Document d’enregistrement universel 2021

Informations générales et éléments financiers

2.2.2 Conformité législative et réglementaire

Compte tenu de la diversité de leurs activités et de leurs implantations géographiques, les sociétés du Groupe sont soumises à un environnement législatif et réglementaire spécifique, variant selon le lieu d’exécution des prestations et les métiers concernés.

Certains États mettent en place des législations pouvant avoir une portée extraterritoriale et s’appliquant ainsi aux sociétés du Groupe.

Celles-ci doivent notamment respecter les règles relatives :

  • aux modalités de passation et d’exécution des contrats et marchés de droit public ou privé ;
  • au droit de la construction, notamment les règles techniques régissant les prestations de services, de fournitures et de travaux applicables ;
  • au droit de l’environnement, au droit économique, au droit du travail, au droit de la concurrence, au droit financier et boursier ;
  • à la protection des données à caractère personnel ;
  • aux obligations de vigilance et de prévention (lois françaises Sapin 2 et Vigilance notamment) ;
  • aux sanctions internationales applicables par le biais notamment de diligences spécifiques et d’une veille régulière des réglementations concernées.
Identification du risque Procédures de gestion du risque

Dans le domaine des concessions, outre les changements de dispositions législatives, réglementaires ou fiscales toujours possibles sur les durées longues de ces contrats, le Groupe se trouve dans une situation de dépendance à l’égard des autorités concédantes, qui peuvent disposer, comme c’est le cas en France, du pouvoir de modifier unilatéralement les termes et conditions des contrats en cours d’exécution (contrats de délégation de service public, de partenariat public-privé ou de concession), voire de résilier ces contrats moyennant une compensation. Dans le cadre de leurs activités, les sociétés du Groupe sont susceptibles d’engager leur responsabilité civile contractuelle, délictuelle ou pénale, et ainsi de devoir en assumer les conséquences pécuniaires ou administratives. Par ailleurs, la responsabilité pénale des dirigeants ou des collaborateurs du Groupe peut être mise en cause. Une large part des risques de non-conformité est ainsi susceptible de peser sur les dirigeants mandataires sociaux et les collaborateurs détenant une délégation de responsabilité, mais également sur les personnes morales. Les conséquences peuvent être financières (amendes) ou pénales (condamnation et/ou interdiction d’exercer). Dans le droit de l’environnement, l’émergence de nouvelles réglementations relatives à la transition climatique telles que la RE2020 en France ou la taxonomie européenne peuvent constituer des risques avec des conséquences financières (pertes de projets en appel d’offres, amendes, impacts sur la rentabilité des projets en cours), morales et d’atteinte à la réputation du Groupe.

Dans le domaine des concessions, outre les changements de dispositions législatives, réglementaires ou fiscales toujours possibles sur les durées longues de ces contrats, le Groupe se trouve dans une situation de dépendance à l’égard des autorités concédantes, qui peuvent disposer, comme c’est le cas en France, du pouvoir de modifier unilatéralement les termes et conditions des contrats en cours d’exécution (contrats de délégation de service public, de partenariat public-privé ou de concession), voire de résilier ces contrats moyennant une compensation. Dans le cadre de leurs activités, les sociétés du Groupe sont susceptibles d’engager leur responsabilité civile contractuelle, délictuelle ou pénale, et ainsi de devoir en assumer les conséquences pécuniaires ou administratives. Par ailleurs, la responsabilité pénale des dirigeants ou des collaborateurs du Groupe peut être mise en cause. Une large part des risques de non-conformité est ainsi susceptible de peser sur les dirigeants mandataires sociaux et les collaborateurs détenant une délégation de responsabilité, mais également sur les personnes morales. Les conséquences peuvent être financières (amendes) ou pénales (condamnation et/ou interdiction d’exercer). Dans le droit de l’environnement, l’émergence de nouvelles réglementations relatives à la transition climatique telles que la RE2020 en France ou la taxonomie européenne peuvent constituer des risques avec des conséquences financières (pertes de projets en appel d’offres, amendes, impacts sur la rentabilité des projets en cours), morales et d’atteinte à la réputation du Groupe.

