2.5 Respecter nos engagements en matière d’éthique des affaires
Le Code de conduite et d’éthique du groupe a été validé par le Comité de direction générale et le conseil de surveillance en 2018, après examen par le comité coopératif et RSE.
Il repose sur des valeurs et des standards internationaux et comprend un message de la direction générale et des principes de conduite articulés en trois parties – intérêt du client, responsabilité employeur et responsabilité sociétale – avec une approche métiers pour les cas pratiques. Il s’applique à l’ensemble des entités et collaborateurs du Groupe BPCE.
En complément, GFS dispose également d’un Code de conduite publié début 2018, qui définit les grands principes sur lesquels pourront s’appuyer les collaborateurs de l’entreprise, dans leurs relations avec les différentes parties prenantes de Natixis : clients, équipes, actionnaires, et la société dans son ensemble.
Les règles de conduite sont illustrées par des situations concrètes dans lesquelles peut se retrouver tout collaborateur au sens large, dirigeant, administrateur et toutes parties prenantes. Les mises en situation édictées servent de points de repère pour les aider à discerner quelle est la bonne décision à prendre dans l’exercice de leur métier.
Si le Code de conduite, ainsi que les politiques et procédures internes en vigueur fournissent des directives claires sur les comportements à tenir, il ne saurait être question de définir une règle pour chaque situation. Le collaborateur devra faire preuve de discernement et procéder par analogie pour prendre la bonne décision, en s’appuyant sur les principes du Code de conduite.
Une formation réglementaire, de type e-learning, a été élaborée pour acter de la prise de connaissance des principes du Code de conduite éthique. Cette formation est obligatoire pour tous les collaborateurs du groupe ainsi que pour tous les nouveaux entrants. Ainsi, au 31 décembre 2022, 96,4 % des collaborateurs inscrits ont suivi la formation.
Une autre formation intitulée « Les Incontournables de l’Éthique » complète le dispositif ; elle est composée de 15 saynètes illustratives de cas concrets de comportements à proscrire.
Depuis fin 2019, un tableau de bord « conduite et éthique », couvrant le périmètre du groupe, recense 35 indicateurs collectés auprès des entités du groupe. Il est présenté deux fois par an au comité coopératif et RSE du conseil de surveillance (septième édition présentée en décembre 2022). Il rassemble des données et informations sur le déploiement du dispositif, les incidents, les sanctions disciplinaires et la typologie des manquements.
Le Groupe BPCE dispose d’un dispositif d’alerte applicable dans toutes les entités du groupe. Une procédure, en cours d’actualisation, peut être téléchargée à partir du site groupe :
Dans le contexte d’une législation bien plus protectrice pour le lanceur d’alerte (cf. Loi du 21 mars 2022), le groupe a fait le choix de se doter d’un même outil pour l’ensemble des établissements du groupe, quelle que soit leur implémentation (Europe, États-Unis…) et quel que soit le métier (banque de détail, Banque de Grande Clientèle…).
Cette plateforme unique sera accessible à tous les collaborateurs et prestataires via un lien URL. Les écrans auxquels aura accès le lanceur d’alerte ont été traduits dans toutes les langues des pays dans lequel le Groupe BPCE est implanté.
Le choix a été fait de traiter dans cet outil, non seulement les alertes professionnelles au sens de la loi définissant la protection du lanceur d’alerte, mais tous les autres types d’alertes : alertes RH, blanchiment… Chaque lanceur bénéficiera ainsi de toutes les fonctionnalités offertes par cette plateforme.
Cette plateforme, qui présente toutes les garanties en termes de sécurité des données, respecte les plus hauts standards en matière de confidentialité et de respect de l’anonymat (données cryptées, impossibilité de récupérer les adresses IP des lanceurs…).
Le lanceur d’alerte a la possibilité d’envoyer son alerte et de dialoguer avec la personne qui la gère en gardant ou non l’anonymat. L’alerte est envoyée directement au service chargé de la traiter grâce à la définition de règles de routage propres à chaque établissement – ces règles contribuant à la confidentialité.
Par ailleurs, un dispositif de formation fondé sur un e-learning accompagnera le déploiement de l’outil et précisera notamment les droits et devoirs d’un lanceur d’alerte ainsi que la protection qui lui est attachée. Il sera déployé début 2023 auprès des 100 000 collaborateurs du groupe.
Le groupe dispose par ailleurs d’une procédure cadre relative à la Déontologie qui décrit l’ensemble du dispositif s’appliquant à tous les établissements du groupe. Il regroupe tous les documents normatifs afférents à ce dispositif et précise les rôles et responsabilités de chaque acteur. Ce document comprend principalement les règles qui s’imposent à tous les établissements du groupe (exemples : respect des règles relatives aux conflits d’intérêts) mais il comporte également des bonnes pratiques.
2.5.1 Encadrer les activités du Groupe en matière d’éthique des affaires
Le Groupe BPCE condamne la corruption sous toutes ses formes et en toutes circonstances, y compris les paiements de facilitation. Dans ce cadre, il est membre participant du Global Compact (Pacte Mondial des Nations Unies) dont le dixième principe concerne l’action « contre la corruption sous toutes ses formes y compris l’extorsion de fonds et les pots-de-vin ».
