Politique de protection des données à caractère personnel

Nous accordons beaucoup d’importance au respect de votre vie privée et à la protection de vos Données à caractère personnel. Nous avons développé cette politique pour vous informer des conditions dans lesquelles nous collectons, utilisons traitons et protégeons vos Données à caractère personnel.

 

Veuillez lire attentivement notre politique de protection des Données à caractère personnel afin de savoir quelles catégories de Données à caractère personnel font l’objet d’une collecte et d’un traitement par Sodexo Pass France, comment nous utilisons ces données, et avec qui nous sommes susceptibles de les partager. Cette politique décrit également les mesures que nous prenons afin d’assurer la sécurité de vos Données à caractère personnel, quels sont vos droits et comment vous pouvez nous contacter pour les exercer ou pour nous poser vos éventuelles questions au sujet de vos Données à caractère personnel.

 

1. DEFINITIONS

 

« Données à caractère personnel »

toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres.

« nous » ou « notre »

Sodexo Pass France (ci-après «Sodexo Pass France»), domiciliée 19, rue Ernest Renan, 92022, Nanterre Cedex.

« vous »

tout utilisateur / visiteur du Site et/ou de l’application mobile.

« Site »

le présent site de Sodexo Pass France

 

2. RESPECT DE LA REGLEMENTATION EN MATIERE DE PROTECTION DES DONNEES A CARACTERE PERSONNEL – SECURITE DES DONNEES

 

Sodexo respecte la Réglementation en vigueur en matière de protection des données à caractère personnel (notamment le Règlement européen « RGPD » n°2016/679 du Parlement européen et du Conseil du 27 avril 2016 « relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données »), de manière à ne pas exposer toute personne dont elle traite les données à une quelconque violation de cette règlementation.

Sodexo s’engage :

  • à mettre en place des mesures de protection, de sécurité et de confidentialité appropriées,
  • à tenir un registre de toutes les catégories d’activités de traitement conformément à la réglementation,
  • à mener toute évaluation de risque et tout audit nécessaire concernant les opérations de traitement de données à caractère personnel effectuées,
  • à fournir aux personnes concernées les informations exigées par la réglementation, à répondre aux demandes et aux réclamations des personnes concernées, à signaler toute violation de données à caractère personnel à l’autorité de contrôle et/ou, le cas échéant, aux personnes concernées, ainsi qu’à procéder à une évaluation de l’impact sur la protection des données.

 

En vertu des principes du respect de la vie privée dès la conception d’un projet (« privacy by design ») et de la protection de la vie privée par défaut (« privacy by default »), Sodexo met en œuvre des mesures techniques et organisationnelles appropriées permettant de garantir la sécurité, la confidentialité et l’intégrité des données à caractère personnel.

Ces mesures sont testées régulièrement afin d’en évaluer l’efficacité et font l’objet de mises à jour de manière à assurer un niveau de sécurité adapté aux risques et à protéger les données contre tout traitement non autorisé ou illégal, toute perte accidentelle, altération, destruction ou tout dommage.

Selon le niveau de risque présenté par le Traitement, nous réalisons également une analyse d’impact relative à la protection des données à caractère personnel (« privacy impact assessment ») aux fins d’adopter les mesures de protection adéquates et d’assurer la protection des Données à caractère personnel. Nous offrons également des garanties de sécurité supplémentaires pour les Données à caractère personnel sensibles.

Sodexo sensibilise ses collaborateurs et ses éventuels sous-traitants en ce qui concerne la sécurité des données. Sodexo veille notamment à ce que les personnes autorisées à avoir accès aux données soient correctement sensibilisées à la nécessité de traiter les données de façon conforme, n’aient accès aux données qu’en fonction de la nécessité de les connaître au regard du poste qu’ils occupent, et respectent la confidentialité des données.

 

Sodexo pourra être amenée à agréger des données à caractère personnel afin d’établir, notamment, des études statistiques anonymisées et des rapports marketing anonymisés.

 

3. SOURCE DES DONNEES, FINALITES DE TRAITEMENT, BASE JURIDIQUE

 

Vos Données à caractère personnel sont collectées pour des finalités déterminées, explicites et légitimes, et ne sauraient être traitées ultérieurement d’une manière incompatible avec ces finalités.

