Document d'enregistrement universel 2021

I NFORMAT I ONS SOC I ALES , ENV I RONNEMENTALES ET SOC I ÉTALES

OPÉRER DE MANIÈRE EXEMPLAIRE

LA CARTOGRAPHIE DES RISQUES DE CORRUPTION En complément du risque Éthique et compliance inclus dans la cartographie du Groupe, une cartographie des risques Corruption est réalisée tous les deux ans pour identifier les scénarios potentiels et définir des actions préventives (dernier exercice en 2020). Les plans d’actions formalisés en 2020 ont été suivis par la direction de l’éthique en 2021. LA DÉFINITION ET LA DIFFUSION DE POLITIQUES, RÈGLES ET MÉTHODES En 2022, le programme Éthique et Compliance fêtera ses 4 ans. Pendant cette phase de déploiement, le Groupe ADP s’est attaché à développer la culture éthique et la compliance à tous les niveaux dans l’entreprise. Initié dès la fin 2017, le programme Éthique et compliance a permis de mettre en place des repères sur les bonnes pratiques pour les collaborateurs notamment via la mise en place d’un code déployé en 7 langues et des procédures (cadeaux et invitations, conflits d’intérêts, mécénat, évaluation des tiers, sanctions internationales/embargos…). 2021 a notamment permis au Groupe de renforcer le process d’évaluation des tiers avec l’acquisition d’un outil. Il existe aujourd’hui 4 niveaux d’évaluation activés selon la typologie des projets, du risque lié aux pays et aux tiers. En complément de la culture éthique qui créé les bons réflexes, la procédure d’évaluation des tiers permet notamment de prévenir les risques liés aux projets d’investissement. Un fait marquant en 2021, ADP International, filiale du Groupe ADP, a signé le 4 janvier 2022 un accord transactionnel avec la Société financière internationale (l’IFC), la principale institution de développement au sein du Groupe de la Banque Mondiale. Elle s’inscrit dans le cadre d’un règlement à l’amiable qu’ADP International a négocié et en vertu duquel l’entreprise assume la responsabilité de pratiques considérées comme frauduleuses et collusoires intervenues, à partir de 2013 et en 2015, à l’occasion des procédures d’appels d’offres organisées pour l’attribution des concessions des aéroports de Zagreb en Croatie et d’Antananarivo et de Nosy Be à Madagascar, dont la construction a été partiellement financée par l’IFC. Au titre de cet accord, ADP International, ainsi que ses filiales, n’est plus autorisée, pour une durée de 12 mois à compter de ce jour, à prendre part à des projets financés par le Groupe de la Banque Mondiale (exclusion assortie d’une période probatoire de 12 mois supplémentaires). Cette exclusion ne concerne qu’ADP International et les sociétés qu’elle contrôle – et ne comprend donc pas dans son périmètre ADP SA et ses autres filiales comme TAV Airports. Si cette exclusion est l’occasion pour actualiser et amplifier le programme Éthique et Compliance, le Groupe ADP a défini un plan de formation et de sensibilisation ambitieux dès sa mise en place (voir ci-dessous). LE DISPOSITIF D’ALERTE Accessible depuis le 1 er octobre 2018 aux collaborateurs du Groupe et à ceux de ses fournisseurs, la plateforme d’alerte (https://alert.groupeadp.fr/entreprises) répond aux exigences de la loi Potier (devoir de vigilance) et de la loi Sapin II (lutte contre la corruption). Le dispositif d’alerte est accessible à tous les collaborateurs du Groupe et ceux de nos fournisseurs via une plateforme externalisée et sécurisée. Il permet à chacun de poser des questions ou de signaler des dysfonctionnements. Le traitement des alertes est encadré par une charte et une enquêtrice interne est dédiée aux sujets Éthiques et compliance. Entre fin 2018 et 2021, le groupe a ainsi traité 43 alertes recevables ayant donné lieu à 19 enquêtes, 16 recommandations et 7 sanctions prononcées.

compte notamment un référent par filiale. En complément de ces référents, 20 relais sont nommés au sein des directions supports au niveau de la maison mère pour irriguer les différents process des pratiques Éthiques et compliance et ainsi prévenir les risques afférents. Ce réseau contribue également à la mise en œuvre des bonnes pratiques telle que la remontée des registres Cadeaux et invitations et conflits d’intérêts tous les ans. Le programme est suivi dans les différentes instances du Groupe : comité exécutif, comité social et économique, conseil d’administration (et son comité d’audit et des risques). Le plan d’actions Éthique et compliance est validé, chaque année, par le comité exécutif ainsi que par le conseil d’administration et son comité d’audit et des risques. En parallèle, le comité RSE du conseil d’administration revoit les actions relatives à la diffusion de la culture éthique et compliance au sein du groupe à partir des résultats du Baromètre du climat éthique. Les risques liés à l’Éthique et la compliance sont décrits dans le chapitre Risques et gestion des risques. Ils sont copilotés par la Direction de l’Éthique et la Direction Juridique et des Assurances. Aéroports de Paris est par ailleurs adhérent de Transparency International et du Cercle Éthique des Affaires ce qui permet de regarder les meilleures pratiques des entreprises et de nourrir les réflexions sur l’éthique et compliance au sein du Groupe. Les processus de traitements de données à caractère personnel sont conformes à la réglementation (Le règlement général sur la protection des données ou RGPD et Loi Informatique et Libertés). Les exigences réglementaires sont prises en compte dès la conception des projets (Privacy by Design) et par défaut tout au long de la vie des traitements (Privacy by Default). ADP-SA a désigné un délégué à la protection des données (DPD) et des correspondants (CPD) dans chaque direction qui sont les véritables relais du DPD. Une politique groupe de protection des données est définie, mise en œuvre et contrôlée. Elle s’appuie sur la Politique de Sécurité des Systèmes d’Information Groupe et la politique générale de protection de l’information. En 2021, une charte d’application de la politique de protection des données a été créée et est mise à disposition de l’ensemble des collaborateurs. Une plateforme de pilotage de conformité au RGPD est déployée. Elle comporte notamment le registre des traitements. Des méthodes Groupe sont mises en place (ex : méthode Analyse d’impact protection des données, méthodologie de conduite des projets SI qui prend en compte la protection des données personnelles). Les parties prenantes sont informées du traitement de leurs données. Une procédure centralisée ADP-SA est mise en œuvre pour répondre aux demandes d’exercice de droits. Une procédure de gestion des violations des données existe et est mise en œuvre. Un dispositif d’astreinte et gestion de crise permet de réagir en cas de violation de données. L’EXEMPLARITÉ DU MANAGEMENT L’éthique et la compliance relevant d’abord d’un changement de culture plutôt que d’un changement de procédures, le programme Éthique et Compliance accorde une large part à l’exemplarité du management, à la sensibilisation et à la formation mais aussi à la compréhension de la perception des collaborateurs. Le baromètre du climat éthique permet de mesurer la diffusion de cette culture éthique et compliance. Le Groupe ADP a réalisé une première journée de l’éthique dédiée à la prévention de la corruption le 9 décembre 2021 qui a donné lieu à la diffusion de vidéos des dirigeants afin de rappeler les enjeux et incarner le Tone from the top . Cette journée a également été l’occasion de proposer aux collaborateurs de Paris une conférence sur ces sujets.

4

229

AÉROPORTS DE PAR I S / DOCUMENT D ’ ENREG I STREMENT UN I VERSEL 202 1