Politique Globale Relative à la Protection des Données à caractère personnel

Nous accordons beaucoup d’importance à votre vie privée. Nous avons développé la présente Politique globale relative à la protection des données à caractère personnel (ci-après la « Politique ») afin de vous faire part de la façon dont nous collectons, utilisons, conservons, partageons, transmettons, transférons, supprimons ou traitons de toute autre manière vos Données à caractère personnel (l’ensemble de ces actions étant désignées ensemble le « Traitement »). La présente Politique décrit les mesures que nous prenons afin d’assurer la protection de vos Données à caractère personne. Nous y précisons par ailleurs comment nous contacter afin que nous puissions répondre à vos éventuelles questions au sujet de la protection de vos Données à caractère personnel.

PÉRIMÈTRE

La présente Politique s’applique à l’ensemble des segments et activités de l’organisation globale des entités de Sodexo (ci-après désignée « Sodexo »), dans toutes les régions où nous opérons nos activités.

Cette Politique  s’applique au Traitement des Données à caractère personnel collectées, de manière directe ou indirecte, par Sodexo auprès de tout individu, y compris notamment auprès des candidats à un poste chez Sodexo, des employés, des clients, des consommateurs, des enfants, des fournisseurs/prestataires, des partenaires/sous-traitants ou actionnaires de Sodexo, ou tout tiers ; l’expression « Données à caractère personnel » désignant toutes données relatives à un individu identifié ou identifiable ou à une personne qui pourrait être identifiée par des moyens raisonnables susceptibles d’être mis en œuvre.

Aux fins de la présente Politique, « vous » et « votre/vos » désignent tout individu concerné. « Nous », « notre/nos » et « Sodexo » désignent l’organisation globale des entités de Sodexo.

COLLECTE ET TRAITEMENT DE VOS DONNÉES A CARACTÈRE PERSONNEL

RESPECT DU DROIT EUROPEEN EN MATIÈRE DE PROTECTION DES DONNÉES A CARACTÈRE PERSONNEL ET DE TOUTE AUTRE LÉGISLATION LOCALE APPLICABLE

Nous nous engageons à respecter toute législation applicable concernant les Données à caractère personnel et nous veillerons à ce que celles-ci soient collectées et traitées conformément aux dispositions du droit européen en matière de protection des données à caractère personnel et de toute autre législation locale applicable, le cas échéant.

LICÉITÉ, LOYAUTÉ ET TRANSPARENCE

Nous ne collectons ni ne traitons en aucun cas les Données à caractère personnel sans avoir une raison légitime de le faire. Le cas échéant, il est possible que nous soyons tenus de collecter et de traiter vos Données à caractère personnel dans le cadre de l’exécution d’un contrat auquel vous êtes partie, ou lorsque cela est nécessaire au respect d’une obligation légale qui nous incombe ou, le cas échéant, si vous avez consenti au préalable à la collecte ou au traitement en question. Nous pouvons également collecter et traiter vos Données à caractère personnel aux fins des intérêts légitimes poursuivis par Sodexo, à moins que ne prévalent vos intérêts ou libertés et droits fondamentaux.

Lorsque nous collecterons et traiterons vos Données à caractère personnel, nous porterons à votre connaissance une notice d’information ou une politique relative à la protection de vos Données à caractère personnel comprenant les informations suivantes : qui est responsable du traitement de vos Données à caractère personnel, quelles sont les finalités du Traitement de vos Données à caractère personnel, qui sont les destinataires de vos Données à caractère personnel, quels sont vos droits et comment les exercer, etc., sauf dans le cas où cela se révèlerait impossible ou exigerait des efforts disproportionnés.

Lorsque le droit applicable l’exige, nous vous demanderons votre consentement au préalable (par exemple, avant de collecter des Données à caractère personnel sensibles).

LÉGITIMITÉ DU TRAITEMENT, LIMITATION DE LA FINALITÉ ET MINIMISATION DE LA COLLECTE DES DONNÉES A CARACTÈRE PERSONNEL

Vos Données à caractère personnel sont collectées pour des finalités déterminées, explicites et légitimes, et ne sauraient être traitées ultérieurement d’une manière incompatible avec ces finalités.

