HERMES_DOCUMENT_REFERENCE_2017

GOUVERNEMENT D’ENTREPRISE

ÉTHIQUE – COMPLIANCE

3.2.3.3 Données personnelles et respect de la vie privée LegroupeHermèss’estdotéderèglesd’entreprisecontraignantes(dites « Binding Corporate Rules » ou « BCR ») pour la gestion des données personnelles de ses clients. Ces règles d’entreprise contraignantes ont été validées en 2012 par les autorités européennes en charge de la protection des données personnelles et ont été intégrées depuis à l’ensemble des sociétés du groupe traitant des données clients. Ces règles permettent d’assurer un niveau de protection adéquat aux don- nées personnelles des clients lorsqu’elles font l’objet de transferts au sein du groupe. En outre, afin de répondre aux exigences du règlement européen du 27 avril 2016 n°2016/679 dit « règlement général sur la protection des données », un groupe de travail a été mis en place afin de réaliser un diagnostic et d’établir un plan de mise en conformité autour des théma- tiques suivantes : s organisation interne et gouvernance : rôles et responsabilités impli- quées dans la protection des données ; s respect des droits des personnes : consentement, informations des personnes concernées, exercice de leurs droits ; s conformité des traitements : registres des traitements, identification et classification des traitements, durées de conservation des don- nées, gestion des contrats ; s sécurité des données : procédures et contrôles, gestion des failles de sécurité, analyses d’impact et mécanismes de privacy by design / privacy by default ; s amélioration continue : veille, contrôle interne, certifications. 3.2.4.1 Ligne d’alerte professionnelle Le groupe amis en place un dispositif d’alerte central permettant d’anti- ciper et de maîtriser ses risques, dénommé« Parlons-en! ». Il est détaillé dans le Code de conduite des affaires Ce dispositif est mis à jour afin de prendre en compte les évolutions réglementaires, législatives, écono- miques, sociétales, géopolitiques et concurrentielles. Des dispositifs locaux d’alerte professionnelle sont également en place au sein des principales filiales comme aux Etats-Unis, au Royaume-Uni ou en Chine. 3.2.4 CONTRÔLE

3.2.4.2 Système de sanctions mis en place Le système de sanctions mis en place pour les programmes de confor- mité correspond au système de sanctions décrits dans le Règlement Intérieur, toute violation à l’éthique et l’intégrité étant contraire aux valeurs intrinsèques du groupe et aux règles internes définies en la matière. 3.2.4.3 Contrôle sur l’application des valeurs éthiques Des audits internes et externes des sociétés du groupe tout comme des principaux fournisseurs et partenaires du groupe, portant sur l’applica- tion des procédures du groupe, sont menés régulièrement. Ces audits couvrent notamment les thématiques suivantes : lutte anti-corruption, lutte contre le blanchiment d’argent, protection des données person- nelles, respect de l’environnement, respect des droits humains et des libertés fondamentales, santé et hygiène des collaborateurs. 3.2.4.4 Programme de formation sur les enjeux éthiques Un module de formation « éthique, intégrité et anti-corruption » destiné aux personnels de vente dans les magasins a été largement déployé au cours de l’exercice 2017, notamment en France, Belgique, Allemagne, Espagne, Russie, Suisse, Grèce, Italie, Royaume-Uni, Japon, Moyen- Orient, Asie du Sud (Australie, Singapour…), et pour le personnel du réseau des ventes aux voyageurs. Le déploiement de ce programme de formation a vocation à être inten- sifié en 2018, notamment aux Etats-Unis, en Inde, Thaïlande, Corée, et en Chine. Les programmes de formation dédiés aux personnels les plus exposés tels que les acheteurs, les équipes commerciales en liaison avec des intermédiaires, les comités exécutifs des principales filiales, sont égale- ment renforcés et multipliés. Les équipes juridiques implantées à l’étranger, en particulier aux Etats- Unis, en Chine, au Japon, à Singapour et en Inde constituent le réseau des correspondants « compliance » et correspondants à la protection des données personnelles, agissant en lien avec le directeur de la conformité du groupe et avec le délégué à la protection des données, en vue de décliner, animer, coordonner les programmes de conformité au sein du groupe. Les contrôleurs internes sont également des relais de déploiement des procédures sur ces sujets (cf. Facteurs de risques page 35). 3.2.4.5 Réseau de correspondants conformité au sein du groupe

3

DOCUMENT DE RÉFÉRENCE 2017 HERMÈS INTERNATIONAL

179