Groupe Crédit Coopératif - Document d'enregistrement universel 2019

RAPPORT SUR LE GOUVERNEMENT D'ENTREPRISE

RAPPORT DE GESTION

RAPPORT FINANCIER

ÉLÉMENTS COMPLÉMENTAIRES Déclaration de performance extra-financière

Protection des données et cybersécurité Organisation

Les dispositifs mis en œuvre dans le cadre du règlement général de protection des données Le Crédit Coopératif s’inscrit dans le dispositif d’accompagnement RGPD des projets mis en place dans le cadre du programme groupe de mise en conformité aux exigences du règlement européen relatif à la protection des données personnelles (RGPD), y compris les projets digitaux : Organisation nomination d’un Data Protection Officer (DPO) ; ● nomination de référents informatique et libertés (RIL) au sein des ● directions métier ; mise en œuvre d’un parcours de sensibilisation à la protection des ● données pour l’ensemble des collaborateurs. Moyens déclinaison d’un programme groupe RGPD structuré en 12 projets ● couvrant les différents thèmes : juridique/réglementaire, conformité, informatique, ressources humaines, process, sous-traitance ; cartographie des traitements informatiques des données ● personnelles ; capitalisation sur les moyens déjà mis en œuvre pour la sécurité des ● systèmes d’information et la lutte contre la cyber criminalité : politique de sécurité des systèmes d’Information (PSSI-G)  matérialisant les exigences de sécurité, défense en profondeur notamment par la définition et la mise en  œuvre de bonnes pratiques pour le développement sécurisé d’applications, Contrôles Vérification de la mise en œuvre effective des règles de la PSSI-G au ● travers d’un dispositif de contrôle permanent réalisé par le Crédit Coopératif ; Spécification en cours d’un référentiel groupe de contrôle ● permanent RGPD destiné à vérifier l’application des exigences groupe de protection des données à caractère personnel. Achats et relations fournisseurs responsables Le Crédit Coopératif a poursuivi en 2019 l’intégration des enjeux de responsabilité sociétale dans ses pratiques d’achats, en s’appuyant notamment sur les outils et projets du GIE BPCE-Achats. La politique d’achats Groupe BCPE comprend un volet Achats Responsables qui prévoit : l’intégration systématique de critères de RSE dans le cahier des ● charges des appels d’offres et consultations ; la mise en œuvre du questionnaire RSE d’autoévaluation de la ● performance RSE des fournisseurs, élaboré par BPCE-Achats ; la prise en compte dans la notation du prestataire des critères de ● performance RSE (stratégie environnementale, conditions de travail, pratiques commerciales…) ; dispositifs d’identification des fuites d’information,  dispositif collectif de vigilance cyber-sécurité, VIGIE,  CERT (Computer Emergency Response Team). 

Le Groupe Crédit Coopératif s’appuie sur la Direction Sécurité du Groupe BPCE (DS-G) qui définit, met en œuvre et fait évoluer les politiques SSI groupe et assure le contrôle permanent et consolidé de la SSI ainsi qu’une veille technique et réglementaire. La DSG initie et coordonne les projets de réduction des risques sur son domaine. Une filière SSI est mise en place au sein du Groupe BPCE. Elle regroupe le responsable de la sécurité des systèmes d’information groupe (RSSI-G), qui anime cette filière, et les responsables SSI de l’ensemble des entreprises, dont celui du Crédit Coopératif. À ce titre, le responsable SSI du Crédit Coopératif est rattaché fonctionnellement au RSSI Groupe BPCE. Ce lien fonctionnel se matérialise par des actions d’animation et de coordination. Il implique notamment que le responsable SSI de la banque : s’assure de l’adoption de la politique sécurité des systèmes ● d’information Groupe BPCE et qu’il soumette les modalités d’application de la politique SSI Groupe BPCE à la validation du responsable SSI Groupe BPCE préalablement à son approbation par la Direction générale et à sa présentation au Conseil d’administration ou au Comité de direction de la banque ; réalise un reporting concernant son niveau de conformité à la ● politique SSI Groupe BPCE, les modalités de contrôle permanent SSI mis en place, le niveau de risques SSI, les principaux incidents SSI et les actions engagées, qu’il transmet au RSSI Groupe BPCE. Travaux réalisés en 2019 Le Crédit Coopératif s’appuie sur la politique sécurité des systèmes d’information Groupe BPCE (PSSI-G) qui matérialise les exigences de sécurité. Cette politique est composée d’un cadre SSI adossé à la Charte risques conformité et contrôle permanent groupe, de 391 règles classées en dix-neuf thématiques et trois documents d’instructions organisationnelles. En 2019, une révision du référentiel des contrôles permanents SSI a été menée pour prendre en compte notamment les résultats des travaux de la révision de la PSSI-G et d’adaptation des contrôles au enjeu de chacune des règles de la PSSI-G, menés au cours de l’année avec l’ensemble des établissements du Groupe. La filière SSI groupe considère cette année 2019 comme une année de transition en matière de contrôle permanent SSI qui doit permettre aux établissements de s’approprier le nouveau référentiel et d’appréhender l’outil groupe ARCHER (DRIVE). Le dispositif de pilotage de la gouvernance et des risques SSI a été renforcé en 2019 notamment par l’intégration de nouvelles fonctionnalités dans la plate-forme Archer (DRIVE): Classification des actifs métiers du SI ; ●

2

Cartographie des risques SSI : ● Situations de risques métiers;  Vulnérabilité ;  Contrôles permanents SSI : ● Référentiel des contrôles,  Plan de contrôle ;  Gestion des incidents de sécurité. ●

77 GROUPE CRÉDIT COOPÉRATIF DOCUMENT D'ENREGISTREMENT UNIVERSEL 2019