| Piliers du Programme Global de Protection des Données | Description des actions clés mises en place |
|---|---|
| Les actions en lien avec la responsabilité (ou accountability) | Les actions en lien avec la responsabilité (ou accountability) Description des actions clés mises en placeRéférentiel du Programme Global de Protection des Données (1) Le Programme Global de Protection des Données du groupe Sodexo est un référentiel de normes communes pour le Groupe – établi sur la base des principes du Règlement Général sur la Protection des Données à caractère personnel (« RGPD ») largement repris dans la plupart des lois de protection des données en dehors de l’Union européenne – tout en permettant de respecter les obligations légales spécifiques applicables localement. Ce Programme Global de Protection des Données est la base des BCR qui ont été approuvées le 21 décembre 2023 par la Commission Nationale de l’Informatique et des Libertés (« CNIL »), autorité de contrôle française désignée comme autorité chef de file pour le Groupe, et ses homologues de l’Union européenne ainsi que le Comité Européen de la Protection des Données (« CEPD » – European Data Protection Board – EDPB) après un travail collaboratif avec ces autorités pendant plus de 5 ans. Les BCR sont un outil légal proposé par le RGPD qui permet aux entreprises multinationales de disposer d’un Code de conduite contraignant pour l’application effective de règles communes à des fins de gestion de conformité et l’encadrement des transferts de données à caractère personnel au sein d’un même groupe. Un outil de gestion de conformité avec les règles de protection des données Cet outil permet de soutenir le Programme Global de Protection des Données via la mise en place de processus automatisés permettant d’assurer :
|
| Le partage de données | Le partage de données Description des actions clés mises en placePartage de données intra-groupe Les BCR remplacent progressivement l’accord intra-groupe de traitement des données à caractère personnel (Intra-Group Data Processing Agreement – IGDPA), mis en place au cours de l’exercice 2022, comme cadre juridique de partage intra-groupe de données à caractère personnel. Partage de données avec des tiers Un Code de bonnes pratiques pour le partage des données avec les tiers établi par le Global Data Protection Office a permis, au cours de l’exercice 2018, une harmonisation des pratiques en cas d’externalisation de tout ou partie des opérations de traitement de données auprès de tiers. Plus récemment, suite à la décision de la Cour de Justice Européenne « Schrems II » (2), Sodexo a développé une évaluation automatisée de l’impact des transferts sur la protection des données à caractère personnel (Transfer Impact Assessment – « TIA ») pour les droits et libertés des personnes physiques concernées. Cette évaluation, faite avant tout transfert, est réalisée sur la base des recommandations publiées par le CEPD (3). |
(1) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE.
(2) Arrêt de la Cour (Grande Chambre) du 16 juillet 2020 – Data Protection Commissionner contre Facebook Ireland Ltd et Maximillian Schrems – C-311/2018, annulant la décision d’adéquation du Privacy Shield (Décision de la Commission du 26 juillet 2000 conformément à la directive 95/46/CE du Parlement européen et du Conseil relative à la pertinence de la protection assurée par les principes de la « sphère de sécurité » et par les questions souvent posées y afférentes, publiés par le ministère du commerce des États-Unis d’Amérique).
(3) Recommandations 01/2020 sur les mesures qui complètent les instruments de transfert destinés à garantir le respect du niveau de protection des données à caractère personnel de l’UE adoptées le 18 juin 2021.