Les collaborateurs du groupe sont tenus de respecter les règles et procédures internes qui contribuent à prévenir et détecter les comportements susceptibles de caractériser des faits de corruption ou de trafic d’influence. Les règles et procédures suivantes permettent de se conformer aux exigences introduites par l’article 17 de la loi du 9 décembre 2016, relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique (« Sapin 2 ») :
la cartographie d’exposition aux risques de corruption des entités du groupe : la méthodologie de cartographie a été revue en 2021 afin d’en améliorer la pertinence. Les échanges avec les métiers nécessaires à l’exercice de cartographie ont permis d’identifier et d’évaluer les risques de corruption, active comme passive, directe ou indirecte (complicité), et d’aboutir à une vision partagée des enjeux de la lutte contre la corruption. Après BPCE SA et ses filiales (notamment Global Financial Services) en 2021, les établissements des réseaux Caisse d’Epargne et Banque Populaire ont conduit l’exercice de cartographie avec cette nouvelle méthodologie en 2022. Des plans d’action ont été formalisés afin de réduire le niveau de risque de certains scénarios, lorsqu’il restait trop élevé après prise en compte des mesures d’atténuation ;
le respect par les collaborateurs du Code de conduite et des règles de déontologie et d’éthiques professionnelles, relatives à la prévention des conflits d’intérêts, la politique en matière de cadeaux, avantages et invitations, les principes de confidentialité et de secret professionnel. Des sanctions disciplinaires sont prévues pour manquement au respect des règles professionnelles régissant les activités des entreprises du groupe. La politique Groupe « cadeaux, avantages et invitations » formalisée en 2021 prévoit un seuil maximum de 150 euros (au premier euro pour les agents publics) pour les cadeaux reçus ou donnés, seuil au-delà duquel une autorisation préalable de la hiérarchie, et une déclaration à la Conformité sont requises. Le Code de conduite et d’éthique du groupe a été enrichi fin 2022 de règles de conduite spécifiques à l’anticorruption, comportant des illustrations concrètes des comportements à proscrire issues des scénarios de risque identifiés par la cartographie. Global Financial Services a également actualisé dans ce sens sa politique anticorruption adoptée en 2018. Les règles de conduite anticorruption ont vocation à être déclinées par chaque établissement et annexées à son règlement intérieur ;
la formation aux règles de l’éthique professionnelle et de la lutte contre la corruption sous forme d’e-learning présente des cas concrets illustratifs de comportements susceptibles de constituer des faits de corruption ou des manquements à la probité. Elle est obligatoire pour l’ensemble des collaborateurs. Des formations adaptées sont par ailleurs dispensées à certaines catégories de personnels plus exposés, notamment de Global Financial Services ;
un dispositif de recueil et de traitement d’alertes professionnelles sur les faits graves dont les délits de corruption et de trafic d’influence. Depuis 2021, les alertes portant sur des faits de corruption font l’objet d’un reporting Groupe anonymisé ;
le GIE BPCE Achats est chargé d’évaluer les fournisseurs dont le montant total d’achats au niveau du groupe est au moins de 50 000 euros. Cette évaluation, qui prend en compte un certain nombre de critères (catégorie d’achat, critère géographique, informations négatives sur le fournisseur…) conduit si nécessaire à des diligences complémentaires visant à apprécier le risque in fine au regard notamment des mesures anticorruption mises en place par le fournisseur ;
l’encadrement des relations avec les intermédiaires (dont les apporteurs d’affaires) et les clients : les contrats comportent des clauses anticorruption. Des comités d’agrément sont prévus. Les clients et intermédiaires de Global Financial Services font l’objet d’une évaluation au regard du risque de corruption et de diligences complémentaires si nécessaire. Les procédures Groupe ont été actualisées en 2022 afin de systématiser une analyse anticorruption sur l’ensemble des clients corporate présentant une activité à risque. L’intégrité des nouveaux partenaires du groupe est par ailleurs évaluée dans le cadre du comité de validation et de mise en marché des nouveaux produits ;
le dispositif de contrôle interne et de contrôle comptable : le Groupe BPCE dispose d’un corpus étendu de normes et procédures encadrant de manière générale la stricte séparation des fonctions opérationnelles et de contrôle incluant notamment un système de délégations en matière d’octroi de crédit et de relations avec les personnes politiquement exposées et un encadrement de la connaissance client. Dans le cadre de l’organisation du contrôle interne, des plans de contrôle permanent contribuent à la sécurité du dispositif. Dans le cadre de l’organisation du contrôle interne, des plans de contrôle permanent contribuent à la sécurité du dispositif. En 2021, les éléments de ce dispositif ont été explicitement fléchés vers les risques de corruption identifiés par les métiers dans la nouvelle cartographie des risques.
Le Groupe BPCE dispose également de normes et procédures comptables conformes aux standards professionnels. Le dispositif de contrôle interne groupe relatif à l’information comptable s’appuie sur une filière contrôle financier structurée qui vise à vérifier les conditions d’évaluation, d’enregistrement, de conservation et de disponibilité de l’information, notamment en garantissant l’existence de la piste d’audit. En 2020, un référentiel groupe de contrôles participant à la prévention et à la détection de fraude et de faits de corruption ou de trafic d’influence a été formalisé. Dans ce cadre, une vigilance est notamment apportée aux dons, sponsoring et mécénat.
Plus globalement, ces dispositifs sont formalisés et détaillés dans la charte relative à l’organisation du contrôle interne groupe et la charte des risques, de la conformité et des contrôles permanents.
La lutte contre le blanchiment des capitaux, le financement des activités terroristes (LCB-FT), ainsi que le contournement de mesures de sanctions, repose au sein du Groupe BPCE sur :
des principes de relations avec la clientèle visant à prévenir les risques qui sont formalisés et font l’objet d’une information régulière auprès du personnel,
un dispositif harmonisé de formation des collaborateurs du groupe, avec une périodicité au moins bisannuelle, et des formations spécifiques à la filière sécurité financière ;
une équipe dédiée à la sécurité financière au sein de tous les établissements conformément aux chartes du Groupe BPCE. Au sein du Secrétariat général, un département pilote la filière chargée de la mise en oeuvre de ces trois dispositifs, qui reposent sur des dispositions légales et règlementaires du Code monétaire et financier et sur des textes européens. ce département définit la politique en matière de sécurité financière pour l’ensemble du groupe, élabore et fait valider les différentes normes et procédures et s’assure de la prise en compte des risques de blanchiment et de financement du terrorisme lors de la procédure d’agrément de nouveaux produits et services commerciaux par le groupe ;
un reporting interne destiné aux dirigeants et aux organes délibérants, ainsi qu’à l’organe central ; et
des diligences adaptées conformément à la réglementation. En effet, les établissements disposent de moyens, largement automatisés, de détection des opérations atypiques, adaptés à leur classification des risques LCB-FT. Les alertes sont principalement traitées par les réseaux, au plus près de la connaissance client. Celles pour lesquelles subsistent un doute sont transmises au département de la sécurité financière locale. Selon la nature des éléments escaladés, il est alors procédé à des examens renforcés et le cas échéant, aux déclarations à Tracfin dans les délais les plus brefs.
Les déclarations sont adressées à TRACFIN, dès lors que persiste un doute sur la licéité des sommes ou des opérations qui proviennent d'une infraction passible de plus d'un an d'emprisonnement (criminalité organisée, trafics de diverse nature, corruption, abus de biens sociaux, blanchiment de tous crimes et délits, fraudes fiscales, sociales ou douanières, etc.) ou qu'elles sont liées au financement du terrorisme.
