LOREAL_Document_de_Reference_2017

Gouvernement d’entreprise * FACTEURS DE RISQUES ET ENVIRONNEMENT DE CONTRÔLE

RISQUES LIÉS À L’ACTIVITÉ / DONNÉES ET SYSTÈMES D’INFORMATION Identification du risque La gestion quotidienne des activités qui incluent notamment les achats, la production et la distribution, les opérations de facturation, de reporting et de consolidation, ainsi que les échanges et l’accès à l’information interne, repose sur un bon fonctionnement de l’ensemble des infrastructures techniques et applications informatiques. De plus, dans le contexte de transformation digitale et d’évolution constante des technologies de l’information et de leurs usages, les activités du Groupe, ses savoir-faire et, plus largement, ses relations avec l’ensemble des acteurs dans son environnement social et économique dépendent d’un fonctionnement de plus en plus dématérialisé et numérique. Le Règlement européen sur la protection des données personnelles ( General Data Protection Regulation , « GDPR ») applicable à compter de mai 2018 prévoit des sanctions importantes et des contrôles effectués dans chaque pays par les autorités nationales. Le dysfonctionnement, l’arrêt des systèmes ou le détournement de données confidentielles ou à caractère personnel traitées par L’Oréal ou ses partenaires, pour des motifs exogènes ou endogènes (dont les intrusions, malveillances, etc.), pourraient avoir un impact significatif (réputation, confiance des consommateurs, etc.).

Gestion du risque

Afin de minimiser l’impact que pourrait avoir ce type d’occurrence, la Direction des Systèmes d’Information a instauré des règles strictes en matière de sauvegarde des données, de protection et d’accès aux données confidentielles, et de sécurité aussi bien en ce qui concerne les matériels que les applications. Par ailleurs, pour accompagner le développement de nouvelles méthodes de communication et la transformation digitale de ses activités, L’Oréal a mis en place une Charte des Technologies de l’Information et de la Communication. Les principes du Groupe relatifs à la gestion des données à caractère personnel ont été diffusés mondialement afin de sensibiliser tous les collaborateurs au respect des principes éthiques et aux exigences légales et réglementaires en la matière. L’Oréal mène un projet de mise en conformité au GDPR qui repose, au niveau du Groupe, sur un Comité Stratégique, un Comité de Pilotage et des Task Forces Métiers et, au niveau de chaque pays, sur un Comité Data Privacy et un chef de projet. Pour faire face aux menaces grandissantes dans le domaine de la cybercriminalité, L’Oréal conduit une démarche continue de renforcement des moyens dédiés à la sécurité des systèmes d’information. Ce plan repose en particulier sur des équipements de protection contre les intrusions, un programme d’audit de la sécurité des systèmes d’information, la sécurisation des équipements sensibles et une supervision globale pour la détection des anomalies. L’Oréal ajuste ses efforts de sécurité de manière permanente en fonction des nouvelles menaces de cyberattaques. Ainsi, le Groupe investit de manière croissante dans des dispositifs de détection et de réaction aux alertes et incidents de sécurité ainsi que dans le contrôle périodique de leur efficacité. En outre, le Groupe a déployé mondialement en 2016 une formation en ligne sur les bonnes pratiques en matière de sécurité, destinée à l’ensemble des collaborateurs.

2

RISQUES LIÉS À L’ACTIVITÉ / RISQUE DE DÉFAILLANCE DU CONTRÔLE INTERNE Identification du risque Gestion du risque

L’Oréal a mis en place un dispositif de Contrôle Interne (voir paragraphe 2.8.1.2. « Objectifs du Contrôle Interne ») qui, aussi adéquat soit-il, ne peut fournir qu’une assurance raisonnable, et non pas une garantie absolue, quant à la réalisation des objectifs de l’entreprise en raison des limites inhérentes à tout contrôle. Ainsi, le Groupe ne peut pas exclure le risque d’une défaillance du Contrôle Interne susceptible de l’exposer notamment à un acte de fraude.

L’ensemble des composantes du dispositif de Contrôle Interne et de Gestion des Risques mis en œuvre est exposé au paragraphe 2.8. Dans les domaines de la fraude et de la corruption, le déploiement, auprès de l’ensemble des Comités de Direction des filiales du Groupe, d’un programme de sensibilisation au risque de fraude (présentant les principaux scénarios opérationnels envisageables, les dispositifs d’alerte ainsi que les procédures et contrôles existants) tend à réduire l’exposition du Groupe à ce risque. Par ailleurs, le Groupe a publié un guide, établi des cartographies des risques de corruption par pays et déploie une formation en ligne ( e-learning ) sur la prévention de la corruption qui complètent les engagements et principes exprimés dans la Charte Éthique de L’Oréal et qui sont décrits dans les « Informations sociales, environnementales et sociétales » ci-après (voir paragraphe 3.5.1.).

DOCUMENT DE RÉFÉRENCE / L'ORÉAL 2017

125