DOCUMENT D’ENREGISTREMENT UNIVERSEL 2021

3 FACTEURS DE RISQUES, GESTION DES RISQUES ET PILIER III Gestion des risques

Natixis profite désormais d’une large flotte d’ordinateurs portables permettant une réponse appropriée en cas de crise à cinématique lente (crue de Seine, grèves, etc.). Cela lui a permis de gérer efficacement la crise COVID-19 en ayant recours massivementet de manière sécurisée au travail à distance. Natixis éprouve régulièrement l’ensemble de ce dispositif au moyen de contrôles de premier et second niveaux, d’exercicesde gestion de crise et de tests des solutions de secours. Dans ce cadre, Natixis exécute un plan de test pluriannuel de ses capacités de résilience en cas de cyberattaques. La maîtrise des processus informatiques Natixis a élargi son dispositif de maîtrise des risques technologiques aux risques relatifs aux processus informatiques (gouvernance et stratégie informatiques, productions informatiques, gestion des évolutions du système d’information). Le département G-TRM a modifié sa cartographie des risques en conséquence et a rédigé des politiques opérationnelles qui visent à maîtriser l’ensemble de ces risques. Leur déploiement a eu lieu en 2021 pour toutes les entités adossées au système d’information transverse de Natixis. Un premier plan de contrôle de second niveau a permis d’en vérifier la bonne application. La protection des données 3.2.9.6 personnelles Rattaché au directeur de la Compliance, le Data Privacy Officer de Natixis anime une communauté de « data privacy liaisons » répartis dans l’ensemble des entités et métiers de Natixis. Cette filière a vocation à s’assurer du respect, par Natixis, de toutes les réglementationsrelatives à la protectiondes données à caractère personnel et plus particulièrement à assurer la conformité avec le règlement européen relatif à la protection des données personnelles (RGPD). Un comité « data privacy » régulier suit l’activité de la filière et pilote les actions de mise en conformité résiduelles. Natixis dispose d’un registre de données personnelles et de modes opératoires pour les processus clés (traitement des fuites de données, traitement de demandes d’exercice de droits par les individus, traitement des saisines des autorités, mise à jour et revue annuelle du registre, plan de contrôle de niveau 1 et 2, gestion des besoins en formation, veille réglementaire,Privacy by Design/Default dans les projets).

Le risque informatique 3.2.9.5 En application des directives de l’Autorité Bancaire Européenne et à l’arrêté du 25 février 2021 relatif au risque informatique, Natixis a renforcé son dispositif de maîtrise des risques informatiques.Natixis a notamment mis en place deux lignes de défense dont la bonne articulation est garantie par la tenue d’un comité opérationnel mondial de gestion des risques technologiquesrégulier. Les équipes informatiques ainsi que des correspondants au sein des métiers constituent le premier niveau. Le département Global Technology Risks Management (G-TRM) (rattaché à la direction de la Compliance) assure le deuxième niveau. Natixis s’inscrit également dans les filières Sécurité des systèmes d’information et Continuité d’activité du Groupe BPCE. À ce titre, elle applique les politiques et les méthodes définies au sein du Groupe BPCE. La sécurité des systèmes d’information Le départementG-TRM pilote son activité par les risques. Il s’appuie sur une méthode qui, en relation avec les risques opérationnels, identifie les situations de risques redoutées par les métiers et leurs actifs informatiques potentiellement porteurs de vulnérabilités. L’évaluation des risquespeut intervenirlors de la campagnede révision annuelle ou résulter de l’accompagnementd’un projet. Les projets métiers suivis par G-TRM donnent généralement lieu à l’expression d’exigences spécifiques afin de mieux maîtriser les risques. À la lumière de ces risques, le département G-TRM déploie un plan annuel de contrôle permanent de niveau 2, qui couvre toutes les thématiques de la sécurité du système d’information. Une attention particulière est portée aux contrôles des droits d’accès et aux tests d’intrusion des actifs informationnels exposés sur Internet. L’approche par les risques a également contribué à établir le programme stratégique 2024. Ce programme, intitulé CyberResilience, vise à porter le niveau de maturité du dispositif actuel à celui des meilleurs standards de place, d’élargir notre approche par les risques, de renforcer significativement l’industrialisation du modèle de cyber sécurité, d’améliorer la capacité de Natixis à faire face à un sinistre cyber majeur et de poursuivre la protection de nos données. La continuité d’activité Le dispositif de continuité de Natixis combine une gestion des sinistres par leurs conséquences (indisponibilité du système d’information, des locaux, des compétences ou des fournisseurs critiques) avec des mesures d’urgences propres à chaque scénario (crue de Seine, cyber attaque, etc.). Risque juridique 3.2.10 Comme beaucoup de groupes bancaires, Natixis et ses filiales consolidées font l’objet de litiges devant des instances judiciaires et d’enquêtes de la part des autorités de contrôle. Les conséquences financières, évaluées au 31 décembre 2021, de ceux qui sont susceptibles d’avoir ou qui ont eu, dans un passé récent, un impact significatif sur la situation financière de Natixis et/ou de Natixis et ses filiales consolidées prises dans leur ensemble, leur rentabilité ou leur activité, ont été intégrées dans les comptes consolidés de Natixis. Les litiges les plus marquants font l’objet des précisions ci-après étant précisé que leur intégration dans la liste ci-dessous ne signifie pas que ces litiges auront nécessairementun impact quelconquesur Natixis et/ou ses filiales consolidées. Les autres litiges n’ont pas d’impact significatif sur la situation financière ou la rentabilité de Natixis et/ou de Natixis et ses filiales consolidées prises dans leur ensemble, ou ne sont pas à un stade suffisamment avancé pour déterminer s’ils sont de nature à avoir un tel impact.

Procédures judiciaires 3.2.10.1 et d’arbitrage Affaire Madoff

L’encoursMadoff est estimé à 319,3 millionsd’eurosde contre-valeur au 31 décembre2021 intégralementprovisionnéà cette date, contre 503,4 millionsd’euros au 31 décembre2020, en réduction suite à la confirmation de la liquidation de certains actifs déposés au nom de Natixis et, intégralement provisionnés. L’impact effectif de cette exposition dépendra à la fois du degré de recouvrement des actifs déposés au nom de Natixis et de l’issue des voies de recours notamment judiciaires dont dispose la banque. Par ailleurs, une divergencea émergé en 2011 sur l’application de la convention d’assurance responsabilité civile professionnelle sur ce dossier, conclue avec des lignes successives d’assureurs pour un montant total de 123 millionsd’euros. Alors que la Cour d‘appel de Paris avait confirmé en novembre 2016,comme le Tribunal de commerceavant elle, la priseen chargepar les assureursde la premièreligne, à hauteur des polices souscrites, des pertes subies par Natixis du fait de la fraudeMadoff, la Cour de cassationa prononcéle 19 septembre2018 l’annulationde l’arrêt attaquéet renvoyél’affairedevant la Cour d’appel de Paris autrementcomposée.La Cour a rendu le 24 septembre2019

158

NATIXIS DOCUMENT D’ENREGISTREMENT UNIVERSEL 2021