Structurer une gouvernance d’entreprise diversifiée et responsable

Le Conseil d’Administration veille à mettre en œuvre une structure de gouvernance équilibrée adaptée aux spécificités de Capgemini, aux circonstances et enjeux propres du Groupe, ainsi qu’aux évolutions des meilleures pratiques en la matière.

Il choisit entre les deux modes d’exercice de la Direction générale : cumul ou dissociation des fonctions de Président du Conseil d’Administration et de Directeur général. À l’issue de l’Assemblée générale du 20 mai 2020, le Conseil d’Administration a décidé à l’unanimité de dissocier les fonctions de Président et de Directeur général avec effet immédiat, estimant que la séparation desdites fonctions était le modèle de gouvernance le plus approprié pour la société dans le cadre de la succession de la direction commencée en 2017. Lors de cette réunion, M. Paul Hermelin a été confirmé dans ses fonctions de Président du Conseil d’Administration pour la durée restant à courir de son mandat d’administrateur, et M. Aiman Ezzat a été nommé Directeur général pour la durée de son mandat d’administrateur. Le Conseil d’Administration a souhaité que la société continue à bénéficier de la grande expertise et expérience de M. Paul Hermelin, de sa profonde connaissance du Groupe, afin d’assurer une transition harmonieuse.

Le Conseil d’Administration a, par ailleurs, décidé de conserver la fonction d’Administrateur référent, lequel est doté de pouvoirs et de fonctions spécifiques depuis sa création en 2014, tant que les fonctions de Président et de Directeur général seraient assumées par un administrateur non indépendant tel que défini par le code Afep-MEDEF auquel se réfère la société.

Ainsi, la gouvernance du Groupe bénéficie d’un Conseil d’Administration actif, assidu, indépendant dans sa composition et collégial dans son fonctionnement, ainsi que de l’autorité vigilante d’un Administrateur référent doté de pouvoirs et missions propres. Le Conseil considère également qu’un équilibre satisfaisant des pouvoirs est en place grâce à l’existence de quatre Comités spécialisés du Conseil ayant différentes missions, dont : (1) Audit & Risques, (2) Rémunération, (3) Éthique et Gouvernance, et (4) Stratégie et RSE, et aux limitations apportées par le règlement intérieur aux pouvoirs du Directeur général, prévoyant une approbation préalable du Conseil d’Administration sur les décisions à caractère stratégique majeures ou susceptibles d’avoir un effet significatif sur la société.

Conformément à sa politique de diversité, le Conseil d’Administration est composé de personnalités à la fois diverses et complémentaires professionnellement et culturellement, dans la fidélité à l’histoire et aux valeurs du Groupe. Ainsi, il exerce ses missions dans une grande collégialité et avec un esprit d’ouverture. Ces dernières années, le large renouvellement des membres du Conseil s’est traduit par une indépendance, une internationalisation et une féminisation accrues, ainsi qu’un rajeunissement de sa composition. Le Conseil s’est par ailleurs ouvert à une représentante des salariés actionnaires depuis 2012, puis à deux représentants des salariés depuis septembre 2016, contribuant ainsi à la diversité des expériences et des points de vue exprimés.

Le Conseil d’Administration assure un suivi annuel de la mise en œuvre par la Direction générale de cette politique de non-discrimination et de diversité, notamment en matière de représentation équilibrée des genres au sein des instances dirigeantes du Groupe. Il a fixé aux dirigeants mandataires sociaux, dans le cadre de leur rémunération variable annuelle, des objectifs permettant d’accroître la représentation des femmes au sein du Groupe. Depuis 2018, le Conseil d’Administration a inclus un critère relatif à l’évolution du nombre de femmes intégrant la population de Vice-présidents dans les conditions de performance applicables aux actions attribuées aux dirigeants mandataires sociaux et aux responsables du Groupe.

Capgemini veille à ce que les administrateurs aient une connaissance suffisante du Groupe, de son écosystème et de ses enjeux. Ainsi, les membres du Conseil sont amenés à rencontrer régulièrement les membres du Comité de Direction générale à l’occasion de réunions du Conseil et des Comités. En outre, tout au long de l’année, le Conseil d’Administration organise différentes sessions de formation afin de permettre aux administrateurs d’approfondir leurs connaissances du Groupe, de son environnement concurrentiel ainsi que des dernières tendances en matière de disruption de marchés et d’évolutions technologiques. Une évaluation formalisée des activités du Conseil d’Administration et de ses comités spécialisés est réalisée tous les trois ans par un prestataire externe, sous la responsabilité de l’Administrateur référent.

