2.5 Respecter nos engagements en matière d’éthique des affaires
Le Groupe BPCE s’est doté d’un « Code de conduite et d’éthique groupe » en 2018. Celui-ci a été validé par le comité de direction générale et le conseil de surveillance après examen par le comité coopératif et RSE.
Il s’agit d’un code reposant sur des valeurs et des standards internationaux. Il comprend un message de la direction générale et des principes de conduite articulés en trois parties – intérêt du client, responsabilité employeur et responsabilité sociétale – avec une approche métiers pour les cas pratiques.
Le Code concerne toutes les entités et collaborateurs du Groupe BPCE. En complément, Natixis dispose également d’un Code de conduite publié début 2018, qui définit les grands principes sur lesquels pourront s’appuyer les collaborateurs de l’entreprise, dans leurs relations avec les différentes parties prenantes de Natixis : clients, équipes, actionnaires, et la société dans son ensemble.
Ces règles de conduite sont illustrées par des situations concrètes dans lesquelles peuvent se retrouver tout collaborateur au sens large, dirigeant, administrateur et toutes parties prenantes. Les mises en situation édictées servent de points de repère pour les aider à discerner quelle est la bonne décision à prendre dans l’exercice de leur métier.
Si le Code de conduite, ainsi que les politiques et procédures internes en vigueur fournissent des directives claires sur les comportements à tenir, il ne saurait prévoir une règle pour chaque situation. Le collaborateur devra faire preuve de discernement et procéder par analogie pour prendre la bonne décision, en s’appuyant sur les principes du Code de conduite.
Une formation réglementaire, de type e-learning, a été élaborée pour acter de la prise de connaissance des principes du Code de conduite éthique. Cette formation est obligatoire pour tous les collaborateurs du Groupe ainsi que pour tous les nouveaux entrants. Ainsi, au 31 décembre 2021, 93,6 % des collaborateurs inscrits, incluant ceux de Natixis, ont suivi la formation.
Une autre formation intitulée « Les Incontournables de l’Éthique » complète le dispositif ; composée de 15 saynètes illustratives de cas concrets de comportements à proscrire.
Depuis fin 2019, un tableau de bord « conduite et éthique », couvrant le périmètre du Groupe, recense 36 indicateurs collectés auprès de toutes les entités du Groupe, est présenté deux fois par an au comité coopératif et RSE du conseil de surveillance (cinquième édition présentée en décembre 2021). Il rassemble des données et informations sur le déploiement du dispositif, les incidents, les sanctions disciplinaires et la typologie des manquements.
Le Groupe BPCE dispose d’un dispositif d’alerte précisant la procédure applicable dans toutes les entités du Groupe, tel que prévu par la loi du 9 décembre 2016 (loi Sapin 2) et l’arrêté du 3 novembre 2014 relatif au contrôle interne des entreprises du secteur bancaire. La procédure d’alerte actuelle s’applique à tous les salariés internes, ainsi qu’aux personnels externes et occasionnels, qui peuvent recourir à la procédure s’ils ont connaissance de tout crime, délit, violation grave de la loi, menace ou atteinte grave à l’intérêt général ou à tout comportement ou une situation qui enfreint le Code de conduite. Les entités du Groupe BPCE protègent les lanceurs d’alerte.
Le détail du processus de signalement d’alerte et la marche à suivre en tant que lanceur d’alerte sont mis à disposition sur le site Internet du Groupe : Éthique et conformité : les actions et engagements du Groupe BPCE. Dans cette procédure, les coordonnées d’une hotline y sont référencées avec une possibilité de signalement anonyme si souhaité par le lanceur d’alerte. Enfin, afin de protéger les lanceurs d’alerte, tous les signalements sont traités de manière confidentielle.
La majorité du Groupe BPCE est de langue maternelle française mais la procédure est également disponible en version anglaise. Le sujet étant important, des campagnes de communications sont faites pour rappeler l’existence de ce dispositif notamment sur le site d’échange entre collaborateurs Yammer.
En 2021, le Groupe a actualisé les dispositifs encadrant les volets « Lanceurs d’alerte », « Conflits d’intérêts », ainsi que les « cadeaux et avantages » :
un dispositif de recueil et de traitement d’alertes professionnelles sur les faits graves, dont les délits de corruption et de trafic d’influence, a été mis à jour en 2021 afin de renforcer la protection des lanceurs d’alertes. Les alertes portant sur des faits de corruption font l’objet d’un reporting groupe anonymisé.
En complément, le Groupe finalise une norme récapitulant l’ensemble des règles relatives à la déontologie. Ce dernier document définit notamment les missions des acteurs, présente les principaux éléments du cadre réglementaire, enfin indique les éléments du dispositif relatif à la Déontologie en incluant le contrôle.
2.5.1 Encadrer les activités du Groupe en matière d’éthique des affaires
Le Groupe BPCE condamne la corruption sous toutes ses formes et en toutes circonstances, y compris les paiements de facilitation. Dans ce cadre, il est membre participant du Global Compact (Pacte Mondial des Nations Unies) dont le dixième principe concerne l’action « contre la corruption sous toutes ses formes y compris l’extorsion de fonds et les pots-de-vin ».
