Notre premier
Rapport Intégré

Nous publions pour la première fois un Rapport Intégré digital et imprimé s’inspirant du Cadre de référence <IR> publié par l’IIRC (International Integrated Reporting Council).

Ce document s’adresse à toutes nos parties prenantes et présente notre Groupe : une entreprise qui accompagne la transformation des business models de ses clients grâce au levier de la technologie, un leader responsable dont l’expertise a des effets externes positifs.

Confiants en notre avenir, nous considérons que les performances financières et non financières sont toutes deux essentielles pour une création de valeur durable et partagée.

N’hésitez pas à nous faire part de vos commentaires en nous envoyant un message à l'adresse suivante : integratedreporting@capgemini.com

Paul Hermelin

Président-directeur général

Hubert Giraud

Gestion et transformation desRessources Humaines

Christine Hodgson

Responsabilité Sociale
et Environnementale

Rosemary Stark

Ventes

en fr

Nos enjeux essentiels

Risques et Opportunités

Gestion des Risques

Cette version digitale de notre Rapport Intégré 2017, présente nos dispositifs de contrôle et de gestion des risques. Puis nous nous focalisons spécifiquement sur les risques et opportunités liés aux enjeux essentiels sélectionnés durant notre processus de reporting intégré.

Les lecteurs désireux d’avoir accès à une description exhaustive de nos risques et opportunités pourront se réféer à notre Document de Référence 2017 (section 2.5).

1. Dispositif de contrôle interne et de gestion des risques

1.1. Objectifs

Les dispositifs de contrôle interne et de gestion des risques du Groupe visent à créer et préserver la valeur, les actifs et la réputation du Groupe, ainsi qu’à identifier et mesurer les risques majeurs auxquels le Groupe est confronté, à anticiper et prévoir l’évolution de ces risques, et enfin mettre en place des actions de prévention et de transfert. Dans ce cadre, le groupe Capgemini a défini et mis en œuvre un système de contrôle qui vise à assurer :

  • la conformité aux lois et règlements de tous ses actes de gestion ;
  • le respect des 7 valeurs fondamentales du Groupe, en même temps que des grandes orientations arrêtées par le Conseil d’Administration et/ou la Direction Générale ;
  • l’application par les filiales des instructions qui leur ont été transmises ;
  • le bon fonctionnement des processus internes concourant à la sauvegarde des actifs ;
  • la fiabilité des informations comptables et financières.
1.2. Limites

Contribuant à une meilleure efficacité de ses fonctions de support aux opérations, à l’utilisation optimum de ses ressources et à une bonne maîtrise des risques, ce dispositif ne constitue pourtant pas la garantie absolue que tous les risques possibles ou imaginables sont maîtrisés, pas plus qu’il ne peut – quelles que soient les compétences des collaborateurs qui exercent ces contrôles – garantir à lui seul la parfaite réalisation des objectifs affichés par le Groupe.

1.3. Principes

La Direction Générale du Groupe a discuté, rédigé, approuvé et diffusé un recueil de «  ègles et procédures » (appelé Blue Book) que chacun des collaborateurs du Groupe est tenu de respecter. Ce Blue Book indique et commente les 7 valeurs fondamentales de Capgemini, dessine le cadre de sécurité général dans lequel les activités du Groupe doivent s’inscrire, et enfin détaille les comportements encouragés et précise les interdits dans chacune des grandes fonctions de l’entreprise.

Ce recueil des règles et procédures qui ont force de loi au sein du Groupe, rappelle aux collaborateurs quelles sont leurs obligations en la matière et recense les outils et les méthodes leur permettant de maîtriser les risques identifiés dans l’exercice des métiers du Groupe.

1.4. Les acteurs du dispositif de gestion des risques et de contrôle interne

Le Groupe a développé dès 2016 un dispositif de maîtrise de ses risques, administré par un Comité des Risques qui mobilise des acteurs intervenant à différents niveaux de l’organisation. Ces principaux acteurs sont présentés ci-après conformément au modèle des trois lignes de maîtrise.

