Document d'enregistrement universel du Groupe ADP (2022)

FACTEURS DE R I SQUES ET CONTRÔLE I NTERNE

FACTEURS DE RISQUES

5 – B : RISQUES LIÉS À LA GESTION DES DONNÉES Les évolutions législatives et réglementaires peuvent porter atteinte à la gestion des données du Groupe ADP Criticité + Description détaillée du facteur de risque Les évolutions législatives et réglementaires auxquelles le Groupe ADP est confronté peuvent porter atteinte à la protection de ses informations sensibles, dans un contexte d’exigences réglementaires fortes en matière de protection des données et d’existence de lois extraterritoriales. En effet, le règlement européen 2016/679 sur la protection des données personnelles (dit « RGPD » ou « GDPR ») qui est entré en application le 25 mai 2018 impose une transparence, une intégrité et une confidentialité des traitements effectués par le Groupe ADP, ainsi que la possibilité pour les personnes concernées (clients, collaborateurs, détaillants, etc.) d’exercer leurs droits sur leurs données à caractère personnel. En complément de ce règlement, les législations à l’international relatives à la protection des données personnelles se renforcent régulièrement. Dans l’exercice de ses activités, chaque entité du Groupe ADP est amenée à traiter différentes données à caractère personnel de tout type de personne ayant des interactions avec elle (salarié, client, passagers, partenaires, fournisseurs…). Chaque entité soumise au RGPD est donc tenue d’appliquer le cadre imposé par la réglementation à son secteur d’activité et aux traitements de données à caractère personnel qui lui sont spécifiques. Les entités pour lesquelles le RGPD n’est pas applicable mais qui sont soumises à une règlementation nationale relative à la protection des données à caractère personnel peuvent néanmoins s’inspirer de ce processus afin de poursuivre les objectifs visés par les contrôles-clés Protection des Données dans leur pratique interne. Bien que le groupe fasse continuellement évoluer son dispositif de sécurisation des données en s’inspirant

Évolution 2022 Nouveau

Effets potentiels pour le groupe — Amendes, non-conformité réglementaire, mise en demeure d’arrêt de traitement (RGPD) — Diffusion de l’information sensible — Perte de valeur des actifs immatériels — Perte de patrimoine informationnel — Atteinte à l’image Risques interconnectés — Risques de cybersécurité — Risques de corruption et liés à l’intégrité des affaires — Risques liés à la sécurité aéronautique

2

des bonnes pratiques du marché, les situations de pertes ou les vols de données personnelles ou confidentielles sont de plus en plus fréquentes et médiatisées, notamment en France.

PRINCIPAUX DISPOSITIFS DE MAITRÎSE DU RISQUE Le Groupe ADP est pleinement engagé dans la protection des données des personnes et des informations sensibles et a mis en œuvre des politiques de protection de l’information au niveau du Groupe. Un ensemble de mesures sont déployées afin d’assurer sa conformité avec la réglementation applicable, telles que : ◆ une organisation et une gouvernance spécifique, pilotée par la déléguée à la protection des données (DPD)/Data Protection Officer (DPO), en coordination avec les équipes d’Éthique et Compliance et de la Sécurité des Systèmes d’Information ;

◆ une démarche structurée impliquant un réseau de contributeurs du Groupe ; ◆ des politiques et charte des bonnes pratiques accessibles à tous les collaborateurs, des sensibilisations à la protection des données, à leur confidentialité et aux dispositifs mis en œuvre dans l’entreprise.

155

AÉROPORTS DE PAR I S / DOCUMENT D ’ ENREG I STREMENT UN I VERSEL 2022