Les collaborateurs du Groupe sont tenus de respecter les règles et procédures internes qui contribuent à prévenir et détecter les comportements susceptibles de caractériser des faits de corruption ou de trafic d’influence. Les règles et procédures suivantes permettent de se conformer aux exigences introduites par l’article 17 de la loi du 9 décembre 2016, relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique (« Sapin 2 ») :
la cartographie d’exposition aux risques de corruption des entités du Groupe : en 2021, la méthodologie de cartographie a été revue afin d’en améliorer la pertinence. Les échanges avec les métiers nécessaires à l’exercice de cartographie ont permis d’identifier et d’évaluer les risques de corruption, active comme passive, directe ou indirecte (complicité), et d’aboutir à une vision partagée des enjeux de la lutte contre la corruption ;
le respect par les collaborateurs du Code de conduite et des règles de déontologie et d’éthiques professionnelles, relatives à la prévention des conflits d’intérêts, la politique en matière de cadeaux, avantages et invitations, les principes de confidentialité et de secret professionnel. Des sanctions disciplinaires sont prévues pour manquement au respect des règles professionnelles régissant les activités des entreprises du Groupe. La politique groupe « cadeaux, avantages et invitations » formalisée en 2021 prévoit un seuil maximum de 150 euros (au premier euro pour les agents publics) pour les cadeaux reçus ou donnés, seuil au-delà duquel une autorisation préalable de la hiérarchie, et une déclaration à la Conformité sont requises ;
la formation aux règles de l’éthique professionnelle et de la lutte contre la corruption sous forme d’e-learning présente des cas concrets illustratifs de comportements susceptibles de constituer des faits de corruption ou des manquements à la probité. Elle est obligatoire pour tous les nouveaux entrants et, depuis 2021, pour l’ensemble des collaborateurs ;
un dispositif de recueil et de traitement d’alertes professionnelles sur les faits graves dont les délits de corruption et de trafic d’influence. Depuis 2021, les alertes portant sur des faits de corruption font l’objet d’un reporting groupe anonymisé.
la filiale BPCE Achats est chargée d’évaluer les fournisseurs dont le montant total d’achats au niveau du Groupe est au moins de 50 000 euros. Cette évaluation, qui prend en compte un certain nombre de critères (catégorie d’achat, critère géographique, informations négatives sur le fournisseur…) conduit si nécessaire à des diligences complémentaires visant à apprécier le risque in fine au regard notamment des mesures anti-corruption mises en place par le fournisseur ;
l’encadrement des relations avec les intermédiaires (dont les apporteurs d’affaires) et les clients est désormais standardisé au sein de contrat groupe qui comporte des clauses anti-corruption. Des comités d’agréments sont prévus. La Banque de Grande Clientèle procède par ailleurs à l’évaluation de ses clients au regard du risque de corruption. Les clauses anti-corruption des conventions de compte clients ont été étoffées en 2021 afin de permettre le recueil d’informations complémentaires auprès des clients personnes morales ;
le dispositif de contrôle interne et de contrôle comptable : le Groupe BPCE dispose d’un corpus étendu de normes et procédures encadrant de manière générale la stricte séparation des fonctions opérationnelles et de contrôle incluant notamment :
un système de délégations en matière d’octroi de crédit et de relations avec les personnes politiquement exposées,
dans le cadre de l’organisation du contrôle interne, des plans de contrôle permanent contribuent à la sécurité du dispositif. En 2021, les éléments de ce dispositif ont été explicitement fléchés vers les risques de corruption identifiés par les métiers dans la nouvelle cartographie des risques.
Le Groupe BPCE dispose également de normes et procédures comptables conformes aux standards professionnels. Le dispositif de contrôle interne groupe relatif à l’information comptable s’appuie sur une filière contrôle financier structurée qui vise à vérifier les conditions d’évaluation, d’enregistrement, de conservation et de disponibilité de l’information, notamment en garantissant l’existence de la piste d’audit. En 2020, un référentiel groupe de contrôles participant à la prévention et à la détection de fraude et de faits de corruption ou de trafic d’influence a été formalisé. Dans ce cadre, une vigilance est notamment apportée aux dons, sponsoring et mécénat.
Plus globalement, ces dispositifs sont formalisés et détaillés dans la charte relative à l’organisation du contrôle interne groupe et la charte des risques, de la conformité et des contrôles permanents.
La politique de prévention de la corruption de Natixis est disponible sur son site internet https://www.natixis.com/natixis/jcms/ala_5383/fr/compliance
Ce domaine couvre notamment la lutte contre le blanchiment des capitaux et le financement du terrorisme ainsi que le respect des sanctions internationales visant des personnes, des entités ou des pays.
La prévention du blanchiment des capitaux et du financement des activités terroristes au sein du Groupe BPCE repose sur :
des principes de relations avec la clientèle visant à prévenir les risques qui sont formalisés et font l’objet d’une information régulière auprès du personnel,
un dispositif harmonisé de formation des collaborateurs du Groupe, avec une périodicité au moins bisannuelle, et des formations spécifiques à la filière sécurité financière ;
une équipe dédiée à la sécurité financière au sein de tous les établissements conformément aux chartes du Groupe BPCE. Au sein du Secrétariat général, un département anime la filière relative à la prévention du blanchiment et du financement du terrorisme. Il définit la politique en matière de sécurité financière pour l’ensemble du Groupe, élabore et fait valider les différentes normes et procédures et s’assure de la prise en compte des risques de blanchiment et de financement du terrorisme lors de la procédure d’agrément de nouveaux produits et services commerciaux par le Groupe ;
un reporting interne destiné aux dirigeants et aux organes délibérants, ainsi qu’à l’organe central ; et
des diligences adaptées conformément à la réglementation. En effet, les établissements disposent de moyens, largement automatisés, de détection des opérations atypiques, adaptés à leur classification des risques. Les alertes sont principalement traitées par les réseaux, au plus près de la connaissance client. Celles qui sont identifiées comme générant un doute qui n’a pu être levé sont transmises au département de la sécurité financière, lui permettant d’effectuer, le cas échéant, les examens renforcés et les déclarations nécessaires auprès de Tracfin (traitement et action contre les circuits financiers clandestins) dans les délais les plus brefs.
Les déclarations sont adressées au titre du blanchiment ou du financement du terrorisme et/ou de la fraude fiscale. La classification des risques groupe intègre la problématique des pays « à risque » que ce soit au plan du blanchiment, du terrorisme, de la fraude fiscale, ou de la corruption, ainsi que le statut de personne politiquement exposée du client ou de ses bénéficiaires effectifs pour les personnes morales. Les opérations des clients à risque font l’objet d’une vigilance particulière. Le dispositif du Groupe a été renforcé dès 2018 avec la mise en place d’un référentiel et de scénarios (générant des alertes) automatisés, adaptés régulièrement aux évolutions des risques liés au financement du terrorisme.