Les instances de gouvernance

  • Le Comité d’Audit et des Risques
    En matière de gestion des risques, le Comité d’Audit et des Risques du Conseil d’Administration de Capgemini SE a en charge notamment de s’assurer de l’existence et de l’efficacité des systèmes de gestion des risques et de contrôle interne.
  • La Direction Générale et le Comité des Risques
    La Direction Générale du Groupe a délégué à un Comité des Risques, créé en 2016, la définition et la mise en œuvre des différentes activités liées au processus de gestion des risques au sein du Groupe. Le Comité des Risques, présidé par le Directeur Financier du Groupe, a en charge la mise en œuvre effective du dispositif de gestion des risques et de contrôle interne au sein du Groupe. À ce titre, il rend compte au Comité d’Audit et des Risques pour toute question relative à ces dispositifs.

De manière opérationnelle, le Comité des Risques s’appuie sur l’action du Directeur des Assurances en charge de la coordination de la gestion des risques du Groupe, qui supporte l’action du Comité des Risques, et sur les responsables des différentes directions des entités opérationnelles et directions fonctionnelles, en matière de gestion des risques.

Les 3 lignes de maîtrise

  • 1ère ligne de maîtrise : du management aux collaborateurs

Les directions opérationnelles et métiers complètent et adaptent le Blue Book défini par la Direction Générale, en mettant en cohérence ces procédures de contrôle interne avec les lois, règlements et usages en vigueur dans le pays dans lequel elles opèrent, afin de contrôler plus efficacement les risques spécifiques à ce pays, et à la culture locale. Dans le cadre de leurs compétences managériales, les directions opérationnelles et métiers sont entre autres responsables de l’identification et de la maîtrise des risques relatifs à leur environnement propre et ce dans le respect des règles et procédures mises en œuvre et diffusées par les directions fonctionnelles du Groupe.

  • 2e ligne de maîtrise : les directions fonctionnelles expertes du risque

Les différentes directions fonctionnelles du Groupe contribuent, en lien avec le Comité des Risques, à l’identification et à la hiérarchisation des risques. Sur son domaine d’activité, chaque direction définit et déploie des dispositifs de maîtrise des risques et s’assure notamment de la cohérence des actions menées au sein des directions opérationnelles avec ces référentiels. Elles apportent une assistance à l’ensemble des entités du Groupe en facilitant le partage des bonnes pratiques en matière de gestion des risques et de contrôle interne.

  • 3e ligne de maîtrise : l’audit interne

Depuis plus de 30 ans, le Groupe s’est doté d’une Direction Centrale de l’Audit Interne, dont le Directeur est directement rattaché au Président-directeur général, ce rattachement direct constituant une garantie d’indépendance de la fonction d’Audit Interne envers les fonctions et unités auditées. L’équipe d’Audit Interne est constituée de 33 auditeurs représentant 10 nationalités différentes et couvrant 90 % des langues parlées localement dans le Groupe. Cette forte internationalisation de l’équipe d’Audit Interne résulte de la volonté d’accompagner l’expansion du Groupe dans les nouvelles régions du monde ; par ailleurs le département d’Audit Interne dispose notamment d’une antenne basée à Mumbai comptant 18 auditeurs, dont 4 experts techniques spécialisés dans la revue des projets informatiques.

2. Principaux risques et opportunités

Dans le cadre de l’actualisation de sa cartographie des risques majeurs finalisée en 2017, le groupe Capgemini a procédé à une évaluation des risques susceptibles d’avoir un effet défavorable significatif sur son activité, sa situation financière ou ses résultats. Vous trouverez ci-dessous une sélection de risques et opportunités liés aux enjeux essentiels résultant de l’analyse de matérialité interne réalisée en 2017 et considérés comme pouvant potentiellement avoir une influence significative sur l’activité de Capgemini, ses résultats financiers ou ses futurs prospects. Cette liste n’est pas exhaustive.

2.1. Clients et innovation

Les principaux risques et opportunités que rencontre notre secteur en ce qui concerne les clients et l’innovation incluent notamment notre capacité à adapter notre portefeuille de services, à rester compétitifs, ainsi qu’à éviter d’éventuels échecs dans l’exécution de nos services, mais également la protection des données, la cybersécurité et les passifs des contrats.