Procédures de gestion du risque

Les principales dispositions du contrôle légal et réglementaire sont décrites aux paragraphes 2.3 Respect des droits humains, page 199, et 2.4 L’éthique des affaires, page 201, de la section E : Informations sociales, sociétales et environnementales. Les risques financiers afférents à la mise en jeu éventuelle de la responsabilité civile des sociétés du Groupe sont couverts dans certaines limites par des polices d’assurance décrites au paragraphe 3.5 Couverture des risques par les assurances, pages 170-171. La capacité du Groupe à s’adapter aux nouvelles réglementations et la veille normative qu’il effectue lui permettent un contrôle significatif des risques de conformité législative et réglementaire.

2.3 Cyberrisques

La protection du capital informationnel de VINCI constitue un enjeu stratégique pour le Groupe, particulièrement à l’heure où tous ses métiers se digitalisent. Les cyberrisques constituent donc une préoccupation permanente pour le Groupe, qui travaille en continu sur le renforcement de la sécurité de ses systèmes d’information et la sensibilisation de l’ensemble de ses salariés.

2.3.1 Cyberattaques

Les nouvelles pratiques collaboratives permettent de travailler au bureau, sur site ou à distance de manière plus fluide et plus efficace.

Dans un monde hyperconnecté, elles sont devenues une source de vulnérabilité. Les systèmes d’information, essentiels à l’efficacité opérationnelle du Groupe, sont en effet exposés aux cyberattaques, lesquelles peuvent revêtir des formes très diverses et de plus en plus sophistiquées.

Les grands groupes internationaux sont confrontés fréquemment à des campagnes, parfois massives, de cyberattaques et à de nombreuses tentatives de fraude. L’accélération de cette tendance s’est confirmée en 2021, notamment pendant les périodes de confinement au cours desquelles le télétravail a été encouragé et s’est considérablement développé.

Identification du risque Procédures de gestion du risque
  • – Cyberattaques : attaques des systèmes d’information (SI).
  • – Fuite d’information : déperdition ou divulgation de données.
  • – Cyberespionnage : écoute ou vol de données confidentielles.

Conséquences possibles :

  • – Atteinte à la réputation du Groupe.
    – Perte financière.
    – Indisponibilité des systèmes d’information.
  • – Non-conformité.
  • – Cyberattaques : attaques des systèmes d’information (SI).
  • – Fuite d’information : déperdition ou divulgation de données.
  • – Cyberespionnage : écoute ou vol de données confidentielles.

Conséquences possibles :

  • – Atteinte à la réputation du Groupe.
    – Perte financière.
    – Indisponibilité des systèmes d’information.
  • – Non-conformité.

Procédures de gestion du risque

En 2021, VINCI a continué ses efforts de déploiement de sa politique générale de sécurité des systèmes d’information (SI), sous l’impulsion du référent cybersécurité au sein du comité Exécutif du Groupe. Les principales actions suivantes ont été menées :

  • – présentations régulières par la direction des Systèmes d’information et le responsable de la sécurité des systèmes d’information (RSSI), devant le comité Exécutif, de l’avancement des projets qui constituent le programme de cybersécurité du Groupe ;
  • – actualisation, avec les représentants de chacun des pôles, du plan pluriannuel sur la cybersécurité ;
  • – renforcement de l’équipe VINCI-CERT (Computer Emergency Response Team) en central et dans les pôles, dont le rôle est d’identifier les menaces et les vulnérabilités des SI, ainsi que d’apporter une expertise en cas de cyberincident ;
  • – contrôle de l’application des directives de sécurité des SI, qui précisent les règles de sécurité obligatoires pour chaque domaine du système d’information ;
  • – actualisation du « cybersecurity radar » de VINCI qui mesure le niveau de maturité en cybersécurité de l’ensemble des entités du Groupe ;
  • – uniformisation et déploiement des mécanismes de sécurisation des postes de travail et de la gestion des identités numérique ;
  • – déploiement de nombreuses actions de sensibilisation à destination de l’ensemble des collaborateurs ;
  • – campagne de tests d’intrusion sur les infrastructures critiques du Groupe ;
  • – renforcement des dispositifs de résilience des infrastructures informatiques essentielles aux métiers du Groupe (redondance, reprise après incident) ;
  • – réalisation d’exercices de simulations de cybercrises Groupe et ciblées par métier ;
  • – audits internes de cybersécurité réalisés conjointement par les directions de l’Audit et des Systèmes d’information du holding.