Document d'Enregistrement Universel - Exercice 2025

6.5 Protection des données à caractère personnel

L’innovation, les nouvelles technologies et les données, y compris les données à caractère personnel, sont essentielles chez Sodexo. Partout où Sodexo sert ses clients et ses consommateurs ou encore partout où se trouvent ses collaborateurs, la Société fait un usage responsable de leurs données dans le respect de la vie privée et des règles applicables en matière de protection des données personnelles.

Le tableau ci-dessous a vocation à synthétiser les actions clés mises en place dans le cadre du Programme Global de Protection des Données qui s’appuie sur un socle de normes communes déployé dans le monde entier, qui ont abouti à l’approbation des Règles d’Entreprise Contraignantes (« Binding Corporate Rules » ou « BCR ») du groupe Sodexo.

Piliers du Programme Global de Protection des Données	Description des actions clés mises en place
Les mécanismes de gouvernance en matière de protection des données	Les mécanismes de gouvernance en matière de protection des données Description des actions clés mises en place La désignation d’un Délégué à la Protection des Données et la mise en place d’une gouvernance hybride Le groupe Sodexo a mis en place une équipe experte dédiée à la protection des données (le Global Data Protection Office) avec une personne nommée Délégué à la Protection des Données du Groupe rattachée au Directeur Juridique Groupe depuis l’exercice 2018. Le Délégué à la Protection des Données du Groupe assiste le Groupe, avec les membres du Global Data Protection Office et un réseau d’une soixantaine de points de contact dédiés à la protection des données au niveau des pays, dans son objectif de conformité aux lois applicables en matière de protection des données et du Programme Global de Protection des Données. Ces points de contact ont la responsabilité de soutenir les instances de gouvernance locale dans l’exécution et, si nécessaire, l’adaptation du programme de conformité à leurs enjeux et aux spécificités propres à leurs périmètres respectifs. Afin d’assurer une meilleure intégration de ces points de contact et de renforcer leur niveau d’expertise, le Global Data Protection Office a créé une « Data Protection Academy » qui consiste dans une formation théorique et pratique de deux jours. Depuis l’entrée en application du RGPD, huit académies ont été organisées au bénéfice des points de contact dédiés à la protection des données. En outre, afin de maintenir un bon niveau de formation continue du réseau et assurer une harmonisation des bonnes pratiques ainsi qu’un déploiement cohérent des politiques et procédures de protection des données du Groupe, le réseau est questionné de manière constante par le Global Data Protection Office et les équipes du Controle interne du Groupe, comme décrit ci-dessous. Une gouvernance intégrée avec les équipes en charge de la sécurité des systèmes d’information Le Global Data Protection Office travaille en étroite collaboration avec d’autres fonctions du Groupe telles que le Responsable de la Sécurité des Systèmes d’Information ou encore le Responsable des données. Cette collaboration s’est structurée à l’échelle du Groupe dès l’exercice 2019 sous la forme d’un Comité de revue dédié à la cyber-sécurité et la protection des données à caractère personnel, composé également du Directeur Juridique Groupe, de la Directrice Tech, Data et Digital du Groupe, de la Directrice du Contrôle Interne et de représentants du Comité Exécutif de Sodexo. Cette collaboration s’est par ailleurs concrétisée par la mise en place d’une part de processus intégrés, que ce soit au niveau de la revue des projets, dès leur conception, ou encore au niveau de la revue des fournisseurs, en amont de la phase contractuelle et, d’autre part, de protocoles de réponse conjoints notamment en ce qui concerne la gestion des incidents de sécurité et les violations de données personnelles. Une gouvernance intégrée avec les équipes en charge des données et des technologies Le groupe Sodexo s’intéresse aux évolutions technologiques, comme l’intelligence artificielle qui pourrait présenter un potentiel pour améliorer le quotidien de ses collaborateurs et des consommateurs qu’il sert. Le Groupe est conscient de l'opportunité que représente l'intelligence artificielle, mais aussi de l'importance de déployer cette technologie de manière conforme et éthique. Par conséquent, afin de maintenir une discipline dans le respect de nos valeurs et d’une conduite responsable des affaires, le groupe Sodexo a mis en place un comité multidisciplinaire destiné à faciliter l’analyse des initiatives des opérationnels et répondre à leurs questions de manière efficace et dans le respect d’un socle de règles de bonne conduite lequel est adapté et mis à jour de manière empirique et en fonction des nouvelles réglementations qui se développent dans le monde.
