Groupe La Poste // Rapport RSE 2022

Accélérer la transformation digitale en assurant l’éthique et la sécurité numérique 4 PROMOUVOIR UN NUMÉRIQUE ÉTHIQUE, INCLUSIF ET FRUGAL ■

4.1 ACCÉLÉRER LA TRANSFORMATION DIGITALE EN ASSURANT L’ÉTHIQUE ET LA SÉCURITÉ NUMÉRIQUE 4.1.1 Protection des données

■ universalité : accepter tous les acteurs ; ■ pérennité : continuer à produire et maintenir le service dans une durée longue. 2. Le Comité du numérique éthique au sein du Comité du numérique responsable a été mis en place en janvier 2020. Les DSI des branches et des filiales, les correspondants RSE et stratégie du groupe y participent. Un groupe de travail réunissant l’ensemble des branches a défini les principes éthiques en matière d’IA pour le groupe La Poste. 3. Le déploiement du dispositif de protection des données s’appuie sur une gouvernance de la data solide qui fait intervenir plusieurs fonctions, qui sont présentées, ainsi que leurs rôles et responsabilités dans le tableau ci-dessous :

Pour le groupe La Poste, la confidentialité des données des collaborateurs, des fournisseurs, des prestataires et des clients constitue le préalable à tout exercice de ses métiers. Pionnier dans l’utilisation responsable et la sécurité des données, le groupe actualise régulièrement ses dispositifs afin de maîtriser cet enjeu majeur, en s’appuyant sur trois leviers complémentaires : son rôle de tiers de confiance numérique, sa gouvernance et sa Charte data. 1. La branche Grand Public et Numérique qui, en tant que tiers de confiance numérique porte les valeurs d'une gouvernance robuste et sur la Charte data. ■ neutralité : ne pas intervenir sur le contenu de l’échange et traiter tous les acteurs de la même façon ;

Fonction

Rôle

■ veille, en toute indépendance, au respect de la réglementation sur la protection des données personnelles au sein du groupe ; ■ informe, sensibilise et conseille les collaborateurs sur la mise en œuvre des traitements de données personnelles ; ■ contrôle le respect de la réglementation en matière de protection des données. ■ valorise le capital data de La Poste et accompagne la transformation du groupe par la data ; ■ assure la communication et l’acculturation nécessaires à la transformation du groupe ; ■ pilote le Comité CDO qui se réunit trois fois par an et rassemble les CDO, le DPO, les RSSI, le déontologue et la DCOM. ■ accompagne la transformation numérique ; ■ garantit la cohérence et l’optimisation des systèmes d’information du groupe ; ■ prépare l’arbitrage et la coordination des systèmes d’information du groupe. Les décisions sont prises au sein du Comité des SI du groupe, présidé par le secrétaire général. ■ définit, met en place et s’assure du bon fonctionnement du système de management de la sécurité des SI au niveau de son entité ; ■ contribuent aux choix de technologies et d’infrastructures.

Délégué à la protection des données ( data Protection Officer ou DPO)

Directeur des données (C hief data officer ou CDO) et Pôle data intelligence artificielle (IA)

Direction des systèmes d’information (DSI)

Responsable de la sécurité des systèmes d’information (RSSI) Chaque entité du groupe La Poste (branches, tête de groupe, services aux branches et filiales) est dotée d’un responsable de la sécurité des SI (RSSI) Direction de l’audit et des risques du groupe DPO Délégué ou référent informatique et libertés (RIL) (Instance-relais du DPO)

■ procède à l’analyse et à la surveillance des risques et du contrôle interne concernant la mise en conformité RGPD et le déploiement de la Charte data, via des audits réguliers au sein des branches. ■ assure la déclaration au DPO des traitements de données à caractère personnel pratiqués dans son entité et veille à leur conformité ; ■ contribue à la diffusion et à l’application de la politique de protection des données à caractère personnel définie par le groupe.

Le programme de mise en conformité (1) adresse plusieurs volets :

Pour plus d'information, voir aussi le paragraphe Protection des données personnelles en page 91 du Document d'enregistrement universel 2022 du groupe La Poste. La gouvernance du règlement général de protection des données (RGPD) du groupe est assurée par un Comité de pilotage RGPD bimestriel. Un rapport annuel d’avancement du déploiement du RGPD est également présenté au Comité d’audit du Conseil d’administration.

■ organisationnel, avec la mise en place d’une organisation « protection des données » au sein du groupe, comprenant notamment des délégués à la protection des données (DPO) et des référents informatique et libertés dans les différentes entités du groupe ;

■ informatique, avec la mise en place de la protection des données dès la conception des projets ( privacy by design ) et la mise en conformité des applications existantes et nouvelles ; (1) Pour plus d’information, voir aussi le chapitre 3.1.3 « La conformité, levier de sécurisation et de développement pérenne pour le groupe » du Document d’enregistrement universel du groupe La Poste.

62 Rapport RSE 2022/ LA POSTE GROUPE