La classification des risques LCB-FT Groupe intègre les cinq axes règlementaires, tels que la problématique des pays « à risque », les caractéristiques des clients (dont le statut de personne politiquement exposée du client ou de ses bénéficiaires effectifs pour les personnes morales), la nature des produits ou services et des canaux de distribution utilisés, ainsi que le type d'opérations.
Les opérations des clients à risque LCB-FT élevé font l’objet d’une vigilance particulière renforcée. Le dispositif du groupe (référentiel et de scénarios (générant des alertes) automatisés) est régulièrement actualisé et, adapté aux évolutions des risques, et notamment de ceux liés au financement du terrorisme.
S’agissant du respect des mesures de sanctions (nationales, européennes ou étrangères), les établissements du groupe sont dotés d’outils de criblage qui génèrent des alertes sur les clients (gel des avoirs de certaines personnes ou entités) et sur les flux internationaux (gel des avoirs et pays faisant l’objet d’un embargo européen et/ou américain). Le Groupe BPCE dispose, par ailleurs, d’une équipe centrale de traitement des alertes et a amélioré récemment ses outils de filtrage des clients et des opérations. Afin de renforcer l'efficacité de leur traitement, une formation présentielle dédiée a été mise en place.
L’outil de détection des personnes politiquement exposées a été optimisé depuis 2021 pour gagner en efficacité et en fiabilité.
Concernant l’actualisation de la connaissance client en fonction des risques de blanchiment et de financement du terrorisme, suite à l’action de remédiation menée en 2021 sur les dossiers des clients présentant un risque élevé, différentes actions ciblées sur certaines catégories de clients ont été réalisées courant 2022.
Les échanges d’informations intra-groupe sont élargis depuis 2021 aux différentes catégories de clientèles présentant un risque LCB-FT élevé.
Des certifications d’expertise opérationnelle en matière de sécurité financière LCB-FT ont été délivrées en 2022 à des collaborateurs de la filière concernée, cela dans le cadre du programme d’expertise déployé en 2021. Le fort pourcentage de réussite à cet examen des collaborateurs de la filière atteste de la qualité de l’expertise détenue par lesdits collaborateurs, et en général par la filière. De nouvelles inscriptions ont été ouvertes pour l’exercice 2023.
Le Groupe BPCE a mis en place un dispositif commun de lutte contre la fraude interne, le non-respect du règlement intérieur et les manquements déontologiques, en lien avec le Code de conduite et d’éthique du groupe. Ce dispositif permet de répondre aux exigences des autorités de tutelle et de mutualiser les moyens et les travaux réalisés par les établissements. Il est formalisé dans une procédure-cadre et se compose des éléments suivants :
des requêtes de détection, notamment d’opérations potentiellement frauduleuses dont des clients vulnérables pourraient être victimes, complétées par des sources complémentaires de remontée d’alertes ;
des outils de sensibilisation et d’information (en fonction de leur spécificité, les établissements peuvent décliner des actions de sensibilisation qui leur sont propres) ;
Exerçant principalement en France son activité bancaire au travers ses réseaux de banque de détail, le Groupe BPCE exerce également son activité à l’étranger par l’intermédiaire notamment de sa filiale Natixis.
À cet égard, l’implantation du groupe à l’étranger se justifie par le besoin d’accompagnement commercial de ses clients ce qui exclut toute considération d’implantation offshore à raison de l’existence de régimes fiscaux privilégiés dans certaines juridictions. La politique fiscale du Groupe BPCE est déterminée par BPCE SA. Les entreprises du groupe sont cependant responsables de sa mise en œuvre au titre de leurs activités respectives.
Le Groupe BPCE s’assure de sa parfaite conformité avec l’ensemble des réglementations fiscales applicables à ses activités. Le Groupe BPCE a mis en place des procédures de suivi des activités de ces métiers ainsi que des modules de formations dédiées.
Le Groupe BPCE veille à s’acquitter de sa juste contribution aux finances publiques. Au niveau mondial, le montant de l’impôt sur le résultat de l’exercice 2022 pour le Groupe BPCE s’élève à 1 726 millions d'euros, étant précisé que l’impôt courant s’élève à 1 855 millions d'euros, auquel s'ajoutent les taxes et contributions bancaires pour un montant de 810 millions d'euros. Ainsi, le taux effectif d'imposition ressort à 30 % (impôt sur le résultat / résultat net avant impôt).
Le Groupe BPCE a continué, en 2022, de solliciter l’administration fiscale pour sécuriser le traitement fiscal d’opérations en matière d’impôt sur les sociétés et de TVA dans le cadre du Partenariat fiscal avec le ministère de l’Action et des comptes publics actif depuis 2019. Ce dialogue régulier et transparent avec l’administration a couvert des domaines variés du droit fiscal et a notamment porté sur des opérations financières de grande ampleur. Le Groupe BPCE a été la première banque admise dans ce nouveau dispositif.
La France a, par un arrêté du 2 mars 2022, publié au Journal Officiel le 16 mars 2022, mis à jour sa liste des états et territoires non coopératifs (ci-après « ETNC »).
Anguilla, Îles Vierges Britanniques, Panama, Seychelles, Vanuatu, Fidji, Guam, Îles Vierges américaines, Samoa américaines, Samoa, Trinité et Tobago, Palaos, Dominique, Les Bahamas et les îles Turques et Caïques.
On notera que la liste française des ETNC est aujourd’hui identique à la liste UE à la seule exception des îles Vierges britanniques qui demeurent inscrites sur la liste française mais non sur la liste UE.
Le groupe n’est pas présent dans les ETNC à l’exception de manière très marginale sur les territoires des îles Fidji et Vanuatu. Ces implantations répondent aux seuls besoins d’accompagnement commercial de ses clients.
Cette situation d’une présence marginale dans ces États et territoires non coopératifs a été constatée par une étude d’Eurotax Observatory publiée le 21 septembre 2021 relative aux implantations dans les états faiblement taxés de 36 groupes bancaires européens sur la période 2014-2020.
Cette étude relève que seuls 2,2 % des profits du Groupe BPCE sont réalisés dans des États ou territoires faiblement imposés, comparés à une moyenne de 20 % s’agissant des autres banques européennes du panel de l’étude.