S’agissant du respect des mesures restrictives liées aux sanctions internationales, les établissements du Groupe sont dotés d’outils de filtrage qui génèrent des alertes sur les clients (gel des avoirs de certaines personnes ou entités) et sur les flux internationaux (gel des avoirs et pays faisant l’objet d’un embargo européen et/ou américain).
Sur l’exercice écoulé, le Groupe BPCE a intensifié son dispositif d’encadrement veillant au respect des sanctions financières internationales et des embargos afin de gagner en efficacité. Après la constitution d’une équipe centrale de traitement des alertes en 2020, le dispositif d’encadrement s’est enrichi avec une formation présentielle sur le traitement des alertes sanctions et une amélioration des outils de filtrage des clients et des opérations.
L’outil de détection des personnes politiquement exposées a été optimisé pour gagner en efficacité et en fiabilité.
Dans le cadre du programme engagé par le Groupe en 2020 d’actualisation de la connaissance client en fonction des risques de blanchiment et de financement du terrorisme, une action de remédiation portant sur les dossiers incomplets des clients présentant un risque élevé a été menée en 2021.
Les échanges d’informations intra-groupe ont été élargis aux différentes catégories de clientèles présentant un risque LCB-FT élevé.
Un module de certification consacrant l’expertise professionnelle des collaborateurs de la filière sécurité financière a été déployé.
Le contexte exceptionnel de la crise sanitaire liée à la pandémie de COVID 19 a permis de tester les dispositifs de continuité d’activité et de travail à distance, et n’a pas conduit à une réduction de la vigilance LCB-FT sur la clientèle et sur les opérations.
|
2021 |
2020 |
Évolution 2020-2021 |
Part des salariés formés aux politiques, procédures anti-blanchiment de l’entité (calculé à partir des déclarations des entités) (1) |
93 % |
82 % |
13,4 % |
(1)
Nombre de collaborateurs (CDD, CDI, alternants) ayant reçu la formation lutte anti-blanchiment depuis moins de deux ans au 31 décembre N. |
|||
Le Groupe BPCE a mis en place un dispositif commun de lutte contre la fraude interne, le non-respect du règlement intérieur et les manquements déontologiques, en lien avec le Code de conduite et d’éthique du Groupe. Ce dispositif permet de répondre aux exigences des autorités de tutelle et de mutualiser les moyens et les travaux réalisés par les établissements. Il est formalisé dans une procédure-cadre et se compose des éléments suivants :
des requêtes de détection, notamment d’opérations potentiellement frauduleuses dont des clients vulnérables pourraient être victimes, complétées par des sources complémentaires de remontée d’alertes ;
des outils de sensibilisation et d’information (en fonction de leur spécificité, les établissements peuvent décliner des actions de sensibilisation qui leur sont propres) ;
Exerçant principalement en France son activité bancaire au travers ses réseaux de banque de détail, le Groupe BPCE exerce également son activité à l’étranger par l’intermédiaire notamment de sa filiale Natixis.
À cet égard, l’implantation du Groupe à l’étranger se justifie par le besoin d’accompagnement commercial de ses clients ce qui exclut toute considération d’implantation offshore à raison de l’existence de régimes fiscaux privilégiés dans certaines juridictions. La politique fiscale du Groupe BPCE est déterminée par BPCE SA. Les entreprises du Groupe sont cependant responsables de sa mise en œuvre au titre de leurs activités respectives.
Le Groupe BPCE s’assure de sa parfaite conformité avec l’ensemble des réglementations fiscales applicables à ses activités. À ce titre, le Groupe BPCE veille à s’acquitter de sa juste contribution aux finances publiques. En France, au titre de l’exercice 2021, le montant des impôts sur le résultat s’élève à 1946 millions d’euros auxquels s’ajoutent les taxes et contributions bancaires pour un montant de 535 millions d’euros.
En 2021, une étude d’Eurotax Observatory publiée le 21 septembre a examiné les implantations dans les états faiblement taxés de 36 groupes bancaires européens sur la période 2014-2020. Il est relevé que seuls 2,2 % des profits du Groupe BPCE sont réalisés dans des États ou territoires faiblement imposés, comparés à une moyenne de 20 % s’agissant des autres banques européennes du panel de l’étude.
Cette même étude constate que le taux effectif d’impôt du Groupe BPCE est de 30 %, plaçant celui-ci parmi les plus élevés parmi les banques européennes. En effet, le taux effectif d’imposition moyen du panel des groupes bancaires européen se situe à 20 %, le plus bas observé étant à 10 %.
Le Groupe BPCE a continué, en 2021, de solliciter l’administration fiscale pour sécuriser le traitement fiscal d’opérations en matière d’impôt sur les sociétés et de TVA dans le cadre du Partenariat fiscal avec le ministère de l’Action et des comptes publics actif depuis 2019. Ce dialogue régulier et transparent avec l’administration a couvert des domaines variés du droit fiscal et a notamment porté sur des opérations financières de grande ampleur. Le Groupe BPCE a été la première banque admise dans ce nouveau dispositif.
Le Groupe BPCE s’est doté d’un Code de conduite fiscale décrivant les principes et le cadre général qui guident l’ensemble des entités du Groupe tant en ce qui concerne leur fiscalité propre que celle applicable à leurs clients, ou encore dans le cadre de leur relation avec les autorités fiscales. Ce code sera diffusé en 2022 et s’imposera à l’ensemble des collaborateurs du Groupe.
Le Groupe BPCE s’attache à mettre en œuvre les réglementations internationales et européennes visant à réduire l’impact sur le budget des États, de structures tirant parti de réglementations plus favorables.
