Piliers du Programme Global de Protection des Données | Description des actions clés mises en place |
---|---|
Piliers du Programme Global de Protection des Données
|
Description des actions clés mises en place La protection des données à caractère personnel par défaut (privacy by default) Une analyse de risques est réalisée en amont de la phase contractuelle avec les fournisseurs. Cette analyse des risques quant aux conditions de traitement des données à caractère personnel par les fournisseurs de Sodexo a été automatisée et un travail de processus intégré avec les équipes globales de la sécurité des systèmes d'information permet de disposer d’un score commun de conformité des fournisseurs tant d’un point de vue de la protection des données à caractère personnel que du point de vue de la sécurité des systèmes d’information. Une gestion continue des risques et des contrôles ciblés et réguliers La gestion continue des risques repose sur un questionnaire permettant d’ores et déjà de vérifier la bonne application des BCR du Groupe Sodexo. Sur une base annuelle, et ce depuis l’exercice 2022, les points de contact locaux dédiés à la protection des données utilisent ce questionnaire pour procéder une autoévaluation de la conformité des traitements de données personnelles mis en place par la ou les entités du Groupe relevant de leur périmètre. Cette autoévaluation est suivie d’une vérification par les équipes de contrôle interne. En complément, des contrôles ciblés sont réalisés par les équipes de contrôle interne auprès de certaines entités du Groupe si nécessaire. Par ailleurs, dans le cadre des activités réglementés de Sodexo, des audits spécifiques ont été mis en place afin de confirmer la bonne conformité des entités concernées du Groupe auprès des autorités compétentes. Les équipes de contrôle interne et d’audit interne bénéficient d’une formation renforcée sur les éléments de protection des données à caractère personnel sur une base annuelle afin d’être en mesure de contrôler de manière la plus efficace possible l’effectivité du programme de conformité du Groupe et formuler des recommandations pertinentes. |
Piliers du Programme Global de Protection des Données Les protocoles de réponses en cas de demandes des personnes concernées ou violations de données personnelles |
Description des actions clés mises en place La réponse aux demandes portant sur les droits en matière de protection des données à caractère personnel Les équipes en charge de la protection des données à caractère personnel au sein du Groupe demeurent dans un processus d’amélioration continue des procédures de gestion des demandes portant sur les droits en matière de protection des données à caractère personnel (droits d’accès, de rectification, de suppression des données par exemple) et s’appuient pour ce faire sur les recommandations des autorités de contrôle compétentes et des bonnes pratiques partagées par le réseau de protection des données du Groupe Sodexo. Elles ont dû faire face à un nombre accru de demandes de la part des consommateurs et des collaborateurs du Groupe, en Europe mais également dans le monde entier, qui va de pair avec la prise de conscience des personnes concernées par rapport aux droits et libertés dont ils bénéficient du fait des réglementations sur la protection des données à caractère personnel. La mise en place de procédures, de formulaires, et même d’équipes dédiées ayant fait l’objet de formation renforcée sur ce sujet a permis une gestion adaptée de chacune des demandes reçues. La réponse aux incidents de sécurité et violations de données à caractère personnel Afin d’assurer la bonne gestion des incidents de sécurité, pouvant résulter d'une violation de données à caractère personnel, la Déléguée à la Protection des Données du Groupe et le Responsable de la Sécurité des Systèmes d’Information du Groupe ont rédigé conjointement une directive Groupe ayant vocation à être adaptée localement par l’ensemble des entités du Groupe. Cette procédure décrit les personnes à contacter et les mesures à prendre en cas de suspicion ou de détection d’une violation de données à caractère personnel. Un outil dédié est également déployé pour assurer un traitement encore plus efficace des éventuels incidents de sécurité et permettre la tenue d’un registre de ces incidents. Des formations sont par ailleurs régulièrement dispensées auprès des points de contact locaux dédiés à la protection des données afin de les préparer à analyser le risque pour les personnes concernées, sur la base notamment des recommandations du CEPD. Des formations sont aussi dispensées à l’ensemble des employés du Groupe de Sodexo afin de leur permettre d’identifier les potentielles violations et incidents devant être déclarés aux équipes de gestion des incidents. Un registre global des violations de données à caractère personnel est par ailleurs maintenu par la Déléguée à la Protection des Données du Groupe et enrichi grâce au système de reporting simplifié et automatisé par lequel les points de contact dédiés à la protection des données peuvent facilement reporter les éventuelles violations de données à caractère personnel. Les exercices 2022 et 2023 ont été marqués par l’organisation par le Groupe d‘exercices de gestion de crise portant sur des incidents de sécurité fictifs. La Déléguée à la Protection des Données du Groupe a ainsi participé à ces exercices qui avaient pour objectif d’améliorer l’organisation interne des cellules internes de crise, leur réactivité, et donc l’effectivité du protocole de réponse aux incidents de sécurité et violations de données à caractère personnel. La coopération avec les autorités de contrôle Le Groupe Sodexo, au travers de sa gouvernance hybride en matière de protection des données, entretient des relations de confiance et de coopération avec les autres autorités de contrôle européennes, notamment dans le cadre de sa gestion des plaintes et demandes d’exercice de droits. |