Refléter l’intérêt partagé d’une performance à long terme

Le Conseil d’Administration veille à ce que la stratégie du Groupe soit alignée sur les enjeux de durabilité à long terme.

Fin 2018, le Conseil d’Administration a souhaité confier la mission de suivi de la stratégie RSE du Groupe à son Comité Stratégie et Investissement, renommé Comité « Stratégie et RSE », permettant ainsi une cohérence de la prise en compte des enjeux sociaux et environnementaux dans les principaux axes et décisions stratégiques du Groupe. Le Conseil d’Administration étudie les axes stratégiques à moyen et long terme du Groupe en considérant les enjeux sociaux et environnementaux de ses activités, ainsi que les grandes tendances et évolutions technologiques et concurrentielles.

Les politiques de rémunération concernant le Président et le Directeur général sont alignées avec les meilleures pratiques en vigueur et les intérêts de l’entreprise. Les éléments de rémunération sont décrits en détail dans notre procédure « Say on Pay ». Le Comité des Rémunérations s’appuie notamment sur des études comparatives pour s’assurer de la cohérence et de la compétitivité de la rémunération au regard des pratiques de marché tant pour le montant que la structure et les modalités de calcul. Ces principes sont revus régulièrement et discutés au sein du Comité des Rémunérations qui soumet la synthèse de ses travaux et des propositions qui en découlent à l’approbation du Conseil d’Administration.

Ainsi, La politique de rémunération du Directeur général vise un équilibre entre la performance à court terme et à long terme afin d’assurer un développement durable de l’entreprise et s’attache à préserver une cohérence entre l’évolution de la rémunération globale et l’évolution de la performance de l’entreprise. Au travers de sa politique de rémunération, le Groupe promeut une croissance durable et responsable, reconnaît le lien entre la performance collective et individuelle des cadres dirigeants et les résultats de l’entreprise et veille au déploiement d’une politique compétitive et inclusive en matière de rémunération et d’avantages afin d’attirer, motiver et fidéliser les talents.

Entretenir le dialogue avec nos actionnaires

Comme pour toutes ses parties prenantes, le Groupe s’attache à communiquer régulièrement avec ses actionnaires et investisseurs, pour comprendre et prendre en compte leurs attentes. À l’instar des autres parties prenantes du Groupe, les actionnaires de Capgemini sont régulièrement consultés : ils ont, par exemple, participé aux échanges sur la Raison d’être du Groupe en 2020 et sur l’actualisation de sa matrice de matérialité en 2021.

Piloter et protéger nos actifs

Ceux-ci sont indispensables pour mener à bien la stratégie de Capgemini et atteindre ses objectifs à long terme. Les dispositifs de contrôle interne et de gestion des risques du Groupe visent à créer et préserver la valeur, les actifs et la réputation du Groupe, ainsi qu’à identifier, mesurer et suivre les risques critiques auxquels le Groupe est confronté, à anticiper et prévoir leur évolution, et mettre en place des actions de prévention et de transfert des risques résiduels. Le Conseil d’Administration de Capgemini SE a la responsabilité globale de la gestion des risques et de l’examen de l’efficacité des approches en matière de contrôle interne, d’audit interne et de gestion des risques. À ces fins, il s’appuie sur les travaux du Comité d’Audit et des Risques.

Agir conformément à notre cadre éthique et nos valeurs

Nos valeurs et l’éthique sont au cœur même de notre identité. Uniques et humaines, nos sept valeurs – honnêteté, audace, confiance, liberté, plaisir, modestie et solidarité – nous inspirent et guident les membres de nos équipes, chacun contribuant à notre culture éthique. Pour Serge Kampf, fondateur de Capgemini, une éthique irréprochable constituait le socle fondamental de toute entreprise rentable et pérenne. Depuis la création du Groupe, nos pratiques commerciales éthiques et notre engagement à défendre nos sept valeurs fondamentales nous ont permis de nous différencier de la concurrence. Dans près de 50 pays du monde, nos valeurs unissent et inspirent l’ensemble des collaborateurs. Il en résulte fort logiquement une culture éthique commune, entretenue activement grâce à notre cadre éthique. Depuis longtemps déjà, nous disposons d’un programme éthique basé sur cinq leviers principaux, et qui sensibilise les collaborateurs et les aide à prendre leurs décisions.