Facteurs de risque

CLIENTS

Capgemini cherche à développer ses parts de marché et sert un grand nombre de clients, dans différents secteurs d’activité et de nombreux pays. Les clients les plus importants sont de grands groupes internationaux et des organismes publics. La liste détaillée des plus grands clients du Groupe constitue une information stratégique et non communiquée. La part des principaux clients dans le chiffre d’affaires du Groupe (en pourcentage du chiffre d’affaires total) est la suivante :

Trois premiers clients

2016        2017

9%               7%

 

Cinq premiers clients

2016         2017

11%            10%

 

Dix premiers clients

2016         2017

16%           15%

 

For existing clients, Capgemini is potentially exposed to standard risks:

Pour les clients existants, Capgemini est potentiellement exposé à des risques classiques : dépendance excessive envers un client, un seul groupe de clients ou un seul secteur d’activité;

  • insolvabilité d’un client;
  • risque d’insatisfaction du client.

 

EXÉCUTION DES PROJETS

Malgré le processus de revue et de validation des engagements contractuels pris par le Groupe avec ses clients, ses fournisseurs et sous-traitants, la difficulté d’exécution d’une prestation pourrait être sous-estimée et/ou son coût pour le Groupe sous-évalué. Il peut en résulter des dépassements de dépenses non couverts par des recettes, notamment dans les projets de développement dits « au forfait », ou des réductions de recettes sans diminution de dépenses dans certains contrats d’externalisation comportant des engagements de niveaux de services.

De manière plus globale, le Groupe pourrait être dans l’incapacité de maîtriser l’évolution de sa base de coûts, ce qui impacterait de manière significative la rentabilité globale de ses opérations.

Risk management systems

CLIENTS

Pour assurer la qualité d’exécution des projets clients, le Groupe a développé un ensemble de méthodes, regroupées et formalisées dans la méthodologie DELIVER. Les responsables de projets bénéficient de formations spécifiques leur permettant de développer leurs compétences et d’acquérir des niveaux de certification en rapport avec la complexité des projets qui peuvent leur être confiés. Le Groupe poursuit une politique active de certification externe (CMM, ISO, etc.) de ses unités de production.

 

Le suivi de l’exécution des projets répond à des procédures de gestion et de contrôle définies par le Groupe, les projets qualifiés de « complexes » étant soumis à des contrôles plus spécifiques. L’Audit Interne vérifie également l’application des procédures de gestion et de contrôle des projets. Des équipes d’experts spécialisés interviennent, à l’initiative de la Direction « Production/Méthodes et Supports », pour effectuer des audits de certains projets jugés à risque ou rencontrant des difficultés d’exécution.

 

Le Groupe a arrêté un processus formalisé permettant d’identifier et de contrôler les risques liés à la mise en œuvre des projets qui lui sont confiés par ses clients, depuis la phase d’avant-vente jusqu’à la livraison finale et au règlement par le client de la dernière facture soldant le projet.

Plus de détails dans la section 2.5.3.c du Document de Référence.

2.2. Talent

Les principaux risques et opportunités liés aux talents auxquels notre secteur est confronté incluent l’attraction et la fidélisation de ceux-ci, notamment pour les dirigeants clés et l’identification des successeurs potentiels.

Facteurs de risques

L’essentiel de la valeur du Groupe repose sur son capital humain et sur sa capacité à attirer, former et retenir des collaborateurs disposant des compétences techniques adéquates nécessaires à la bonne exécution des projets auxquels il s’est engagé vis-à-vis de ses clients. Cela implique en particulier de disposer d’une image forte sur le marché du travail, d’assurer l’équité des procédures d’évaluation et des promotions, et d’assurer le développement professionnel de nos collaborateurs.

Une perte de talent ou d’équipe pourrait également survenir à la suite d’une acquisition ou d’un changement dans le management du Groupe ou d’une entité.

Un conflit social ou le non-respect des règles et/ou des normes éthiques d’un pays pourrait affecter l’image et, le cas échéant, les résultats du Groupe.

