QUADIENT - Document d'enregistrement universel 2020

5 DÉCLARATION DE PERFORMANCE EXTRA-FINANCIÈRE Informations sociales, sociétales et environnementales

Initiatives

Résultats 2020

Analyse des incidents de sécurité, de la performance de sécurité • et de l’avancement des projets liés à la sécurité lors des revues mensuelles de sécurité. Intégration de la gestion de crise et de la communication • d'entreprise. Sélection d'un service tiers de gestion des incidents liés • à la sécurité afin d'accroître l'efficacité des réponses en cas d'incidents, en intégrant la capacité d’expertise des incidents et d’enquête judiciaire. Quatre entités sont certifiées ISO 27001 (couvrant 20 • des effectifs). La solution cloud Inspire est également certifiée ISO 27001 et ISO 27018 ( c loud) et répond au référentiel de sécurité Open SAMM. 16 audits de sécurité réalisés en 2020 couvrant les activités • MRS, CXM et BPA. Mise en place d'un Conseil des données (Data Council) • regroupant des parties prenantes de l'ensemble de l'organisation. Extension des pratiques au-delà du RGPD (a) et du CCPA (b) • aux nouvelles législations nécessitant davantage d'attention Sécurité des solutions, Organisation de la protection des données, Conformité de l'entreprise, Organisation digitale et Sécurité de l'information de l'entreprise. Il s'agit de l'autorité suprême de gouvernance technique de la sécurité de l'information au sein de l'entreprise, qui rend compte au Comité exécutif de Quadient. Son rôle consiste notamment, à l'échelle mondiale, à établir des objectifs et des priorités en matière de sécurité de l'information, à procéder à une évaluation des risques en matière de sécurité de l'information, à tenir à jour les politiques de sécurité de l'information et à sensibiliser les personnes à ces politiques et aux pratiques de travail sûres. PROGRAMME DE CERTIFICATION ISO 27001 Quadient déploie actuellement un programme de certification selon le référentiel ISO 27001 couvrant en priorité les sites dont les activités concernent le développement des solutions logicielles, des infrastructures et de leur support. En 2020, quatre entités sont certifiées ISO 27001. La solution cloud Inspire est également certifiée ISO 27001 et ISO 27018. Quadient s'engage à traiter les informations personnelles conformément aux lois et règlements applicables en matière de confidentialité des données. Quadient s'efforce également de renforcer ses bases dans le domaine de la confidentialité des informations personnelles, afin de garantir une sécurité, une manipulation et une destruction appropriées des données et des informations personnelles. Conformément à sa politique générale de confidentialité , Quadient recueille, utilise et conserve les données personnelles lorsque cela s'avère nécessaire pour assurer le bon fonctionnement de l'entreprise. De plus, l'entreprise protège les informations confidentielles et personnelles qui lui sont confiées par ses clients, fournisseurs et autres partenaires commerciaux avec autant de soin qu'elle protège ses propres informations. RESPECT DE LA RÉGLEMENTATION SUR LA PROTECTION DES DONNÉES et de conformité (à savoir les nouvelles lois promulguées aux États-Unis, au Royaume-Uni, en Irlande et au Brésil).

Création d'un nouveau Conseil trimestriel global de la sécurité de l'information

Mise en place d'un nouveau Processus global de gestion des incidents liés à la sécurité permettant d'améliorer le reporting , aligné sur les exigences DPO

Programme de certification ISO 27001

Programme d’audits internes et externes sur la sécurité et tests d’intrusion réguliers sur les systèmes et applications de l’entreprise Programme de protection des données personnelles conforme à la réglementation relative à la protection des données

(a) (b)

Règlement Général sur la Protection des Données.

California Consumer Privacy Act.

UN NOUVEAU MODÈLE OPÉRATIONNEL DE SÉCURITÉ DE L'INFORMATION L’entreprise a défini des politiques de sécurité regroupant les exigences à respecter pour une utilisation correcte et sécurisée de ses propres données et de celles qui lui sont confiées par ses parties prenantes telles que les collaborateurs, les clients, les fournisseurs et autres partenaires. Ces politiques de sécurité ont été déployées dans l’ensemble des pays où est implantée l’entreprise. Elles sont obligatoires et s’appliquent à l’ensemble des entités juridiques et des collaborateurs de Quadient, mais également à l’ensemble des prestataires et consultants, ou toute autre personne, intervenant sur ses sites ou ayant accès à ses systèmes. Dans le cadre de son programme de transformation continue, Quadient a mis en place un nouveau modèle opérationnel de sécurité de l'information. Ce nouveau modèle opérationnel repose sur une orientation ciblée, visant à garantir que l'entreprise dispose de capacités dédiées là où la sécurité est la plus importante, à savoir la protection des données de ses clients, de ses employés et des données personnelles qui sont confiées à Quadient. L'approche holistique adoptée par l'entreprise lui permet de se concentrer en permanence sur les domaines présentant le plus grand risque, et de se donner les moyens de reprendre rapidement ses activités en cas d'incident lié à la sécurité. Les politiques de Quadient sont pratiques et visent à susciter les bons comportements chez ses collaborateurs et ses partenaires, en s'appuyant sur des normes opérationnelles mondiales reconnues. Pour étayer ses pratiques, l'entreprise a obtenu certaines certifications ISO. Le Directeur de la Sécurité de l'Information préside un Conseil de sécurité de l'information qui régit les activités liées à la sécurité des données au sein de l'entreprise. Le Conseil de sécurité de l'information se réunit tous les trimestres. Il est composé de représentants des équipes

116

DOCUMENT D’ENREGISTREMENT UNIVERSEL 2020