QUADIENT // Document d'enregistrement universel 2021

4 FACTEURS DE RISQUES ET DISPOSITIFS DE CONTRÔLE INTERNE Facteurs de risques

Mesures de maîtrise des risques Quadient a établi des relations durables avec les régulateurs postaux et la Société a nommé un relais local dans chaque région pour assister le VP des relations postales mondiales. Le dialogue avec les autorités postales donne la plupart du temps à la Société une visibilité suffisante en amont du plan pour qu’elle ait la capacité d'anticiper et répondre à ces évolutions.

agents, intermédiaires, partenaires de joint-venture ou distributeurs. Par ailleurs, dans les contrats et accords produits par Quadient, des clauses de conformité précisent que le non-respect de l’ensemble des clauses des contrats (conformité, éthique, RSE, etc.) constitue un cas de manquement et que la Société a la possibilité de mettre fin au contrat. En 2021, la Société a décidé de mettre en place une nouvelle organisation de la conformité autour d’un centre d’excellence et d’équipes régionales. Plusieurs politiques et pratiques de conformité ont été révisées et mises en œuvre. À titre d’exemple, le dispositif d’alerte a été étendu à l’ensemble des tiers, le processus de diligence raisonnable pour l’intégration des tiers a été revu, une plateforme de gestion des tiers a été mise en place pour évaluer les risques et leur niveau de conformité. Afin de vérifier la conformité de ses opérations, l’équipe conformité travaille main dans la main avec l’équipe contrôle interne et audit interne pour définir les audits et mettre en place des contrôles. La Société évalue ses fournisseurs lors d’audits sur site chaque fois que cela est possible : qualité des composants/produits, paysage industriel, mais aussi critères liés à la RSE (ont-ils un code de conduite, comment forment-ils les collaborateurs, etc.). ACCÉLÉRATION DE LA NOUVELLE RÈGLEMENTATION POSTALE DÉFAVORABLE (ET/OU IMPRÉVUE) À L’ACTIVITÉ DE QUADIENT Description du risque L’activité MRS est soumise à la réglementation postale des pays où la Société exerce ses activités. La Société pourrait être confrontée à des difficultés accrues pour maintenir ses activités dans un pays stratégique suite à la mise en place de nouvelles réglementations par les gouvernements ou les différentes autorités postales, la soustrayant ainsi à sa position dominante. La Société pourrait également perdre ses certifications, ce qui mettrait en péril son activité MRS. Impacts potentiels Ce risque pourrait affecter la société sur les points suivants : financier ; ● attrition du compte de résultat du Groupe : diluer la - valeur de l’offre MRS ; opérationnel ; ● coûts d’adaptation : renouvellement accéléré de la - base installée ; stratégique ; ● la baisse accélérée de la génération d’EBIT par MRS - compromettrait la capacité à investir dans de nouvelles activités ; perte de parts de marché, perte d’accès à certains - marchés, perte du droit d’opérer ou du droit de commercialiser un produit.

PERTE/VOL/CORRUPTION DE DONNÉES ET/OU D’INFORMATIONS Description du risque

Dans le cadre de ses activités, la Société recueille, utilise et traite diverses données clients et collaborateurs, y compris des données personnelles. Au-delà du RGPD dans l’Union européenne, les lois et réglementations relatives aux données personnelles se multiplient dans d’autres pays où la Société exerce ses activités comme les États-Unis, le Canada et le Brésil. Le risque est que la Société perde, altère, détruise ou divulgue accidentellement ou de manière illicite des données ou informations (confidentielles ou personnelles) au détriment de la Société. Impacts potentiels Ce risque pourrait affecter la société sur les points suivants : opérationnel ; ● incapacité à comprendre et à atteindre efficacement - les clients (manque de business Intelligence/ connaissances du marché) ; juridique ; ● sanctions internationales et économiques, condamna- - tion pénale de dirigeants ; poursuites par les personnes concernées ; - financier ; ● amende en cas de non-respect des normes externes - (protection des données, RGPD, etc.) ; réputation ; ● dégradation de la réputation sur le marché. - Mesures de maîtrise des risques Quadient a nommé un délégué à la protection des données en charge de la mise en œuvre du programme de conformité en matière de protection des données. L’équipe de protection des données est composée de DPD régionaux en charge de l’application de la politique de confidentialité des données. Entre autres, ils définissent et maintiennent un registre des traitements de données, répondent aux demandes d’accès aux données des personnes concernées (DSAR), réalisent des évaluations d’impact sur la vie privée (PIA) et des évaluations d’impact sur la protection des données (DPIA), établissent des accords de traitement des données avec les fournisseurs et sous-traitants, et gèrent les incidents de protection des données et les violations de données. L’équipe DPD fait partie de l’équipe conformité et travaille en étroite collaboration avec les équipes de sécurité de l’information, RH et juridiques.

96

DOCUMENT D’ENREGISTREMENT UNIVERSEL 2021