NATIXIS_PILLIER-III_2017

11 RISQUE DE NON-CONFORMITÉ La protection des données personnelles

S’agissant de la continuité d’activité, les équipes PCA (plan de continuitédes activités)et PSI (plan de secoursinformatique)ont été rapprochéesdans un but d’efficacitéaccrue. Le plan de contrôle de second niveau 2017 a couvert la plupart des entités et des infrastructuresinformatiquesvitales. Il a été complétépar un test de « Travail à Distance» de grandeampleur (près de 700 collaborateurs)et par des exercices de gestion de crises. Un chantier Crue de Seine a été mené à bien. De nouvelles mesuresde protectionont été installéeset testée avec succès ; le réseau informatiqueparisien a été sécurisé de même que la majorité des accès au réseau par les plateformesinternationales

; une nouvelle prestation a été éprouvée en vue d’offrir une solution de repli plus accessible à nos collaborateurs. Enfin, la nouvelle stratégie immobilière est engagée au gré des baux arrivantà échéance. Natixis renforce progressivement son dispositif de continuité face aux menaces cyber. Une cellule de crise dédiée est en place, des procéduresd’urgencessont déployéespour faire face à des scénarios de cyber attaques courantes (ransomware, DDOS, etc.) et le renforcement de notre résilience face à des chocs extrêmesest à l’étude.

La protection des données 11.6 personnelles

Natixis garantit la protection des données personnelles des clientscommedes collaborateurs : les traitements comportant des données personnelles sont a réalisés conformémentà la loi Informatiqueet libertés et font l’objet lorsque nécessaire d’une déclaration à la CNIL (ou autoritééquivalenteà l’international) ; Natixis prend les mesures adaptées pour garantir la a confidentialitéde ces données,et informer les personnesdont les informations sont traitées, afin de permettre à celles-ci d’exercerpleinementleurs droits d’accèset de rectification.

Le dispositif repose sur deux niveaux d’organisation : la coordinationCNIL et des relais CNIL dans chaquemétier. Des travaux visant à assurer la conformité avec le règlement général sur la protection des données (RGPD) sont en cours : rédactiond’un corpus de procédures,constitutiondu registre de données personnelles, recensement - pour chaque traitement concerné - des exigences de sécurité à mettre en œuvre pour être conforme, et recrutement du délégué à la protection des donnéespersonnelles.

134

NATIXIS Rapport sur les risques Pilier III 2017