Les actions en lien avec la responsabilité (ou accountability)	Les actions en lien avec la responsabilité (ou accountability) Description des actions clés mises en place Référentiel du Programme Global de Protection des Données⁽¹⁾ Le Programme Global de Protection des Données du groupe Sodexo est un référentiel de normes communes pour le Groupe, établi sur la base des principes du Règlement général sur la protection des données à caractère personnel (« RGPD ») - largement repris dans la plupart des lois de protection des données en dehors de l’Union européenne - tout en permettant de respecter les obligations légales spécifiques applicables localement. Ce Programme Global de Protection des Données est la base des BCR qui ont été approuvées le 21 décembre 2023 par la Commission nationale de l’informatique et des libertés (« CNIL »), autorité de contrôle française désignée comme autorité chef de file pour le Groupe, et ses homologues de l’Union européenne au sein du Comité européen de la protection des eonnées (« CEPD » – European Data Protection Board – EDPB) après un travail collaboratif avec ces autorités pendant plus de 5 ans. Les BCR sont un outil légal proposé par le RGPD qui permet aux entreprises multinationales de disposer d’un Code de conduite contraignant pour l’application effective de règles communes à des fins de gestion de conformité et l’encadrement des transferts de données à caractère personnel au sein d’un même groupe. Un outil de gestion de conformité avec les règles de protection des données Cet outil permet de soutenir le Programme Global de Protection des Données via la mise en place de processus automatisés permettant d’assurer : la tenue et la maintenance des registres des traitements de données ; la gestion et le suivi des demandes d’exercice des droits des personnes concernées ; l’évaluation des risques pour les droits et libertés des personnes physiques concernées dès la conception des projets qui impliquent un traitement de données à caractère personnel ; ou encore l’évaluation de risques IT en amont de la phase contractuelle avec les fournisseurs.
Le partage de données	Le partage de données Description des actions clés mises en place Partage de données intra-Groupe Les BCR ont remplacé l’accord intra-Groupe de traitement des données à caractère personnel (Intra-Group Data Processing Agreement - IGDPA) , mis en place au cours de l’exercice 2022, comme cadre juridique de partage intra-Groupe de données à caractère personnel. Le respect des BCR est vérifié chaque année par le Group Data Protection Office, qui a également mis en place un plan de déploiement des BCR pour les nouvelles entités qui souhaitent rejoindre ce cadre. Partage de données avec des tiers Un code de bonnes pratiques pour le partage des données avec les tiers établi par le Global Data Protection Office a permis, au cours de l’exercice 2018, une harmonisation des pratiques en cas d’externalisation de tout ou partie des opérations de traitement de données auprès de tiers. Plus récemment, suite à la décision de la Cour de justice de l'Union européenne « Schrems II »⁽²⁾, Sodexo a développé une évaluation automatisée de l’impact des transferts sur la protection des données à caractère personnel (Transfer Impact Assessment – « TIA ») pour les droits et libertés des personnes physiques concernées. Cette évaluation, faite avant tout transfert, est réalisée sur la base des recommandations publiées par le CEPD⁽³⁾.