Cette même étude constate que le taux effectif d’impôt du Groupe BPCE est de 30 %, plaçant celui-ci parmi les plus élevés parmi les banques européennes. En effet, le taux effectif d’imposition moyen du panel des groupes bancaires européens se situe à 20 %, le plus bas observé étant à 10 %.
Le Groupe BPCE ne soutient directement aucune formation politique spécifique, que cela soit sous forme de don, de mécénat ou de tout autre moyen. Le groupe respecte une stricte neutralité en matière politique. En revanche, en tant qu’acteur bancaire de premier plan en France, les établissements du Groupe BPCE contribuent au financement de la vie publique, en application du cadre législatif et réglementaire strict existant en France en la matière, et dans le respect des règles sur la connaissance client, la lutte anti-blanchiment (LAB) et des personnes politiquement exposées (PPE). Son intervention se situe donc à deux niveaux :
en tant que teneur de compte : les établissements du groupe se conforment aux obligations des articles L. 52-6 et L. 52-6-1 du Code électoral français, qui prévoient notamment que tout mandataire financier désigné par son candidat à l’occasion d’une campagne électorale, a droit à l’ouverture d’un compte de campagne et à la mise à disposition des moyens de paiement nécessaires par l’établissement teneur de compte. Ce principe est directement appliqué par l’établissement bancaire lorsqu’il a accepté l’ouverture de compte, ou dans le cadre d’une procédure contrainte Banque de France. Pour mémoire, Le contrôle du dispositif de ce droit au compte est assuré en France par l’ACPR (Autorité de contrôle prudentiel et de résolution). Enfin, il est à noter que les comptes du mandataire à l’issue de l’élection sont annexés au compte de campagne du candidat et seront soumis in fine au contrôle de la Commission Nationale des Comptes de Campagne et des Financements Politiques (CNCCFP) ;
en tant que financeur : via des crédits accordés aux candidats personnes physiques qui en ont fait la demande auprès de l’établissement. Ces crédits sont accordés selon les règles en vigueur dans les établissements de crédit, conformément à la législation et la réglementation nationale et européenne. En la matière, comme pour tout crédit, nos Établissements appliquent une politique de risque et de prêt responsable, combinée à une analyse de solvabilité de l’emprunteur, de sa capacité personnelle à rembourser et à un apport de garantie (personnelle ou tiers, biens immobiliers, nantissement valeurs mobilières, assurance emprunteur, etc.). Par ailleurs, du fait de la nature particulière du financement, les établissements prennent également en compte le plafond de dépenses, ainsi que le risque, non maîtrisable, d’invalidation des comptes de campagne et de non-remboursement aux candidats concernés d’une partie des frais par l’État. Enfin, tout comme pour la tenue de compte, les établissements s’assurent du respect des règles anti-blanchiment et des Personnes Politiquement Exposées (PPE).
Enfin, le Groupe BPCE est en rapport constant avec la médiation du crédit aux candidats et aux partis politiques mise en place par l’article 28 de la loi no 2017-1339 du 15 septembre 2017 pour la confiance dans la vie politique.
En tant que banque coopérative engagée au service de ses clients sociétaires, au cœur même des territoires, les établissements du Groupe BPCE entendent contribuer de manière constructive au débat public, en fournissant aux décideurs et à la société civile, des éléments d’information sur les changements socio-économiques au niveau régional, national ou international, ainsi que sur le secteur bancaire et ses évolutions. L’objectif du Groupe BPCE est de contribuer activement à l’espace de réflexion et de participer en tant que partie prenante à une prise de décision collective, juste et éclairée. Les actions de représentation d’intérêt du Groupe BPCE s’inscrivent donc strictement dans ce cadre. En matière de représentation d’intérêt, au-delà du respect de ses règles de déontologie et de ses valeurs coopératives, BPCE applique toutes les réglementations en vigueur, ainsi que tous les codes d’éthique auxquels ses interlocuteurs publics et les différentes associations de Place dont il est membre, sont tenus de se conformer.
Par ailleurs, en France, BPCE est inscrit au registre des Représentants d’Intérêts « AGORA », conformément aux obligations légales découlant de la loi française no 2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique, ainsi qu’aux directives de la Haute autorité pour la vie publique (HATVP). Dans ce contexte, Le Groupe BPCE rend compte de ses actions, engagements et dépenses à la HATVP avec les informations requises par la loi (https://www.hatvp.fr/fiche- organisation/ ?organisation=493455042).
Enfin, au niveau européen, Le Groupe BPCE est également inscrit au registre de transparence de la Commission Européenne. Pour mémoire, ce registre est une base de données qui répertorie les organisations qui tentent d’influencer le processus d’élaboration des lois et de mise en œuvre des politiques des institutions de l’UE (https://ec.europa.eu/transpa rencyregister/public/consultation/displaylobbyist.do ?id=179370 613236-62).
2.5.2 Protéger les données clients et développer une culture de cybersécurité
Une politique de protection des données groupe est en place depuis 2021, fixant l’organisation type, les rôles des différents intervenants, et l’application des grandes lignes du RGPD (règlement général sur la protection des données) au sein du groupe. L’adoption de l’outil DRIVE/ARCHER, également commun à la sécurité des systèmes d’information, à la lutte contre la cybercriminalité et à la continuité d’activité, permet d’exploiter de façon optimale les synergies entre ces différentes activités. Cet outil accueille en 2021 les registres de chacune des entités du groupe, et permet la formalisation des contrôles permanents RGPD de niveau 2 et le suivi des plans d’action associés. Depuis début janvier 2022, le traitement des incidents impactant les données personnelles a été centralisé, pour l’ensemble du groupe sur l’outil Drive. Chaque établissement y saisit désormais les caractéristiques de l’incident, permettant ainsi leur mise en commun au profit des acteurs de la sécurité de chaque établissement, en répondant également à l’obligation légale d’un registre des violations.
Le troisième pilier du modèle relationnel 3D « Données Utiles » du plan stratégique BPCE 2024 propose une personnalisation des solutions apportées en fonction des besoins des clients et gestion des consentements pour que le client reste toujours maître de ses données. Dans ce cadre, le projet RGPD a poursuivi la diffusion de la culture de la protection des données personnelles au sein du Groupe BPCE, des réseaux et des filiales.
