BPCE // DOCUMENT D’ENREGISTREMENT UNIVERSEL 2021

RESPECTER NOS ENGAGEMENTS EN MATIÈRE D’ÉTHIQUE DES AFFAIRES DÉCLARATION DE PERFORMANCE EXTRA-FINANCIÈRE

fine, plus précise et plus agile des ressources du système d’information, renforcement global du système de surveillance par sondes – de détection d’intrusion, amélioration de la détection par le déploiement de sondes – sur le réseau (NDR, IPS, CASB) et les postes de travail (EDR), traitement des alertes plus efficace grâce à un système de – gestion des événements et des informations de sécurité (SIEM) au niveau du Groupe BPCE, amélioration de la gestion des identités, des accès et des – habilitations pour les utilisateurs et les comptes à privilèges

avec la mise en service de nouveaux outils en cours de généralisation, de manière globale, homogénéisation en cours des – politiques, outils et paramétrages de sécurité, ouvrant la voie à l’automatisation et à la prise en compte « by-design » de la sécurité dans les applications ; poursuite de l’enrichissement de la cartographie de • l’exhaustivité des SI du Groupe : cette cartographie inclut les systèmes d’information privatifs – des établissements. À fin 2021, la cartographie SSI est achevée à 84 % pour les 28 processus métiers les plus critiques sur un périmètre de 36 établissements. l’un lié au fonctionnement et aux activités du Groupe BPCE et • ses filiales, abordé dans le pilier « Activités » (soit, ses collaborateurs et ses principales activités dans l’exercice de son métier de banquier) ; l’autre spécifique à la filière Achats, abordé dans le pilier • « Achats » (soit ses fournisseurs et sous-traitants). Ainsi, face à ces risques identifiés, dans le cadre d’une obligation de moyens, les mesures de vigilance raisonnable destinées à prévenir les risques ont été répertoriées et/ou améliorées. Le déploiement global de la démarche de vigilance est coordonné par les directions métiers concernées et mis en œuvre sous leur responsabilité. Le plan de vigilance a vocation à s’adapter au fil du temps aux nouveaux enjeux et risques identifiés. Dans le cadre de l’élaboration de son plan de vigilance, les enjeux suivants ont été identifiés : La discrimination, l’atteinte à l’égalité, au respect de la vie privée et familiale, au droit de grève, à la liberté de réunion et d’association ainsi que l’atteinte à la liberté d’opinion. Le risque sanitaire, le non-respect des conditions de travail légales, le travail forcé, le travail des enfants, l’atteinte à la sécurité des travailleurs et l’inégalité d’accès au droit à la santé. Le risque de pollution (eau, mer, sol), les atteintes portées à la lutte contre le réchauffement climatique et à la biodiversité, la gestion des déchets. LES COLLABORATEURS Dans le cadre de la gestion de ses salariés, le Groupe BPCE est conscient que son premier périmètre de responsabilité est interne et poursuit de ce fait une politique responsable auprès de ses collaborateurs, situés en majorité en France. Ces thématiques y sont déjà strictement encadrées par de nombreuses réglementations, principalement par le droit du travail. Le Groupe dispose de politiques de gestion des ressources humaines qui apportent une réponse aux défis d’une société plus équitable et qui appréhendent dans le temps la transformation de ses métiers. Un ensemble de chartes, accords et dispositifs opérationnels volontaires assure la protection des collaborateurs ainsi que la sécurité des personnes dans l’exercice de leur métier.

2

Devoir de vigilance 2.5.3

CADRE RÉGLEMENTAIRE Le Groupe voit dans la loi n o 2017-399 du 27 mars 2017 relative au devoir de vigilance l’occasion de rappeler son cadre de vigilance existant et de s’inscrire dans une démarche d’amélioration continue.

GOUVERNANCE DU PLAN DE VIGILANCE, MÉTHODOLOGIE ET PÉRIMÈTRE

Compte tenu des enjeux couverts par le dispositif de vigilance et de son périmètre de gestion des risques, de nombreuses directions métiers ont été impliquées dans l’élaboration de ce plan. L’étude des principaux risques pouvant résulter de ces activités a permis de retenir deux univers de cartographie :

Droits de l’Homme et libertés fondamentales

Santé et à la sécurité des personnes

Environnement

Le Groupe s’engage à promouvoir le respect d’un certain nombre de principes et de normes qui constituent le fondement de ses activités, tels que les Objectifs de Développement Durable de Nations Unies (ODD), les dix principes du Pacte Mondial des Nations Unies (Global Compact) , et les normes définies par l’Organisation Internationale du Travail (OIT). En ce qui concerne le dispositif de suivi, d’outils d’évaluations et de maîtrise des risques existants, le déploiement et l’efficacité des actions conduites par le Groupe sont suivis via des indicateurs de suivi retenus dans le cadre de sa stratégie ou bien dans le cadre de sa communication extra-financière. Ils sont récapitulés au sein de tableaux (rappel de l’univers de risques identifiés dans le cadre de la DPEF/thème d’attention les plus pertinents pour le Groupe BPCE/mesures d’atténuation/indicateurs de suivi).

119

DOCUMENT D'ENREGISTREMENT UNIVERSEL 2021 | GROUPE BPCE