Document d'Enregistrement Universel 2024

FACTEURS DE RISQUES ET CONTRÔLE INTERNE 2 FACTEURS DE RISQUES

5 – C : RISQUES LIÉS À LA GESTION DES DONNÉES Un traitement non conforme à la réglementation relative à la protection des données à caractère personnel que le Groupe ADP effectue dans le cadre de ses activités pourrait faire encourir des risques, notamment financiers et réputationnels. Criticité + Évolution 2024 è Description détaillée du facteur de risque

Effets potentiels pour le groupe u Amendes, non-conformité réglementaire, mise en demeure d’arrêt de traitement (RGPD) u Diffusion de l’information sensible u Perte de valeur des actifs immatériels u Perte de patrimoine informationnel u Atteinte à l’image Risques interconnectés u Risques de cybersécurité u Risques de corruption et liés à l’intégrité des affaires u Risques liés à la sécurité aéronautique

Le règlement européen 2016/679 sur la protection des données à caractère personnel (dit « RGPD » ou » GDPR »), qui est entré en application le 25 mai 2018, impose des règles de transparence des traitements de données à caractère personnel, de respect de l'intégrité et de la confidentialité des données à caractère personnel, ainsi que la possibilité pour les personnes concernées par les traitements de données (clients, collaborateurs, personnel de nos prestataires, passagers, etc.) d’exercer certains droits (accès, modification, suppression, portabilité, etc.). Au niveau international, il existe des réglementations équivalentes au RGPD et la tendance est au renforcement de celles-ci. Dans l’exercice de ses activités, chaque entité du Groupe ADP est amenée à traiter des données à caractère personnel (celles des salariés, clients, passagers, partenaires, fournisseurs…) et est donc tenue de respecter la réglementation relative à la protection des données à caractère personnel applicable. Les entités étrangères doivent en outre poursuivre les objectifs visés par les contrôles-clés Protection des Données dans leur pratique interne. Le Groupe ADP fait continuellement évoluer son dispositif de sécurisation des données en s’inspirant des bonnes pratiques du marché. Cette action est indispensable car les cas de violation de données personnelles ou confidentielles sont de plus en plus fréquents et médiatisés, notamment en France. L'accélération du développement de l’Intelligence Artificielle (IA) implique de mettre en place un nouveau dispositif de conformité dans l'entreprise (gouvernance, processus, moyens…). L'utilisation de technologies reposant sur de l’intelligence artificielle engendre une augmentation du volume de données gérées par l'entreprise, y compris le partage de celles-ci, notamment pour certaines données sensibles, faisant ainsi émerger le besoin de maîtriser ces technologies et les risques associés.

PRINCIPAUX DISPOSITIFS DE MAÎTRISE DU RISQUE Le Groupe ADP est pleinement engagé dans la protection des données des personnes et des informations sensibles et a mis en œuvre des politiques de protection de l’information. Un ensemble de mesures sont déployées afin d’assurer sa conformité avec la réglementation applicable, telles que : u une organisation et une gouvernance spécifique, pilotée par la déléguée à la protection des données (DPD)/ Data Protection Officer (DPO), en coordination avec les équipes d’Éthique et Compliance et de la Sécurité des Systèmes d’Information ; u une démarche structurée impliquant un réseau de contributeurs pour les entités françaises du groupe ;

u des politiques et charte des bonnes pratiques accessibles à tous les collaborateurs de Paris Aéroport ; u des actions de sensibilisation à la protection des données, à leur confidentialité et aux dispositifs mis en œuvre dans l’entreprise ; u la mise en place des registres réglementaires de suivi des traitements de données à caractère personnel, des demandes d’exercice de droit et des violations de données, ainsi que les plans d’action associés ; u un dispositif de contrôle interne spécifique au RGPD. Une Task Force pluridisciplinaire entre les différentes directions du Groupe pour traiter les nouveaux enjeux liés à l’intelligence artificielle.

121

DOCUMENT D’ENREGISTREMENT UNIVERSEL 2024 w AÉROPORTS DE PARIS