Groupe ADP - Document d'enregistrement universel 2022

I NFORMAT I ONS SOC I ALES , ENV I RONNEMENTALES ET SOC I ÉTALES 4 DÉVELOPPER UNE CULTURE DE LA RESPONSABILITÉ ET DE L’ÉTHIQUE AU BÉNÉFICE DE L’ENSEMBLE DE NOS PARTIES PRENANTES

4.6.3 AGIR AVEC ÉTHIQUE ET RESPONSABILITÉ

4.6.3.1 Le programme Éthique et compliance Politique et objectifs

sur la protection des données ou RGPD et Loi Informatique et Libertés). Les exigences réglementaires sont prises en compte dès la conception des projets ( Privacy by Design ) et par défaut tout au long de la vie des traitements ( Privacy by Default ). ADP SA a désigné un délégué à la protection des données (DPD) et des correspondants (CPD) dans chaque direction qui sont les véritables relais du DPD. Une politique groupe de protection des données est définie, mise en œuvre et contrôlée. Elle s’appuie sur la Politique de Sécurité des Systèmes d’Information groupe et la politique générale de protection de l’information. En 2021, une charte d’application de la politique de protection des données a été créée et est mise à disposition de l’ensemble des collaborateurs. Une plateforme de pilotage de conformité au RGPD est déployée. Elle comporte notamment le registre des traitements. Des méthodes groupe sont mises en place (ex : méthode Analyse d’impact) et des indicateurs sont partagés par les différentes entités. La méthodologie de conduite des projets SI prend en compte la protection des données personnelles. Les parties prenantes sont informées du traitement de leurs données. Une procédure centralisée ADP-SA est mise en œuvre pour répondre aux demandes d’exercice de droits. Une procédure de gestion des violations des données existe et est mise en œuvre. Un dispositif d’astreinte et gestion de crise permet de réagir en cas de violation de données. L’EXEMPLARITÉ DU MANAGEMENT L’éthique et la compliance relevant d’abord d’un changement de culture plutôt que d’un changement de procédures, le programme Éthique et Compliance accorde une large part à l’exemplarité du management, à la sensibilisation et à la formation mais aussi à la compréhension de la perception des collaborateurs. Le baromètre du climat éthique permet de mesurer la diffusion de cette culture éthique et compliance. Le Groupe ADP a réalisé une seconde journée de l’éthique dédiée à la prévention de la corruption le 15 décembre 2022 qui a donné lieu à la diffusion de vidéos des dirigeants afin de rappeler les enjeux. Cette journée a également été l’occasion de proposer aux collaborateurs des plateformes de Paris, avec une diffusion via Teams pour les collaborateurs à l’étranger, une conférence sur deux enjeux majeurs : ◆ la culture speak up permettant de développer un climat de confiance afin de faire remonter les manquements et les dysfonctionnements Éthique et compliance ; ◆ la prise en compte de l’éthique dans les relations d’affaires. DÉTECTER LES RISQUES DE CORRUPTION En complément du risque Éthique et compliance inclus dans la cartographie du groupe, une cartographie des risques Corruption est réalisée tous les deux ans pour identifier les scénarii potentiels et définir des actions préventives. En 2022, un nouvel exercice a été lancé. Les plans d’actions seront formalisés en lien avec les équipes du contrôle interne et de l’audit. Une révision du plan d’audit est réalisée chaque année pour y intégrer les enjeux détectés dans la cartographie des risques ou via les alertes traitées.

Pour le Groupe ADP, l’éthique et la compliance recouvrent le respect des lois et règlements et des valeurs du groupe. Un programme Éthique et compliance est déployé sur la base de sept piliers pour lutter contre la corruption. Par ailleurs une politique de protection des données personnelles est mise en place dans le respect du Règlement général sur la Protection des données Personnelles (RGPD) du 27 avril 2016 et de la Loi n° 78-17 Informatique et Liberté du 6 janvier 1978. UNE GOUVERNANCE DÉDIÉE La direction de l’Éthique a été créée en 2018. En 2021, la direction de l’Éthique a élargi son périmètre en intégrant la partie protection des données personnelles. Sa directrice est rattachée au Président-directeur général ce qui garantit son indépendance notamment pour le traitement des alertes. La direction Éthique et données personnelles définit et copilote le plan d’actions Éthique, Compliance et données personnelles avec la Direction Juridique et des Assurances. Pour décliner le plan dans les filiales du groupe ces directions s’appuient sur les référents Éthique & compliance de TAV Airports, d’AIG et de Hub One. Pour assurer la proximité de la démarche, 25 référents, soit 1 pour 1 000 collaborateurs environ, permettent de promouvoir la culture éthique et compliance mais aussi, de suivre la mise en œuvre des référentiels auprès des équipes concernées. TAV Airports compte un référent par filiale. En complément de ces référents, 20 relais sont nommés au sein des directions supports au niveau de la maison mère pour irriguer les différents process des pratiques Éthiques et compliance et ainsi prévenir les risques afférents. Ce réseau contribue également à la mise en œuvre des bonnes pratiques telle que la remontée des registres Cadeaux et invitations et conflits d’intérêts tous les ans. Le programme est suivi dans les différentes instances du groupe : comité exécutif, comité social et économique, conseil d’administration (son comité d’audit et des risques et sur les sujets de culture, son comité RSE). Le plan d’actions Éthique et compliance est validé, chaque année, par le comité exécutif ainsi que par le conseil d’administration et son comité d’audit et des risques. En parallèle, le comité RSE du conseil d’administration revoit les actions relatives à la diffusion de la culture éthique et compliance au sein du groupe à partir des résultats du Baromètre du climat éthique. Les risques liés à l’Éthique et la compliance sont décrits dans le chapitre Risques et gestion des risques. Ils sont copilotés par la direction de l’Éthique et de la protection des données ainsi que la Direction Juridique et des Assurances. Aéroports de Paris est par ailleurs adhérent de Transparency International et du Cercle Éthique des Affaires ce qui permet de s’enrichir des meilleures pratiques des entreprises et de nourrir les réflexions sur l’éthique et compliance au sein du groupe. Les processus de traitements de données à caractère personnel sont conformes à la réglementation (Le règlement général

294

AÉROPORTS DE PAR I S / DOCUMENT D ’ ENREG I STREMENT UN I VERSEL 2022