Les processus et outils permettant d’assurer une meilleure gestion du risque et la protection des données à caractère personnel dès la conception des projets (privacy by design)	Les processus et outils permettant d’assurer une meilleure gestion du risque et la protection des données à caractère personnel dès la conception des projets (privacy by design) Description des actions clés mises en place La protection des données à caractère personnel dès la conception (privacy by design) Un processus de conformité avec les règles de protection des données de bout en bout (End2End Privacy Compliance Process) , qui comprend différents questionnaires d’évaluation des risques et d’analyse d’impact, a été mis en place au cours de l’exercice 2022. Ce processus est résumé au travers du schéma ci-dessous : Le point d’entrée du processus demeure le questionnaire qui doit être rempli pour tout projet informatique ou digital afin d’identifier les risques liés à la sécurité des systèmes d’information. Dans l’hypothèse où les parties prenantes internes indiquent que le projet implique un traitement de données à caractère personnel, alors les équipes en charge de la protection des données demeurent automatiquement impliquées dans la revue du projet. Ces équipes sont alors en mesure d'analyser les projets, de manière systématique et, dès leur conception, à travers la réalisation d'abord d'une évaluation de l’impact des traitements des données à caractère personnel concernés pour les droits et libertés des personnes physiques concernées. Puis en cas de risque élevé identifié, elles réalisent une analyse du risque sur la protection des données pour évaluer l’origine, la nature, la particularité et la gravité de ce risque. Ainsi, les équipes en charge de la protection des données demeurent à même de déterminer, dès la conception des projets ou leur modification, les premières mesures à mettre en œuvre pour assurer la conformité de ces traitements avec le programme global de conformité de Sodexo et les réglementations applicables de protection des données. Ce processus donne également plus de responsabilité (accountability) aux parties prenantes internes et permet que d’autres évaluations de conformité comme l’analyse de risque en cas de recours à un fournisseur ou encore l’analyse d’impact d’un transfert international de données ou l’analyse de l’intérêt légitime de Sodexo soient commencées de manière automatisée. La protection des données à caractère personnel par défaut (privacy by default) Une analyse de risques est réalisée en amont de la phase contractuelle avec les fournisseurs. Cette analyse des risques quant aux conditions de traitement des données à caractère personnel par les fournisseurs de Sodexo a été automatisée et un travail de processus intégré avec les équipes globales de la sécurité des systèmes d’information permet de disposer d’un score commun de conformité des fournisseurs tant du point de vue de la protection des données à caractère personnel que du point de vue de la sécurité des systèmes d’information. Une gestion continue des risques et des contrôles ciblés et réguliers La gestion continue des risques repose sur un questionnaire permettant d’ores et déjà de vérifier la bonne application des BCR du groupe Sodexo. Sur une base annuelle, depuis l’exercice 2022, les points de contact locaux dédiés à la protection des données utilisent ce questionnaire pour procéder à une autoévaluation de la conformité des traitements de données personnelles mis en place par la ou les entités du Groupe relevant de leur périmètre. Cette autoévaluation est suivie d’une vérification par les équipes de contrôle interne. En complément, des contrôles ciblés sont réalisés par les équipes de contrôle interne auprès de certaines entités du Groupe si nécessaire. Par ailleurs, dans le cadre des activités réglementées de Sodexo, des audits spécifiques ont été mis en place afin de confirmer la bonne conformité des entités concernées du Groupe auprès des autorités compétentes. Les équipes de contrôle interne et d’audit interne bénéficient d’une formation renforcée sur les éléments de protection des données à caractère personnel afin d’être en mesure de contrôler de la manière la plus efficace possible l’effectivité du programme de conformité du Groupe et de formuler des recommandations pertinentes.
Les protocoles de réponses en cas de demandes des personnes concernées ou violations de données personnelles	Les protocoles de réponses en cas de demandes des personnes concernées ou violations de données personnelles Description des actions clés mises en place La réponse aux demandes portant sur les droits en matière de protection des données à caractère personnel Les équipes en charge de la protection des données à caractère personnel au sein du Groupe demeurent dans un processus d’amélioration continue des procédures de gestion des demandes portant sur les droits en matière de protection des données à caractère personnel (droits d’accès, de rectification, de suppression des données par exemple) et s’appuient pour ce faire sur les recommandations des autorités de contrôle compétentes et des bonnes pratiques partagées par le réseau de protection des données du groupe Sodexo. Elles font faire face à un nombre accru de demandes de la part des consommateurs et des collaborateurs du Groupe, en Europe mais également dans le monde entier, qui va de pair avec la prise de conscience des personnes concernées des droits et libertés dont ils bénéficient du fait des réglementations sur la protection des données à caractère personnel. La mise en place de procédures, de formulaires, et