Lorsque Sodexo agit pour son propre compte, vos Données à caractère personnel sont principalement traitées, sans que la liste soit exhaustive, pour les finalités suivantes : gestion du recrutement, gestion des ressources humaines, gestion comptable et financière, gestion des finances, de la trésorerie et des impôts, gestion des risques, gestion de la sécurité des employés, fourniture d’outils informatiques ou de sites intranet et de toutes autres solutions numériques ou plateformes collaboratives, gestion de l’assistance informatique, gestion de la santé et de la sécurité, gestion de la sécurité de l’information, gestion de la relation client, gestion des appels d’offres, des ventes et du marketing, gestion des approvisionnements, gestion de la communication interne et externe et des événements, respect des obligations en matière de lutte contre le blanchiment d’argent ou toutes autres obligations légales, activités d’analyse des données, gestion juridique de l’entreprise et mise en œuvre des processus de conformité.

Lorsque nous fournissons nos services à nos clients ou aux autres entités de l’organisation, il est possible que nous traitions des Données à caractère personnel pour le compte d’un Responsable du traitement (à savoir un client ou toute autre entité Sodexo agissant en cette qualité) essentiellement aux fins de l’exploitation, de la gestion, de l’exécution et de la fourniture de nos services partout dans le monde. Nous nous assurerons que les Données à caractère personnel traitées sont adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.

EXACTITUDE ET LIMITATION DE DURÉE DE CONSERVATION DES DONNÉES A CARACTÈRE PERSONNEL

Sodexo tiendra les Données à caractère personnel qu’elle a traitées exactes et, le cas échéant, à jour.  En outre, nous conserverons uniquement les Données à caractère personnel pendant la durée nécessaire au regard des finalités pour lesquelles elles ont été collectées. Sodexo agira sur demande de ses clients aux fins de les aider à respecter ladite obligation.

SÉCURITÉ DES DONNÉES A CARACTÈRE PERSONNEL

Nous mettons en place les mesures techniques et organisationnelles adéquates pour protéger les Données à caractère personnel contre toute modification ou perte accidentelle ou illicite, ou contre tout utilisation, divulgation ou accès non autorisé, conformément à la Politique du Groupe relative à la sécurité de l’information.

Nous prenons, le cas échéant, toutes les mesures raisonnables en vertu des principes de respect de la vie privée dès la conception (« privacy by design ») et de protection de la vie privée par défaut (« privacy by default ») aux fins de mettre en place les garanties nécessaires et de sécuriser le traitement des Données à caractère personnel. Selon le niveau de risque présenté par le Traitement, nous réalisons également une analyse d’impact relative à la protection des données à caractère personnel (« privacy impact assessment ») aux fins d’adopter les mesures de protection adéquates et d’assurer la protection des Données à caractère personnel. Nous offrons également des garanties de sécurité supplémentaires pour les Données à caractère personnel considérées comme sensibles.

PARTAGE DES DONNÉES A CARACTÈRE PERSONNEL

Dans le cadre de nos activités courantes et au regard des finalités du traitement, nous pouvons partager vos Données à caractère personnel avec le personnel concerné du Groupe Sodexo ou avec nos fournisseurs/partenaires ou prestataires de service/sous-traitants dûment habilités, aux fins de garantir la cohérence de nos activités d’emploi, et de maximiser la qualité et l’efficacité de nos services et de nos activités commerciales.

Il est également possible que nous soyons tenus de divulguer des Données à caractère personnel à des autorités de contrôle, des tribunaux et des organismes gouvernementaux lorsque la loi, la règlementation ou une procédure judiciaire l’exige, ou aux fins de protéger les intérêts, droits ou biens de Sodexo ou de tous tiers concernés.

Toutefois, nous ne partagerons pas vos Données à caractère personnel avec d’autres parties à moins que vous en fassiez la demande ou que vous ne consentiez au partage en question au préalable.