Nous sommes susceptibles de collecter vos données :

  • Directement, notamment via les formulaires de collecte disponibles sur les sites,
  • Ou indirectement, via le tiers financeur des titres (employeur ou autre), client de Sodexo.

 

Vous pouvez trouver ci-après des informations sur les finalités de traitements (pourquoi nous traitons vos données) et sur les bases juridiques sur lesquelles sont fondés ces traitements.

Finalités de traitement Bases juridiques
  • Traitement des demandes de devis et de contacts ;
  • Traitement des commandes et de l’émission des titres ;
  • Gestion des comptes clients ;
  • Gestion des comptes des bénéficiaires ;
  • Gestion des commerçants affiliés ;
  • Assistance clients, bénéficiaires et affiliés ;
  • Gestion des données bancaires et des données relatives à la prévention du blanchiment de capitaux et du financement du terrorisme ;
  • Lutte contre la fraude notamment par système d’authentification forte lors de l’accès aux comptes bénéficiaires ou de l’utilisation des titres, imposant la collecte obligatoire du numéro de téléphone mobile ;
  • Gestion des envois de newsletters, d’offres commerciales, d’offres de participation à des jeux et enquêtes de satisfaction ;
  • Intérêt légitime de Sodexo à traiter les demandes de devis et de contacts;
  • Intérêt légitime de Sodexo à exécuter ses obligations contractuelles à l’égard de ses clients, affiliés et bénéficiaires;
  • Intérêt légitime de Sodexo de maintenir le contact commercial avec ses clients et prospects professionnels;
  • Exécution d’un contrat auquel la personne concernée est partie;
  • Exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont nous serions investis;
  • Intérêt légitime de Sodexo à lutter contre la fraude(lors de l’accès aux comptes bénéficiaires et lors de paiements) ;
  • Respect d’une obligation légale;
  • Consentement des personnes concernées (notamment via les extranets et applications mobiles de Sodexo);
  • Consentement ou information (selon contexte légal) des personnes concernées (envoi de newsletters, d’offres commerciales, d’offres de participation à des jeux et enquêtes de satisfaction, etc.);
  • Sauvegarde des intérêts vitaux de la personne concernée;


4.
LOYAUTE ET TRANSPARENCE

Lorsque nous Traitons vos Données à caractère personnel, nous portons à votre connaissance une notice d’information ou une politique relative à la protection de vos Données à caractère personnel comprenant notamment les informations suivantes : qui est Responsable du traitement de vos Données à caractère personnel, quelles sont les finalités du Traitement de vos Données à caractère personnel, qui sont les destinataires de vos Données à caractère personnel, quels sont vos droits et comment vous pouvez les exercer, sauf dans le cas où cela se révèlerait impossible ou exigerait des efforts disproportionnés.

 

EXACTITUDE ET LIMITATION DE DUREE DE CONSERVATION DES DONNEES A CARACTERE PERSONNEL

Sodexo tient les Données à caractère personnel qu’elle traite, exactes et, le cas échéant, à jour.  En outre, nous conserverons uniquement les Données à caractère personnel pendant la durée nécessaire au regard des finalités pour lesquelles elles ont été collectées y compris pour répondre aux obligations légales, comptables ou de reporting. Aussi, en cas de besoin, nous conserverons les Données le temps nécessaire pour permettre à Sodexo de défendre ou de faire valoir un droit en justice.

 

Vous pouvez trouver ci-après des informations sur les catégories de Données à caractère personnel que nous traitons et leur durée de conservation.

Catégories de données traitées* Durée de conservation des données

Informations didentification

(Nom, prénom, adresse email, login, numéro de téléphone, adresse de livraison etc.)

5 ans à compter de l’inactivité du compte

(délai de prescription commerciale)

Informations relatives à la vie professionnelle

(Nom de l’entreprise,  matricule, adresse email,  numéro de téléphone, etc.)

5 ans à compter de l’inactivité du compte

(délai de prescription commerciale)

Données techniques, logs de connexion

(adresse IP, type de navigateur, type d’appareil, date/heures d’accès, système d’exploitation, défilements d’écran etc.).

6 ans à compter de la connexion

(Décret no 2021-1362 du 20 octobre 2021 : 1 an à compter de la connexion + délai de prescription commerciale de 5 ans)

Traitement des Cookies

Pour plus d’information, merci de consulter la Politique de cookies

13 mois

Données de géolocalisation

2 mois
Données transactionnelles liées à l’utilisation de nos titres

5 ans à compter de l’inactivité du compte

(délai de prescription commerciale)

Données contractuelles, données de facturation

(Contrats conclus par voie électronique, documents de commande, bons de livraisons, factures, etc.)