même d’équipes dédiées ayant fait l’objet d'une formation renforcée sur ce sujet a permis une gestion adaptée des demandes reçues. La réponse aux incidents de sécurité et violations de données à caractère personnel Afin d’assurer la bonne gestion des incidents de sécurité, pouvant résulter d’une violation de données à caractère personnel, le Délégué à la Protection des Données du Groupe et le Responsable de la Sécurité des Systèmes d’Information du Groupe ont rédigé conjointement une directive Groupe ayant vocation à être adaptée localement par l’ensemble des entités du Groupe. Cette procédure décrit les personnes à contacter et les mesures à prendre en cas de suspicion ou de détection d’une violation de données à caractère personnel. Un outil dédié est également déployé pour assurer un traitement encore plus efficace des éventuels incidents de sécurité et permettre la tenue d’un registre de ces incidents. Des formations sont par ailleurs dispensées auprès des points de contact locaux dédiés à la protection des données afin d'analyser le risque pour les personnes concernées, sur la base notamment des recommandations du CEPD. Des formations sont aussi dispensées à l’ensemble des employés connectés du Groupe de Sodexo afin de leur permettre d’identifier les potentielles violations et incidents devant être déclarés aux équipes de gestion des incidents. Un registre global des violations de données à caractère personnel est par ailleurs maintenu par le Global Data Protection Office et enrichi grâce au système de reporting simplifié et automatisé par lequel les points de contact dédiés à la protection des données peuvent facilement reporter les éventuelles violations de données à caractère personnel. Depuis l’exercice 2022, le Groupe a organisé des exercices de gestion de crise portant sur des incidents de sécurité fictifs. Le Délégué à la Protection des Données du Groupe a ainsi participé à ces exercices qui avaient pour objectif d’améliorer l’organisation interne des cellules internes de crise, leur réactivité, et donc l’effectivité du protocole de réponse aux incidents de sécurité et violations de données à caractère personnel. La coopération avec les autorités de contrôle Le groupe Sodexo, au travers de sa gouvernance hybride en matière de protection des données, entretient des relations de confiance et de coopération avec les autres autorités de contrôle européennes, notamment dans le cadre de sa gestion des plaintes et demandes d’exercice de droits.
La transparence auprès des personnes concernées et la sensibilisation des collaborateurs	La transparence auprès des personnes concernées et la sensibilisation des collaborateurs Description des actions clés mises en place Transparence Les équipes en charge de la protection des données créent et mettent à jour régulièrement les mentions d’information, politiques de confidentialité et tout autre document de nature à assurer la transparence sur les conditions de traitement des données. La création et la mise à jour de ces documents sont l'une des actions mises en oeuvre dans le cadre du processus de protection des données à caractère personnel dès la conception décrit ci-dessus. En complément, une plateforme de gestion des consentements et des préférences des utilisateurs préalablement à l’installation de cookies et autres traceurs sur leur navigateur ou téléphone portable a été mise en place dès l’exercice 2020. Sensibilisation Dans le prolongement du programme de formation global sur les principes du RGPD, initié lors de l’exercice 2019 auprès des collaborateurs de Sodexo, un nouveau module de formation a été déployé au cours de l’exercice 2023 permettant de rappeler à l’ensemble des collaborateurs connectés du Groupe travaillant sur nos sites et dans nos bureaux les principes de la protection des données à caractère personnel et, de cette façon, de les préparer, les sensibiliser et les responsabiliser aux BCR du groupe Sodexo. D’autres campagnes de sensibilisation ont eu lieu au cours des précédents exercices, autour de rappels de règles de bonne conduite simples et d’une identité visuelle « We believe in Privacy » en cohérence avec les autres programmes de conduite responsable des affaires. Lors de la communication qui a été faite au sein du groupe Sodexo sur l’approbation des BCR lors de l’exercice 2024, diverses actions de formation et de sensibilisation ont été mises en œuvre sur le Programme Global de Protection des Données du groupe Sodexo et les principes décrits au sein des BCR. Au cours de l’exercice 2025, le groupe Sodexo a affiné ses règles et des lignes directrices simples sur l’utilisation des systèmes d’intelligence artificielle, afin de les développer de plus en plus au fur et à mesure de l'évolution des technologies elles-mêmes et de leurs utilisations.

Télécharger le tableau

Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE.
Arrêt de la Cour (Grande Chambre) du 16 juillet 2020 – Data Protection Commissionner contre Facebook Ireland Ltd et Maximillian Schrems – C-311/2018, annulant la décision d’adéquation du Privacy Shield (Décision de la Commission du 26 juillet 2000 conformément à la directive 95/46/CE du Parlement européen et du Conseil relative à la pertinence de la protection assurée par les principes de la « sphère de sécurité » et par les questions souvent posées y afférentes, publiés par le ministère du commerce des États-Unis d’Amérique).
Recommandations 01/2020 sur les mesures qui complètent les instruments de transfert destinés à garantir le respect du niveau de protection des données à caractère personnel de l’UE adoptées le 18 juin 2021.