Ainsi, les entités du Groupe établies dans un pays de l’Union européenne ont, au cours de l’année 2021, achevé le déploiement des procédures qui permettront de respecter l’obligation imposée par la réglementation européenne de détecter et le cas échéant de déclarer des dispositifs transfrontières présentant une certaine agressivité d’un point de vue fiscal.
Ce déploiement concerne tant les opérations réalisées par les clients que celles mises en place par les entités du Groupe elles-mêmes.
La France a, par un arrêté du 26 février 2021, publié au Journal Officiel le 4 mars 2021, mis à jour sa liste des états et territoires non coopératifs (ci-après « ETNC »).
Anguilla, Îles Vierges Britanniques, Panama, Seychelles, Vanuatu, Fidji, Guam, Îles Vierges américaines, Samoa américaines, Samoa, Trinité et Tobago, Palaos, Dominique.
Le nouvel arrêté exclut de la liste les Bahamas et Oman. En revanche, Dominique et des Palaos sont incluses dans la liste des ETNC.
On notera que la liste française des ETNC est aujourd’hui identique à la liste UE à la seule exception des Iles Vierges britanniques qui demeurent inscrites sur la liste française mais non sur la liste UE.
Le Groupe n’est pas présent dans la liste des ETNC à l’exception de manière très marginale sur les territoires des Iles Fidji et Vanuatu. Ces implantations répondent aux seuls besoins d’accompagnement commercial de ses clients.
Le Groupe BPCE ne soutient directement aucune formation politique spécifique, que cela soit sous forme de don, de mécénat ou de tout autre moyen. Le Groupe respecte une stricte neutralité en matière politique. En revanche, en tant qu’acteur bancaire de premier plan en France, les établissements du Groupe BPCE contribuent au financement de la vie publique, en application du cadre législatif et réglementaire strict existant en France en la matière, et dans le respect des règles sur la connaissance client, la lutte anti-blanchiment (LAB) et des personnes politiquement exposées (PPE). Son intervention se situe donc à deux niveaux :
en tant que teneur de compte : les établissements du Groupe se conforment aux obligations des articles L. 52-6 et L. 52-6-1 du Code électoral français, qui prévoient notamment que tout mandataire financier désigné par son candidat à l’occasion d’une campagne électorale, a droit à l’ouverture d’un compte de campagne et à la mise à disposition des moyens de paiement nécessaires par l’établissement teneur de compte. Ce principe est directement appliqué par l’établissement bancaire lorsqu’il a accepté l’ouverture de compte, ou dans le cadre d’une procédure contrainte Banque de France. Pour mémoire, Le contrôle du dispositif de ce droit au compte est assuré en France par l’ACPR (Autorité de contrôle prudentiel et de résolution). Enfin, il est à noter que les comptes du mandataire à l’issue de l’élection sont annexés au compte de campagne du candidat et seront soumis in fine au contrôle de la Commission Nationale des Compte des Campagne et des Financements Politiques (CNCCFP) ;
en tant que financeur : via des crédits accordés aux candidats personnes physiques qui en ont fait la demande auprès de l’établissement. Ces crédits sont accordés selon les règles en vigueur dans les établissements de crédit, conformément à la législation et la réglementation nationale et européenne. En la matière, comme pour tout crédit, nos Établissements appliquent une politique de risque et de prêt responsable, combinée à une analyse de solvabilité de l’emprunteur, de sa capacité personnelle à rembourser et à un apport de garantie (personnelle ou tiers, biens immobiliers, nantissement valeurs mobilières, assurance emprunteur, etc.). Par ailleurs, du fait de la nature particulière du financement, les établissements prennent également en compte le plafond de dépenses, ainsi que le risque, non maîtrisable, d’invalidation des comptes de campagne et de non-remboursement aux candidats concernés d’une partie des frais par l’État. Enfin, tout comme pour la tenue de compte, les établissements s’assurent du respect des règles anti-blanchiment et des Personnes Politiquement Exposées (PPE).
Enfin, le Groupe BPCE est en rapport constant avec la médiation du crédit aux candidats et aux partis politiques mise en place par l’article 28 de la loi no 2017-1339 du 15 septembre 2017 pour la confiance dans la vie politique.
En tant que banque coopérative engagée au service de ses clients sociétaires, au cœur même des territoires, les établissements du Groupe BPCE entendent contribuer de manière constructive au débat public, en fournissant aux décideurs et à la société civile, des éléments d’information sur les changements socio-économiques au niveau régional, national ou international, ainsi que sur le secteur bancaire et ses évolutions. L’objectif du Groupe BPCE est de contribuer activement à l’espace de réflexion et de participer en tant que partie prenante à une prise de décision collective, juste et éclairée. Les actions de représentation d’intérêt du Groupe BPCE s’inscrivent donc strictement dans ce cadre. En matière de représentation d’intérêt, au-delà du respect de ses règles de déontologie et de ses valeurs coopératives, BPCE applique toutes les réglementations en vigueur, ainsi que tous les codes d’éthique auxquels ses interlocuteurs publics et les différentes associations de Place dont il est membre, sont tenus de se conformer.
Par ailleurs, en France, BPCE est inscrit au registre des Représentants d’Intérêts « AGORA », conformément aux obligations légales découlant de la loi française no 2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique, ainsi qu’aux directives de la Haute autorité pour la vie publique (HATVP). Dans ce contexte, Le Groupe BPCE rend compte de ses actions, engagements et dépenses à la HATVP avec les informations requises par la loi (https://www.hatvp.fr/fiche-organisation/?organisation=493455042).
Enfin, au niveau européen, Le Groupe BPCE est également inscrit au registre de transparence de la Commission Européenne. Pour mémoire, ce registre est une base de données qui répertorie les organisations qui tentent d’influencer le processus d’élaboration des lois et de mise en œuvre des politiques des institutions de l’UE (https://ec.europa.eu/transparencyregister/public/consultation/displaylobbyist.do?id=179370613236-62).