Le suivi de cette conformité au RGPD continue de bénéficier d’un haut niveau de sponsoring, avec la présence de trois membres du CDG de BPCE au comité trimestriel de pilotage exécutif.
en avril 2021, avec la mise en conformité des cookies suite aux nouvelles lignes directrices de la CNIL qui prévoient désormais un recueil du consentement des internautes sur tous les sites internet des établissements du Groupe BPCE ;
avec la mise en œuvre d’un recueil du consentement notamment pour les usages intégrant l’utilisation des données de paiement qui ne pourraient être couvertes par l’intérêt légitime (1). Ce recueil de consentement est réalisé au moyen d’un Centre de confiance directement accessible par le client depuis ces applications WEB et mobile. L’objet de ce dispositif est la gestion des consentements du client et la gestion de la mise à disposition d’un certain nombre d’informations à caractère pédagogique.
L’utilisation des données est prioritairement réalisée au travers d’un Datalake présentant des conditions de sécurité optimales et chaque nouveau cas d’usage fait l’objet d’une validation par un comité des usages (qui se réunit tous les deux mois) afin de garantir le respect du RGPD et un usage éthique de la donnée.
Au cours du second semestre 2021, un cycle de sensibilisation du RGPD pour l’ensemble des collaborateurs du groupe a été lancé, de sorte que chaque collaborateur du groupe aura reçu une formation a minima tous les trois ans. L’offre de formation à destination des chefs de projets sera étoffée.
Bien qu’en augmentation, les exercices de droit des clients du Groupe BPCE demeurent à un niveau raisonnable avec 6 109 requêtes sur l’ensemble du périmètre hors Natixis, dont 392 demandes de droits d’accès et 1 656 droits d’opposition en 2022. Les droits à la portabilité sont quant à eux quasi inexistants, avec 22 demandes sur le même périmètre. Parallèlement 36 incidents nécessitant une notification de violation de données personnelles à la Cnil ont été recensés.
La prévention des risques liés aux cybermenaces, la préservation de ses systèmes d’information, la protection des données, et particulièrement les données personnelles, de ses clients, de ses collaborateurs et plus globalement de toutes ses parties prenantes sont des objectifs majeurs au cœur des préoccupations du Groupe BPCE.
En effet, le groupe place la confiance au cœur de sa transformation digitale et considère que la cybersécurité est un vecteur essentiel au service de ses métiers.
Pour accompagner les nouveaux défis de la transformation digitale et atteindre ses objectifs, le Groupe BPCE s’est doté d’une stratégie cybersécurité reposant sur six piliers :
protéger les actifs et renforcer la sécurité du système d’information et des personnes et des biens :
en sensibilisant et accompagnant nos collaborateurs et nos clients sur la maîtrise des risques cyber,
en accélérant et homogénéisant l’accompagnement sécurité, protection des données à caractère personnel et fraude dans les projets métier avec un niveau de sécurité adapté dans le cadre d’une approche sécurité et protection des données dès la conception des nouvelles offres de nouveaux produits,
en améliorant l’expérience utilisateur en matière de sécurité digitale tant pour les clients que pour les collaborateurs,
grâce à une politique de sécurité des systèmes d’information définie au niveau groupe sous la responsabilité et le pilotage du RSSI Groupe. La PSSI-G a pour principal objectif la maîtrise et la gestion des risques associés aux Systèmes d’Information, de préserver et d’accroître sa performance du groupe, de renforcer la confiance auprès de ses clients et partenaires et d’assurer la conformité de ses actes aux lois et règlements nationaux et internationaux,
grâce à un dispositif de contrôle permanent définit par un référentiel de contrôles permanents destiné à mesurer le niveau de maîtrise des risques SSI, est déployé dans l’ensemble des établissements du groupe. Ce référentiel, constitue le socle des contrôles permanents SSI de niveau 2 pour le groupe sur la base duquel, chaque établissement doit à terme réaliser les contrôles applicables au périmètre de son système d’information,
via la maîtrise des risques et un état des lieux des résultats des contrôles permanents sur les thématiques SPB,
(1) |
L’intérêt légitime est une des six bases légales prévues par le RGPD autorisant la mise en œuvre de traitements de données à caractère personnel. Elle peut fonder un traitement nécessaire à la satisfaction des intérêts du responsable du traitement ou d’un tiers, sous réserve de respecter certaines conditions. |
par la définition et la mise en oeuvre du plan de sensibilisation par l'ensemble des entités du groupe (DSI Retail, BPCE SA, établissements ;
en gérant les risques apportés par les tiers (partenaires, prestataires, etc.) y compris en matière de protection des données personnelles ;
améliorer continûment la connaissance des actifs de son système d’information et renforcer leur protection :
en renforçant la protection des actifs les plus sensibles en cohérence avec le modèle d’appétit au risque, et en particulier la protection des données,
en mettant en place une gouvernance renforcée des identités, c’est-à-dire des personnes (collaborateurs, prestataires, partenaires, etc.) accédant à ses systèmes d’information et des habilitations qui leur sont affectées,
en développant une culture cyber au sein du groupe et les outils et méthodes associés selon les populations ;
afin de répondre à l’évolution de la menace liée à la cybersécurité, le CERT Groupe BPCE a renouvelé et complété ses services cybersécurité à l’attention des établissements du groupe. Outre le renouvellement des services de 2021 (Service anti-phishing, Surveillance des noms de domaine, Surveillance des applications mobiles frauduleuses, veille en vulnérabilités, veille malware, assistance sur incident et surveillance du Dark web), le groupe a également souscrit à un service de surveillance des réseaux sociaux, ainsi qu’à un service de Cyber Notation et à service permettant aux établissements de disposer d’un programme de Bugbounty. Ce programme a pour objectif de soumettre à une communauté de chercheurs une ou des applications afin que ces derniers remontent des bugs,
par un référentiel basé sur l’analyse des logs proxy construit par le CERT Groupe BPCE, afin d’alimenter les RSSI concernant les sites shadow. Ce référentiel sera envoyé de manière périodique afin d’alimenter les RSSI sur un référentiel à jour ;
en renforçant le dispositif de lutte contre la fraude externe avec pour objectif de protéger les usagers de la banque.
