Document d'Enregistrement Universel - Exercice 2025

2. La durabilité chez Sodexo

Protection des données consommateurs [S4-1, S4-2, S4-3, S4-4]

Pour fournir ses services, Sodexo s’appuie sur des technologies pouvant impliquer le traitement de données personnelles de clients et d’utilisateurs finaux, incluant les salariés des entreprises clientes, les étudiants, les patients ou les consommateurs directs de Sodexo Live!. Ce traitement peut avoir un impact sur la vie privée et professionnelle de ces personnes.

Que Sodexo traite les données personnelles pour le compte de ses clients en tant que sous-traitant, ou pour ses propres besoins en tant que responsable de traitement, le Groupe applique des mesures, procédures et politiques globales cohérentes.

STRATÉGIE

Afin de garantir une utilisation responsable des données personnelles dans le respect des exigences légales applicables en matière de vie privée et de protection des données, Sodexo a mis en œuvre un programme mondial de conformité à la protection des données (voir la description du programme mondial à la section 6.5 de ce document).

Ce programme a été reconnu par les autorités européennes de protection des données à travers la validation des Règles Contraignantes d’Entreprise (Binding Corporate Rules – BCR) de Sodexo, qui décrivent les procédures et politiques déployées dans l’ensemble des entités du Groupe, renforçant l’engagement de Sodexo à protéger les données personnelles des utilisateurs.

GOUVERNANCE

Afin de garantir la mise en œuvre efficace du programme mondial de conformité à la protection des données, une gouvernance dédiée a été établie aux niveaux Groupe et pays. Cette gouvernance, détaillée dans le schéma ci-après, assure le déploiement global du programme à tous les niveaux et dans l’ensemble des activités du Groupe.

Structure de gouvernance et programme de conformité à la protection des données du Groupe.

  1. Direction
    • Comité Exécutif de Sodexo.
    • Délégué à la protection des données du Groupe.
  2. Base du programme. Programme de conformité à la protection des données du Groupe.
    • Règles d’entreprise contraignantes. Responsable de traitement et sous-traitant.
    • Normes :
      • RGPD (Règlement Général sur la Protection des Données).
      • RGPD UK.
      • CCPA (California Consumer Privacy Act).
      • ISO/IEC 17701.
  3. Éléments clés du programme :
    • Gouvernance.
      • Points de contact locaux dédiés à la protection des données.
      • Réseau sur la protection des données (par fonction et par pays).
    • Politiques et procédures.
      • Processus de conformité sur la protection des données de bout en bout.
      • Déployées par les équipes de protection des données. Inclut des politiques déployées par les équipes spécifiques, incluant la cybersécurité et l’informatique Groupe.
    • Audit & Contrôle interne.
      • Niveau 1 - Auto évaluation.
      • Niveau 2 - Délégué à la protection des données et contrôle interne.
      • Niveau 3 - Audit interne du Groupe.
POLITIQUES ET ACTIONS

Sodexo s’engage à respecter les lois susceptibles d’exiger un niveau de protection des données plus élevé que celui défini dans le programme global de conformité en matière de protection des données, et adapte en conséquence ses analyses et exigences à ces réglementations.

Le programme de protection des données inclut un processus de conformité à la vie privée de bout en bout, par lequel les projets informatiques ou digitaux impliquant le traitement de données personnelles des utilisateurs sont examinés par différents acteurs. Cette analyse couvre notamment les informations relatives au type de données personnelles traitées, aux durées de conservation, aux mesures de sécurité, ainsi qu’au respect des principes réglementaires. Ce processus est illustré dans le schéma présenté à la section 6.5 du présent document.

Grâce au déploiement du programme global de conformité en matière de protection des données, le Global Data Protection Office collabore étroitement avec de nombreuses fonctions du Groupe, permettant la mise en œuvre :

  • de politiques claires et complètes, accessibles à tout moment sur nos sites web ou applications et régulièrement mises à jour, fournissant aux utilisateurs une information complète sur la manière dont leurs données sont traitées par Sodexo, soit pour son propre compte, soit pour le compte de ses clients,
  • d’un contrôle du traitement des données personnelles par les prestataires de services de Sodexo, garantissant que les données des utilisateurs sont protégées de la même manière que si Sodexo les traitait directement, ou conformément aux instructions des clients de Sodexo,
  • de la possibilité pour les utilisateurs de s’opposer au traitement de leurs données personnelles, entraînant la suppression de leurs données par Sodexo. Par exemple, dans le cas d’enquêtes de satisfaction envoyées par Sodexo, une notice de confidentialité est fournie et un lien de désinscription est inclus dans l’e-mail,
  • de mesures de sécurité techniques et organisationnelles adaptées aux types de données personnelles traitées, définies en collaboration avec les équipes de sécurité informatique de Sodexo ou conformément aux instructions du client lorsque celui-ci est responsable du traitement,
  • de politiques, procédures et modèles dédiés à la gestion des violations potentielles de données, garantissant l’implication de toutes les parties prenantes concernées, la collecte rapide des informations nécessaires et la résolution rapide des incidents. En complément, le Groupe réalise régulièrement des exercices pour assurer l’application effective de ces politiques et procédures, ainsi que la préparation et la réactivité de ses équipes.
  • Ainsi, Sodexo a déployé un socle minimal de formation que tous les employés de Sodexo ayant accès à des données personnelles doivent suivre. Sodexo vise également à fournir à tous les consommateurs des informations claires, complètes et actualisées concernant le traitement de leurs données par Sodexo, notamment en mettant à jour ses politiques de confidentialité en ligne.