Des informations chiffrées notamment sur le taux d’attrition, l’évolution des effectifs, la gestion des carrières, le développement des compétences et la fidélisation et le niveau d’engagement de nos collaborateurs sont détaillés dans le chapitre 3 du Document de Référence « Notre responsabilité sociale, sociétale et environnementale ».

Dispositif de gestion du risque

Le Groupe porte une grande attention à la communication interne, à la diversité, à l’égalité des chances et aux conditions de travail, à la qualité de la gestion de ses ressources humaines, et à l’engagement de ses collaborateurs. Ainsi, une enquête interne est réalisée régulièrement qui a pour objet de mesurer le degré d’engagement et les attentes des employés du Groupe. Cette enquête est un outil de diagnostic qui donne lieu à des plans d’actions, en fonction des résultats relevés.

Par ailleurs, le déploiement d’un système d’information de la gestion du personnel est conduit dans le monde par la Direction des Ressources Humaines du Groupe pour assurer une gestion globalisée de l’ensemble des processus touchant à la gestion des talents, permettant notamment une approche harmonisée du suivi de la performance et des plans de développement de nos collaborateurs, de la gestion de la mobilité internationale ou encore des plans de succession en cohérence avec les objectifs stratégiques du Groupe et l’intérêt de nos clients.

La Direction Générale du Groupe a publié une Charte Éthique et veille à sa mise en pratique, afin de réduire au maximum le potentiel impact sur la réputation du Groupe.

L’International Works Council du Groupe intègre au-delà des pays européens des représentants de nos principaux pays hors d’Europe (Inde, États-Unis et Brésil), et les principaux dirigeants du Groupe viennent régulièrement présenter l’évolution du Groupe et ses principaux défis pour en discuter avec nos partenaires sociaux dans un esprit d’ouverture et de compréhension mutuelle.

Enfin, dans le cadre de notre politique intitulée People Matter, Results Count, nous prenons en compte :

  • la motivation et l’évolution de carrière de nos collaborateurs ;
  • la mise en œuvre de plans de carrières variés et attractifs;
  • le développement de nos collaborateurs au travers de programmes de développement et de formation ;
  • le respect et la promotion de l’équilibre entre vie professionnelle et vie privée.

2.3. Protection des données et cybersécurité

Les principaux risques et opportunités dans notre secteur sont liés à la protection des données et à la cybersécurité, qui peuvent influer sur la réputation.

Facteurs de risques

Les nouvelles technologies (cloud computing, usage professionnel de matériel personnel…) d’une part, et les nouveaux usages (réseaux sociaux, mobilité, Software-as-a-Service – SaaS, DevOps, intelligence artificielle, etc.), d’autre part, créent immanquablement de nouvelles expositions pour le Groupe.

Les risques liés à la cybercriminalité sous toutes ses formes peuvent conduire à une perte de données, à des retards dans la livraison de nos projets, à des interruptions de services chez nos clients, ou à des coûts supplémentaires pouvant altérer la réputation et la santé financière du Groupe.

Dispositif de gestion du risque

Le Groupe a mis en place des procédures de sauvegarde de ses activités et de ses réseaux de communication en cas de panne informatique. Les principaux systèmes informatiques de gestion font l’objet de plans de secours dans différents centres d’hébergement (data centers). Le Groupe est attentif à la sécurité de ses réseaux de communication internes, protégés par des règles de sécurité au meilleur niveau des standards internationaux, des contrôles proactifs, d’un centre opérationnel de détection des attaques, fonctionnant en continu, et des équipements techniques spécifiques (firewalls…). Une politique de sécurité a été définie, s’appuyant sur de nombreux standards internationaux et des procédures (nos sites opérationnels sont certifiés  27001). Cette politique de sécurité ainsi que les plans de secours font l’objet d’une validation, de mises à jour et d’audits périodiques.

Les systèmes d’information et réseaux dédiés à certains projets, ou à certains clients, peuvent faire l’objet de mesures de protection renforcées, contractuellement définies.

