SOMFY - Rapport financier annuel 2020

03 DÉCLARATION DE PERFORMANCE EXTRA-FINANCIÈRE

3. Actions

En 2021, suite à l’arrivée d’un nouveau RSSI, plusieurs actions vont être mises en œuvre pour renforcer encore la sensibilisation sur le sujet de la sécurité informatique, avec notamment le démarrage d’un programme global 360° « User Awareness and Training » en collaboration avec la Direction de la Communication et la Direction des Ressources Humaines.

Suite à un audit mené en 2018, le Groupe s’est doté d’un Data Protection Officer (DPO) chargé de la veille en matière de protection des données et du déploiement de la feuille de route. Les chantiers prioritaires visaient la gestion des droits des individus au regard du RGPD, la gestion et la notification des violations de données personnelles, l’élaboration d’une cartographie des flux de données, la complétion des registres de traitement au sein des entités de l’Union européenne (UE), la gouvernance de la donnée au sein du Groupe et la formation et la sensibilisation des collaborateurs. Pour accompagner et optimiser cette mise en conformité, un réseau de référents RGPD, les Privacy champions , a été mis en place et un Comité de pilotage global ( GDPR Steering Committee ) se réunit tous les mois. Les collaborateurs européens de Somfy (hors production) ont suivi une formation e-learning obligatoire (« Mission GDPR »). Cette formation est par ailleurs obligatoire pour tout nouvel arrivant chez Somfy et est en accès libre. La procédure de gestion des incidents RGPD mise en place dans l’outil ASK, afin de tracer et gérer les incidents RGPD dès leur signalement, est actuellement en phase de refonte afin d’être intégrée dans le système global de gestion des incidents informatiques. L’équipe DPO, rattachée à la Direction juridique et composée actuellement de la DPO et d’une chargée de mission Privacy , participe à la veille et à l’accompagnement quotidien des métiers sur la mise en conformité des projets développés au sein du Groupe : nouvelle bannière cookies suite aux recommandations des autorités de contrôle européennes en 2020, intégration du privacy by design dans les projets impactés, recensements et revue des contrats de protection des données suite à l’invalidation du Privacy shield (Arrêt Schrems II de la Cour de Justice de l’Union européenne), réalisation d’analyses d’impact, accompagnement ponctuel de BU hors Union européenne sur des problématiques de protection des données telle que la révision de la Privacy policy aux États-Unis suite à l’entrée en vigueur du CCPA. Enfin, des actions spécifiques, telles que des audits organisationnels ou techniques, ou encore des tests d’intrusion, sont régulièrement menées par des tiers accrédités et indépendants sur différents périmètres du système d’information (infrastructure, applications, équipements) afin d’en identifier les éventuelles vulnérabilités et de définir les actions correctives associées. 4. Résultats et KPIs La formation e-learning de sensibilisation à la protection des données personnelles a été lancée début 2019, avec l’ambition de la déployer progressivement sur l’ensemble de la population cible (collaborateurs des entités européennes du Groupe, hors ouvriers et intérimaires) jusque fin 2020. En 2020, 395 collaborateurs sur 485 ciblés ont terminé la formation « Mission GDPR » avec succès (100 % de la formation avec minimum 80 % de réponses correctes au quiz), soit un taux de formation de 81 %. Entre 2019 et 2020, au total 3 210 collaborateurs ont suivi la formation avec un taux de succès de 84,50 %. Enfin, deux autres e-learning relatifs à la sécurité de l’information ont été déployés en 2020 : Multi-Factor Authentication : 2 442 personnes ont suivi le – module, soit près de 49 % des personnes inscrites (l’ensemble des personnes équipées d’un ordinateur dans le Groupe) ; Security Essentials for Executives : 46 personnes ont suivi le – module soit 82 % des personnes inscrites (périmètre : Comité Exécutif et N-1).

III. ACHATS RESPONSABLES ET TRANSPARENCE DE LA SUPPLY CHAIN

1. Description du risque

La performance de la Supply Chain étendue est une des forces de Somfy et fait partie intégrante de sa proposition de valeur. À ce titre, sa maîtrise et sa transparence sont essentielles. La partie aval, vers le client, est organisée majoritairement en propre afin de servir au mieux l’approche omni-canal. La partie amont est fortement sous-traitée puisque l’activité industrielle du Groupe concerne exclusivement les opérations d’assemblage. Les composants de ses produits sont tous achetés. Les relations avec les fournisseurs et la sous-traitance sont donc importantes pour Somfy. Il est dans sa pratique d’associer toute la chaîne de valeur à son engagement en faveur de la responsabilité sociale et environnementale. De fait, une attention spécifique est apportée dans la prise en compte des exigences Somfy par les partenaires amonts et fait l’objet d’engagements explicites et de revues de performance régulières. 2. Politiques Cette politique est retranscrite dans le cadre contractuel afin de déployer dans la chaîne d’approvisionnement amont les engagements RSE du Groupe, et ce dès l’introduction des nouveaux partenaires : en matière de droits de l’Homme, d’emploi, d’environnement, de loyauté des pratiques et d’anti-corruption, de minéraux de conflits dits « conflicts minerals » et en matière de substances dangereuses. 3. Actions Afin de respecter ses engagements, Somfy pilote une démarche de gestion des risques fournisseurs au moyen d’une cartographie classant les risques de 1-risque faible à 4-risque élevé. Pour soutenir cette démarche, une fonction de coordination des Achats Responsables est créée afin de structurer et consolider les initiatives. Par ailleurs, en France, Somfy est adhérent de l’association Thésame où il cofinance un programme intitulé PEAK qui développe des approches collaboratives et innovantes sur la fonction achat au sein d’une filière. Somfy a cofinancé trois thèses sur le sujet. 4. Résultats et KPIs le taux de localisation des achats, c’est-à-dire à moins de 500 km – du site d’assemblage. En 2020, 40 % des achats répondent à ce critère, chiffre stable par rapport à 2019 dans un contexte d’incertitude sanitaire et économique, limitant les opportunités de développement de nouveaux partenaires. Cet indicateur est calculé pour sept sites de production ou de distribution qui achètent des composants. Les sites de BFT (Italie) et Lian Da (Chine) ne sont pas intégrés ; Les indicateurs suivis par Somfy en matière de relations avec la sous-traitance et les fournisseurs sont :

61

SOMFY – RAPPORT FINANCIER ANNUEL 2020