Société Générale / Rapport sur les risques - Pilier 3

12 RISQUE DE NON-CONFORMITÉ, LITIGES CONFORMITÉ

dispositions fiscales particulières. Le Groupe respecte également ses obligations de transparence fiscale pour son compte propre (CbCR - Déclaration Pays par Pays). Le Groupe met actuellement en œuvre la nouvelle directive européenne de transparence des intermédiaires, dite DAC 6, qui impose la déclaration de dispositifs de planification fiscale transfrontières à compter de l’été 2020. Il est à noter en particulier que les établissements teneurs de compte de la ligne métier Banque Privée sont implantés exclusivement dans des États répondant au standard de transparence fiscale le plus élevé posé par le G20 et l’OCDE : ces États ont ratifié la Convention concernant l'assistance administrative mutuelle en matière fiscale, ont mis en oeuvre la norme d’échange automatique de renseignements relatifs aux comptes financiers (CRS) et ont obtenu dans le cadre de la revue des pairs sous l’égide de l’OCDE la note de « largely compliant » et « compliant ». Par ailleurs, la vérification de la conformité fiscale des avoirs déposés dans les livres de la Banque Privée fait l’objet d’une vigilance particulière à travers des diligences documentaires approfondies. Enfin, Société Générale intègre la fraude fiscale dans son dispositif de lutte contre le blanchiment conformément à la réglementation. LUTTE CONTRE LA CORRUPTION Société Générale est pleinement engagée dans la lutte contre la corruption et a pris des engagements clairs dans le cadre du groupe de Wolfsberg et du Pacte Mondial. Le Groupe applique des principes stricts qui sont inscrits dans son Code de conduite et son « Code relatif à la lutte contre la corruption et le trafic d’influence ». Le programme de la Société Générale de lutte contre la corruption s’articule notamment autour des thèmes suivants : code de conduite ; p cartographie annuelle des risques ; p formation appropriée à tous les niveaux (Dirigeants, personnes p exposées, ensemble des collaborateurs) ; Une première mise à jour du cadre normatif a été réalisée en 2018 (instructions Groupe « lutte contre la corruption dans le groupe Société Générale », « cadeaux, repas d’affaires et événements externes ») et de nouvelles instructions sont venues le compléter en 2019 (« Dispositif d’alerte », « Les obligations de connaissance des fournisseurs, Gestion du risque de corruption et de trafic d’influence des fournisseurs de services financiers », « Principes relatifs au Mécénat et Sponsoring », « Principes relatifs à la gestion des ressources humaines (recrutement, évaluations et sanctions disciplinaires », « Procédures relatives aux opérations de croissance externe »)). Société Générale a revu son dispositif d’alerte en déployant sur l’ensemble du groupe une plate-forme internet sécurisée permettant à l’ensemble des collaborateurs tant internes qu’externes et occasionnels, d’exercer leur droit d’alerte. En janvier 2019 une nouvelle instruction a été publiée présentant ce nouveau dispositif. Celui-ci protège les lanceurs d’alerte notamment en garantissant une stricte confidentialité et la protection des données personnelles. dispositifs de contrôle ; p procédures comptables ; p évaluation des tiers ; p régime disciplinaire ; p droit d’alerte. p

En 2019, le Groupe a également déployé un outil de déclaration, d’approbation et de contrôle des cadeaux, repas d’affaires et événements externes. Les contrôles comptables et opérationnels relatifs à l’anticorruption ont également été renforcés. Par ailleurs, afin d’accroître la vigilance de tous les collaborateurs, un programme de formation complet est déployé dans l’ensemble du Groupe. Une formation en ligne applicable à l’ensemble des collaborateurs a été déployée mi-2018, avec un taux de réalisation de 97% à fin décembre 2019. Une formation présentielle a également été réalisée en 2019 auprès de 6 155 collaborateurs et Dirigeants (taux de réalisation de 99,5%), occupant des fonctions particulièrement exposées au risque de corruption. PROTECTION DES DONNÉES Société Générale, en tant que partenaire de confiance privilégié de ses clients, est particulièrement sensible à la protection des données à caractère personnel. L’entrée en vigueur, en mai 2018, du nouveau règlement européen sur la protection des données personnelles (RGPD), qui accroît les obligations de l’entreprise ainsi que le niveau des sanctions en cas de non-respect de ces obligations (jusqu’à 4% du CA), a été pour le Groupe et ses filiales l’occasion de renforcer encore leur dispositif. Dans l’ensemble des implantations du Groupe, des instructions internes et procédures associées, conformes aux réglementations locales et européennes, définissent les règles à appliquer et traitements à réaliser afin de garantir la protection et la sécurité des données de nos clients et de nos collaborateurs. Des dispositifs d’information des personnes et de traitement de leurs demandes sont en place pour leur permettre d’exercer leurs droits, notamment via des plates-formes digitales dédiées. Une politique de sécurisation des données personnelles est définie qui s’intègre à la stratégie du Groupe en matière de sécurité et, en particulier, de cybersécurité. Par ailleurs, dans le cadre du déploiement du RGPD, un effort tout particulier est porté sur la sensibilisation de l’ensemble des collaborateurs au travers de formations dédiées. Un e-learning a ainsi été déployé pour l’ensemble des collaborateurs des entités concernées (taux de réalisation de 97,3% à fin 2019). Enfin, le groupe Société Générale a désigné un Délégué à la Protection des Données ( Data Protection Officer – DPO). Rattaché à la Direction de la conformité du Groupe, et interlocuteur désigné de l’Autorité de Protection des Données Personnelles (la CNIL en France), sa mission est de s’assurer du bon niveau de conformité du Groupe en matière de protection des données personnelles. Il dispose d’un réseau de DPO locaux et de Correspondants répartis au sein des entités du Groupe et chargées de les accompagner sur les dimensions de sécurité et d’usage de la donnée personnelle. Dans le cadre de sa mission, le Délégué à la Protection des Données est amené à suivre de manière régulière un certain nombre d’indicateurs, en particulier le nombre et la nature des demandes d’exercice de droit reçues, le taux de suivi des formations internes ainsi que le programme de certification des DPO locaux lancé fin 2018. RISQUE ET POLITIQUE DE RÉMUNÉRATION Depuis fin 2010, dans le cadre réglementaire défini par la directive européenne CRD3, Société Générale a mis en place une gouvernance spécifique pour la détermination des rémunérations variables. Au-delà des professionnels des marchés financiers, les règles introduites par cette directive s’appliquent à l’ensemble des personnes dont l’activité est susceptible d’avoir une incidence significative sur le profil de risque des établissements qui les emploient, y compris celles exerçant des fonctions de contrôle. Le cadre réglementaire défini par la directive européenne CRD4 s’applique depuis le 1er janvier 2014 et ne modifie pas les règles relatives à la détermination des rémunérations variables des personnes dont l’activité est susceptible d’avoir une incidence sur le

213

| GROUPE SOCIÉTÉ GÉNÉRALE | PILIER 3 - 2020