Par ailleurs, un grand nombre de nos clients ont été identifiés comme opérateur d’importance vitale par leurs autorités nationales. Certains de nos clients seront également identifiés en tant qu’Opérateur des Services Essentiels (OSE) au titre de la directive 2016/1148 du 6 juillet 2016, aussi appelée directive NIS (Network and Information Security), ou par l’Europe. La sécurité de leur système d’information devra être agréée par les autorités nationales, ou par l’Europe, et notre Groupe, en tant que sous-traitant majeur, devra respecter cette réglementation.

Le Groupe veille, en permanence, à assurer la sécurité de ses systèmes ainsi que leur conformité aux engagements contractuels, ainsi qu’aux dispositions législatives et réglementaires qui leur sont, le cas échéant, applicables. Il s’emploie à mettre en œuvre, avec les parties prenantes, les mesures correctrices et protectrices éventuellement nécessaires. Le Groupe dispose à cet effet d’un programme visant à anticiper, prévenir, maîtriser les risques de cybercriminalité des principaux systèmes. Cette organisation dédiée est placée sous la responsabilité du Directeur chargé de la protection des informations et de la sécurité liée aux risques dits « cyber » (Cyber Security and Information Protection – CySIP) qui a été placé, à compter du 1er janvier 2018, sous l’autorité du Directeur des Technologies. Ce programme lié à ces expositions aux risques dits « cyber » se décompose lui-même en 3 sous-ensembles traitant des problématiques liées à leur gouvernance (organisation, politique et communication & formation) et 5 projets opérationnels (protection des données, gestion de la mobilité, gestion des accès, contrôle et pilotage du système d’information, et développement de l’infrastructure). La communauté CySIP dispose de spécialistes des risques « cyber » dans les domaines suivants :

  • des responsables CySIP (CySIP Officers), dans les unités opérationnelles, pour le suivi des projets clients ;
  • des responsables de la sécurité des informations (Chief Information Security Officers), pour la protection des systèmes d’information internes.

La communauté CySIP collabore étroitement avec les responsables protection des données (Data Protection Officers), en charge de la protection des données personnelles et de la conformité. L’ambition de ce programme est de devenir une référence pour nos clients afin de renforcer la crédibilité du Groupe sur les sujets du Digital et de la cybercriminalité. La politique et l’organisation du Groupe dans le domaine de la protection des données à caractère personnel ont été arrêtées sur la base de règles définies par la commission européenne (Binding Corporate Rules – BCR), et validées par la CNIL, pour traiter, stocker et transférer nos propres données et celles de nos clients.

2.4. Éthiques et valeurs

Les principaux risques et opportunités liés à l’éthique et aux valeurs auxquels notre industrie est confrontée incluent le respect des lois en vigueur, la gestion de crise et la réputation.

Facteurs de risques

Le Groupe est une multinationale qui opère dans de nombreux pays, assurant des services à des clients qui, eux aussi, opèrent dans le monde entier, et sont soumis à des lois et réglementations multiples et en constante évolution. Nous pouvons à titre d’exemple, évoquer les lois anticorruptions, les contrôles à l’import et à l’export, les lois sur le droit de la concurrence, les sanctions, les règles liées à l’immigration, les obligations en matière de sécurité, et les lois relatives au droit du travail.

La diversité des lois et réglementations locales applicables, ainsi que leur constante évolution, exposent le Groupe au risque de violation par des collaborateurs insuffisamment avertis, notamment ceux intervenant dans des pays de culture différente de la leur, ou à des indiscrétions ou fraudes commises par ces collaborateurs. Les précautions juridiques, notamment contractuelles ou opérationnelles, prises par le Groupe pour protéger ses activités, ou s’assurer du respect par ses collaborateurs des règles du Groupe, aussi rigoureuses soient-elles, ne peuvent fournir qu’une assurance raisonnable et ne sauraient en aucun cas garantir une sécurité absolue.

Dispositif de gestion du risque

Le Groupe est doté d’un service juridique dont la présence dans chacune des principales zones géographiques est bien établie. Son rôle est de suivre les évolutions des législations applicables au Groupe et d’assurer une formation sur les grands thèmes juridiques.

