NEOPOST - Document de référence 2018

5

Déclaration de performance extra-financière

Informations sociales, sociétales et environnementales

l’information. Elle se compose d’un responsable Groupe ( Chief Information Security Officer ), d’un responsable par business unit et d’un réseau de 33 experts locaux présents sur les différents sites du Groupe. Son rôle est de suivre le Initiatives Résultats

déploiement des politiques de sécurité, d’analyser la performance et les incidents de sécurité et d’adapter ces

politiques en conséquence.

Réseau constitué de 33 experts locaux animé par le responsable de la sécurité de l’information • du Groupe Analyse des incidents de sécurité, de la performance de sécurité et de l’avancement des projets • liés à la sécurité lors des revues de sécurité mensuelle 3 sociétés du Groupe sont certifiées ISO 27001 (couvrant 9% des effectifs), dont deux ont • également la certification ISO 27018 ( cloud ) et répondent au référentiel de sécurité Open SAMM 2 autres entités sont en cours d’obtention de la certification ISO 27001 • 30 tests d’intrusion et audits techniques réalisés en 2018 couvrant à la fois l’activité mailing • mais aussi les solutions digitales de Shipping (infrastructures de Packcity) et de Quadient (Inspire) Déploiement de la politique de protection des données personnelles et des procédures • répondant aux exigences du règlement Déploiement d’une organisation globale avec un responsable de la protection des données au • niveau du Groupe (membre du comité exécutif du Groupe), des régions jusqu’au niveau local avec des coordinateurs présents sur chaque site Formation dispensée auprès des métiers manipulant des données personnelles des • collaborateurs et clients 2 audits de conformité réalisés auprès des entités Neopost France et Neopost Ltd (UK) •

Organisation d’un réseau de responsables sécurité au niveau du Groupe, des business units et des sites

Programme de certification ISO 27001

Programme d’audits internes sur la sécurité et tests d’intrusion réguliers sur les systèmes et applications Programme de protection des données personnelles conformément au règlement RGPD

Programme de certification ISO 27001 Le Groupe déploie actuellement un programme de certification selon le référentiel ISO 27001 couvrant en priorité les sites dont les activités concernent le développement des solutions logicielles, des infrastructures et de leur support. En 2018, trois entités sont certifiées ISO 27001 dont deux sont également certifiées ISO 27018 et deux autres sociétés sont en cours de certification. Conformité RGPD (1) En complément, une politique de protection des données personnelles et des procédures répondant aux exigences du règlement général européen portant sur la protection des données (règlement n° 2016/679 dit RGPD) a été déployée sous la responsabilité du Group Data Protection Officer , des Data officers des régions et des correspondants locaux. Parmi les actions déjà réalisées figurent : le registre des données personnelles permettant de cartographier l’ensemble des données personnelles ainsi que leur modalité de traitement et d’usage, l’ajout de clauses dans les contrats clients et fournisseurs, la rédaction d’un guide pour le marketing destiné à savoir comment et dans quels cas obtenir le consentement d’un client potentiel ou d’un client d’une autre entité du Groupe. Le Groupe a également déployé une procédure de gestion des incidents et communiqué une notice d’explication pour ses collaborateurs destinée à leur expliquer les obligations du Groupe en matière de protection de leurs données privées ainsi que leurs droits et leurs devoirs. Une formation a été dispensée auprès des métiers les plus exposés et manipulant des données personnelles des clients et des collaborateurs. L'ensemble du dispostif doit être audité pour garantir qu'il est opérationnel et efficace. Deux audits de conformité ont d'ailleurs déjà été réalisés cette année auprès des entités Neopost France et Neopost Ltd (UK).

conformer aux lois et réglementations applicables, aux conventions de l’Organisation Internationale du Travail ainsi qu’à sa politique d’achats responsables. Pour ce faire, la direction des achats et partenariats industriels, en collaboration avec la direction RSE et QHSE, a déployé depuis 2016 son Code de conduite Fournisseurs et sa politique d’achats responsables auprès de l’ensemble de son panel de fournisseurs de production. La politique de lutte contre l’esclavage moderne et le trafic d’êtres humains vient compléter les dispositions prises par le Groupe pour soutenir le respect des Droits de l’Homme. Neopost cherche à établir des partenariats mutuellement bénéfiques avec ses fournisseurs et à réaliser des affaires avec eux de manière responsable, éthique et durable. Ainsi, le Groupe s’efforce de travailler uniquement avec des partenaires qui partagent ses valeurs et possèdent des règles d’éthique équivalentes aux siennes. Le Groupe s'attache également à choisir ses fournisseurs avec soin, de manière équitable et intègre. Ils sont sélectionnés selon la stratégie d’achats établie ou sur appel d’offres en fonction de leur aptitude à satisfaire les exigences du Groupe en matière de qualité, prix, service, fiabilité, technologie, sécurité, environnement et éthique. Le Groupe s’efforce par ailleurs de ne pas créer de situation de dépendance mutuelle en termes de chiffre d’affaires, de technologie et de savoir-faire.

Achats responsables

87,6 % Des fournisseurs évalués en 2018 répondent aux exigences du Code de conduite fournisseurs du Groupe

Achats responsables

Le Groupe étend ses engagements en matière de RSE et d’éthique à l’ensemble de ses partenaires, qui doivent se

Réglement général sur la protection de données (1)

95

DOCUMENT DE RÉFÉRENCE 2018 / NEOPOST