du Programme Global de Protection des Données

Description des actions clés mises en place

Les actions en lien avec la responsabilité (ou accountability)

Référentiel du Programme Global de Protection des Données

Dans un contexte réglementaire mondial où les principes du RGPD sont largement repris dans la plupart des lois de protection des données en dehors de l’Union européenne, le Groupe Sodexo a fait le choix de disposer d’un niveau de protection des données à caractère personnel uniforme au sein du Groupe, reposant sur les exigences du RGPD, tout en intégrant les obligations légales spécifiques applicables localement.

Ce choix s’est traduit par la soumission d’un dossier de Règles Contraignantes d’Entreprise (Binding Corporate Rules ou « BCR ») auprès de la Commission Nationale de l’Informatique et des Libertés (« CNIL »), autorité de contrôle française désignée comme autorité chef de file pour le Groupe. Il s’agit d’un cadre légal proposé par le RGPD qui permet aux entreprises multinationales de disposer d’un code de conduite contraignant pour l’application effective de règles communes à des fins de gestion de conformité et l’encadrement des transferts de données à caractère personnel au sein d’un même groupe. Le dossier du Groupe Sodexo se trouve désormais, après plusieurs années d’échanges avec la CNIL mais également avec les autres autorités de contrôle de l’Union européenne ainsi que le Comité Européen de la Protection des Données (« CEPD » - European Data Protection Board - EDPB) en état d’approbation formelle.

Un outil de gestion de conformité avec les règles de protection des données

Le Groupe Sodexo s’est doté d’un outil de gestion de conformité dès l’exercice 2018. Cet outil permet de soutenir le Programme Global de Protection des Données via la mise en place de processus automatisés permettant d’assurer :

la tenue et la maintenance des registres des traitements de données ;
la gestion et le suivi des demandes d’exercice des droits des personnes concernées ;
l’évaluation des risques pour les droits et libertés des personnes physiques concernées dès la conception des projets qui impliquent un traitement de données à caractère personnel ; ou encore
l’évaluation de risques en amont de la phase contractuelle avec les fournisseurs.

Le partage de données

Partage de données intra-groupe

Dans l’attente de l’approbation formelle des BCR du Groupe Sodexo par la CNIL, le Groupe a déployé un accord intra-groupe de traitement des données à caractère personnel (Intra-Group Data Processing Agreement - IGDPA) . Ce document intègre les clauses contractuelles types (« CCT » - Standard Contractual Clauses - « SCC ») publiées par la Commission européenne le 4 juin 2021. Il impose contractuellement le respect par l’ensemble des entités du Groupe des grands principes et obligations de protection des données à caractère personnel prévus par le RGPD.

Le déploiement des BCR du Groupe Sodexo a été anticipé. En particulier, une cartographie des lois applicables en matière de protection des données personnelles a été réalisée lors de l’exercice 2020 afin de disposer d’une vision claire des formalités à accomplir. En complément, l’exercice 2022 a été l’occasion de réaliser une mise à jour de cette cartographie ainsi qu’un recensement des obligations de localisation des données applicables dans certains pays.

Partage de données avec des tiers

Un code de bonnes pratiques pour le partage des données avec les tiers établi par la Déléguée à la Protection des Données du Groupe a permis, au cours de l’exercice 2018, une harmonisation des pratiques en cas d’externalisation de tout ou partie des opérations de traitement de données auprès de tiers.

Plus récemment, suite à la décision de la Cour de Justice Européenne « Schrems II »⁽¹⁾, Sodexo a développé une évaluation automatisée de l’impact des transferts sur la protection des données à caractère personnel (Transfer Impact Assessment - « TIA ») pour les droits et libertés des personnes physiques concernées. Cette évaluation est réalisée sur la base des recommandations publiées par le CEPD⁽²⁾.

⁽¹⁾ Arrêt de la Cour (Grande Chambre) du 16 juillet 2020 - Data Protection Commissionner contre Facebook Ireland Ltd et Maximillian Schrems – C-311/2018, annulant la décision d’adéquation du Privacy Shield (Décision de la Commission du 26 juillet 2000 conformément à la directive 95/46/CE du Parlement européen et du Conseil relative à la pertinence de la protection assurée par les principes de la « sphère de sécurité » et par les questions souvent posées y afférentes, publiés par le ministère du commerce des États-Unis d’Amérique).

⁽²⁾ Recommandations 01/2020 sur les mesures qui complètent les instruments de transfert destinés à garantir le respect du niveau de protection des données à caractère personnel de l’UE adoptées le 18 juin 2021.

Document d’enregistrement universel - Exercice 2023

7. Gouvernement d'entreprise