2.5.2 Protéger les données clients et développer une culture de cybersécurité
Une politique de protection des données Groupe est en place depuis 2021, fixant l’organisation type, les rôles des différents intervenants, et l’application des grandes lignes du RGPD (Règlement général sur la protection des données) au sein du Groupe. L’adoption de l’outil DRIVE/ARCHER, également commun à la sécurité des systèmes d’information, à la lutte contre la cybercriminalité et à la continuité d’activité, permettra d’exploiter de façon optimale les synergies entre ces différentes activités. Cet outil accueille en 2021 les registres de chacune des entités du Groupe, et permet la formalisation des contrôles permanents RGPD de niveau 2 et le suivi des plans d’action associés. En 2022, le traitement des incidents impactant les données personnelles sera centralisé, pour l’ensemble du Groupe sur l’outil Drive.
Le troisième pilier du modèle relationnel 3D « Données Utiles » du plan stratégique BPCE 2024 (cf. partie 2.2.4) propose une personnalisation des solutions apportées en fonction des besoins des clients et gestion des consentements pour que le client reste toujours maître de ses données. Dans ce cadre, le projet RGPD a poursuivi la diffusion de la culture de la protection des données personnelles au sein du Groupe BPCE, des réseaux et des filiales.
Le suivi de cette conformité au RGPD continue de bénéficier d’un haut niveau de sponsoring, avec la présence de trois membres du CDG de BPCE au comité trimestriel de pilotage exécutif.
en avril 2021, avec la mise en conformité des cookies suite aux nouvelles lignes directrices de la CNIL qui prévoient désormais un recueil du consentement des internautes sur tous les sites internet des établissements du Groupe BPCE ;
avec la mise en œuvre d’un chantier sur le recueil du consentement notamment pour les usages intégrant l’utilisation des données de paiement qui ne pourraient être couvertes par l’intérêt légitime(1). Ce recueil de consentement devrait intégrer un Privacy Center dont l’objet serait la gestion des consentements du client et la gestion de la mise à disposition d’un certain nombre d’informations.
L’utilisation des données est prioritairement réalisée au travers d’un Datalake présentant des conditions de sécurité optimales et chaque nouveau cas d’usage fait l’objet d’une validation par un comité des usages (qui se réunit tous les deux mois) afin de garantir le respect du RGPD et un usage éthique de la donnée.
Au cours du second semestre 2021, un cycle de sensibilisation du RGPD pour l’ensemble des collaborateurs du Groupe a été lancé, de sorte que chaque collaborateur du Groupe aura reçu une formation a minima tous les trois ans. L’offre de formation à destination des chefs de projets sera étoffée.
Les exercices de droit des clients du Groupe BPCE demeurent à un niveau raisonnable avec 625 requêtes sur l’ensemble du périmètre hors Natixis et ses filiales, dont 200 demandes de droits d’accès et 227 droits d’opposition en 2020. Les droits à la portabilité sont quant à eux quasi inexistant. Parallèlement 24 incidents nécessitant une notification de violation de données personnelles à la Cnil ont été recensés, et seul un cas a fait l’objet d’une réaction de la CNIL.
La prévention des risques liés aux cybermenaces, la préservation de ses systèmes d’information, la protection des données, et particulièrement les données personnelles, de ses clients, de ses collaborateurs et plus globalement de toutes ses parties prenantes sont des objectifs majeurs au cœur des préoccupations du Groupe BPCE.
En effet, le Groupe place la confiance au cœur de sa transformation digitale et considère que la cybersécurité est un vecteur essentiel au service de ses métiers.
Pour accompagner les nouveaux défis de la transformation digitale et atteindre ses objectifs, le Groupe BPCE s’est doté d’une stratégie cybersécurité reposant sur cinq piliers :
protéger les actifs et renforcer la sécurité du système d’information et des personnes et des biens :
en accélérant et homogénéisant l’accompagnement sécurité, protection des données à caractère personnel et fraude dans les projets métier avec un niveau de sécurité adapté dans le cadre d’une approche sécurité et protection des données dès la conception des nouvelles offres de nouveaux produits,
en améliorant l’expérience utilisateur en matière de sécurité digitale tant pour les clients que pour les collaborateurs,
grâce à une politique de sécurité des systèmes d’information définie au niveau groupe sous la responsabilité et le pilotage du RSSI Groupe. La PSSI-G a pour principal objectif la maîtrise et la gestion des risques associés aux Systèmes d’Information, de préserver et d’accroître sa performance du Groupe, de renforcer la confiance auprès de ses clients et partenaires et d’assurer la conformité de ses actes aux lois et règlements nationaux et internationaux,
grâce à un dispositif de contrôle permanent définit par un référentiel de contrôles permanents destiné à mesurer le niveau de maîtrise des risques SSI, est déployé dans l’ensemble des établissements du Groupe. Ce référentiel, constitue le socle des contrôles permanents SSI de niveau 2 pour le Groupe sur la base duquel, chaque établissement doit à terme réaliser les contrôles applicables au périmètre de son système d’information,
via la maîtrise des risques et un état des lieux des résultats des contrôles permanents sur les thématiques SPB,
par l’exécution et le plan de sensibilisation du Groupe qui se fait annuellement à destination de l’ensemble des opérateurs informatiques de la DSI Retail, BPCE-SA et l’ensemble des établissements de crédit qui appliquent les mesures de sensibilisation demandées par le Groupe BPCE ;
en gérant les risques apportés par les tiers (partenaires, prestataires, etc.) y compris en matière de protection des données personnelles ;
(1) |
L’intérêt légitime est une des six bases légales prévues par le RGPD autorisant la mise en œuvre de traitements de données à caractère personnel. Elle peut fonder un traitement nécessaire à la satisfaction des intérêts du responsable du traitement ou d’un tiers, sous réserve de respecter certaines conditions |
améliorer continûment la connaissance des actifs de son système d’information et renforcer leur protection :
en renforçant la protection des actifs les plus sensibles en cohérence avec le modèle d’appétit au risque, et en particulier la protection des données,
en mettant en place une gouvernance renforcée des identités, c’est-à-dire des personnes (collaborateurs, prestataires, partenaires, etc.) accédant à ses systèmes d’information et des habilitations qui leur sont affectées,
en développant une culture cyber au sein du Groupe et les outils et méthodes associés selon les populations ;
afin de répondre à l’évolution de la menace liée à la cybersécurité, le CERT Groupe BPCE a lancé un chantier de renouvellement de ces services cybersécurité à l’attention des établissements du Groupe. Outre le renouvellement des services de 2021 (Service Anti-Phishing, Surveillance des noms de domaine, Surveillance des applications mobiles frauduleuse, veille en vulnérabilités, veille malware, assistance sur incident et surveillance du Dark web), le Groupe a également souscrit à un service de surveillance des réseaux sociaux, ainsi qu’à un service de Cyber Notation et à service permettant aux établissements de disposer d’un programme de Bugbounty. Ce programme a pour objectif de soumettre à une communauté de chercheurs une ou des applications afin que ces derniers remontent des bugs,
par un référentiel basé sur les logs proxy construit par le CERT Groupe BPCE, afin d’alimenter les RSSI concernant les sites shadow. Ce référentiel sera envoyé de manière périodique afin d’alimenter les RSSI sur un référentiel à jour,
en renforcement du dispositif de lutte contre la fraude externe avec pour objectif de protéger les usagers de la banque.