constitution au premier trimestre 2022 de l’équipe Coordination Fraude Externe Groupe en pôle autonome dédié au sein de la direction Sécurité Groupe afin de lui donner plus de visibilité et compte tenu des enjeux financiers et d’image associés ;
amélioration des synergies, de l’efficacité opérationnelle et de la transversalité entre les différents métiers consacrés à la lutte contre la fraude externe (data et nouvelles technologies, notamment) dans le cadre du projet de réorganisation des paiements, de l’assurance, de l’informatique retail au sein de BPCE communauté ;
de construire et partager une feuille de route globale Fraude Externe intégrant notamment les sujets IA et Data sur l’ensemble du périmètre,
la création d’un Comité Fraude Externe Groupe (Comité Faîtier) reportant au Comité Stratégique Paiements et au Comité des Risques Non Financiers Groupe, placé sous l’autorité conjointe du Secrétaire Général du groupe et du directeur général Digital et Paiements et présidé par le Directeur Sécurité Groupe,
la mise en place d’une tour de contrôle reportant au Comité Faîtier et destinée à assurer le pilotage opérationnel transversal et le reporting,
élaboration et premières mises en œuvre d’une feuille de route « fraude externe » 2022-2023 transverse au groupe. Elle est constituée en particulier des deux piliers suivants organisés en programmes :
programme fraude documentaire couvrant l’ensemble du cycle de vie de la relation client, de l’entrée en relation à la fin de la relation, l’objectif étant de renforcer et fiabiliser le KYC en renforçant et en automatisant les contrôles documentaires et le partage d’information,
programme Sécurisation des virements de bout en bout par l’enrichissement des outils de détection et d’alertes, par l’adaptation des parcours clients selon le niveau de risque de fraude identifié.
renforcement de la détection en collaboration avec les acteurs internes groupe de lutte contre la fraude ;
ciblage d’actions de sensibilisation des clients et des collaborateurs tant au niveau du Groupe BPCE qu’au niveau National (FBF) ;
la continuité d’activité du Groupe BPCE est organisée en filière et pilotée par la Continuité d’Activité Groupe (CAG). Le responsable de la continuité d’activité Groupe (RCA-G) assure le pilotage de la filière Continuité d’Activité regroupant les responsables PCA/PUPA (RPCA/RPUPA) des Banques Populaires, des Caisses d’Epargne, des structures informatiques, de Natixis, de BPCE SA et des autres filiales.
La mise en œuvre de la stratégie de cybersécurité est inscrite dans un schéma directeur (référentiel qui décrit l’ensemble des évolutions des systèmes d’information et des ressources humaines, matériels, logiciels) qui couvre la période 2021-2024 avec 129 projets identifiés sur la période pour un budget global de 74 millions sur quatre ans.
En 2022, le déploiement de cette stratégie cybersécurité s’est poursuivi à un rythme soutenu au travers notamment des chantiers majeurs suivants :
poursuite de la mise en œuvre, de la feuille de route de gestion des identités et des droits (IAM) au travers d’un programme groupe dédié ;
démarrage du programme pour la reconstruction massive des infrastructures postes de travail et données ;
mise en œuvre et déploiement d’un portail d’authentification unique pour les collaborateurs du groupe, avec un niveau de sécurité élevé, tout en permettant une réduction importante des coûts,
généralisation de l’authentification forte, avec plus de 80 % des utilisateurs qui disposent d’un moyen d’authentification renforcée (Smartphone, biométrie, etc.) ;
production et mise à disposition d'un kit de sensibilisation à l’ensemble des entités du groupe pour animer le mois de la Cyber Sécurité,
réalisation de campagnes régulières de sensibilisation au phishing auprès des collaborateurs du groupe. Choix d’un nouvel outil pour l’ensemble du Groupe BPCE,
amélioration de la détection par le déploiement de sondes sur le réseau (NDR, IPS, CASB) et les postes de travail (EDR),
traitement des alertes plus efficace grâce à la mise en place d’un SOAR pour automatiser la réponse aux incidents de sécurité.
2.5.3 Devoir de vigilance
En tant que société française de plus de 5 000 employés en son sein et dans ses filiales directes ou indirectes, la loi no 2017-399 du 27 mars 2017 relative au devoir de vigilance s’applique à BPCE SA et ses filiales. Un plan de vigilance dédié est publié par Natixis, filiale du Groupe BPCE.
Cette loi requiert de faire état d’un plan de vigilance comportant les mesures propres à identifier et prévenir la réalisation de risques d’atteintes aux droits de l’homme et aux libertés fondamentales, à l’environnement ainsi qu’à la santé et la sécurité des personnes, résultant des activités et opérations internes sur le périmètre de BPCE SA, de ses filiales sous contrôle exclusif ainsi que des sous-traitants et fournisseurs avec lesquels est entretenue une relation commerciale établie, lorsque ces activités sont rattachées à cette relation.
Ce plan doit notamment comporter une cartographie des risques, des mesures d’évaluation et d’atténuation des risques, un dispositif de suivi et un mécanisme d’alerte.
Le groupe voit dans cette obligation réglementaire, l’occasion de rappeler le cadre de vigilance existant et de s’inscrire dans une démarche d’amélioration continue.
Compte tenu des enjeux couverts par le dispositif de vigilance et de son périmètre de gestion des risques, de nombreuses directions métiers du groupe ont été impliquées dans l’élaboration de ce plan : direction RSE, direction des ressources humaines, direction des Achats, les directions RSE de la Banque de proximité et Assurance (BPA) et de Global financial services (GFS), la direction des Risques, la direction de la conformité, la direction juridique, ainsi que des représentants de la direction des Risques GFS.
Droits de l’Homme et libertés fondamentales |
La discrimination, l’atteinte à l’égalité, au respect de la vie privée et familiale, au droit de grève, à la liberté de réunion et d’association ainsi que l’atteinte à la liberté d’opinion. |
Santé et à la sécurité des personnes |
Le risque sanitaire, le non-respect des conditions de travail légales, le travail forcé, le travail des enfants, les conditions de travail, la rémunération et la protection sociale décentes, l’atteinte à la sécurité des travailleurs et l’inégalité d’accès au droit à la santé. |
Environnement |
Les atteintes portées à la lutte contre le réchauffement climatique et à la biodiversité, le risque de pollution (eau, air, sol), la gestion des déchets, la préservation des ressources naturelles. |
De plus, la matrice des risques extra-financiers, qui s’inspire de la méthodologie d’analyse des risques déployée par la direction des Risques Groupe, constitue la base de la cartographie du plan de vigilance. Cette matrice est mise à jour annuellement (cf. 2.1.3 « Maîtriser nos risques extra-financiers »).