TRANSFERTS INTERNATIONAUX DE DONNÉES A CARACTÈRE PERSONNEL

Le droit européen en matière de protection des données à caractère personnel interdit le transfert de Données à caractère personnel vers des pays situés en dehors de l’UE/EEE qui n’offrent pas un niveau de protection des données à caractère personnel adéquat. Certains des pays dans lesquels Sodexo exerce ses activités ne sont pas considérés par les Autorités de contrôle européennes comme fournissant un niveau adéquat de protection des droits des personnes physiques en matière de confidentialité des données à caractère personnel.

Concernant les transferts de vos Données à caractère personnel vers des entités appartenant ou non au groupe Sodexo établies dans de tels pays, Sodexo a mis en place une mesure de protection adéquate aux fins de protéger vos Données à caractère personnel. De plus amples informations vous seront transmises concernant tout transfert de vos Données à caractère personnel en dehors de l’Union européenne au moment de la collecte de vos Données à caractère personnel par le biais de notices d’information ou politiques de protection des Données à caractère personnel appropriées.

COOKIES

Comme de nombreuses entreprises, certains de nos sites peuvent utiliser des « cookies ». Les cookies sont des fragments de textes placés sur le disque dur de votre ordinateur lorsque vous consultez certains sites Internet. Nous pouvons par exemple utiliser des cookies pour savoir si vous avez déjà visité notre site par le passé ou si vous êtes un nouveau visiteur, et pour nous aider à identifier les fonctions qui vous intéressent le plus. Les cookies peuvent améliorer votre expérience en ligne en sauvegardant vos préférences lorsque vous visitez un site Internet.

Lorsque vous visiterez nos sites Internet, nous vous informerons des types de cookies que nous utilisons et de la façon dont vous pouvez les désactiver. Lorsque le droit l’exige, vous aurez la possibilité de visiter nos sites Internet tout en refusant l’utilisation de cookies à tout moment sur votre ordinateur.

VOS DROITS

Sodexo s’engage à assurer la protection de vos droits conformément à la législation en vigueur. Vous trouverez ci-après un tableau résumant les différents droits dont vous disposez :

Droit d'accès

      Vous pouvez demander l’accès à vos Données à caractère personnel. Vous pouvez également demander la rectification des          Données à caractère personnel inexactes, ou à ce que les Données à caractère personnel incomplètes soient complétées.

Vous pouvez demander toute information disponible concernant l’origine des Données à caractère personnel et vous pouvez également demander à obtenir une copie de vos Données à caractère personnel traitées par Sodexo.

Droit à l'oubli

    Votre droit à l’oubli vous permet d’obtenir que vos Données à caractère personnel soient effacées lorsque :

  1. les Données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées ;
  2. vous décidez de retirer votre consentement ;
  3. vous vous opposez au traitement de vos Données à caractère personnel à l’aide de procédés automatisés utilisant des spécifications techniques ;
  4. vos Données à caractère personnel ont fait l’objet d’un traitement illicite ;
  5. vos Données à caractère personnel doivent être effacées pour respecter une obligation légale ;
  6. leur effacement est obligatoire pour garantir le respect de la législation applicable.
Droit à la limitation du traitement

     Vous pouvez demander à limiter le traitement lorsque :

  1. vous contestez l’exactitude de vos Données à caractère personnel ;
  2. Sodexo n’a plus besoin de vos Données à caractère personnel aux fins du traitement ;
  3. vous vous êtes opposé au Traitement pour des motifs légitimes.
Droit à la portabilité des données

     Le cas échéant, vous pouvez demander la portabilité des Données à caractère personnel vous concernant que vous auriez             communiquées à Sodexo, et ce dans un format structuré, couramment utilisé et lisible par machine, et avez le droit de                     transmettre ces Données à caractère personnel à un autre Responsable du traitement sans que Sodexo y fasse obstacle,               lorsque :

  1. le traitement de vos Données à caractère personnel est fondé sur votre consentement ou sur une relation contractuelle existante ; et
  2. le traitement est effectué à l’aide de procédés automatisés.

Vous avez également le droit d’obtenir que vos Données à caractère personnel soient transmises directement à un tiers de votre choix (lorsque cela est techniquement possible). 

Droit d'opposition au traitement dans le cadre d'une prospection directe

Vous avez le droit de vous opposer (droit de « retrait ») au traitement de vos Données à caractère personnel (notamment au profilage ou aux communications commerciales). Lorsque nous traitons vos Données à caractère personnel sur la base de votre consentement, vous pouvez retirer votre consentement à tout moment.