• Des politiques – Notre charte éthique oriente tous les collaborateurs et les aide à comprendre comment se comporter et agir correctement, ne laissant ainsi aucune place au doute. Disponible dans plusieurs langues, elle est complétée par des politiques plus détaillées du Groupe sur notre ligne d’assistance éthique SpeakUp (y compris la politique de non-représailles), la prévention des conflits d’intérêts, ainsi que des politiques adoptées dans le cadre du programme de conformité. Nous avons publié notre Code of Ethics for Artificial Intelligence (AI), destiné à l’ensemble de nos collaborateurs, afin d’accompagner le développement éthique de toutes les solutions d’intelligence artificielle (IA). Notre vision de l’IA est guidée par notre culture de l’éthique et nos valeurs fondamentales. Notre Code of Ethics for Artificial Intelligence permet d’orienter la conception et l’exécution éthiques et axées sur l’humain, des solutions d’IA.
• Des programmes de formation – Citons entre autres, Ethics@Capgemini, les e-learnings obligatoires sur notre charte éthique avec un module socle et des miniscénarios sur des problématiques éthiques, les courtes vidéos de sensibilisation sur la manière de gérer certaines situations délicates d’un point de vue déontologique ; Think Ethics, une « boîte à outils » pour les managers, partagée tous les mois ; et l’Ethics Café, proposant de courtes vidéos de sensibilisation sur diverses situations éthiques au travail.
• Un programme interne de sensibilisation à l’éthique – Élaboré au niveau du Groupe et déployé dans chaque pays, il s’adresse à tous les collaborateurs. La communication est ciblée par grade et par rôle. Le programme exploite plusieurs canaux internes de communication.
• SpeakUp – Un outil de signalement, de gestion des incidents et de conseils en matière d’éthique (par téléphone et web). Nos collaborateurs, clients, fournisseurs et partenaires commerciaux sont informés qu’ils peuvent utiliser la ligne d’assistance du Groupe (SpeakUp) pour signaler des alertes et/ou demander des conseils et orientations sur les attitudes à adopter face à des actions ou des comportements qui (1) ne seraient pas en accord avec nos valeurs, notre charte éthique et les politiques éthiques et de conformité qui leur sont liées, (2) ne seraient pas conformes avec les lois en vigueur, ou (3) seraient susceptibles d’affecter de manière significative les intérêts vitaux de Capgemini et de ses filiales. La politique de non-représailles protège toute personne qui fait ou aide à traiter, de bonne foi, un signalement dans SpeakUp. Les signalements fondés donnent lieu à des mesures correctives, y compris des sanctions disciplinaires, du conseil ou de la formation ou des améliorations de processus. Le système nous permet d’analyser les causes profondes et de prévenir la réitération de situations similaires (comportements contraires à l’éthique, non-respect des politiques ou du droit applicable) en nous aidant à identifier des axes d’amélioration dans nos processus.
• L’enquête sur la culture éthique, à laquelle tous nos collaborateurs sont invités à participer, prend le pouls de la culture éthique de notre entreprise. Les retours sont partagés avec les responsables d’équipe et les équipes dirigeantes (métier et pays). À partir de leur tableau de bord, tous les responsables ont accès aux résultats (mesurés sur une échelle de 0 à 10) et commentaires « anonymisés » des collaborateurs. En tant que priorité permanente, ceux-ci sont aussi partagés avec les dirigeants, qui ainsi peuvent prendre des mesures immédiates et éclairées. Les conclusions des enquêtes sont prises en compte pour l’amélioration continue de notre programme éthique.

Encourager des comportements professionnels éthiques pour une croissance partagée

Le code éthique des affaires constitue le socle de notre programme de conformité, en couvrant principalement la concurrence et les lois antitrust, la lutte contre la corruption et le blanchiment de capitaux, le devoir de vigilance et les droits humains, les sanctions et embargos, et la confidentialité des données.

