Worldline - Document d'enregistrement universel 2019

F

ANALYSE DES RISQUES Les activités de Gestion des Risques

critiques. Un suivi continu est réalisé par les Lignes de Services et les gestionnaires de risques pour les contrats déviant de leur plan initial.

titulaires de cartes par les banques et gestion de clés cryptographiques), ainsi que les politiques et solutions de sécurité. Les mesures prises en matière de gestion des risques de sécurité concernent principalement, sans limitation, les mesures physiques, le réseau, la sécurité des systèmes, la protection des données de paiement personnelles, les patchs de sécurité, l’accès logique, la détection des intrusions, l’historique et la surveillance. Le processus de gestion des risques opérationnels du Groupe, supervisé par la division Qualité, Risque Sécurité et Conformité (« Quality Security Risk & Compliance – QSRC »), analyse les menaces et les vulnérabilités relatives à la sécurité pour éviter toute augmentation indésirable de l’exposition aux risques. Un programme formel de sensibilisation aux questions de sécurité est en place pour que tout le personnel soit conscient de l’importance de la sécurité. Chaque année, tous les collaborateurs du Groupe doivent suivre ce programme et attester qu’ils ont lu et compris la politique et les procédures de sécurité du Groupe. Des plans de réponse aux incidents ont été conçus et déployés pour permettre au Groupe de réagir sans délai en cas de violation des systèmes. Gestion des risques environnementaux Les risques environnementaux sont identifiés à plusieurs niveaux au sein du Groupe. Au niveau mondial, les risques environnementaux inhérents sont identifiés dans le cadre de l’analyse extra-financière du Groupe (voir Section D.5.1.1). Plus précisément, les risques climatiques de Worldline ont été détaillés en 2019 selon le cadre du questionnaire Carbon Disclosure Project (CDP) (voir Section D.5.2.1.1). Sur la base d’une série d’ateliers organisés avec des fonctions transversales clés et sur les données de l’entreprise (implantations des sites, etc.), une analyse des scénarios climatiques a été réalisée et a permis d’identifier les risques et opportunités climatiques les plus significatifs. La méthodologie utilisée s’aligne également sur le cadre TCFD et est basée sur le cadre existant de gestion des risques d’entreprise de Worldline. Cette analyse sera mise à jour régulièrement. Au niveau local, les risques environnementaux sont identifiés grâce au système de management environnemental ISO 14001 (voir Section D.5.1.2.1). Un certain nombre d’artefacts, comme les exigences des parties intéressées (parties prenantes) en matière d’analyse environnementale et de conformité légale, permettent d’identifier les risques environnementaux. Gestion des risques de conformité Le Groupe a mis en place diverses politiques, allant de la charte de conformité à la politique de lutte contre la corruption, pour faire face à tout risque de non-conformité. Le risque de non-conformité est défini comme l’exposition à des amendes ou à des pénalités, à des impacts financiers, à des pertes matérielles, à des atteintes à la réputation, à l’incapacité d’opérer sur des marchés clés, auxquels Worldline peut être confronté en raison de non-respect de lois, de la réglementation ou des principes éthiques spécifiques (tels que décrits dans le Code d’éthique).

Activités de gestion des risques F.1.2.5 spécifiques Sécurité des données de cartes En tant que processeur de cartes de paiement, le Groupe a pris connaissance et s’est engagé dans toutes les mesures requises (dont l’obtention de la certification PCI et les règles relatives aux cartes de paiement) pour minimiser les risques relatifs à la protection des données. Dans le cadre de ses activités d’acquéreur commercial, le Groupe doit assurer sa conformité aux règles de sécurisation des paiements fixées par les organismes délivrant la certification PCI. Le département Gestion des Risques de Fraude du Groupe a mis en place diverses politiques et procédures spécifiques afin de faire face à ces risques.  Gestion des risques de fraude Le Groupe a développé une application « Détection et Résolution de Fraudes » ( Fraud Detection and Reaction ou FD&R) qui permet de détecter une fraude de paiement quasiment en temps réel à partir d’une application d’analyse de données. Les procédures d’atténuation des risques du Groupe ont été améliorées, avec des fonctions supplémentaires visant à limiter les risques résiduels, telles que le geo-blocking, le blocage en temps réel, la désactivation de secours et les systèmes de back-up. Gestion du risque relatif aux services non rendus Le Groupe a développé un processus d’analyse de l’exposition au risque relatif aux services non rendus permettant de gérer et limiter l’exposition au risque d’acquisition par la prise de garanties et de sûretés. Ce processus prend en compte le ratio risque/bénéfice et inclut un examen continu de l’exposition financière et du risque de défaut du client. Le Groupe dispose d’une politique de lutte contre le blanchiment d’argent et le financement du terrorisme. Cette politique s’applique également, le cas échéant, aux sociétés dont le Groupe a pris le contrôle. Elle définit les principes généraux de lutte contre le blanchiment d’argent, le principe Know Your Customer (KYC) – en français, « Connais ton client » et la répartition des responsabilités entre la division Sales & Marketing et la division Service Clients. Politique de lutte contre le blanchiment d’argent et le financement du terrorisme Gestion des risques de sécurité au sein du Groupe Le Groupe a mis en place une fonction dédiée à la gestion des risques de sécurité, qui recouvre la sensibilisation aux questions de sécurité, à la gestion des identités et des accès (par ex. : examen de l’accès aux systèmes de production et aux données et fonctionnalités, accès aux données des

330

Document d’Enregistrement Universel 2019