10 ans à compter de la cessation de la prestation

(délai légal de conservation des documents)

Données contractuelles BtB

(Contrats conclus autrement que par voie électronique)

5 ans à compter de la cessation de la prestation

(délai de prescription commerciale)

Données contractuelles BtC

(Contrats conclus autrement que par voie électronique)

2 ans à compter de la cessation de la prestation

(délai de prescription commerciale)

Données bancaires et données relatives à la prévention du blanchiment de capitaux et du financement du terrorisme 5 ans (émetteur de droit français) ou 10 ans (émetteur de droit belge) à compter de l’échéance de la relation commerciale
NIR

3 ans à compter de la clôture du dernier exercice fiscal au cours duquel le NIR a été utilisé

(délai de contrôle URSSAF)

Inscription à des newsletters, jeux concours, bons plans
Jusqu’à la désinscription par opt-out prévues à cet effet dans les emails correspondants ou via le profil utilisateur
Données relatives aux prospects 3 ans à compter du dernier contact avec la personne


Pour les données dont la durée de conservation n’est ni listée ci-dessus, ni régie par un texte spécifique, nous procédons à l’anonymisation ou à la destruction des données 12 mois après l’échéance du contrat ou de la relation d’affaires.

 

* Les catégories de Données à caractère personnel identifiés par un signe (*) dans les formulaires de collecte sont obligatoires car elles sont nécessaires pour la prise en compte de la demande formulée (par  exemple : demande de communication d’un devis). A défaut de renseigner ces informations obligatoires, ces opérations ne pourront pas être prises en compte.

 

5. PARTAGE DES DONNEES A CARACTERE PERSONNEL

 

La sécurité et la confidentialité de vos données sont d’une grande importance pour nous. C’est pourquoi nous restreignons l’accès à vos Données à caractère personnel uniquement aux membres de notre personnel qui ont besoin d’en connaître afin de traiter votre demande ou vous fournir le service convenu.

 

Nous sommes toutefois susceptibles de communiquer certaines de vos Données à caractère personnel :

– à des prestataires de services autorisés : des filiales du groupe Sodexo, des tiers prestataires (fourniture et livraison des biens ou des services commandés, hébergement de données, développement et maintenance informatique, recouvrement de créances, centres de services partagés, conseils, etc.), auxquels nous faisons appel aux fins de la réalisation de nos services et à des fins marketing;

– à des entreprises qui fournissent des services de lutte contre le blanchiment de capitaux et le financement du terrorisme, et d’autres types de fraudes ou activités illicites, ainsi qu’à des tiers fournissant des services similaires, tels que des institutions financières ou des régulateurs;

– à des juridictions et autorités administratives ou judiciaires sur réquisition de celles-ci ; ou lorsque cela est raisonnablement nécessaire pour l’exercice ou la défense de droits ou le règlement judiciaire ou extra-judiciaire de différends;

– en cas de vente, de fusion ou d’acquisition d’entreprises ou d’actifs, auquel cas nous pouvons transmettre vos Données à caractère personnel au potentiel acquéreur ou vendeur afin de lui assigner ou nover des droits ou obligations.

Nous n’autorisons pas ces prestataires de services à utiliser ou divulguer les données, sauf dans la mesure nécessaire pour exécuter les services pour notre compte ou respecter des obligations légales.

 

Par ailleurs, nous vous informons que Sodexo Pass France peut être amenée à communiquer, en tant que Responsable de traitement de la gestion des comptes bénéficiaires, à son client financeur de titres, des Données à caractère personnel relatives :

– aux montants débités suite à des transactions dématérialisées afin que le client financeur payant uniquement les titres consommés puisse affecter budgétairement ses dépenses ; le client financeur recevant ces Données à caractère personnel en tant que Responsable de traitement pour le crédit des comptes dont le paiement est dû à Sodexo ;

– à l’existence d’un solde créditeur sur des comptes bénéficiaires afin que le client financeur puisse procéder à des mailings de relance ciblés sur ces bénéficiaires pour les inciter à consommer ; le client financeur recevant ces Données à caractère personnel en tant que Responsable de traitement pour le crédit des comptes destiné à être dépensé par les bénéficiaires ;