• Conduite des affaires et conformité – Dans le cadre de ses activités, le Groupe se livre à une concurrence vigoureuse, mais loyale. La majorité des pays dans lesquels nous opérons, disposent d’un droit de la concurrence, ainsi que de réglementations commerciales conçues pour protéger la concurrence. Le Groupe s’engage à respecter toutes les lois et réglementations applicables en matière de concurrence et d’anti-trust. En tant qu’entreprise, nous devons conjuguer croissance économique et impact environnemental et social positif et favoriser une collaboration éthique pour garder la confiance des clients – notre légitimité et notre réputation en dépendent directement. Cette confiance participe à la continuité de nos activités, nous permet d’attirer et de retenir les meilleurs talents, d’accroître notre productivité et de créer de la valeur à long terme pour tous.
• Anti-corruption – Dans le cadre de son programme de conformité, le Groupe a adopté sa politique anti-corruption ainsi qu’une formation dédiée, preuves de notre tolérance zéro vis-à-vis de la corruption active ou passive. Le Comité Éthique et Gouvernance et la Direction générale veillent à la mise en œuvre d’un dispositif de prévention et de détection de la corruption et des trafics d’influence.
• Devoir de vigilance et droits humains – Le Groupe met en œuvre un plan de vigilance destiné à identifier les risques et prévenir les atteintes graves envers les droits humains et les libertés fondamentales, la santé et la sécurité des personnes ainsi que l’environnement, résultant de ses propres activités, de celles de ses filiales, sous‑traitants et fournisseurs. Le Comité Éthique et Gouvernance veille à la conformité du Groupe aux règles et conventions relatives au respect des droits humains et des libertés fondamentales dans l’exercice de ses activités.
• Achats responsables – Nous veillons à ce que notre chaîne d’approvisionnement réponde à nos exigences éthiques, et à celles de nos clients. Depuis plus de dix ans, le Groupe s’est doté d’un système centralisé d’achats qui offre une vision claire de toutes nos activités dans ce domaine, depuis la sélection des fournisseurs jusqu’à leur paiement. Depuis 2015, le code de conduite fournisseurs formalise les exigences que Capgemini entend appliquer et faire appliquer dans sa relation d’affaires avec ses fournisseurs. Ce code définit les impératifs requis en matière d’éthique et de conformité, de responsabilité sociale et de développement durable. Il précise en outre les modalités de nos relations commerciales avec nos fournisseurs, notamment l’obligation d’un bon de commande formel comme prérequis à tout engagement commercial. Pour Capgemini, il est impératif que ses fournisseurs – y compris leurs collaborateurs et propres fournisseurs – s’engagent à : respecter les pratiques éthiques les plus exigeantes, préserver l’environnement et adhérer aux lois en vigueur, y compris celles relatives aux droits humains et à la lutte contre la corruption et éviter de possibles conflits d’intérêts. Nos normes ne peuvent être respectées qu’avec la coopération et l’implication de nos fournisseurs. L’importance que nous attachons aux relations fournisseurs se reflète dans l’ensemble des directives relatives à la sélection et la gestion de ces derniers. Une procédure d’évaluation est prévue dans le processus de sélection et de référencement. Elle permet d’identifier et de prévenir les risques financiers et extra-financiers. Le cas échéant, des mesures d’atténuation ou correctives peuvent être exigées. Les fournisseurs présentant un risque trop élevé peuvent être exclus et bloqués
• Politique fiscale du Groupe – Le Groupe est exposé aux risques fiscaux en raison du caractère international de ses activités, ainsi que de la complexité et du manque de clarté de certaines dispositions fiscales nationales ou internationales. Nous nous efforçons de prendre en compte tous les facteurs afin de prendre les bonnes décisions, même en cas d’incertitude. Capgemini ne pratique pas l’évasion fiscale et ne recourt à aucune autre pratique contraire au code éthique des affaires et aux valeurs éthiques fondamentales affirmées publiquement. Il met en œuvre une approche raisonnable, logique et cohérente de ses responsabilités fiscales, adaptée à ses activités. Nous estimons que la confiance publique dans les systèmes fiscaux nationaux est capitale et publions, à ce titre, une série de principes fiscaux mondiaux.

Protection des données et de la confidentialité

Capgemini s’engage à protéger toutes les données personnelles qui lui sont confiées dans le cadre de ses activités, pour son compte propre (en qualité de responsable du traitement) et celui de ses clients (en qualité de sous-traitant).

En tant que groupe international implanté dans plus de 50 pays, il importe pour Capgemini que les informations circulent de manière conforme et sécurisée. Offrir un niveau de protection adapté aux données à caractère personnel lors de leur traitement au sein du Groupe est l’une des raisons pour lesquelles Capgemini a choisi de mettre en œuvre des Binding Corporate Rules (BCR). Approuvées pour la première fois en mars 2016 par les Autorités de protection des données européennes, elles ont été actualisées conformément au Règlement général sur la protection des données (RGPD, 2016/679). Les BCR de Capgemini définissent non seulement les principes auxquels se conformer dans le cadre du traitement de données à caractère personnel pour son compte ou celui de ses clients, mais spécifient également les procédures prévues pour concilier la conformité de Capgemini avec les lois en vigueur sur la protection des données et, plus précisément, le RGPD.

Soucieux d’une mise en œuvre efficace de ses BCR, Capgemini déploie un programme de protection des Données du Groupe (Group Data Protection Program, GDPP) et a défini une organisation robuste dirigée par le Responsable Groupe de la Protection des Données (GDPO) qui s’appuie sur des responsables dédiés régionaux et locaux. Par ailleurs, des Data Protection Champions sont désignés pour représenter chaque fonction et Global Business Line (GBL) du Groupe et garantir que les spécificités des fonctions et des GBL sont prises en compte dans le déploiement du programme GDPP du Groupe.