mise en production des règles communautaires issues des modèles d’intelligence artificielle concernant les mises en réserves d’encaissement des chèques, pour l’ensemble des deux réseaux CE et BP. Travail durant le second semestre sur l’amélioration des variables permettant de limiter la gêne client tout en maintenant un bon niveau de détection des fraudes,
travaux en cours pour la mise en place d’un score fraude en complément des règles communautaires sur les mises en réserve d’encaissement,
suite à la mise en production de FREGAT, outil de pilotage des fraudes externes, réalisation du 1er reporting semestriel de la Banque de France sur la fraude aux moyens de paiement scripturaux et du 1er reporting de la filière fraude externe sur les données consolidées issues des établissements au S1 2021, sur toutes les typologies de fraude,
renforcement de la détection en collaboration avec les acteurs internes Groupe de lutte contre la fraude,
ciblage d’actions de sensibilisation des clients et des collaborateurs tant au niveau du Groupe BPCE qu’au niveau National (FBF) ;
la continuité d’activité du Groupe BPCE est organisée en filière et pilotée par la Continuité d’Activité Groupe (CAG). Le responsable de la continuité d’activité Groupe (RCA-G) assure le pilotage de la filière Continuité d’Activité regroupant les responsables PCA/PUPA (RPCA/RPUPA) des Banques Populaires, des Caisses d’Epargne, des structures informatiques, de Natixis, de BPCE SA et des autres filiales.
La mise en œuvre de la stratégie de cybersécurité est inscrite dans un schéma directeur (référentiel qui décrit l’ensemble des évolutions des systèmes d’information et des ressources – humaines, matériels, logiciels) qui couvre la période 2021-2024 avec 129 projets identifiés sur la période pour un budget global de 74 millions sur quatre ans.
En 2021, en dépit du contexte sanitaire, le déploiement de cette stratégie cybersécurité s’est poursuivi à un rythme soutenu au travers notamment des chantiers majeurs suivants :
poursuite de la mise en œuvre, de la feuille de route de gestion des identités et des droits (IAM) au travers d’un programme Groupe dédié dont les objectifs sont :
d’intégrer, si possible, toutes les applications du Groupe dans l’IAM avec une attribution automatisée des droits d’accès et une vue consolidée des droits ;
mise en œuvre et déploiement d’un portail d’authentification unique pour les collaborateurs du Groupe, avec un niveau de sécurité élevé, tout en permettant une réduction importante des coûts ; Depuis janvier 2021, plus de 50 000 des 105 000 collaborateurs passent par ce portail pour l’ensemble de leurs accès,
généralisation de l’authentification forte, depuis janvier 2021, avec plus de 40 000 collaborateurs qui disposent d’un moyen d’authentification renforcée (Smartphone, biométrie, etc.) ;
livraison d’un nouveau kit de sensibilisation à l’ensemble des établissements du Groupe pour animer le mois de la Cyber Sécurité, composé notamment de :
réalisation de campagnes régulières de sensibilisation au phishing auprès des collaborateurs du Groupe. Neuf campagnes menées en 2021 ciblant chacune entre 25 000 et 40 000 collaborateurs,
mise en place d’un nouveau modèle de sécurité des réseaux de type « aéroport » permettant entre autres de contrôler la conformité aux exigences de sécurité des matériels et des utilisateurs accédant aux SI, ainsi qu’une protection plus fine, plus précise et plus agile des ressources du système d’information,
amélioration de la détection par le déploiement de sondes sur le réseau (NDR, IPS, CASB) et les postes de travail (EDR),
traitement des alertes plus efficace grâce à un système de gestion des événements et des informations de sécurité (SIEM) au niveau du Groupe BPCE,
amélioration de la gestion des identités, des accès et des habilitations pour les utilisateurs et les comptes à privilèges avec la mise en service de nouveaux outils en cours de généralisation,
de manière globale, homogénéisation en cours des politiques, outils et paramétrages de sécurité, ouvrant la voie à l’automatisation et à la prise en compte « by-design » de la sécurité dans les applications ;
cette cartographie inclut les systèmes d’information privatifs des établissements. À fin 2021, la cartographie SSI est achevée à 84 % pour les 28 processus métiers les plus critiques sur un périmètre de 36 établissements.
2.5.3 Devoir de vigilance
Le Groupe voit dans la loi no 2017-399 du 27 mars 2017 relative au devoir de vigilance l’occasion de rappeler son cadre de vigilance existant et de s’inscrire dans une démarche d’amélioration continue.
Compte tenu des enjeux couverts par le dispositif de vigilance et de son périmètre de gestion des risques, de nombreuses directions métiers ont été impliquées dans l’élaboration de ce plan.