Droit de ne pas faire l'objet de décisions automatisées

Vous avez le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques vous concernant ou vous affectant de manière significative de façon similaire.

Droit d'introduire une réclamation auprès de l'autorité de contrôle compétente

Si vous avez une réclamation à notre encontre, relative à la protection de la vie privée, vous pouvez remplir et envoyer le Formulaire de Réclamation/Demande portant sur l’exercice de vos droits ou formuler votre réclamation par courrier électronique ou postal conformément à notre Politique globale de gestion des Réclamations/Demandes portant sur les Droits en matière de protection des données. Si notre réponse ne vous donne pas satisfaction, vous pouvez exercer d’autres voies de recours en contactant l’Autorité de contrôle ou le tribunal compétent(e). Vous pouvez notamment contacter l’Autorité de Protection des Données (APD) belge (anciennement « Commission de la protection de la vie privée », www.privacycommission.be). 

Aux fins d’exercer ces droits, vous pouvez envoyer votre Demande ou votre Réclamation en suivant la procédure indiquée dans les politiques de protection des données à caractère personnel portées à votre connaissance au moment de la collecte de vos Données à caractère personnel ou en envoyant un courrier électronique au Contact local dédié en matière de protection des Données à caractère personnel :

  • concernant  les « On-site Services », à l’adresse électronique suivante : dataprivacy.oss.be@sodexo.be
  • concernant les « Benefits and Rewards Services », à l’adresse électronique ou via le lien suivant :
  1. pour les utilisateurs de titres-services : https://sodexobenefits.wufoo.eu/forms/titresservices-protection-de-la-vie-privae/
  2. pour les candidats / employés : HR.SPB.privacy@sodexo.com
  3. pour toute autre personne : privacy.SPB@sodexo.com

Vous pouvez également contacter le Global Data Protection Office à l’adresse électronique suivante : dpo.group@sodexo.com.

ENFANTS

Les enfants méritent une protection spécifique en ce qui concerne leurs Données à caractère personnel parce qu'ils peuvent être moins conscients des risques, des conséquences et des garanties concernées et de leurs droits liés au Traitement des Données à caractère personnel. Cette protection spécifique s'applique à l'utilisation de Données à caractère personnel relatives aux enfants à des fins de marketing ou de création de profils de personnalité ou d'utilisateur et à la collecte de Données à caractère personnel relatives aux enfants lors de l'utilisation de services proposés directement à un enfant.

Nous ne collectons et ne traitons pas les Données à caractère personnel des enfants sans le consentement du titulaire de la responsabilité parentale si un tel consentement est requis. En particulier, nous ne faisons pas la promotion et ne commercialisons pas nos services auprès des enfants, sauf dans le cas de certains services spécifiques et moyennant le consentement du titulaire de la responsabilité parentale. Si vous pensez que nous avons collecté les Données à caractère personnel auprès d’un enfant par erreur, veuillez-nous en informer en contactant aux coordonnées indiquées ci-après.

MODIFICATION

Il est possible que nous mettions ponctuellement à jour la présente Politique globale relative à la protection des données à caractère personnel dans l’hypothèse où  nos activités ou nos  obligations légales évoluent de manière substantielle Dans le cas où nous apporterions des changements significatifs à la présente politique, nous publierons une note d’information sur notre site Internet au moment de l’entrée en  application des changements en question et, le cas échéant, nous vous contacterons directement au sujet desdits changements.

NOUS CONTACTER

Si vous avez des questions concernant la collecte et le traitement de vos Données à caractère personnel par Sodexo, vous pouvez envoyer vos questions ou réclamations en suivant la procédure indiquée dans les notices d’information ou politiques de protection des données à caractère personnel portées à votre connaissance au moment de la collecte de vos Données à caractère personnel ou en envoyant un courrier électronique au Contact local dédié en matière de protection des Données à caractère personnel :

  • concernant  les « On-site Services », à l’adresse électronique suivante : dataprivacy.oss@sodexo.be
  • concernant les « Benefits and Rewards Services », à l’adresse électronique ou via le lien suivant :
  1. pour les utilisateurs de titres-services : https://sodexobenefits.wufoo.eu/forms/titresservices-protection-de-la-vie-privae/
  2. pour les candidats / employés : HR.SPB.privacy@sodexo.com
  3. pour toute autre personne : privacy.SPB@sodexo.com

 

Vous pouvez également contacter le Global Data Protection Office à l’adresse électronique suivante : dpo.group@sodexo.com.

