Document d'enregistrement universel 2021

DÉCLARATION DE PERFORMANCE EXTRA-FINANCIÈRE La Maîtrise des risques et la performance extra-financière du Groupe

soumise au règlement général sur la protection des données (RGPD), s’appuie sur une organisation dédiée : deux Data Protection Officer (DPO) internes pilotent la conformité RGPD avec le support d’un réseau de correspondants dans chaque pays. Cette organisation permet d’intégrer les principes de protection des données dans la gestion des nouveaux projets et ce, dès la phase de conception (Privacy by design). En 2021, Plastic Omnium a formalisé ses engagements dans une Politique de Protection des Données Personnelles. Performance Le développement de la culture cybersécurité au sein du Groupe est un enjeu majeur de la prévention de ce risque. C’est pourquoi, Plastic Omnium a déployé un nouveau programme de formation à la cybersécurité pour l’ensemble de ses collaborateurs. Ce module d’e-learning, disponible en 17 langues, sensibilise aux principaux risques cyber et rappelle les bonnes pratiques à mettre en œuvre. De plus, le Groupe effectue des campagnes régulières de sensibilisation au risque d’hameçonnage. L’hameçonnage est une technique frauduleuse destinée à leurrer l’internaute pour l’inciter à communiquer des données personnelles (comptes d’accès, mots de passe…) et/ou bancaires en se faisant passer pour un tiers de confiance. Un exercice simulant une attaque d’hameçonnage a été réalisé auprès de 1 300 collaborateurs en 2021. Ce type d’exercice sera déployé sur l’ensemble des sites dans les années à venir. Les enjeux cybersécurité sont pris en compte à toutes les étapes de développement des projets. Une analyse de risques est réalisée dès la phase de conception des projets ( Security by design). Lorsqu’un nouveau risque est identifié, la cartographie des risques est actualisée ainsi que la roadmap et l e plan stratégique cybersécurité. Un Comité Cybersécurité trimestriel supervise le plan de réduction de ces risques. Dans une démarche d’amélioration continue, un dispositif d’évaluation interne du niveau de maturité des sites industriels est mis en œuvre. Des audits externes sont également réalisés : en 2021, 9 sites sont certifiés ou re-certifiés avec la norme TISAX – Trusted Information Security Assessment Exchange – déployée au sein de l’industrie automobile. Description du risque Les produits de Plastic Omnium (réservoirs, pare-chocs…) sont des pièces de sécurité soumises à de nombreuses normes et à des exigences strictes afin d’apporter une entière satisfaction aux clients directs et aux utilisateurs finaux. Un problème de qualité ou de sécurité pourrait avoir de graves conséquences humaines, financières et détériorerait durablement la réputation du Groupe. Garantir un produit de qualité est un enjeu clé pour Plastic Omnium qui se traduit par l’attention portée sur l’ensemble des étapes du cycle de vie du produit : conception, fabrication, utilisation et fin de vie. Politiques et procédures La sécurité et la qualité des produits sont intégrées dans le Code de conduite de Plastic Omnium et affichées comme une priorité pour l’ensemble des collaborateurs. Les règles de conduite prévoient d’assurer la conformité des produits ainsi que le respect de normes d’hygiène, de sécurité et de qualité à chaque étape de fabrication, de la conception jusqu’à la distribution. Aucune production n’est autorisée sans la validation des systèmes de contrôle par les équipes qualité. Celle-ci est intégrée dans tous les projets du Groupe. La qualité est par conséquent un pilier majeur de l’excellence opérationnelle qui constitue l’un des fondamentaux du succès du Groupe. RISQUE SÉCURITÉ QUALITÉ DES 4.3.2.3 PRODUITS ET SATISFACTION DU CLIENT

Le Groupe publie la liste de ses filiales consolidées et communique à ● l’administration fiscale française une déclaration fiscale pays par pays. La politique fiscale est décidée par la Direction Générale, sur proposition de la Direction fiscale Groupe, qui est chargée de la mettre en œuvre, en collaboration avec les Directions financières locales, sous la supervision des métiers. Performances L’indicateur de performance, l’Index Sensibilisation à l’éthique a été défini en 2019 comme marqueur du programme ACT FOR ALL TM. En 2021, l’index a été calculé à partir de la part des collaborateurs concernés ayant atteint un score supérieur ou égal à 80 % à la formation en ligne au Code de conduite durant l’année. Les collaborateurs concernés sont les nouveaux arrivants et les salariés dont la formation en ligne Code de conduite a été rendue disponible dans leur langue locale au cours de l’année. Ainsi, le taux de suivi de personnes formées avec succès à l’e-learning « Code de conduite » est de 89,5 %. CYBER-RISQUE/CONTINUITÉ DE SERVICE 4.3.2.2 DES SI – PROTECTION DES DONNÉES Description du risque Un cyber-risque se définit comme tout risque de perte financière, d'interruption des activités ou d'atteinte à la réputation d'une entreprise en raison d'une défaillance des systèmes de technologies de l'information. La transformation numérique et la digitalisation des métiers et des activités engendrent un accroissement de la dématérialisation des processus et du volume de données gérées par l’entreprise. Cette transformation, davantage accélérée ces dernières années en raison de la situation sanitaire, doit s’accompagner d’une sécurisation adaptée des systèmes et des données afin de protéger Plastic Omnium de toutes attaques informatiques. Politiques et procédures Au sein de la Direction des Systèmes d’Information, la Direction Cyber Défense pilote la protection des données et la sécurité des réseaux. Les règles de sécurité sont formalisées au sein d’une Politique de Sécurité des Systèmes d’Information ainsi que dans une Charte d’utilisation des moyens de communication et des outils informatiques afin d’assurer la coopération de tous les collaborateurs à la préservation des systèmes d’information du Groupe. La capacité à détecter et traiter les incidents cybersécurité est une priorité. Des investissements sont réalisés chaque année pour renforcer la cyber-résilience du Groupe. Plastic Omnium dispose d’un Security Operating Center qui détecte et analyse des évènements de sécurité sur les systèmes d’information. Chaque année, ce dispositif est enrichi de nouveaux contrôles. Après la formalisation d’un processus de gestion de crise cyber en 2020, les équipes informatiques ont réalisé un exercice de simulation de gestion de crise cyber en 2021. Plastic Omnium s’implique dans différentes associations telles que le CLUSIF (Club de la Sécurité de l’Information Français), le CESIN (Club des Experts de la Sécurité de l’Information et du Numérique) et également le CIGREF (Club Informatique des Groupes et Entreprises Français). Ces clubs réunissent les grandes entreprises françaises, dont les constructeurs automobiles, et permettent de mutualiser les informations (dernières attaques subies, échange de bonnes pratiques, nouvelles technologies…). L’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) est également une source d’information essentielle pour veiller aux nouvelles menaces émergentes et s’en prémunir. Le Groupe est particulièrement attentif aux enjeux de protection des données à caractère personnel. En Europe, la protection des données personnelles,

4

161

PLASTIC OMNIUM DOCUMENT D'ENREGISTREMENT UNIVERSEL 2021