L’étude des principaux enjeux et risques pouvant résulter des activités du groupe a permis donc de retenir trois piliers principaux qui constituent le périmètre de la démarche de vigilance :
pilier « Activités » : le fonctionnement et les activités du Groupe BPCE et ses filiales, (soit ses principales activités dans l’exercice de son métier de banquier et d’assureur et sa relation client) ;
pilier « Achats – Les fournisseurs » : soit ses fournisseurs et sous-traitants avec lesquels le groupe entretient des relations commerciales établies.
Dans le cadre d’une obligation de moyens, les mesures de vigilance raisonnable destinées à prévenir les risques identifiés ont été répertoriées et/ou améliorées. Le déploiement global de la démarche de vigilance est coordonné par les directions métiers concernées et mis en œuvre sous leur responsabilité. Le plan de vigilance a vocation à s’adapter au fil du temps aux nouveaux enjeux et risques identifiés.
Le dispositif de suivi des mesures mises en œuvre et d’évaluation de leur efficacité est assuré via des indicateurs retenus dans le cadre de la stratégie du groupe. L’actualisation du référentiel d’indicateurs est notamment basée sur les évolutions réglementaires, les attentes de parties prenantes et les retours des correspondants RSE en charge du reporting.
à respecter l’ensemble du dispositif réglementaire auquel il est soumis en tant qu’entreprise et en tant que banque tant au niveau local qu’international ;
à promouvoir le respect d’un certain nombre de principes et de normes qui constituent le fondement de ses activités, tels que les Objectifs de Développement Durable des Nations Unies (ODD), les dix principes du Pacte Mondial des Nations Unies (Global Compact), et les normes définies par l’Organisation Internationale du Travail (OIT) ;
à inciter à de bonnes pratiques par la constitution de règles internes telles que des chartes (1) et le Code de conduite et d’éthique du groupe.
Dans le cadre de la gestion de ses salariés, le Groupe BPCE est conscient que son premier périmètre de responsabilité est interne et poursuit de ce fait une politique responsable auprès de ses collaborateurs, situés en majorité en France. Ces enjeux identifiés dans le cadre du plan de vigilance y sont déjà strictement encadrés par de nombreuses réglementations, principalement par le droit du travail. Le groupe renforce son rôle d’employeur responsable : grâce à une politique RH active, il répond à la fois aux attentes des collaborateurs et aux défis d’une société plus équitable et qui appréhende dans le temps la transformation de ses métiers.
Un ensemble de chartes, accords et dispositifs opérationnels volontaires assure la protection des collaborateurs ainsi que la sécurité des personnes dans l’exercice de leur métier :
le groupe s’engage à promouvoir le respect des principes et des normes dont les normes définies par l’OIT et les engagements du Global Compact ;
plusieurs chartes et codes ont été signés ou adoptés dont le Code de conduite et d’éthique (chez BPCE SA et Natixis), une charte de mobilité, la charte « j’agis pour l’inclusion dans les métiers du numérique des personnes en situation de handicap » signée chez Natixis.
Thèmes couverts par l’analyse des risques extra-financiers réalisée dans le cadre de la DPEF sous le vocable « Conditions de vie au travail », « Égalités de traitement, diversité et inclusion des salariés » et « Gestion de l’employabilité et de la transformation des métiers ».
Thèmes d’attention |
Mesures
d’atténuation et compte rendu de leur mise en œuvre |
Indicateurs
de suivi des mesures et d’évaluation de leur efficacité |
Promouvoir l’égalité femmes/hommes et lutter contre le sexisme et le harcèlement en entreprise Encourager l’inclusion |
Cf. chapitre 2.4.5 « Promouvoir l’égalité professionnelle femmes/hommes et la diversité » |
Part des femmes parmi les cadres : 42,9 % en 2018, 43,7 % en 2019, 44,5 % en 2020, 45 % en 2021 et 46 % en 2022 pour un objectif de 45 % Part des femmes parmi les cadres dirigeants : 26,1 % en 2018, 26,4 % en 2019, 27,9 % en 2020, 29,1 % en 2021 et 31 % en 2022 pour un objectif de 30 % Index d’égalité salariale de 92/100 en 2021 et 91/100 en 2020 |
Promouvoir l’égalité des chances |
Cf. chapitre 2.4.1, « Attirer, accueillir et fidéliser les talents », partie « recruter davantage de jeunes » |
8,5 % des apprentis sont issus des quartiers prioritaires de la politique de la ville |
Prévenir les discriminations notamment à l’égard des personnes handicapées |
Cf. chapitre 2.4.5, « Promouvoir l’égalité professionnelle femmes/hommes et la diversité » Cf. partie « Se mobiliser en faveur des salariés en situation de handicap » |
Taux d’emploi des personnes en situation de handicap de 6 % en 2021. (4438 collaborateurs en situation de handicap). Le taux 2022 sera connu en juin 2023 au moment de la déclaration via la déclaration sociale nominative (DSN). |
Promouvoir le dialogue social et la liberté d’association |
Cf. chapitre 2.4.3, « Un dialogue social soutenu » |
Nombre de comités de groupe en 2022 : 2 Nombre de comités stratégiques en 2022 : 1 |
Agir contre les atteintes à la santé des collaborateurs Lutter contre le non-respect des conditions de travail légales |
Cf. chapitre 2.4.4, « S’engager pour la qualité et les conditions de vie au travail » |
Signature d’accords QVCT avec les deux Branches |
Prévenir le risque sanitaire et les atteintes à la sécurité des travailleurs |
Cf. chapitre 2.4.4, « S’engager pour la qualité et les conditions de vie au travail » Cf. partie « Un pilotage des risques professionnels » |
Nombre d’accidents du travail avec arrêts : 933 en 2019, 600 en 2020, 703 en 2021 Le taux 2022 sera connu en avril 2023. |
En tant qu’entreprise responsable, le Groupe BPCE veille, au respect de l’éthique des affaires dans ses métiers en assurant la promotion d’une culture déontologique via le Code de conduite et d’éthique du Groupe BPCE auprès de l’ensemble de ses collaborateurs. À cela s’ajoute une démarche de conformité responsable relevant de la sécurité financière et de la déontologie au travers de la lutte contre le blanchiment et la prévention de la fraude et prévention de la corruption.
