DOCUMENT D’ENREGISTREMENT UNIVERSEL 2021

FACTEURS DE RISQUES, GESTION DES RISQUES ET PILIER III Facteurs de risques

La réalisation du risque de non-conformité pourrait se traduire, par exemple, par l’utilisation de moyens inadaptés pour promouvoir et commercialiser les produits et services de la banque, une gestion inadéquate des conflits d’intérêts potentiels, la divulgation d’informations confidentielles ou privilégiées, le non-respect des diligences d’entrée en relation avec les fournisseurs et la clientèle notamment en matière de sécurité financière (notamment lutte contre le blanchiment d’argent et le financement du terrorisme, respect des embargos, lutte contre la fraude ou la corruption). Au sein de Natixis, la filière complianceest chargée de la supervision du dispositif de prévention et de maîtrise des risques de non-conformité (voir section 3.2.9 du document d’enregistrement universel 2021) . Malgré ce dispositif, Natixis reste exposée à des risques d’amendes ou autres sanctions significatives de la part des autorités de régulation et de supervision, ainsi qu’à des procédures judiciaires civiles ou pénales qui seraient susceptibles d’avoir un impact significatif défavorable sur sa situation financière, ses activités et sa réputation. Dans le cadre de ses activités, Natixis est exposée aux agissements ou comportements contraires à l’éthique ou aux lois et règlements de ses collaborateurs ou de tiers qui pourraient porter atteinte à sa réputation et l’exposer à des sanctions et seraient susceptibles d’impacter défavorablement sa situation financière et ses perspectives d’activité La réputation de Natixis est capitale pour entrer en relation et fidéliser ses clients. L’utilisation de moyens inadaptés pour promouvoir et commercialiser ses produits et services, une gestion inadéquate des conflits d’intérêtspotentiels, des exigences légales et réglementaires, des règles d’éthique, des lois en matière de blanchiment d’argent, des exigences de sanctions économiques, des politiques en matière de sécurité de l’information et des pratiques liées aux ventes et aux transactions,pourraient entacher la réputation de Natixis et du Groupe BPCE. Pourraient également nuire à sa réputation tout comportement inapproprié d’un salarié ou prestataire de Natixis, tout acte cybercriminel ou cyberterroriste dont pourraient faire l’objet les systèmes de communication et d’information de Natixis ou toute fraude, détournementde fonds ou autre malversationauquel Natixis pourrait être exposée ou toute décision de justice ou action réglementaire à l’issue potentiellement défavorable. Le Code de conduite de Natixis, applicable à l’ensemble des collaborateurs de Natixis, formalise les principes généraux de conduite en vigueur chez Natixis et fixe des lignes directrices à tous les collaborateurs concernant les comportements attendus dans l’exercice de leurs fonctions et responsabilités. Natixis requiert égalementde ses fournisseurset sous-traitantsqu’ils agissent en conformité avec les principes clés du Code de conduite. Afin de mettre en pratique le Code de conduiteau quotidien, Natixis a établi un dispositif de conduite, comprenant notamment un comité dédié (le Global Culture and Conduct Committee) et un programme de formation spécifique. Toutefois, malgré l’existenced’un dispositif de conduite, Natixis reste exposée à la survenance d’agissements ou de comportements de ses collaborateurs, fournisseurs et sous-traitants, non conformes à l’éthique et au respect de l’intérêt du client, aux lois ou règlements en matière de corruption ou fraude, ou aux exigences en matière de sécurité financière ou d’intégrité des marchés. De tels agissements ou comportements pourraient avoir des conséquencesnégatives pour Natixis, porter atteinte à sa réputation et exposer Natixis, ses collaborateursou ses parties prenantesà des sanctions pénales, administrativesou civiles susceptiblesd’impacter défavorablement sa situation financière et ses perspectives d’activité.

Une défaillance opérationnelle, une interruption ou une défaillance des systèmes d’information de Natixis ou de tiers partenaires ou une violation des systèmes d’information de Natixis pourraient entraîner des pertes ou nuire à la réputation de Natixis Natixis est exposée à plusieurs types de risques opérationnels, notamment à des faiblesses dans les processus et les procédures, à des activités frauduleuses (internes comme externes), à des défaillances ou à une indisponibilité des systèmes ainsi qu’à la cybercriminalité, ou à une défaillance opérationnelle liée à un risque sanitaire. De par la nature de ses activités, Natixis dépend étroitement de ses systèmes de communicationet d’information, ses activités exigeant de traiter un grand nombre d’opérations de plus en plus complexes. Bien que Natixis ait fait de la qualité dans les échanges de données une priorité, toute panne, interruptionou défaillancede ses systèmes de communicationet d’informationpourrait entraîner des erreurs ou des interruptions au niveau des systèmes de gestion de la clientèle, de la comptabilitégénérale, des opérationsnotammentde dépôts ou du traitement des prêts, et/ou encore de la gestion des risques. Dans la mesure où l’interconnectivité s’accroît, Natixis est exposée au risque d’une rupture ou d’une défaillance opérationnelle de ses agents de compensation, marchés des changes, chambres de compensation, dépositaires ou autres intermédiaires financiers ou prestataires extérieurs. La filière risque opérationnel contribue comme les autres fonctions de contrôle à l’évaluation des risques portés par les fournisseurs dans le cadre du programme Groupe de conformité à la réglementation de l’EBA sur l’externalisation. Natixis est par ailleurs exposée au risque de cybercriminalité. La cybercriminalité désigne un ensemble d’actes malveillants et/ou frauduleux s’appuyant sur des moyens numériques afin d’atteindre les données (personnelles, bancaires, assurantielles, techniques ou stratégiques), les traitements et les utilisateurs pour porter significativement préjudice à une entreprise, ses employés, ses partenaires, ses clients et ses contreparties. Le patrimoine informationnel des entreprises est exposé à des menaces complexes et évolutives susceptibles d’impacter de manière significative, en termes financiers comme en termes de réputation, toutes les entreprises et notamment les établissements du secteur bancaire. La professionnalisation des organisations criminelles à l’origine des cyberattaques a conduit les autorités réglementaireset de supervision à investir le champ de la gestion des risques Information Communication et Technologie (ICT). La prévention du risque de cybercriminalité revêt un caractère prioritaire pour Natixis qui s’efforce de mettre en œuvre les lignes directrices établies par ces autorités au travers d’une coopération entre ses filières Systèmesd’Information(SI) et TechnologyRisk Management (TRM), ce qui a conduit à l’élaboration d’une cartographie des risques liés à la sécurité des systèmes d’information ainsi qu’à un vaste programme de sensibilisation de l’ensemble des collaborateurs en matière de sécurité du SI. Au cours de l’année 2021, aucun incident lié à la cybercriminalitén’a eu d’impact défavorable significatif sur la situation financière ou la réputation de Natixis. Toutefois, compte tenu de l'évolution du contexte géopolitique, de la nature évolutive et de la sophistication des cyberattaques,les mesures décrites ci-dessus pourraient ne pas être suffisantes à l’avenir pour protéger pleinement Natixis, ses employés, ses partenaires ou ses clients. La survenance de telles attaques pourrait perturber les services clients de Natixis, entraîner l’altérationou la divulgationde donnéesconfidentiellesou causer des interruptions d’activité et plus largement avoir un impact significatif défavorable sur son activité, sa situation financière et sa réputation.

3

103

www.natixis.com

NATIXIS DOCUMENT D’ENREGISTREMENT UNIVERSEL 2021