En 2021, la filière cybersécurité d’Edenred a été verticalisée permettant d’optimiser le déploiement de la stratégie cybersécurité du Groupe, accélérer le déploiement des projets de sécurité et d’étendre les contrôles sur l’ensemble du périmètre. C’est également un levier pour une meilleure gestion des compétences et des ressources cybersécurité à travers le Groupe. Par ailleurs, Edenred a poursuivi les actions initiées en 2020 et continué à renforcer la résilience de ses produits digitalisés ainsi que ses capacités de gestion des crises cyber. De plus, le Groupe a entrepris un vaste chantier de contrôles et de sécurisation de ses applications métiers les plus critiques. Le Groupe a également enrichi ses capacités de sensibilisation et de formation des collaborateurs à travers différentes actions (par exemple la création de e-learning, l’organisation d’une semaine dédiée à la cybersécurité, l’intervention d’experts externes). Enfin, Edenred a renforcé ses capacités de détection et de réaction aux incidents de cybersécurité, notamment avec l’ajout de solutions avancées telles que l’Endpoint Detection & Response en complément des capacités existantes telles que le Security Operation Center (SOC).

Dans plusieurs pays, le groupe Edenred a obtenu des certifications de sécurité internationalement reconnues telles que ISO/IEC 27001 ou PCI-DSS, garantissant que les exigences de ces normes sont appliquées. Aujourd’hui, dix filiales ont été certifiées : Edenred Italie, Edenred Singapour, Edenred République tchèque, Edenred Royaume-Uni, Edenred Roumanie, Edenred Bulgarie, Repom, Punto Clave, Corporate Spending Innovations et PrePay Solutions. Par ailleurs, tout au long de l’année, des formations obligatoires sont dispensées aux collaborateurs via des modules d’e-learning sur la plateforme EDU affichant les thèmes suivants : prévention contre le blanchiment d’argent, protection des données personnelles, anti-corruption, antitrust et droit de la concurrence.

 

5.4.2.2 Enjeu prioritaire : données personnelles

La protection des données personnelles des clients, utilisateurs, collaborateurs d’Edenred est un enjeu prioritaire pour le Groupe, en particulier dans un contexte de développement et diversification de ses activités et de renforcement du cadre réglementaire avec l’application du RGPD en Europe (Règlement général sur la protection des données) et d’autres législations locales en dehors de l’Europe (voir 4.1.2.1 Risques liés aux réglementations visant la protection des données personnelles page 73 et 4.1.3 Risques liés à la cybercriminalité et aux systèmes d’information à partir de la page 76). Edenred place au cœur de ses préoccupations le respect de la protection des données personnelles qui constitue l’opportunité de conforter la confiance de ses entreprises clientes, salariés utilisateurs et collaborateurs à son égard.

Edenred a désigné en 2017 un Data Protection Officer (DPO) et s’est engagé depuis lors dans un projet de conformité qui permet au Groupe de se doter d’une gouvernance, d’une organisation, d’outils et de processus permettant d’optimiser la gestion des données personnelles et la transparence à l’égard des personnes concernées par les traitements de données.

Un programme de conformité Groupe, conçu par le DPO, est déployé en plusieurs phases. Le DPO pilote ce programme et coordonne les actions à mener en s’appuyant sur un réseau de correspondants au niveau régional et au niveau local, au sein de chaque filiale en Europe et dans certaines des filiales dans les autres régions du monde. Il s’assure de la progression des filiales en adaptant des plans d’actions spécifiques.

Un outil de conformité commun a été déployé pour permettre aux filiales de remplir plus facilement, et avec le support du DPO, leurs obligations en matière de protection des données personnelles, en particulier s’agissant de l’inventaire des traitements de données, de la réalisation d’analyses d’impacts de ces traitements, de la gestion de l’exercice des droits des personnes quant au traitement de leurs données personnelles par Edenred, de la conformité des sites web en matière de cookies mais aussi pour permettre une meilleure coordination entre le DPO Groupe et les correspondants régionaux et locaux.

Des outils ont également été conçus et mis à disposition des correspondants régionaux et locaux, et des opérationnels, pour les accompagner de manière concrète et de façon pédagogique dans la conformité de leurs projets à la réglementation sur la protection des données personnelles.

Une procédure de gestion des violations de données a également été déployée afin de permettre une réaction rapide et efficace en cas d’incident affectant des données à caractère personnel. Des outils ont également été mis en place, avec un accompagnement dédié, pour gérer de tels incidents et être en mesure de répondre aux attentes des autorités de contrôle compétentes.

Le Groupe développe en outre différentes recommandations permettant aux filiales de mieux appréhender les enjeux de la réglementation sur la protection des données personnelles. Elles guident également la mise en place d’une organisation et de processus appropriés pour garantir la conformité exigée en la matière et être en capacité de la démontrer, par référence au principe d’accountability.

Le Groupe s’assure également que les sous-traitants sont suffisamment responsabilisés et que les personnes concernées par les traitements de données à caractère personnel font l’objet d’une information claire et accessible en ligne conformément aux exigences issues de la réglementation.

En termes de formation et prise de conscience, des règles d’or sur la protection des données personnelles ont été diffusées en 2020 et un e-learning Groupe en matière de protection des données personnelles a été construit en interne afin qu’il soit le plus adapté possible aux métiers d’Edenred. Deux modules d’e-learning, dont un obligatoire, ont été rendus disponibles depuis 2021, pour l’ensemble des collaborateurs du Groupe. Par ailleurs, des ateliers portant sur la protection des données ont été menés auprès de tout nouveau collaborateur dans le cadre du processus d’intégration. Des formations plus spécifiques ont été organisées en 2020 sur le sujet des données personnelles auprès des acteurs clés au sein de la holding et des autres filiales du Groupe.