WORLDLINE_DOCUMENT_REFERENCE_2017

Facteurs de risques Risques réglementaires et juridiques

Le respect de ces normes évolutives, et les coûts qui y sont associés, pourraient avoir un effet défavorable significatif sur la situation financière du Groupe et ses résultats d’exploitation. Le Groupe pourrait notamment faire l’objet d’audits des autorités de régulation belge (Banque Nationale de Belgique) ou néerlandaise (DNB – De Nederlandse Bank), portant sur l’efficacité de son système de contrôle et d’audit internes et sa gestion des risques. Les engagements du Groupe, en cas de non-conformité aux exigences réglementaires applicables relevés dans le cadre de ce type d’audit, pourraient avoir un impact défavorable significatif sur sa situation financière et ses résultats. Des modifications des normes techniques PCI pourraient imposer des coûts importants de mise en conformité et avoir un effet défavorable sur l’activité du Groupe. Les normes de sécurité élaborées par le PCI SSC (Payment Card Industry – Security Standard Council – Industrie des Cartes de Paiement – Conseil des Standards de Sécurité) sont destinées à améliorer la sécurité des données des cartes bancaires en promouvant la diffusion et la mise en œuvre la plus large possible de normes spécifiques relatives aux différents composants d’une opération de paiement par carte. La principale norme est la norme PCI PTS relative aux dispositifs d’entrée du code PIN (Payment Card Industry – PIN Transaction Security ou Industrie des Cartes de Paiement – Sécurité des Transactions par code PIN). L’objectif est de s’assurer que le code confidentiel (ou code PIN) du porteur de carte fait toujours l’objet d’un traitement sécurisé au niveau du dispositif d’acceptation du code et présente le plus haut niveau de sécurité pour les opérations de paiement. D’autres normes PCI SSC comprennent la norme PCI DSS (destinée à améliorer la sécurité des données durant la réalisation d’une transaction) et la norme PCI UPT (concernant les normes de sécurité spécifiques aux modules de paiement sur automates non surveillés). Ces normes, qui peuvent être adoptées par différents schémas de paiement, impliquent des exigences techniques spécifiques ainsi que le respect de procédures de certification. Les évolutions de ces normes, impliquant des modifications des exigences sont gérées par les membres fondateurs du PCI SSC (Visa, MasterCard, JCB, American Express et Discover) en concertation avec les parties prenantes de l’industrie des services de paiement (par exemple les acteurs de l’industrie des composants électroniques (tels que le Groupe), les autorités de régulation, les commerçants, les associations de banques, les banques, les prestataires en charge du traitement des transactions). Une telle organisation offre aux fabricants l’opportunité de participer à l’élaboration de ces standards et à leurs règles d’application. Toute évolution de ces normes implique des mises à jour des composants matériels (hardware) des produits du Groupe, ou des logiciels qui y sont intégrés. Par conséquent, les implications pour le Groupe en termes de dépenses d’investissement pourraient être significatives. Le Groupe prend toutes les mesures financières et informatiques nécessaires pour rendre ses terminaux de paiement conformes aux normes PCI applicables, qui imposent des exigences contraignantes. Bien que les processus de certification soient très rigoureux, un produit pourrait se révéler défectueux, une fois utilisé, ce qui pourrait conduire le PCI SSC à remettre en cause la certification du terminal concerné. Un retrait de certification contraindrait le Groupe à offrir d’autres terminaux certifiés à ses clients. Un tel retrait pourrait conduire les clients du Groupe à se tourner vers d’autres offres, ce qui pourrait avoir un effet défavorable significatif sur le chiffre d’affaires du Groupe et entraîner une perte financière.

En tant que fournisseur de solutions de paiement, en particulier de solutions de paiement centralisé diffusé au sein des grandes surfaces, le Groupe doit également se conformer aux normes PCI SSC, intitulées PCI DSS (Payment Card Industry – Data Security Standard ou Industrie des Cartes de Paiement – Standards de Sécurité des Données). L’objectif de la norme PCI DSS est de s’assurer que les données stockées sur les porteurs de cartes et les transactions sensibles sont toujours traitées de manière pleinement sécurisée par les systèmes et bases de données. Cette norme est obligatoire pour tous les systèmes qui traitent, stockent ou manipulent ces données, que les paiements soient effectués par une carte à puce ou non. Comme pour la norme PCI PTS, cette norme implique des modifications d’architecture des systèmes de traitement des données ainsi que des réseaux et des serveurs. Les implications en termes d’investissement sont importantes pour le Groupe. Le Groupe entretient des relations régulières avec les responsables du PCI SSC de manière à gérer dans les meilleures conditions tous les aspects relatifs aux normes existantes ou à venir et notamment à pouvoir anticiper les évolutions et se préparer aux futurs investissements ou aux dépenses correctives. En dépit de cette relation étroite, il pourrait s’avérer que le Groupe ne puisse éviter une fraude ou une intrusion sur ses terminaux de paiements ou solutions certifiées qui pourraient avoir un impact sur sa réputation et ses résultats. Des modifications des règles des associations et réseaux de cartes de paiement pourraient avoir une incidence défavorable significative sur l’activité du Groupe. Une source importante du chiffre d’affaires du Groupe provient du traitement de transactions par le biais des schémas de paiement, notamment Visa, MasterCard, Bancontact/(en Belgique), Girocard (en Allemagne) et Groupement des Cartes Bancaires CB (en France) et, aux fins de fournir ses services de traitement d’opérations de paiement, le Groupe doit être enregistré auprès de ces schémas de paiement en tant que participant au schéma ou en tant que prestataire extérieur d’un participant. En tant que tel, le Groupe et un grand nombre de ses clients sont soumis aux règles des schémas de paiement qui pourraient les exposer ainsi à des risques d’amendes et de pénalités décidées par les associations ou réseaux de cartes de paiement et sanctionnant certains actes ou omissions du Groupe, des acquéreurs, des payeurs et des commerçants. Les schémas de paiement tels que Visa, MasterCard, Bancontact/Girocard et Groupement des Cartes Bancaires CB, dont certains ont également des activités en concurrence avec celles du Groupe, élaborent des normes que le Groupe doit respecter et pour lesquelles il doit régulièrement mettre à jour sa politique de conformité. Les modifications de ces exigences pourraient augmenter les coûts fixes du Groupe, qui ne pourront pas systématiquement être répercutés par le Groupe sur ses propres clients ou participants collaborateurs. Par ailleurs, la modification des règles des schémas de paiement pourrait avoir un impact défavorable significatif sur la trésorerie et les liquidités du Groupe si les schémas de paiement imposaient des délais de traitement plus importants que ceux que le Groupe fournit à ses clients commerçants. Le Groupe a par le passé reçu des notifications de non-conformité et amendes, faisant état de frais excessifs refacturés au commerçant ou de manquements aux règles de sécurité des données de la part d’un commerçant. Si le Groupe se trouve dans l’impossibilité de répercuter ces montants aux commerçants ou aux participants collaborateurs, cela pourrait avoir une incidence défavorable significative sur ses résultats d’exploitation ou sa situation financière. Le retrait de la qualité de membre du schéma de paiement du Groupe, ou tout changement dans les règles du schéma de paiement, pourraient

F

277

Worldline Document de Référence 2017