Piliers du Programme Global de Protection des Données
Description des actions clés mises en place
La protection des données à caractère personnel dès la conception (privacy by design)
Un processus de conformité avec les règles de protection des données de bout en bout (End2End Privacy Compliance Process), qui comprend différents questionnaires d’évaluation des risques et d’analyse d’impact a été mis en place au cours de l’exercice 2022. Ce processus est résumé au travers du schéma ci-dessous :
Ce schéma indique la description des actions clés mises en place des piliers du Programme Global de Protection des données.
Nous séparons en deux catégories, tout nouveau projet comme suit :
- Implique des données personnelles (sans solution/outil IT)
- Implique une solution/un outil IT
Implique des données personnelles (sans solution/outil IT)
La première étape est l’analyse d’impact sur la vie privée. L’impact est catégorisé en trois parties :
- Les projets à haut risque pour les données requièrent une analyse d’impact sur la protection des données.
- Les projets qui comportent l’intérêt légitime comme base légale requièrent une analyse de l’intérêt légitime.
- Les projets qui impliquent un sous-traitant requièrent une évaluation de la conformité données personnelles du prestataire. Si cela implique un transfert vers un pays non-adéquat, il faut une évaluation de l’impact du transfert.
La deuxième étape est constituée des actions de conformité qui sont reparties en trois comme suit :
- L’information des personnes concernées est protégé par la politique de confidentialité et information sur le traitement.
- Registre d’activité de traitement
- Conclusion d’un accord contraignant qui peut être un accord sur le traitement des données, et si nécessaire un outil d’encadrement des transferts.
Implique une solution/un outil IT
La première étape est l’évaluation des risques sécurité, si cela implique des données personnelles, le projet requiert une analyse d’impact sur la vie privée.
Au cas contraire, un prestataire tiers est impliqué, l’évaluation de la conformité sécurité du prestataire est à faire.
Si le prestataire agit comme sous-traitant, l’étape de l’évaluation de la conformité données personnelles du prestataire est à faire.
Au cas contraire, il faut faire une revue des mesures techniques et organisationnelles puis passer par l’étape d’accord sur le traitement des données.
Les processus et outils permettant d’assurer une meilleure gestion du risque et la protection des données à caractère personnel dès la conception des projets (privacy by design)
Le point d’entrée du processus demeure le questionnaire qui doit être rempli pour tout projet informatique ou digital afin d’identifier les risques liés à la sécurité des systèmes d’information. Dans l’hypothèse où les parties prenantes internes indiquent que le projet implique un traitement de données à caractère personnel, alors les équipes en charge de la protection des données demeurent automatiquement impliquées dans la revue du projet et sont en mesure de réaliser, de manière systématique et, dès leur conception, une évaluation de l’impact des traitements des données à caractère personnel concernés pour les droits et libertés des personnes physiques concernées et, en cas de risque élevé, une analyse d’impact pour évaluer l'origine, la nature, la particularité et la gravité de ce risque. Ainsi, les équipes en charge de la protection des données demeurent à même de déterminer, dès la conception des projets, les premières mesures à mettre en œuvre pour assurer la conformité de ces traitements avec le programme global de conformité de Sodexo et les règlementations applicables de protection des données.
Le nouveau processus donne néanmoins plus de responsabilité (accountability) aux parties prenantes internes et permet que d’autres évaluations de conformité comme l’analyse de risque en cas de recours à un fournisseur ou encore l’analyse d’impact d’un transfert international de données ou l’analyse de l’intérêt légitime de Sodexo soient de manière automatisée commencées.
Un guide d’utilisation des différents questionnaires automatisés d’évaluation de risques et d’analyse d’impact a été déployé auprès des points de contact locaux dédiés à la protection des données à caractère personnel mais également auprès des parties prenantes en interne au cours de l’exercice 2022.