L’étude des principaux risques pouvant résulter de ces activités a permis de retenir deux univers de cartographie :
l’un lié au fonctionnement et aux activités du Groupe BPCE et ses filiales, abordé dans le pilier « Activités » (soit, ses collaborateurs et ses principales activités dans l’exercice de son métier de banquier) ;
l’autre spécifique à la filière Achats, abordé dans le pilier « Achats » (soit ses fournisseurs et sous-traitants).
Ainsi, face à ces risques identifiés, dans le cadre d’une obligation de moyens, les mesures de vigilance raisonnable destinées à prévenir les risques ont été répertoriées et/ou améliorées.
Le déploiement global de la démarche de vigilance est coordonné par les directions métiers concernées et mis en œuvre sous leur responsabilité. Le plan de vigilance a vocation à s’adapter au fil du temps aux nouveaux enjeux et risques identifiés.
Droits de l’Homme et libertés fondamentales |
La discrimination, l’atteinte à l’égalité, au respect de la vie privée et familiale, au droit de grève, à la liberté de réunion et d’association ainsi que l’atteinte à la liberté d’opinion. |
Santé et à la sécurité des personnes |
Le risque sanitaire, le non-respect des conditions de travail légales, le travail forcé, le travail des enfants, l’atteinte à la sécurité des travailleurs et l’inégalité d’accès au droit à la santé. |
Environnement |
Le risque de pollution (eau, mer, sol), les atteintes portées à la lutte contre le réchauffement climatique et à la biodiversité, la gestion des déchets. |
Le Groupe s’engage à promouvoir le respect d’un certain nombre de principes et de normes qui constituent le fondement de ses activités, tels que les Objectifs de Développement Durable de Nations Unies (ODD), les dix principes du Pacte Mondial des Nations Unies (Global Compact), et les normes définies par l’Organisation Internationale du Travail (OIT).
En ce qui concerne le dispositif de suivi, d’outils d’évaluations et de maîtrise des risques existants, le déploiement et l’efficacité des actions conduites par le Groupe sont suivis via des indicateurs de suivi retenus dans le cadre de sa stratégie ou bien dans le cadre de sa communication extra-financière. Ils sont récapitulés au sein de tableaux (rappel de l’univers de risques identifiés dans le cadre de la DPEF/thème d’attention les plus pertinents pour le Groupe BPCE/mesures d’atténuation/indicateurs de suivi).
Dans le cadre de la gestion de ses salariés, le Groupe BPCE est conscient que son premier périmètre de responsabilité est interne et poursuit de ce fait une politique responsable auprès de ses collaborateurs, situés en majorité en France. Ces thématiques y sont déjà strictement encadrées par de nombreuses réglementations, principalement par le droit du travail. Le Groupe dispose de politiques de gestion des ressources humaines qui apportent une réponse aux défis d’une société plus équitable et qui appréhendent dans le temps la transformation de ses métiers. Un ensemble de chartes, accords et dispositifs opérationnels volontaires assure la protection des collaborateurs ainsi que la sécurité des personnes dans l’exercice de leur métier.
Thèmes d’attention |
Mesures d’atténuation |
Indicateurs de suivi |
Prévenir la discrimination et promouvoir l’égalité des chances homme/femme |
Cf. chapitre 2.4.5, partie « Promouvoir l’égalité professionnelle femmes/hommes et la diversité » |
Part des femmes parmi les cadres : 42,9 % (en 2018), 43,7 % (en 2019) et 44,5 % en 2020, 45 % en 2021 < Objectif : 45 % Part des femmes parmi les cadres dirigeants : 26,1 % (en 2018) 26,4 % (en 2019) et 27,9 % en 2020, 29,1 % en 2021 < Objectif : 30 % |
Promouvoir l’égalité des chances |
Cf. chapitre 2.4.6, partie « Soutenir l’égalité des chances et l’emploi des jeunes » |
Pas d’indicateurs spécifiques à ce jour |
Prévenir les discriminations de personnes handicapées |
Cf. chapitre 2.4.5, partie « Se mobiliser en faveur des salariés en situation de handicap » |
Taux d’emploi des personnes en situation de handicap de 6 % pour 2020. Le taux 2021 sera connu en juin 2022 au moment de la déclaration via la déclaration sociale nominative (DSN). |
Promotion du dialogue social et liberté d’association |
Cf. chapitre 2.4.3, partie « Piloter une entreprise socialement responsable » |
Nombre de comités de groupe en 2021 : 4 Nombre de comités stratégiques en 2021 : 3 |
Non-respect des conditions de travail légales |
Cf. chapitre 2.4.4, partie « S’engager pour la qualité de vie au travail » |
Pas d’indicateurs spécifiques à ce jour |
Risque sanitaire et atteinte à la sécurité des travailleurs |
Cf. chapitre 2.4.4, partie « S’engager pour la qualité de vie au travail » |
Nombre d’arrêts pour accident travail/trajet 1 144 en 2019, 710 en 2020, 781 en 2021 |
En tant qu’entreprise responsable, le Groupe BPCE veille, au respect de l’éthique des affaires dans ses métiers en assurant la promotion d’une culture déontologique via le Code de conduite et d’éthique du Groupe BPCE auprès de l’ensemble de ses collaborateurs. À cela s’ajoute une démarche de conformité responsable relevant de la sécurité financière et de la déontologie au travers de la lutte contre le blanchiment et la prévention de la fraude et prévention de la corruption.
Thèmes d’attention |
Mesures d’atténuation |
Indicateurs de suivi |
Éthique des affaires |
Cf. chapitre 2.4.5, partie « Lutte contre le blanchiment et prévention de la fraude interne » |
93,6 % de collaborateurs formés au Code de conduite et d’Éthique en 2021 (92,7 % en 2020) |
Dans le cadre de la distribution de produits et services financiers en ce qui concerne les risques relatifs à la discrimination de sa clientèle, les thèmes identifiés sont présentés dans le tableau avec en regard les mesures d’atténuation conduites par le Groupe BPCE.
