Document d'enregistrement universel 2025

Gouvernance

2. Les principes et les acteurs de la gestion des risques
2.1 Référentiel, définitions et périmètre de la gestion des risques et du contrôle interne

L’Autorité des marchés financiers (AMF) a publié, en juillet 2010, un document intitulé Cadre de référence sur les dispositifs de gestion des risques et de contrôle interne. Ce document constitue le référentiel appliqué par VINCI.

Les dispositifs de gestion des risques et de contrôle participent de manière complémentaire à la conduite des activités de VINCI. Ils visent à identifier et à analyser les principaux risques auxquels sont exposées les filiales du Groupe. Ils contribuent à :

  • préserver la valeur, les actifs et la réputation du Groupe ;
  • sécuriser la prise de décision et les processus internes ;
  • favoriser la cohérence des actions avec les valeurs du Groupe ;
  • mobiliser les collaborateurs autour d’une vision commune des principaux risques.

Ces dispositifs, aussi bien conçus et appliqués soient-ils, ne peuvent fournir une garantie absolue quant à l’atteinte des objectifs poursuivis.

Outre la mise en place d’un dispositif propre au holding, le Groupe veille à la mise en œuvre, dans les pôles de métiers, de dispositifs de gestion des risques et de contrôle interne adaptés au sein de leurs filiales. Le périmètre de la gestion des risques et du contrôle interne couvre les filiales consolidées par intégration globale.

2.2 Environnement et organisation
2.2.1 Principes d’action et de comportements

Les métiers de VINCI nécessitent que les équipes soient géographiquement proches de leurs clients pour leur apporter des solutions adaptées à leurs besoins dans des délais rapides. Afin de permettre à chaque responsable de centre de profit (business unit) – dont le nombre total est estimé à plus de 4 300 – de prendre rapidement les décisions opérationnelles nécessaires, chaque pôle a mis en place une organisation appropriée à ses activités.

Dans ce cadre, le Groupe établit des délégations de pouvoirs pour les responsables opérationnels et fonctionnels aux différents niveaux de l’organisation. Celles-ci s’exercent dans le cadre de directives générales (voir paragraphe 2.4.2, page 183) et dans le respect des principes d’action et de comportements de VINCI suivants :

  • respect des règles communes au Groupe en matière d’engagement, de prise de risque (voir paragraphe 2.4.3, page 183), de prise d’affaire (voir ibid.) et de remontée d’informations financières, comptables et de gestion (voir paragraphe 2.4.6, page 183) ;
  • transparence et loyauté des responsables vis-à-vis de leur hiérarchie et des services fonctionnels centraux des pôles et du holding. S’il fait partie intégrante des missions des responsables opérationnels de prendre les décisions relevant de leur champ de responsabilité dans le cadre des directives générales qu’ils ont reçues et acceptées, les difficultés significatives éventuellement rencontrées doivent être traitées avec l’assistance, si nécessaire, de leurs supérieurs hiérarchiques et/ou des directions fonctionnelles des pôles ou du holding VINCI ;
  • respect des lois et des règlements en vigueur dans les pays où le Groupe opère ;
  • recherche de la performance globale (financière et extra-financière).
2.2.2 Les acteurs de la gestion du risque et du contrôle interne

Le Conseil d’administration de VINCI (dont le rôle est détaillé dans le Rapport de gestion, section C : Rapport sur le gouvernement d’entreprise, paragraphe 2 : Organisation de la gouvernance chez VINCI, à partir de la page 127) exerce les attributions qui lui sont dévolues par la loi. Il s’appuie sur les travaux de quatre comités spécialisés : le Comité d’Audit, le Comité Stratégie et RSE, le Comité des Rémunérations et le Comité des Nominations et de la Gouvernance. Les missions de ces comités et les principales actions menées en 2025 dans ce cadre sont présentées dans le Rapport de gestion, section C : Rapport sur le gouvernement d’entreprise, paragraphe 3.4.2 : Les comités du Conseil, à partir de la page 145 ; elles prennent en compte les recommandations du code Afep-Medef.

Le Comité Exécutif, composé de quatorze membres en date du 31 décembre 2025, est chargé de la mise en œuvre globale de la stratégie du Groupe qui se déploie dans ses différents pôles, de la validation et du suivi de l’application des politiques transverses en matière de gestion des risques, de finances, de ressources humaines, de sécurité, d’informatique et d’assurances.

Les services fonctionnels de la société mère VINCI SA établissent et veillent à la bonne application des règles et procédures du Groupe ainsi que des décisions prises par la direction Générale de VINCI. En outre, ils conseillent les différents pôles sur des sujets techniques, sans interférer dans les prises de décision opérationnelles qui relèvent de la responsabilité des pôles, conformément à l’organisation décentralisée du Groupe. Pour assurer ses missions, VINCI SA disposait d’un effectif de 409 personnes au 31 décembre 2025.

La direction Éthique et Vigilance, rattachée à la direction Générale du Groupe, élabore et diffuse les mesures de prévention du risque de non-conformité et accompagne les pôles dans la mise en œuvre et le renforcement de leurs programmes de conformité. Elle anime le Comité Éthique et Vigilance, composé de sept personnes, dont cinq membres du Comité Exécutif, qui supervise l’évolution et le déploiement des dispositifs de conformité éthique couverts par la Charte éthique et comportements, notamment en matière de prévention de la corruption, et de prévention des risques de violation des règles de la concurrence. Il est informé de la nature des signalements effectués sur la plateforme d’alerte du Groupe. Ce comité s’est réuni quatre fois en 2025 et rend compte annuellement de son activité au Comité Stratégie et RSE du Conseil d’Administration. Le plan de vigilance du Groupe est présenté dans la section F : Plan de vigilance, à partir de la page 295.

Un Comité stratégique sécurité des systèmes d’information VINCI a été constitué fin 2018. Son rôle est de :

  • valider la stratégie de sécurité des systèmes d’information de VINCI et allouer les ressources et les budgets nécessaires à sa mise en œuvre ;
  • prendre connaissance des incidents et piloter les crises majeures de sécurité des systèmes d’information ;
  • examiner les indicateurs de performance clés liés à la sécurité des systèmes d’information.

Le Comité stratégique sécurité des systèmes d’information est composé du directeur général adjoint et directeur financier de VINCI, du directeur des systèmes d’information du Groupe, du responsable sécurité des services d’information, du directeur de l’audit et du directeur de la sûreté de VINCI. Il se réunit à titre ordinaire au moins deux fois par an, et à titre exceptionnel aussi souvent que nécessaire, en situation de crise par exemple. Il rend compte de son activité au Comité d’Audit du Conseil d’Administration.