Document d'enregistrement universel 2023

Facteurs de risques et contrôle interne

Facteurs de risques

fournisseurs et sous-traitants, ainsi que la démarche de progrès continu dans laquelle le groupe inscrit ses actions futures, ◆ les dispositifs d’évaluation et de suivi de la maîtrise de ces risques. À la suite de la période d’exclusion d’un an à laquelle elle avait été soumise par la Société financière internationale (l’IFC), membre du groupe de la Banque Mondiale, des projets financés ou conseillés par le Groupe Banque Mondiale, ADP International, société du Groupe ADP, est entrée depuis le 4 janvier 2023 dans une période de non-exclusion conditionnelle (voir la rubrique « Procédures judiciaires et d’arbitrage » du document d’enregistrement universel 2023). Au cours de cette période, ADP International a fait l’objet d’un monitoring par un expert. Ce dernier a évalué le programme Éthique et Compliance du Groupe et émis des recommandations visant à améliorer ledit programme. Dans son dernier rapport remis à l’IFC en septembre 2023, l’expert estime que 75 % des recommandations sont pleinement satisfaites et que près de 20 % sont en cours, 5 % restent à mettre en œuvre compte tenu du délai nécessaire au déploiement des mesures concernées. Par ailleurs, à l’occasion de la signature par ADP Ingénierie, société du Groupe ADP, avec le Parquet National Financier (PNF) d’une Convention judiciaire d’intérêt public (CJIP) le 29 novembre 2023 (CJIP validée par le Président du Tribunal judiciaire de Paris le 4 décembre 2023 – voir la rubrique « Procédures judiciaires et d’arbitrage » du document d’enregistrement universel 2023), le PNF a considéré que le Groupe ADP avait pris des mesures importantes pour se réformer en mettant en œuvre un programme Éthique et compliance rigoureux, adapté aux exigences les plus fortes. Dans ces conditions, ADP Ingénierie ne s’est pas vu imposer, aux termes de la CJIP, de mesure de mise en conformité supplémentaire.

◆ une cartographie des risques de corruption mise à jour tous les deux ans. Le dernier exercice a été réalisé en 2022 et le prochain aura lieu en 2024, sur la base d’une méthodologie révisée, suite aux recommandations de la Banque Mondiale, ◆ une évaluation de tous les tiers entrant en relation d’affaires avec le Groupe ADP sur la base d’une procédure Groupe et d’un outil commun, ◆ des procédures de contrôle comptables et un manuel de contrôles clés dans lequel les contrôles participant au dispositif Éthique et compliance sont spécifiquement identifiés, ◆ un e-learning destiné à tous les collaborateurs du groupe et portant sur : la corruption, les conflits d’intérêts et les cadeaux/invitations, ainsi que des formations et des sensibilisations destinées aux populations les plus exposées, ◆ un dispositif de contrôle interne spécifique au dispositif Sapin II ; 2. un plan de vigilance autonome, mis à jour chaque année, comprenant : ◆ des cartographies des risques spécifiques au périmètre du Devoir de vigilance, à savoir les risques d’atteinte à l’environnement (réalisée en 2018 et revue chaque année), aux Droits humains et à la santé et sécurité des personnes (réalisée en 2023) propres à l’activité du Groupe ADP, et à celles des fournisseurs et sous-traitants de la société mère (réalisée en 2018 et revue chaque année) qui doit être étendue progressivement à l’ensemble de la chaîne de valeur du groupe, ◆ les mesures d’atténuation des risques identifiés et de prévention des atteintes graves d’atteinte à l’environnement, aux droits humains et à la santé et sécurité des personnes déployées au sein du Groupe ADP et auprès de ses

2

5 – B : RISQUES LIÉS À LA GESTION DES DONNÉES Un traitement non conforme à la réglementation des données personnelles que le Groupe ADP détient dans le cadre de ses activités pourrait faire encourir des risques, notamment financiers et réputationnels Criticité + Évolution 2023 Description détaillée du facteur de risque

Effets potentiels pour le groupe — Amendes, non-conformité réglementaire, mise en demeure d’arrêt de traitement (RGPD) — Diffusion de l’information sensible — Perte de valeur des actifs immatériels — Perte de patrimoine informationnel — Atteinte à l’image Risques interconnectés — Risques de cybersécurité — Risques de corruption et liés à l’intégrité des affaires — Risques liés à la sécurité aéronautique

Le règlement européen 2016/679 sur la protection des données personnelles (dit « RGPD » ou » GDPR »), qui est entré en application le 25 mai 2018, impose une transparence, une intégrité et une confidentialité des traitements effectués par le Groupe ADP, ainsi que la possibilité pour les personnes concernées (clients, collaborateurs, détaillants, etc.) d’exercer leurs droits sur leurs données à caractère personnel. En complément de ce règlement, les législations à l’international relatives à la protection des données personnelles se renforcent régulièrement. Dans l’exercice de ses activités, chaque entité du Groupe ADP est amenée à traiter différentes données à caractère personnel de tout type de personne ayant des interactions avec elle (salarié, client, passagers, partenaires, fournisseurs…). Chaque entité soumise au RGPD est donc tenue d’appliquer le cadre imposé par la réglementation à son secteur d’activité et aux traitements de données à caractère personnel qui lui sont spécifiques. Les entités étrangères pour lesquelles le RGPD n’est pas applicable mais qui sont soumises à une réglementation nationale relative à la protection des données à caractère personnel peuvent néanmoins s’inspirer de ce processus afin de poursuivre les objectifs visés par les contrôles clés Protection des Données dans leur pratique interne. Bien que le Groupe ADP fasse continuellement évoluer son dispositif de sécurisation des données en s’inspirant des bonnes pratiques du marché, les situations de pertes ou les vols de données personnelles ou confidentielles sont de plus en plus fréquentes et médiatisées, notamment en France.

173

AÉROPORTS DE PARIS / DOCUMENT D’ENREGISTREMENT UNIVERSEL 2023