 


DEFINITIONS

Autorité de contrôle désigne une autorité publique indépendante instituée par un État membre tel qu’indiqué dans le RGPD.

Contact local dédié en matière de protection des données à caractère personnel désigne la personne nommée par une entité Sodexo et chargée de traiter les questions locales en matière de protection des données à caractère personnel. Le contact fait partie du Réseau mondial de protection des données à caractère personnel.

Demande désigne l’un des mécanismes prévus par le RGPD pour permettre aux personnes physiques d’exercer leurs droits (tels que le droit d’accès, de rectification, à l’oubli, etc.). Une personne physique peut formuler une Demande à l’encontre de toute entité qui traite ses Données à caractère personnel, du Responsable du traitement ou du Sous-traitant, le cas échéant.

Données à caractère personnel désigne toute information se rapportant à une personne physique identifiée ou identifiable ; est réputée être une personne physique identifiable toute personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

Données à caractère personnel sensibles désignées comme des « Catégories particulières de Données à caractère personnel » dans le cadre du RGPD désignent toutes Données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, la religion ou les convictions, l’appartenance syndicale, et du traitement de données relatives au statut génétique, de données biométriques uniquement aux fins d’identifier une personne physique, les données relatives à l’état de santé, ou les données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique. Cette définition comprend également des Données à caractère personnel relatives à des condamnations pénales et à des infractions.

Droit européen en matière de protection des données à caractère personnel, Règlement Général sur la Protection des Données à caractère personnel ou RGPD désignent le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des Données à caractère personnel et à la libre circulation de ces données, et abrogeant la Directive 95/46/CE.

Entité Sodexo ou Entités Sodexo désignent toute société, société en nom collectif (partnership) ou autre entité ou organisation ponctuellement admise comme membre du Groupe Sodexo.

Groupe Sodexo désigne le réseau d’entités composé (i) de quatre Pôles mondiaux, y compris Sodexo Global Services LLC aux États-Unis, Sodexo Global Services Limited au Royaume-Uni, Sodexo Services Asia à Singapour et Sodexo SA en France (ensemble « les Pôles » ou « les Pôles mondiaux ») où sont exercées les Fonctions de gestion globale du Groupe Sodexo, les Fonctions globales liées aux activités OSS et certaines Fonctions globales liées aux activités PHS et BRS ; (ii) des Entités régionales principales (Region Leading Entities, « RLE ») dirigeant l’une des Régions où l’activité OSS est exercée ; (iii) de la Société de gestion, Sodexo Pass International (« SPI ») immatriculée en France et où sont exercées certaines fonctions globales d’appui à la gestion pour les activités PHS et BRS ; (iv) des Sociétés opérationnelles chargées de mener les activités quotidiennes du Groupe dans le cadre des activités OSS, BRS ou PHS, et toutes entités directement ou indirectement contrôlées par l’une quelconque des entités susmentionnées ou placées sous un contrôle commun avec l’une quelconque de ces dernières. Aux fins de la présente définition, « Contrôle » désigne le pouvoir d’influencer ou de faire influencer, de manière directe ou indirecte, la direction et les politiques d’une entité.

Réclamation désigne la réclamation introduite par une Personne concernée auprès d’une Autorité de contrôle si la Personne concernée considère qu’une violation est commise au regard de ses droits en vertu de la Législation applicable en matière de protection des données à caractère personnel.

Responsable du traitement désigne l’entité qui détermine les finalités et les moyens du traitement des Données à caractère personnel.

Traitement ou Traitement de Données à caractère personnel désignent toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des Données ou des ensembles de Données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.

UE/EEE désignent l’Union européenne/l’Espace économique européen.