Le programme de protection des données de Capgemini est conçu pour garantir l’amélioration continue dans toutes les fonctions du Groupe et plus particulièrement les opérations, les ventes, la finance, les ressources humaines et l’informatique. Nous déployons plusieurs checklists Privacy by Design (PbD), des directives opérationnelles et des évaluations de maturité. Le Privacy by Design est une approche de l’ingénierie des systèmes qui veille à garantir la protection de la confidentialité des individus en intégrant sa prise en compte dès la conception des produits, services, pratiques commerciales et infrastructures physiques. Des mécanismes complémentaires ont également été mis en place concernant les fournisseurs

Capgemini suit l’efficacité de la mise en œuvre des divers contrôles et procédures susmentionnés, et notamment (1) la gestion des droits des personnes concernées, (2) les transferts de données, (3) le registre de traitement des données, (4) la procédure de gestion des violations de données, et (5) le programme de formation à la protection des données.

Protection des infrastructures et identités

La cybersécurité Groupe de Capgemini (Capgemini Group Cybersecurity) contribue largement à bâtir la confiance dans les écosystèmes auprès de nos collaborateurs, clients et partenaires en sécurisant les activités internes et en prévenant les menaces externes afin d’offrir des services numériques fiables. Nous faisons face à une recrudescence d’enjeux de cybersécurité avec une stratégie et une gouvernance dédiées et complètes, sous l’égide du Conseil d’Administration, reposant sur quatre piliers de gestion des risques cyber :

• les menaces internes et externes (à savoir les auteurs des menaces et les tactiques de cyber-attaque) ;
• le renforcement, tant interne qu’externe, des actifs (priorité accordée à la vulnérabilité, y compris des actifs externes ) ;
• la conformité avec les lois, les réglementations et les standards de sécurité (a minima la norme ISO 27001) ;
• et les mécanismes de confiance dans les écosystèmes au sein de Capgemini et avec les clients, les fournisseurs et les autorités.

Cette stratégie est déployée dans toute l’organisation et notre approche de gestion des risques cyber est opérationnelle via le système de gestion de la cybersécurité de Capgemini, qui s’inspire du référentiel du NIST (National Institute for Standards and Technology) et englobe certains éléments de la directive européenne NIS (Network and Information System Security).

Le département dédié à la cybersécurité du Groupe est chargé d’anticiper les menaces informatiques, d’atténuer les risques cyber, de prévenir les incidents cyber et d’y répondre comme il se doit en toute circonstance. Cette organisation spécifique est placée sous la responsabilité du Group Chief Cyber Security Officer (CCSO) qui en réfère au Comité de Direction générale du Groupe. La cartographie des risques cyber est consolidée et communiquée au comité d’Audit et des Risques deux fois par an.

La Group Cybersecurity Community (communauté de cybersécurité du Groupe) est au cœur du modèle opérationnel de Capgemini : elle implique le Group CCSO et son équipe, les responsables de la sécurité des systèmes d’information (Chief Information Security Officers) des Strategic Business Units (SBU) et des Global Business Lines (GBL), les responsables de la cybersécurité des unités opérationnelles dans chaque pays d’activité du Groupe, en soutien aux unités opérationnelles et en lien avec les autorités locales. Notre programme d’acculturation, basé sur nos formations obligatoires de sensibilisation (depuis 2016) a été complété de tests de phishing et de modules de sensibilisation spécifiques. Nous organisons le Mois de la cybersécurité en octobre, ainsi qu’un Challenge de culture cyber pour récompenser les unités opérationnelles les plus impliquées et efficaces.

Le référentiel de politique de cybersécurité du groupe Capgemini (Capgemini Group Cybersecurity Policy framework) est une série d’exigences documentées destinée à définir et faire appliquer (1) le modèle de stratégie et gouvernance, (2) la politique de référence (à minima 100 contrôles obligatoires basés sur l’ISO 27001, la directive NIS et le RGPD) ainsi que les documents de la politique de gestion utilisés pour la certification ISO, et (3) les politiques techniques relatives à la sécurisation des données, points d’extrémité, réseaux, systèmes et applications. Nous avons déployé la nouvelle politique de référence (révisée deux fois par an) ainsi qu’une revue de conformité annuelle qui renforce la cohérence des pratiques dans toutes les unités. De nouvelles politiques ont été élaborées à l’instar de la politique sur la sécurité des données, la politique relative aux tests intrusion, une autre concernant la gestion des incidents de sécurité et des violations de données, la politique de gestion de la sécurité des tiers, et enfin celle des logs.