BPCE // DOCUMENT D’ENREGISTREMENT UNIVERSEL 2021

RESPECTER NOS ENGAGEMENTS EN MATIÈRE D’ÉTHIQUE DES AFFAIRES DÉCLARATION DE PERFORMANCE EXTRA-FINANCIÈRE

des entités du Groupe, et permet la formalisation des contrôles permanents RGPD de niveau 2 et le suivi des plans d’action associés. En 2022, le traitement des incidents impactant les données personnelles sera centralisé, pour l’ensemble du Groupe sur l’outil Drive. L’USAGE RESPECTUEUX DE LA DATA Le troisième pilier du modèle relationnel 3D « Données Utiles » du plan stratégique BPCE 2024 ( cf. partie 2.2.4) propose une personnalisation des solutions apportées en fonction des besoins des clients et gestion des consentements pour que le client reste toujours maître de ses données. Dans ce cadre, le projet RGPD a poursuivi la diffusion de la culture de la protection des données personnelles au sein du Groupe BPCE, des réseaux et des filiales. Le suivi de cette conformité au RGPD continue de bénéficier d’un haut niveau de sponsoring, avec la présence de trois membres du CDG de BPCE au comité trimestriel de pilotage exécutif. Le recueil du consentement s’est développé : en avril 2021, avec la mise en conformité des cookies suite • aux nouvelles lignes directrices de la CNIL qui prévoient désormais un recueil du consentement des internautes sur tous les sites internet des établissements du Groupe BPCE ; avec la mise en œuvre d’un chantier sur le recueil du • consentement notamment pour les usages intégrant l’utilisation des données de paiement qui ne pourraient être couvertes par l’intérêt légitime (1) . Ce recueil de consentement devrait intégrer un Privacy Center dont l’objet serait la gestion des consentements du client et la gestion de la mise à disposition d’un certain nombre d’informations. L’utilisation des données est prioritairement réalisée au travers d’un Datalake présentant des conditions de sécurité optimales et chaque nouveau cas d’usage fait l’objet d’une validation par un comité des usages (qui se réunit tous les deux mois) afin de garantir le respect du RGPD et un usage éthique de la donnée. Au cours du second semestre 2021, un cycle de sensibilisation du RGPD pour l’ensemble des collaborateurs du Groupe a été lancé, de sorte que chaque collaborateur du Groupe aura reçu une formation a minima tous les trois ans. L’offre de formation à destination des chefs de projets sera étoffée. DES INDICATEURS EN ACCORD AVEC NOS ORIENTATIONS Les exercices de droit des clients du Groupe BPCE demeurent à un niveau raisonnable avec 625 requêtes sur l’ensemble du périmètre hors Natixis et ses filiales, dont 200 demandes de droits d’accès et 227 droits d’opposition en 2020. Les droits à la portabilité sont quant à eux quasi inexistant. Parallèlement 24 incidents nécessitant une notification de violation de données personnelles à la Cnil ont été recensés, et seul un cas a fait l’objet d’une réaction de la CNIL.

clients, de ses collaborateurs et plus globalement de toutes ses parties prenantes sont des objectifs majeurs au cœur des préoccupations du Groupe BPCE. En effet, le Groupe place la confiance au cœur de sa transformation digitale et considère que la cybersécurité est un vecteur essentiel au service de ses métiers. UNE STRATÉGIE CYBERSÉCURITÉ QUI ACCOMPAGNE DE NOUVEAUX DÉFIS Pour accompagner les nouveaux défis de la transformation digitale et atteindre ses objectifs, le Groupe BPCE s’est doté d’une stratégie cybersécurité reposant sur cinq piliers : protéger les actifs et renforcer la sécurité du système 1) d’information et des personnes et des biens : en sensibilisant et accompagnant nos clients sur la maîtrise – des risques cyber, en accélérant et homogénéisant l’accompagnement – sécurité, protection des données à caractère personnel et fraude dans les projets métier avec un niveau de sécurité adapté dans le cadre d’une approche sécurité et protection des données dès la conception des nouvelles offres de nouveaux produits, en améliorant l’expérience utilisateur en matière de sécurité – digitale tant pour les clients que pour les collaborateurs, grâce à une politique de sécurité des systèmes – d’information définie au niveau groupe sous la responsabilité et le pilotage du RSSI Groupe. La PSSI-G a pour principal objectif la maîtrise et la gestion des risques associés aux Systèmes d’Information, de préserver et d’accroître sa performance du Groupe, de renforcer la confiance auprès de ses clients et partenaires et d’assurer la conformité de ses actes aux lois et règlements nationaux et internationaux, grâce à un dispositif de contrôle permanent définit par un – référentiel de contrôles permanents destiné à mesurer le niveau de maîtrise des risques SSI, est déployé dans l’ensemble des établissements du Groupe. Ce référentiel, constitue le socle des contrôles permanents SSI de niveau 2 pour le Groupe sur la base duquel, chaque établissement doit à terme réaliser les contrôles applicables au périmètre de son système d’information, via la maîtrise des risques et un état des lieux des résultats – des contrôles permanents sur les thématiques SPB, par l’exécution et le plan de sensibilisation du Groupe qui se – fait annuellement à destination de l’ensemble des opérateurs informatiques de la DSI Retail, BPCE-SA et l’ensemble des établissements de crédit qui appliquent les mesures de sensibilisation demandées par le Groupe BPCE ; gouverner et se conformer aux réglementations : 2) en déployant une gouvernance et un cadre de référence – commun de sécurité, en renforçant et automatisant les contrôles permanents, – en définissant un modèle d’appétit au risque pour le pilotage – du risque cyber, en gérant les risques apportés par les tiers (partenaires, – prestataires, etc.) y compris en matière de protection des données personnelles ;

2

CULTURE CYBERSÉCURITÉ

La prévention des risques liés aux cybermenaces, la préservation de ses systèmes d’information, la protection des données, et particulièrement les données personnelles, de ses

(1) L’intérêt légitime est une des six bases légales prévues par le RGPD autorisant la mise en œuvre de traitements de données à caractère personnel. Elle peut fonder un traitement nécessaire à la satisfaction des intérêts du responsable du traitement ou d’un tiers, sous réserve de respecter certaines conditions

117

DOCUMENT D'ENREGISTREMENT UNIVERSEL 2021 | GROUPE BPCE