– aux montants crédités, débités, ou annulés sur des comptes de bénéficiaires communs à plusieurs plateformes de consommation des titres, l’une gérée par Sodexo, l’autre ou les autres gérée(s) par le client financeur ou ses prestataires, de sorte qu’une mise à jour commune du solde de chaque compte est requise régulièrement sur chacune des plateformes ; le client financeur recevant ces Données à caractère personnel en tant que Responsable de traitement (i) pour le crédit des comptes dont le paiement est dû à Sodexo, et (ii) pour la gestion de ses propres plateformes ;

– aux montants consommés, nom & prénom, adresse postale, date et lieu de naissance et NIR du bénéficiaire ayant reçu des titres dans le cadre d’opération de stimulation interne ou de stimulation externe de personnes physiques salariées de tiers afin que le client financeur accomplisse son obligation légale de déclaration de la rémunération de chaque bénéficiaire et de paiement de tous impôts, taxes et charges sociales dus ; le client financeur recevant ces Données à caractère personnel en tant que Responsable de traitement pour le paiement des impôts, taxes et charges sociales dus par lui.

 

Enfin, nous pouvons partager des Données à caractère personnel vous concernant si nous considérons que la transmission de ces données est nécessaire ou appropriée pour prévenir un dommage physique ou une perte financière, ou en lien avec une enquête concernant une activité illicite suspectée ou avérée.

 

6. TRANSFERT DE DONNEES EN DEHORS DE L’ESPACE ECONOMIQUE EUROPEEN

 

La réglementation interdit le transfert de Données à caractère personnel vers des pays situés en dehors de l’Espace Economique Européen (EEE) qui n’offrent pas un niveau adéquat de protection des Données à caractère personnel.

Tout transfert de Données à caractère personnel hors de l’EEE effectué par Sodexo ou des prestataires de services est contractuellement encadré soit par la signature de clauses contractuelles types, formalisant le transfert des données à caractère personnel, telles que définies par la Commission européenne, soit par tout autre mode alternatif permettant de justifier de la mise en œuvre effective de garanties appropriées (adoption de règles d’entreprises contraignantes, d’un code de conduite contraignant, de mécanismes de certification garantissant le respect de la réglementation en matière de protection des données à caractère personnel et/ou respect de toute réglementation spécifique) pour veiller à assurer un niveau de protection suffisant des Données à caractère personnel.

 

7. COOKIES

 

Certains de nos sites peuvent utiliser des « cookies ». Les cookies sont des fragments de textes placés sur le disque dur de votre ordinateur lorsque vous consultez certains sites Internet. Nous pouvons par exemple utiliser des cookies pour suivre votre activité afin de nous assurer que votre visite sur notre Site se déroule au mieux et pour nous assurer que nous vous proposerons des options adaptées à vos préférences lors de votre prochaine visite. Nous pouvons également utiliser des cookies pour analyser le trafic et à des fins publicitaires.

 

Les cookies peuvent améliorer votre expérience en ligne en sauvegardant vos préférences lorsque vous visitez un de nos Sites Internet. Dans cette hypothèse, nous vous informerons des types de cookies que nous utilisons et de la façon dont vous pouvez les désactiver. Lorsque la législation locale l’exige, vous aurez la possibilité de visiter nos Sites Internet tout en refusant l’utilisation de cookies à tout moment sur votre ordinateur. Si vous souhaitez avoir plus d’informations, nous vous invitons à consulter notre Politique de gestion des cookies.

 

8. VOS DROITS

DROIT D’ACCÈS ET DE RECTIFICATION

Vous pouvez demander une copie de vos données à caractère personnel dont nous disposons sur vous. Vous pouvez également demander la rectification des données à caractère personnel inexactes, ou à ce que les données à caractère personnel incomplètes soient complétées.

DROIT A L’EFFACEMENT / DROIT À L’OUBLI

Votre droit à l’oubli permet que vos données à caractère personnel soient effacées lorsque :

  • les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ;
  • vous décidez de retirer votre consentement ;
  • vous vous opposez au Traitement de vos données à caractère personnel ;
  • vos données à caractère personnel ont fait l’objet d’un Traitement illicite ;
  • vos données à caractère personnel doivent être effacées pour respecter une obligation légale ;

leur effacement est obligatoire pour garantir le respect de la législation applicable.

