HERMÈS - Document de référence 2018

3

Gouvernement d’entreprise

Éthique – Conformité

3.2.3.1.7 Dispositif de formation destiné aux cadres et aux personnels les plus exposés Le dispositif de formation est décrit dans le paragraphe 3.2.4.4 ci-dessous. 3.2.3.1.8 Régime disciplinaire permettant de sanctionner les violations du code de conduite anticorruption Le système de sanctions est décrit dans le paragraphe 3.2.4.2 ci-dessous. 3.2.3.1.9 Dispositif de contrôle et d’évaluation interne Des audits internes et externes des sociétés et métiers du groupe tout comme de ses principaux fournisseurs et partenaires, portant sur l’application des procédures groupe, sont menés régulièrement. Ces audits couvrent notamment les thématiques suivantes : lutte anti-cor- ruption, lutte contre le blanchiment d’argent, protection des données personnelles, respect de l’environnement, respect des droits humains et des libertés fondamentales, santé et hygiène et sécurité des collabo- rateurs. La méthodologie de ces contrôles et audits est décrite dans le chapitre 1.9 « Facteurs de risque » ( cf . pages 36 et suivantes). Vigilance Dans le cadre de la loi 2017-399 du 27 mars 2017, le groupe Hermès a élaboré un plan de vigilance raisonnable propre à identifier les risques et à prévenir les atteintes graves envers les droits humains et les libertés fondamentales, la santé et la sécurité des personnes ainsi que l’envi- ronnement, résultant de ses activités, ainsi que des activités de ses sous-traitants ou fournisseurs. La cartographie des risques destinée à leur identification, leur analyse et leur hiérarchisation, les procédures d'évaluation régulière de la situa- tiondes filiales, des sous-traitants ou fournisseurs, les actions adaptées d'atténuation des risques ou de prévention des atteintes graves, et le dispositif de suivi des mesures mises en œuvre et d'évaluation de leur efficacité, sont décrits dans le paragraphe 2.6 « Fournisseurs et parte- naires » ( cf . pages 111 et suivantes). Le mécanisme d'alerte et de recueil des signalements est décrit dans le paragraphe 3.2.4.1 Ligne d’alerte professionnelle ci-dessous. 3.2.3.2 Hermès est particulièrement sensible à la protection des données à caractère personnel et au respect de la vie privée. Chaque collaborateur doit s’assurer qu’il traite les données à caractère personnel auxquelles il a accès de manière conforme aux règles établies par le groupe et en conformité avec les lois et réglementations applicables. Les procédures du groupe précisent notamment qu’il est obligatoire : s s de collecter et traiter des données à caractère personnel unique- ment dans un objectif professionnel spécifique, licite et légitime déterminé par le groupe Hermès et de limiter les données collectées à celles qui sont strictement pertinentes, justes et non excessives au regard de cet objectif ; 3.2.3.3 Protection des données personnelles et respect de la vie privée

s s d’être transparent sur la façon dont ces données sont traitées. Pour cequiconcerne lesclientsparexemple, laPolitiquedeConfidentialité est publique et disponible sur les plateformes digitales du groupe (sites internet, applications mobiles) et doit également être commu- niquée à toute personne qui en ferait la demande en point de vente ; s s de s’assurer que les données à caractère personnel sont protégées et sécurisées de manière appropriée, en respectant les normes éta- blies par le groupe et les lois et réglementations. Il s’agit en particu- lier de considérer toute relation avec les clients comme strictement confidentielle et de n’utiliser et divulguer leurs données qu’avec leur consentement exprès et/ou en conformité avec les règles du groupe et les lois et réglementations applicables. Il s’agit également de rap- porter, dans les plus brefs délais, tout incident de sécurité relatif aux données conformément aux règles établies par le groupe ; s s de respecter les droits des personnes dont les données sont traitées en répondant à leurs demandes dans les meilleurs délais avec l’aide des points de contact identifiés dans le groupe et du délégué à la protection des données le cas échéant ; s s de conserver lesdonnéesdespersonnes concernéespour unedurée adéquate au regard des objectifs pour lesquels elles ont été collec- tées, en conformité avec les lois et réglementations applicables. Le groupe Hermès s’est doté de règles d’entreprise contraignantes (dites « Binding Corporate Rules (BCR) ») pour la gestion des données personnelles de ses clients. Ces règles d’entreprise contraignantes ont été validées dès 2012 par les autorités européennes en charge de la protection des données personnelles et ont été intégrées depuis à l’ensemble des sociétés du groupe traitant des données de clients. Ces règles permettent d’assurer un niveau de protection adéquat aux données personnelles des clients lorsqu’elles font l’objet de transferts au sein du groupe. En outre, afin de répondre aux exigences du règlement européen du 27 avril 2016 n°2016/679 dit« règlement général sur la protection des données (RGPD) », des actions ont été mises enœuvre notamment pour recenser les traitements de données personnelles effectués dans le groupe, renforcer la transparence sur la manière dont le groupe Hermès traite les données personnelles de ses clients ou encore pour sensibi- liser et former les équipes traitant des données personnelles aux prin- cipes et pratiques en matière de protection des données. Les dispositifs de protection des données personnelles sont sous la responsabilité du directeur général gouvernance et développement des organisations, membre du Comité exécutif du groupe. Des audits sont menés par la direction de l’audit et des risques afin de veiller à la bonne application des politiques et procédures en matière de protection des données.

220

DOCUMENT DE RÉFÉRENCE 2018 HERMÈS INTERNATIONAL