Worldline - Document d'enregistrement universel 2020

F

ANALYSE DES RISQUES Les activités de Gestion des Risques

Politique de lutte contre le blanchiment d’argent et le financement du terrorisme Le Groupe dispose d’une politique de lutte contre le blanchiment d’argent et le financement du terrorisme. Cette politique s’applique également, le cas échéant, aux sociétés dont le Groupe a pris le contrôle. Elle définit les principes généraux de lutte contre le blanchiment d’argent, le principe Know Your Customer (KYC) – en français, « Connais ton client » et la répartition des responsabilités entre la division Sales & Marketing et la division Service Clients en conformité avec les différentes réglementations applicables au Groupe. Le Groupe a mis en place une fonction dédiée à la gestion des risques de sécurité, qui recouvre la sensibilisation aux questions de sécurité, à la gestion des identités et des accès (par ex. : examen de l’accès aux systèmes de production et aux données et fonctionnalités, accès aux données des titulaires de cartes par les banques et gestion de clés cryptographiques), ainsi que les politiques et solutions de sécurité. Les mesures prises en matière de gestion des risques de sécurité concernent principalement, sans limitation, les mesures physiques, le réseau, la sécurité des systèmes, la protection des données de paiement personnelles, les patchs de sécurité, l’accès logique, la détection des intrusions, l’historique et la surveillance. Le processus de gestion des risques opérationnels du Groupe, supervisé par la division Qualité, Risque et Sécurité (« Quality Security Risk – QSR »), analyse les menaces et les vulnérabilités relatives à la sécurité pour éviter toute augmentation indésirable de l’exposition aux risques. Un programme formel de sensibilisation aux questions de sécurité est en place pour que tout le personnel soit conscient de l’importance de la sécurité. Chaque année, tous les collaborateurs du Groupe doivent suivre ce programme et attester qu’ils ont lu et compris la politique et les procédures de sécurité du Groupe. Des plans de réponse aux incidents ont été conçus et déployés pour permettre au Groupe de réagir sans délai en cas de violation des systèmes. Gestion des risques environnementaux Les risques environnementaux sont identifiés à plusieurs niveaux au sein du Groupe. Au niveau mondial, les risques environnementaux inhérents sont identifiés dans le cadre de l’analyse extra-financière du Groupe (voir Section D.5.1.1). Plus précisément, les risques climatiques de Worldline ont été détaillés en 2019 selon le cadre du questionnaire Carbon Disclosure Project (CDP) (voir Section D.5.2.1.1). Sur la base d’une série d’ateliers organisés avec des fonctions transversales clés et sur les données de l’entreprise (implantations des sites, etc.), une analyse des scénarios climatiques a été réalisée et a permis d’identifier les risques et opportunités climatiques les plus significatifs. La méthodologie utilisée s’aligne également sur le cadre TCFD et est basée sur le cadre existant de gestion des risques d’entreprise de Worldline. Cette analyse sera mise à jour régulièrement. Gestion des risques de sécurité au sein du Groupe

Le process ARROW décrit sous le Chapitre F.1.2.2 ci-dessus fait partie intégrante de l’organisation de la gestion des risques.

Le Comité de Gestion des Risques F.1.2.4 du Groupe Un Comité de Gestion des Risques du Groupe se réunit mensuellement pour examiner les contrats les plus critiques, les projets internes et les services à risque et pour examiner périodiquement les risques opérationnels majeurs. Ce Comité est présidé par le Directeur Général Délégué de Worldline. Les membres permanents du Comité comprennent le Directeur Financier du Groupe, le Directeur des Opérations du Groupe, le Directeur Juridique du Groupe, ainsi que chaque Directeur de Ligne de Services. Le Comité des Comptes procède chaque trimestre à une revue détaillée de tous les contrats majeurs critiques et des litiges majeurs. Un suivi continu est réalisé par les Lignes de Services et les gestionnaires de risques pour les contrats déviant de leur plan initial. Sécurité des données de cartes En tant que processeur de cartes de paiement, le Groupe a pris connaissance et s’est engagé dans toutes les mesures requises (dont l’obtention de la certification PCI et les règles relatives aux cartes de paiement) pour minimiser les risques relatifs à la protection des données. Dans le cadre de ses activités d’acquéreur commercial, le Groupe doit assurer sa conformité aux règles de sécurisation des paiements fixées par les organismes délivrant la certification PCI. Le département Gestion des Risques de Fraude du Groupe a mis en place diverses politiques et procédures spécifiques afin de faire face à ces risques. Gestion des risques de fraude Le Groupe a développé une application « Détection et Résolution de Fraudes » ( Fraud Detection and Reaction ou FD&R) qui permet de détecter une fraude de paiement quasiment en temps réel à partir d’une application d’analyse de données. Les procédures d’atténuation des risques du Groupe ont été améliorées, avec des fonctions supplémentaires visant à limiter les risques résiduels, telles que le geo-blocking , le blocage en temps réel, la désactivation de secours et les systèmes de back-up. Gestion du risque relatif aux services non rendus Le Groupe a développé un processus d’analyse de l’exposition au risque relatif aux services non rendus permettant de gérer et limiter l’exposition au risque d’acquisition par la prise de garanties et de sûretés. Ce processus prend en compte le ratio risque/bénéfice et inclut un examen continu de l’exposition financière et du risque de défaut du client. Activités de gestion des risques F.1.2.5 spécifiques

338

Document d’Enregistrement Universel 2020