Le Groupe a également adopté une Charte Éthique et une politique sur le droit de la concurrence et s’appuie sur le réseau des responsables juridiques agissant également comme responsables de l’Éthique et de la Compliance, qui participent à l’identification des risques, forment et suivent les employés afin de garantir la conformité.

En outre, s’appuyant sur l’adhésion des collaborateurs aux valeurs du Groupe, au premier rang desquelles figurent la confiance et l’honnêteté, sur un dispositif global de gestion et de cartographie des risques au niveau du Groupe, ainsi que sur les pays ayant développé des dispositifs spécifiques répondant aux exigences des législations locales, Capgemini a poursuivi la mise en place des mesures et procédures afin de prévenir et détecter, en France ou à l’étranger, les faits de corruption ou de trafic d’influence, notamment un dispositif de sensibilisation et de formation, un Code de conduite, un dispositif d’alerte interne, et des procédures d’évaluations des tiers, afin de satisfaire aux exigences de loi française 2016-1691 dite « loi Sapin 2 ». La mise en conformité avec les obligations résultant de la loi française 2017-399 du 27 mars 2017 relative au devoir de vigilance des sociétés mères et des entreprises donneuses d’ordre s’inscrit dans le même cadre.

2.5. Responsabilité Sociale

Les principaux risques et opportunités liés au développement durable auxquels notre industrie est confrontée sont de nature politique et environnementale.

Facteurs de risques

Les risques liés à la continuité des services sont analyses en detail dans le Document de Référence, section 2.5.3.C.

 

En plus d’être inévitables à l’avenir, les impacts du changement climatique et les augmentations de température dans le monde constituent déjà une réalité. Nous devons non seulement réduire notre propre contribution au changement climatique et nous employer, avec nos clients, à réduire les émissions carbone, mais aussi garantir que nous sommes capables de nous adapter au changement climatique.

 

Cela signifie, par exemple, qu’il faut assurer la continuité de nos activités et contribuer au bien-être de nos collaborateurs, face à des événements météorologiques extrêmes.

Dispositif de gestion du risque

Les dispositifs de gestion du risque liés à la continuité des services sont analysés en detail dans le Document de Référence, section 2.5.3.C.

 

Concernant les risques environnementaux, le Groupe dispose d’un système de management environnemental (certifié ISO 14001:2015) qui lui permet d’identifier et de gérer cette catégorie de risques, dans le respect des cadres réglementaires nationaux et internationaux en vigueur et de ses propres objectifs. Les risques liés à la chaîne d’approvisionnement sont intégrés au système de management environnemental. Une évaluation des risques liés au changement climatique s’est ajoutée à nos procédures de gestion des risques en 2017, et sera progressivement intégrée au système standard de management dans l’ensemble des pays où le Groupe est implanté.

 

Au cours des 18 derniers mois, nous avons développé et déployé une approche d’évaluation des risques liés au changement climatique (Climate Change Risk Assessment, CCRA) à l’échelle du Groupe en vue de mieux intégrer les risques associés au changement climatique à notre gestion des risques d’entreprise. Cela nous permettra d’être préparés face aux risques de changement climatique et de faire preuve de résilience.

 

Le CCRA évalue la vulnérabilité au changement climatique de nos actifs, de nos lieux de travail, de nos collaborateurs et des infrastructures nationales dont nous dépendons. Nous avons entrepris une analyse approdondie de recherches et modèles scientifiques revus par des pairs afin d’identifier les principaux dangers climatiques menaçant chacun des pays où nous sommes présents.

 

Six risques principaux sont pris en compte : les conditions météorologiques extrêmes, les températures extrêmes, les changements météorologiques, le stress hydrique, l’élévation du niveau de la mer et la perte de capital naturel. Ces informations sont ensuite utilisées pour créer un modèle qui cartographie les impacts potentiels et qui évalue leurs conséquences pour nos activités.

 

Nous estimons que nos activités seront impactées dans six domaines :

  • conduite des projets ;
  • mobilité ;
  • santé et bien-être ;
  • conformité avec les lois ;
  • assurance ;
  • connectivité numérique.