DOCUMENT D’ENREGISTREMENT UNIVERSEL 2023

4 RESPONSABILITÉ SOCIALE D’ENTREPRISE (RSE) Déclaration de performance extra ‑ financière

(d) Les risques liés à la protection des données des assurés C’est un élément clé de la confiance – et donc de perte potentielle de confiance en cas de réalisation du risque. Le contexte sociétal est porteur sur ce sujet, avec des sollicitations croissantes sur « l’exercice du droit des personnes » et la judiciarisation des relations qui est de plus en plus forte. Les leviers de maîtrise du risque La politique de Sécurité des Systèmes d’Information (PSSI) s’inscrit dans une démarche éthique et déontologique. Elle répond aux obligations légales et réglementaires applicables au secteur de l’assurance. Elle comprend une charte d’utilisation des moyens informatiques et de communication déclinée dans les entreprises du Groupe afin d’informer les collaborateurs sur les comportements attendus de chaque utilisateur du Système d’Information et de protéger les données des clients et du Groupe. Par ailleurs, un module e ‑ learning de formation au risque cyber est déployé sur la plate ‑ forme de formation du Groupe. Le risque cyber (attaques des systèmes d’information du Groupe, l’un des risques émergents les plus forts du secteur) est traité dans le cadre des risques majeurs du Groupe. Un dispositif de gestion des incidents cyber permet de détecter et qualifier les incidents, afin d’assurer les actions de réaction et de suivi appropriée. En 2022, les actions conduites ont permis d’adapter le dispositif de protection aux menaces. Ces dernières évoluant sans cesse, les protocoles de protection sont donc eux aussi revus en permanence. Les systèmes sensibles/stratégiques sont déclarés à l’ANSSI . Sur le risque de traitement non conforme des données : le code de conduite groupe précise que les entreprises veillent à ce que les informations personnelles collectées et traitées ne portent atteinte ni à la vie privée, ni aux libertés individuelles, conformément à la réglementation. Elles s’engagent également à respecter les droits des personnes concernées et à prendre toutes mesures pour protéger leur confidentialité. Depuis l’entrée en application du RGPD le 25 mai 2018, le Correspondant Informatiques et Liberté (CIL) groupe a laissé la place au DPO France (Data Privacy Officer), qui prend également les missions du « Corporate Privacy Officer » CPO groupe. Dans la perspective de l’entrée en vigueur du règlement, le Groupe avait nommé un CPO Groupe dès 2016. L’intérêt de cette désignation réside essentiellement dans l’instauration d’un pilotage et d’une animation de la gouvernance « Données personnelles » au niveau groupe, en capitalisant sur le socle de gouvernance des données personnelles mis en œuvre en France par le CIL (DPO France), permettant ainsi de réduire les risques. Chaque filiale internationale a également désigné un DPO auprès de son autorité de contrôle nationale. Ainsi, le DPO France (& CPO groupe), assisté de son équipe, assure ce rôle et ces missions pour l’ensemble des entreprises du Groupe. La fonction de DPO France Mutualisé est indépendante du fait de la loi et rattachée au Secrétaire général, (1) (2)

membre du comité de direction générale de Groupama Assurances Mutuelles. Elle répond aux exigences légales et réglementaires régissant les conditions de désignation d’un DPO, et a fait l’objet d’une désignation à la CNIL . Cette fonction est soumise à un devoir d’alerte, et doit rendre compte de ses activités au travers de l’élaboration d’un « bilan annuel d’activité » présenté au responsable de traitement et tenu à disposition de la CNIL. S’agissant des données à caractère personnel, le contrôle de la conformité constitue l’une des missions assurées par le DPO France & CPO groupe et ses équipes. La conformité des traitements de données à caractère personnel couvre non seulement les thèmes précités portant sur le cœur de métier du Groupe (assurance nonvie, assurance vie, gestion d’actifs, immobilier, etc.) mais également sur tous autres thèmes dès lors que des données à caractère personnel sont concernées (ex. : ressources humaines, dispositifs de vidéosurveillance, activités de services, etc.). Les dispositifs de maîtrise, quelques exemples : (3) déploiement du dispositif éthique (charte éthique, code de conduite, dispositif d’alerte éthique) : disponibles en cas notamment d’atteintes à la santé, sécurité des personnes ; ❯ idem pour la formation aux exigences du RGPD (e ‑ learning) ; ❯ mise en conformité vis-à-vis des exigences RGPD tant d’un point de vue traitement de la donnée (vis-à-vis des clients et en lien avec les entreprises tiers intervenant potentiellement sur de la donnée) que d’un point de vue processus (DPO, procédure, etc.). ❯ Par ailleurs, les entreprises du Groupe ont souhaité en 2020 conforter la vision de leur conformité à la réglementation. Un programme transversal a été mis en place par le comité exécutif groupe, sous le contrôle du DPO, pour s’assurer de la conformité de chaque entreprise aux différents aspects de la protection des données personnelles, et le cas échéant engager les mesures de remédiation nécessaires. Ce programme est un gage supplémentaire pour nos clients de l’importance que Groupama accorde à la protection de leurs données personnelles. Indicateur de performance Taux de formation au RGPD des nouveaux entrants en progression sensible : 77 % (71 % en 2022) Ce taux comptabilise les formations terminées, en prenant également en compte les formations en cours ce taux atteint 80 % (74 % en 2022). Cet indicateur a été introduit en 2020 car il reflète l’importance que revêt pour le Groupe la précaution prise dans la collecte et l’utilisation des données, tant pour ses collaborateurs dans leurs relations avec le client que dans leur vie personnelle. C’est dans cet esprit que le Groupe s’attache à former ses nouveaux entrants le plus rapidement possible après leur arrivée. Hors du domaine de la protection des données, le risque d’atteinte aux droits de l’homme, à la sécurité et à la santé des personnes du fait de nos contrats d’assurance est non matériel.

(1) (2) (3)

L’ANSSI est l’autorité nationale en matière de sécurité et de défense des systèmes d’information. Règlement général de Protection des Données. Commission Nationale Informatique et Libertés.

91

Document d’Enregistrement Universel 2023 - GROUPAMA ASSURANCES MUTUELLES