DROIT À LA LIMITATION DU TRAITEMENT

Vous pouvez demander à limiter le Traitement lorsque :

  • vous contestez l’exactitude de vos données à caractère personnel ;
  • Sodexo n’a plus besoin de vos données à caractère personnel aux fins du traitement ;

vous vous êtes opposé au Traitement pour des motifs légitimes.

DROIT À LA PORTABILITÉ DES DONNÉES

Le cas échéant, vous pouvez demander la portabilité des données à caractère personnel vous concernant que vous auriez communiquées à Sodexo, et ce dans un format structuré, couramment utilisé et avez le droit de transmettre ces données à caractère personnel à un autre Responsable du traitement sans que Sodexo y fasse obstacle, lorsque :

a)       le Traitement de vos données à caractère personnel est fondé sur votre consentement ou sur une relation contractuelle existante ; et

b)       le Traitement est effectué à l’aide de procédés automatisés.

Vous avez également le droit d’obtenir que vos données à caractère personnel soient transmises directement à un tiers de votre choix (lorsque cela est techniquement possible).

DROIT D’OPPOSITION Vous avez le droit de vous opposer (droit de « retrait ») au Traitement de vos données à caractère personnel (notamment au profilage ou aux communications commerciales). Lorsque nous Traitons vos données à caractère personnel sur la base de votre consentement, vous pouvez retirer votre consentement à tout moment.
DROIT DE NE PAS FAIRE L’OBJET DE DÉCISIONS AUTOMATISÉES Vous avez le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques vous concernant ou vous affectant de manière significative de façon similaire.
DROIT D’EMETTRE DES DIRECTIVES
ANTICIPEES SUR LE TRAITEMENT DE VOS DONNEES A CARACTERE PERSONNEL APRES VOTRE DECES
En application de la loi française de protection des données à caractère personnel, vous pouvez également définir des directives sur l’exercice de vos droits prévus par cette section après votre décès, (notamment sur leur durée de conservation, leur suppression et/ou leur communication) ainsi que de désigner une personne chargée de l’exercice de ces droits.
DROIT D’INTRODUIRE UNE RÉCLAMATION AUPRÈS DE L’AUTORITÉ DE CONTRÔLE COMPÉTENTE Vous pouvez décider d’introduire une réclamation auprès de l’Autorité de contrôle française (la « CNIL », www.cnil.fr).
   

Pour exercer ces droits, vous pouvez nous contacter en nous écrivant à l’adresse suivante : privacy.spf@sodexo.com en nous indiquant votre nom, prénom et l’objet de votre demande. Nous sommes susceptibles de vous demander des informations supplémentaires afin de vous identifier et être en mesure de traiter votre demande.

 

9. ENFANTS

 

Les enfants méritent une protection renforcée en ce qui concerne leurs Données à caractère personnel parce qu’ils peuvent être moins conscients des risques, des conséquences et de leurs droits liés au Traitement des Données à caractère personnel. Cette protection renforcée s’applique au traitement de Données à caractère personnel relatives aux enfants à des fins de marketing ou de création de profils de personnalité ou d’utilisateur et à la collecte de Données à caractère personnel relatives aux enfants lors de l’utilisation de services qui leurs sont proposés directement.

 

Nous ne collectons et ne traitons pas les Données à caractère personnel des enfants sans le consentement du titulaire de l’autorité parentale si un tel consentement est requis. En particulier, nous ne faisons pas la promotion et ne commercialisons pas nos services auprès des enfants, sauf dans le cas de certains services spécifiques et moyennant le consentement du titulaire de l’autorité parentale. Si vous pensez que nous avons collecté les Données à caractère personnel auprès d’un enfant par erreur, veuillez-nous en informer en nous contactant à l’adresse email indiquée ci-après.

 

10. MISE A JOUR DE NOTRE POLITIQUE DE PROTECTION DES DONNEES A CARACTERE PERSONNEL

 

Nous sommes susceptibles de mettre à jour ou modifier la présente politique, en tant que de besoin, notamment pour tenir compte de toute évolution légale. Consultez périodiquement cette page pour un suivi des modifications.

 

11. COMMENT NOUS CONTACTER

 

Si vous avez des questions ou des commentaires en ce qui concerne cette politique, n’hésitez pas à nous contacter à l’adresse : privacy.spf@sodexo.com

Dernière mise à jour : 24/10/2022