Worldline - Document d'enregistrement universel 2020

DECLARATION DE PERFORMANCE EXTRA-FINANCIERE Promouvoir l’éthique des affaires au sein de la chaîne de valeur

Conformité spécifique au secteur D.4.2.3.2 de la santé L’activité de Worldline dans le secteur de l’e-santé comprend des prestations qui incluent le développement de systèmes d’information traitant des données à caractère personnel concernant la santé et assurant leur hébergement. Ce type de donnée (données à caractère personnel concernant la santé) est particulièrement sensible car il s’agit d’informations confidentielles et personnelles, tel que souligné par le règlement général sur la Protection des Données (RGPD) (cf. Section D.2.4), les « données concernant la santé », sont définies comme « les données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne » 1 . Les activités de développement logiciel et d’hébergement portant sur ces données sensibles imposent le respect spécifique d’un cadre normatif et réglementaire. Depuis 2009, Worldline participe et intègre les définitions de plusieurs standards dans le développement de logiciels, l’interopérabilité et la sécurité des e-services de santé, en synergie avec l’Agence du Numérique en Santé (ANS). Le Cadre d’Interopérabilité des Systèmes d’Information de Santé (CI-SIS) figure parmi les principales normes qui ont émergé, ainsi que la politique générale de sécurité des systèmes d’information de santé (PGSSI-S). Depuis 2005, Worldline a également participé à plusieurs reprises au « Connectathon », une rencontre européenne annuelle qui approuve l’interopérabilité des solutions développées et permet de montrer une véritable expertise en matière d’interopérabilité.

Worldline effectue un suivi systématique et continu de ces standards, de leur évolution et de leur mise en œuvre, afin d’assurer à ses clients la garantie du respect de l’état de l’art, et le contrôle de ces standards par les experts de Worldline. A titre d’exemple, les références et solutions développées par Worldline comprennent trois standards de sécurité informatique qui sont entrées en vigueur en 2018 : Le référencement « INS-C », la certification « DMP-Compatibilité » (destinée à valider la capacité du logiciel à s’interfacer avec le dossier médical partagé (DMP) appliqué par le CNAM) et la certification « logiciel d’aide à la prescription », obtenue pour deux applications afin de sécuriser les prescriptions de médicaments dans les centres de toxicomanie d’une part, et dans les centres de santé maternelle et infantile d’autre part. En novembre 2017, puis en août 2020, le CNAM a confié à Worldline la généralisation du DMP pour tous les citoyens français. Ainsi, le Groupe Worldline a été l’un des premiers fournisseurs à obtenir dès 2010 l’autorisation d’héberger des données à caractère personnel relatives à la santé. En 2019, plusieurs agréments sont actuellement opérationnels pour différents projets gérés par Worldline. La Société a également participé aux démarches de concertation avec l’ANS afin de construire un référentiel de certification s’appuyant entre autres sur son propre feedback et sur des bases concrètes. Ainsi, Worldline a renouvelé en 2019 son autorisation et a obtenu cette nouvelle certification pour l’hébergement de données à caractère personnel relatives à la santé (sur la base du nouveau référentiel d’exigence de l’ANS). prévenir les risques de conformité tels que les pots-de-vin, la corruption, les violations des lois sur la concurrence, le contrôle des exportations et la fraude en général tout au long de sa chaîne de valeur. Grâce à ces mesures, le Groupe n’a fait l’objet d’aucune poursuite, pénalité ni autre sanction non monétaire majeure pour non-respect des lois et réglementations en 2020. Il n’a reçu aucune plainte de clients ou de fournisseurs liée à la corruption. Afin de prévenir les risques, il s’appuie sur plusieurs politiques : Evaluation du comportement éthique des partenaires : ● Tout intermédiaire, partenaire du consortium ou consultant assistant Worldline dans le développement ou le maintien de ses activités est examiné avant le début de toute relation commerciale : son comportement et sa connaissance de l’éthique sont des critères essentiels qui sont vérifiés en amont de toutes relations ; Gestion des risques de fraude liés aux activités de ● Worldline : Le Groupe Worldline, en tant qu’émetteur de traitement, a mis en place toutes les mesures nécessaires, conformément aux meilleures pratiques en vigueur (par exemple, la certification PCI) pour minimiser le risque de violation des données. En tant qu’acquéreur commercial, le Groupe doit s’assurer de la conformité aux règles de sécurité

D

Lutte contre la corruption [GRI 103-1 Anti-corruption] D.4.3

[GRI 103-1 conformité socio-économique] [GRI 103-2 Anti-Corruption] [GRI 103-2 Impacts économiques indirects] [GRI 419-1] [GRI 207-4 reporting pays par pays]

Politiques de lutte contre D.4.3.1

la corruption et contre la fraude en général [GRI 102-17] [GRI 103-2 Anti-Corruption] [GRI 103-2 Impacts économiques indirects] [GRI 207-1 Approche de la fiscalité] [GRI 207-2 Gouvernance fiscal, contrôle et gestion des risques] [GRI 207-3 engagement des actionnaires et gestion des questions fiscales] [GRI 207-4 reporting pays par pays ]

En tant que signataire du Pacte Mondial des Nations Unies depuis 2016, et avec la nomination de Worldline au Conseil d’Administration du Global Compact France en 2020, Worldline a mis en place plusieurs politiques et processus internes pour

1 Article 4(15) RGPD.

177 Document d’Enregistrement Universel 2020