L'Oréal - Document de référence 2018

2 Gouvernement d’entreprise

FACTEURS DE RISQUES ET ENVIRONNEMENT DE CONTRÔLE

RISQUES LIÉS À L'ACTIVITÉ / SYSTÈMES D'INFORMATION Identification du risque La gestion quotidienne des activités qui incluent notamment les achats, la production et la distribution, les opérations de facturation, de reporting et de consolidation, ainsi que les échanges et l’accès à l’information interne, repose sur un bon fonctionnement de l’ensemble des infrastructures techniques et applications informatiques. De plus, dans le contexte de transformation digitale et d’évolution constante des technologies de l’information et de leurs usages, qui sont également des facteurs d’accélération de la mobilité, les activités du Groupe, ses savoir-faire et, plus largement, ses relations avec l’ensemble des acteurs dans son environnement social et économique dépendent d’un fonctionnement de plus en plus dématérialisé et numérique. Le dysfonctionnement, l’arrêt des systèmes ou la perte de données pour des motifs exogènes ou endogènes (dont les intrusions, malveillance, etc.), pourraient avoir un impact significatif sur l’activité du Groupe. Les données collectées et traitées par L’Oréal ou ses partenaires, dont le volume s’accroît avec le développement des activités digitales, sont susceptibles d’être utilisées frauduleusement, d’être altérées ou perdues. Par ailleurs, les réglementations relatives à la protection des données personnelles se renforcent dans le monde entier. En particulier, le règlement européen sur la protection des données personnelles (Règlement Général de Protection des Données, « RGPD ») entré en vigueur en mai 2018 prévoit des sanctions importantes. L’atteinte à l’intégrité ou la confidentialité des données, notamment à caractère personnel, traitées par L’Oréal ou ses partenaires, pour des motifs exogènes ou endogènes (dont les intrusions, malveillances, etc.), pourraient avoir un impact significatif sur la réputation, la confiance des consommateurs et donc sur l’activité du Groupe. RISQUES LIÉS À L'ACTIVITÉ / DONNÉES Identification du risque

Gestion du risque

Afin de minimiser l’impact que pourrait avoir ce type d’occurrence, la Direction des Systèmes d’Information a instauré des règles strictes en matière de sécurité pour les infrastructures, les matériels et les applications. Par ailleurs, pour accompagner le développement de nouvelles méthodes de communication et de collaboration, L’Oréal a mis en place une Charte des Technologies de l’Information et de la Communication. Pour faire face aux menaces grandissantes dans le domaine de la cybercriminalité, L’Oréal conduit une démarche continue de renforcement des moyens dédiés à la sécurité des systèmes d’information. Ce plan repose en particulier sur des équipements de protection contre les intrusions, des tests d’intrusion réguliers, un programme d’audit de la sécurité des systèmes d’information, la sécurisation des équipements sensibles et une supervision globale pour la détection des anomalies. L’Oréal ajuste ses efforts de sécurité de manière permanente en fonction des nouvelles menaces de cyberattaques. Ainsi, le Groupe investit de manière croissante dans des dispositifs de détection et de réaction aux alertes et incidents de sécurité ainsi que dans le contrôle périodique de leur efficacité. En outre, afin de mobiliser l’ensemble des équipes, le Groupe a effectué en 2018 une campagne de sensibilisation mondiale et déploie une formation en ligne sur les bonnes pratiques en matière de sécurité destinée à l’ensemble des collaborateurs. 66 % des collaborateurs ont validé ce e-learning au 31 décembre 2018. Le Groupe déploie de manière constante et progressive des politiques, formations, et des outils de gestion des données ainsi que les mesures organisationnelles et techniques associées. La Direction des Systèmes d’Information a instauré des règles strictes en matière de sécurité des données (sauvegarde, protection et accès aux données notamment confidentielles). Les principes du Groupe relatifs au traitement des données personnelles ont été diffusés mondialement afin de sensibiliser tous les collaborateurs au respect des principes éthiques et aux exigences légales et réglementaires en la matière. Une organisation a été mise en place qui repose sur un Comité de Gouvernance Groupe, un Comité de Pilotage mondial, ainsi que sur un réseau de référents Métiers, Zones, Pays en charge de la protection des données personnelles, qui animent l’ensemble des acteurs opérationnels impliqués. En particulier, le Groupe a nommé un Data Protection Officer (DPO) Groupe et constitué un réseau de DPOs pour l’ensemble des pays de la zone européenne. Cette gouvernance vise notamment à veiller à la conformité du Groupe aux différentes législations comme au RGPD en Europe, en assurant la mobilisation de l’ensemble des parties prenantes et en adaptant les processus clients, fournisseurs et métiers aux règles du Groupe et aux lois applicables. Gestion du risque

RISQUES LIÉS À L'ACTIVITÉ / RISQUE DE DÉFAILLANCE DU CONTRÔLE INTERNE Identification du risque Gestion du risque

L’ensemble des composantes du dispositif de Contrôle Interne et de Gestion des Risques mis en œuvre est exposé au sein du présent chapitre. Dans les domaines de la fraude et de la corruption, le déploiement, auprès de l’ensemble des Comités de Direction des filiales du Groupe, d’un programme de sensibilisation au risque de fraude (présentant les principaux scénarios opérationnels envisageables, les dispositifs d’alerte ainsi que les procédures et contrôles existants) tend à réduire l’exposition du Groupe à ce risque. Par ailleurs, le Groupe déploie un programme complet de prévention de la corruption, qui inclut notamment un guide spécifique, des cartographies des risques de corruption par pays et une formation en ligne ( e-learning ) qui complètent les engagements et principes exprimés dans la Charte Éthique de L’Oréal et qui sont décrits dans la « Politique de prévention de la corruption » (voir paragraphe 3.3.4.).

L’Oréal a mis en place un dispositif de Contrôle Interne (voir paragraphe 2.8.1.2. « Objectifs du Contrôle Interne ») qui, aussi adéquat soit-il, ne peut fournir qu’une assurance raisonnable, et non pas une garantie absolue, quant à la réalisation des objectifs de l’entreprise en raison des limites inhérentes à tout contrôle. Ainsi, le Groupe ne peut pas exclure le risque d’une défaillance du Contrôle Interne susceptible de l’exposer notamment à un acte de fraude ou de corruption, pouvant avoir un impact sur ses activités, sa réputation et ses résultats.

DOCUMENT DE RÉFÉRENCE / L'ORÉAL 2018

132