La question du droit à la vie privée de ses clients, de protection de données et de cybersécurité a aussi été identifiée. Ce sujet apparaît dans la DPEF, sous le vocable « sécurité des données ».
Thèmes d’attention |
Mesures d’atténuation |
Indicateurs de suivi |
Promouvoir l’égalité des chances pour les minorités visibles |
Cf. chapitre 2.4.6, partie « Soutenir l’égalité des chances et l’emploi des jeunes » et 2.1 « Nos engagements » |
La notion de minorité visible ne peut pas faire l’objet de reporting car elle implique la définition de critères impliquant la production de données sensibles RGPD |
Sécurité et confidentialité des données |
Cf. chapitre 2.4.5, partie « Protéger les données clients et développer une culture cybersécurité » |
Taux de nouveaux projets communautaires bénéficiant d’un accompagnement SSI et Privacy : 87 % en 2021 (85 % en 2020) |
Plus généralement, dans le cadre de son activité de banquier, le Groupe BPCE est soumis à un ensemble de réglementation (lutte anti-blanchiment, la lutte contre la corruption, respect des embargos…) qui constitue le socle de son métier.
Au-delà, pour tenir compte de l’impact des activités qu’il est amené à financer, des critères ESG ont été intégrés progressivement dans les politiques de risques groupe. Ainsi, depuis 2018, dans la politique des risques de crédit groupe, figure un volet dédié aux risques climatiques et au renforcement du principe relatif à la RSE. Un volet relatif à l’évaluation des risques Environnementaux, Sociaux et Gouvernance (ESG) et désormais de Biodiversité a également été défini avec une cotation (risque élevé, modéré ou faible) et complète les politiques sectorielles (Agroalimentaire, Automobile, BTP, Communication et Médias, Transport…). La DPEF aborde ce risque sous le terme de « Critères ESG » (cf. chapitre, 2.3.1 « Intégration des critères ESG dans les activités de financement : banque de détail et Banque de Grande Clientèle »).
Depuis plusieurs années, dans le cadre de ses activités de financement, Natixis, encadre déjà les risques sur les droits humains et l’environnement portés par certaines de ses activités de financement (cf. chapitres 2.1.1 « Notre stratégie » et 2.3.1 « Mise en place de politiques sectorielles d’exclusion dans les secteurs sensibles au sein des métiers du Groupe »), notamment dans le cadre :
De l’application des Principes d’Équateur pour les financements de projets, où Natixis met en place un système d’évaluation et de gestion des risques liés aux droits de l’homme et à l’environnement pour le financement de projets ;
De politiques RSE instaurées et intégrées dans les politiques risques des métiers travaillant dans les secteurs sensibles. Ces politiques chez Natixis couvrent les secteurs suivants : les industries du charbon, la défense, le tabac, les industries pétrolières et gazières. Les secteurs du nucléaire, des mines & métaux, et de l’huile de palme sont eux couverts par des politiques à usage interne.
En plus de ces diligences, Natixis a élaboré un outil de screening interne, appelé l’ESR Screening Tool, pour l’évaluation des risques ESG. Ce dispositif obligatoire, systématise l’analyse des risques ESG lors de l’entrée en relation et de l’octroi de crédit pour les clients « corporate » de la Banque de Grande Clientèle où un niveau de vigilance est attribué en fonction de quatre critères (controverses ESG dont le client fait l’objet/géographies et activités dans lesquelles le client opère/maturité de son dispositif de gestion des risques ESG/relation d’affaires qu’il entretient avec Natixis). Il vise notamment à se conformer aux nouvelles obligations introduites par la loi sur le devoir de vigilance (chapitre 2.3.1 « Mise en place de politiques sectorielles d’exclusion dans les secteurs sensibles au sein des métiers du Groupe »).
Dans une approche de concertation sectorielle, la filiale BPCE Achats pour le Groupe BPCE ainsi que trois autres groupes bancaires, ont décidé d’élaborer une cartographie des risques RSE par catégorie d’achats selon une nomenclature commune comportant une centaine de catégories d’achats. Présentée à la filière Achats et RSE dès 2018 et associée à un plan de vigilance, celle-ci permet d’identifier les risques d’atteintes graves et de prioriser les actions à mener par catégorie d’achats. Elle prend également en compte le risque lié aux pays dans lequel se réalise la plus grande partie de la valeur ajoutée du produit et du service.
Cartographie
identifiant 13 catégories d’achats à risques forts ou très
forts |
Indicateurs
permettant d’assurer le suivi du d’achats à risques forts ou très forts |
|
Dispositif pour les consultations pilotées par BPCE Achats pour le compte des entreprises du Groupe BPCE |
Pour ces catégories, un dispositif spécifique a été mis en place. Dans ce cadre, les fournisseurs doivent répondre à un questionnaire spécifique à chacune des catégories et communiquer les actions mises en place pour atténuer les risques et prévenir les atteintes graves. Ce plan d’action est évalué par BPCE Achats et génère une notation intégrée de façon significative dans la note globale du fournisseur. En fonction des résultats, un plan de progrès est établi avec les fournisseurs retenus et doit faire l’objet d’une revue six mois après |
À fin 2021, 69 % des catégories d’achats concernées par le dispositif ont été évaluées. Il s’agit des catégories d’achats suivantes : •
Serveurs •
Automates bancaires •
Cartes bancaires •
Marketing relationnel •
Mobilier •
Location véhicules de longue durée •
Véhicules acquisition •
Taxes sur les véhicules •
Second œuvre |
Dispositif en dehors du cadre des consultations pilotées par BPCE Achats pour le compte des entreprises du Groupe BPCE |
Ce dispositif peut être mis en œuvre pour les fournisseurs déjà référencés ou réalisant un chiffre d’affaires important avec le Groupe BPCE |
100 % des acheteurs de BPCE Achats en charge de ces catégories ont été formés |