Thèmes couverts par l’analyse des risques extra-financiers réalisée dans le cadre de la DPEF sous le vocable « Respect des lois, éthique des affaires et transparence »
Thèmes d’attention |
Mesures
d’atténuation et compte rendu de leur mise en œuvre |
Indicateurs
de suivi des mesures et d’évaluation de leur efficacité |
Éthique des affaires dont lutte contre la corruption, lutte contre le blanchiment, lutte contre le financement du terrorisme et prévention contre la fraude interne |
Cf. chapitre 2.5, partie « Respecter nos engagements en matière d’éthique des affaires » |
96,4 % de collaborateurs formés au Code de conduite et d’Éthique en 2022 (93,6 % en 2021) |
Dans le cadre de la distribution de produits et services financiers, le Groupe BPCE intègre progressivement des démarches et outils sur les enjeux RSE.
Dans le cadre de son activité de banquier et d’assureur, le Groupe BPCE est soumis à un ensemble de réglementations (lutte anti-blanchiment, la lutte contre la corruption, respect des embargos…) qui constitue le socle de son métier.
Pour tenir compte de l’impact des activités qu’il est amené à financer, des critères ESG ont été intégrés progressivement dans les politiques de risques groupe. Ainsi, depuis 2018, dans la politique des risques de crédit groupe, figure un volet dédié aux risques climatiques et au renforcement de l’intégration des critères ESG.
Ce volet relatif à l’évaluation des risques ESG, dont les enjeux de biodiversité sont une composante depuis la validation formelle de la nouvelle méthodologie d’analyse sectorielle, a également été défini avec une cotation (risque élevé, modéré ou faible) et complète les politiques sectorielles. De plus, un questionnaire groupe dédié au climat et à l’environnement pour les clients « corporate » sera déployé durant l’année 2023. La DPEF aborde ce risque sous le terme de « Critères ESG » (cf. chapitre 2.3.1 partie « Intégration des critères ESG dans les activités de financement »).
Dans le cadre de son activité d’assurance vie, le Groupe BPCE a aussi développé une approche spécifique dans sa gestion des risques de portefeuille du pôle Assurances avec notamment des politiques d’exclusions sectorielles (cf. chapitre 2.3.1 « Intégration des critères ESG dans les activités d’assurance »).
Depuis plusieurs années, dans le cadre de ses activités de financement, Natixis CIB, encadre les risques sur les droits humains et l’environnement portés par certaines de ses activités de financement (cf. chapitres 2.1.1 « Notre stratégie ESG » et 2.3.1 partie « Politiques d’exclusion dans les secteurs sensibles »), notamment dans le cadre :
de l’application des Principes d’Équateur pour les financements de projets, où Natixis met en place un système d’évaluation et de gestion des risques liés aux droits de l’homme et à l’environnement pour le financement de projets ;
de politiques RSE instaurées et intégrées dans les politiques risques des métiers travaillant dans les secteurs sensibles. Ces politiques couvrent les secteurs suivants : les industries du charbon, la défense, le tabac, les industries pétrolières et gazières. Natixis CIB a notamment mis à jour durant l’année 2022 sa politique pétrolière et gazière ;
les secteurs du nucléaire, des mines & métaux, et de l’huile de palme sont eux couverts par des politiques à usage interne.
En plus de ces diligences, Natixis a élaboré un outil de screening interne, appelé l’ESR Screening Tool, pour l’évaluation des risques ESG. Ce dispositif obligatoire, systématise l’analyse des risques ESG lors de l’entrée en relation et de l’octroi de crédit pour les clients « Corporate » de la Banque de Grande Clientèle (cf. chapitre 2.3.1 « Intégration des critères ESG dans les activités de financement »).
Le groupe a également développé des politiques internes pour prévenir les risques que les clients pourraient subir tels que la question du droit à la vie privée des clients, de protection de données et de cybersécurité.
Thèmes couverts par l’analyse des risques extra-financiers réalisée dans le cadre de la DPEF sous le vocable « accessibilité de l’offre et finance inclusive », et de manière plus globale, via le risque relatif à la « relation durable client », « protection des clients et transparence de l’offre » et « sécurité et confidentialité des données »
Thèmes d’attention |
Mesures
d’atténuation et compte rendu de leur mise en œuvre |
Indicateurs
de suivi des mesures et d’évaluation de leur efficacité |
Lutte contre le surendettement et promotion de la finance inclusive |
Cf. chapitre 2.2.3, partie « Être une banque inclusive en accompagnant nos clients fragiles et en soutenant le microcrédit » |
Nombre de clients avec services bancaires de base : 51 494 en 2022 et 51 111 en 2021 |
Sécurité et confidentialité des données Développement d’une culture cybersécurité |
Cf. chapitre 2.5.2, « Protéger les données clients et développer une culture cybersécurité » |
Taux de nouveaux projets communautaires bénéficiant d’un accompagnement SSI et Privacy : 94 % en 2022 et 87 % en 2021 |
Dans une approche de concertation sectorielle, BPCE Achats pour le Groupe BPCE ainsi que trois autres groupes bancaires ont décidé d’élaborer une cartographie des risques RSE par catégorie d’achats selon une nomenclature commune comportant une centaine de catégories d’achats.
Présentée aux filières Achats et RSE dès 2018 et associée à un plan de vigilance, celle-ci permet l’identification et la hiérarchisation des risques RSE et de prioriser les risques à suivre avec les fournisseurs, par catégorie d’achats (142 en 2022). Elle prend également en compte le risque lié aux pays dans lequel se réalise la plus grande partie de la valeur ajoutée du produit et du service. Une mise à jour de cette cartographie a été réalisée en 2022.
Parmi les catégories d’achats à risque les plus forts, on retrouve notamment le gros œuvre, les serveurs, les travaux immobiliers, le stockage informatique, le recyclage des déchets et les véhicules.
La politique Achats Responsables du groupe (cf. chapitre 2.2.6 « Être exemplaire en adoptant une politique d’achats responsables ») décrit les engagements et les orientations en matière d’Achats.
BPCE Achats effectue un travail d’identification et d’évaluation régulier des risques RSE. Ce travail s’appuie sur :
la revue régulière de la cartographie des risques RSE liés aux dépenses relatives aux catégories d’achats afin d’identifier le niveau de risque, pour chacune des thématiques, de la catégorie d’achat ;