Document d’enregistrement universel - Exercice 2024

Chiffres clés

7.3.2 Protection des données à caractère personnel

L’innovation, les nouvelles technologies et les données, y compris les données à caractère personnel, sont essentielles chez Sodexo. Partout où nous servons nos clients et nos consommateurs ou encore partout où se trouvent nos collaborateurs, nous faisons un usage responsable des données dans le respect de la vie privée et des règles applicables en matière de protection des données personnelles.

Le tableau ci-dessous a vocation à synthétiser les actions clés mises en place dans le cadre du Programme Global de Protection des Données qui s’appuie sur un socle de normes communes déployé dans le monde entier, qui ont abouti à l’approbation des Règles d’Entreprise Contraignantes Binding Corporate Rules » ou « BCR ») du groupe Sodexo.

Piliers du Programme Global de Protection des Description des actions clés mises en place
Les mécanismes de gouvernance en matière de protection des données

Les mécanismes de gouvernance en matière de protection des données

Description des actions clés mises en place

La désignation d’un Délégué à la Protection des Données et la mise en place d’une gouvernance hybride

Le groupe Sodexo a mis en place une équipe experte dédiée à la protection des données (le Global Data Protection Office) avec une personne nommée Délégué à la Protection des Données rattachée au Directeur Juridique Groupe depuis l’exercice 2018. Ce Délégué à la Protection des Données a changé au cours de l’exercice 2024.

Le Délégué à la Protection des Données du Groupe assure, avec les membres du Global Data Protection Office  et un réseau d’une soixantaine de points de contact dédiés à la protection des données au niveau des pays, le respect, au sein du Groupe, des lois applicables en matière de protection des données et du Programme Global de Protection des Données. Ces points de contact sont responsables, avec le soutien d’instances de gouvernance locale, de l’exécution et, si nécessaire de l’adaptation du programme de conformité à leurs enjeux et spécificités propres à leurs périmètres respectifs.

Afin d’assurer une meilleure intégration de ces points de contact et de renforcer leur niveau d’expertise, le Global Data Protection Office  a créé une « Data Protection Academy  » qui consiste dans une formation théorique et pratique de deux jours. Depuis l’entrée en application du RGPD, huit académies ont été organisées au bénéfice des points de contact dédiés à la protection des données. En outre, afin de maintenir un niveau de formation continue du réseau et assurer une harmonisation des bonnes pratiques ainsi qu’un déploiement cohérent des politiques et procédures de protection des données du Groupe, le réseau est animé de manière constante par le Global Data Protection Office.

Une gouvernance intégrée avec les équipes en charge de la sécurité des systèmes d’information

Le Global Data Protection Office travaille en étroite collaboration avec d’autres fonctions du Groupe telles que le Responsable de la Sécurité des Systèmes d’Information ou encore le Responsable des données. Cette collaboration s’est structurée à l’échelle du Groupe dès l’exercice 2019 sous la forme d’un Comité de revue dédié à la cyber sécurité et la protection des données à caractère personnel, composé également du Directeur Juridique Groupe, de la Directrice Tech, Data et Digital du Groupe, de la Directrice du Contrôle Interne et de représentants du Comité Exécutif de Sodexo. Cette collaboration s’est par ailleurs concrétisée par la mise en place d’une part de processus intégrés, que ce soit au niveau de la revue des projets, dès leur conception, ou encore au niveau de la revue des fournisseurs, en amont de la phase contractuelle et, d’autre part, de protocoles de réponse conjoints notamment en ce qui concerne la gestion des incidents de sécurité et les violations de données personnelles.

Une gouvernance intégrée avec les équipes en charge des données et des technologies

Le groupe Sodexo s’intéresse aux évolutions technologiques, comme l’intelligence artificielle générative qui pourrait présenter un potentiel pour améliorer le quotidien de ses collaborateurs et des consommateurs qu’il sert. Afin de maintenir dans le même temps une discipline dans le respect de nos valeurs et d’une conduite responsable des affaires, le groupe Sodexo a mis en place un comité multidisciplinaire destiné à faciliter l’analyse des initiatives des opérationnels et répondre à leurs questions de manière efficace et dans le respect d’un socle de règles de bonne conduite lequel est adapté et mis à jour de manière empirique et en fonction des nouvelles réglementations qui se développent dans le monde.