Information responsabilité sociétale d'entreprise - Reporting 2018 - Groupe ADP

DÉMARCHE RSE Maîtrise des risques

La continuité d’activité et la gestion de crise

filiales contrôlées de façon exclusive, à l’exception d’Airport International Group (AIG) et de Merchant Aviation dont l’intégration est prévue en 2019.

à des conditions acceptables. La direction Juridique et des Assurances porte la politique

Le Groupe ADP a mis en place une démarche de continuité d’activité visant à améliorer la maîtrise des risques extrêmes. Elle s’appuie pour cela sur une politique Groupe de continuité d’activité (PGCA). La PGCA est déclinée en plans de continuité d’activité (PCA) par plate-forme (Paris-Charles de Gaulle, Paris-Orly et Paris-Le Bourget) et par fonctions supports essentielles. Un plan « pandémie » complète la démarche. En matière de gestion de crise , le dispositif du Groupe ADP vise à assurer la continuité de commandement et la qualité de sa réponse lors de la survenance d’événements subis et inattendus. Il doit contribuer à maintenir au mieux les activités à des niveaux de qualité satisfaisants, en restant conforme aux obligations de sûreté et de sécurité. Un livret décrit le dispositif de permanence de direction et de gestion de crise du groupe. Par ailleurs, des exercices de crise sont réalisés plusieurs fois par an pour éprouver l’efficacité de ce dispositif. Ils font l’objet de retours d’expérience qui contribuent à renforcer sa robustesse. L’objectif du contrôle interne est de contribuer à la maîtrise des risques, à l’efficacité des opérations du Groupe ADP et à l’utilisation efficiente de ses ressources. Ce dispositif s’appuie sur : • un déploiement transverse applicable à l’ensemble des entités du groupe ; • un déploiement par entité, notamment à travers les systèmes de management (ISO 9001). Le contrôle interne

générale des assurances Groupe, supervise le recours à l’assurance dans le groupe et joue un rôle de coordination et d’expertise dans ce domaine pour les sociétés du groupe en France et dans le monde.

Fondements du dispositif

Le Groupe ADP a retenu l’éthique et la compliance comme principes de gouvernance. Le déploiement du programme éthique et compliance du groupe est porté par la direction de l’Éthique, créée en 2018 et rattachée au président-directeur général, et par la direction Juridique et des Assurances. (Voir chapitre « Éthique et compliance », page 17.) Deux chartes encadrent le dispositif global au sein du Groupe ADP. La charte de la gestion des risques et du contrôle interne indique que le groupe applique les dispositions du cadre de référence publié par l’Autorité des marchés financiers (AMF) en 2007 et actualisé en juillet 2010. La charte de l’audit interne est fondée sur les normes internationales et le code de déontologie de l’audit interne qui sont diffusés en France par l’Ifaci et qui constituent le cadre de référence international de l’audit interne. Un référentiel de gestion des risques, décrivant la méthodologie pour le groupe, complète le dispositif. Ce dispositif a pour objectif de donner à l’ensemble des parties prenantes une vision globale des risques majeurs du groupe et de leur niveau de maîtrise. À ce titre, la cartographie des risques est actualisée annuellement ; elle permet d’identifier les risques majeurs, de les hiérarchiser, de les traiter et d’assurer le suivi des actions identifiées. La gestion des risques  La cartographie des risques Groupe prend en compte les enjeux RSE identifiés par l’étude de matérialité réalisée en 2017. + Voir document de référence 2018 – « Risque et Gestion des risques ».

La surveillance périodique du dispositif

La surveillance du dispositif de contrôle interne et de gestion des risques est assurée par : • le suivi des incidents majeurs et des incidents liés aux risques inacceptables ; • la direction de l’Audit, certifiée par l’Ifaci depuis 2008 ; • des structures externes de contrôle telles que les commissaires aux comptes et d’autres organismes relevant, notamment, des services de l’État. La protection de l’information et des systèmes d’information constitue un enjeu majeur pour le Groupe ADP. Les cyberattaques mondiales de forte ampleur de plus en plus fréquentes et sophistiquées, associées à la digitalisation croissante des activités du groupe et à l’entrée en vigueur, en mai 2018, du règlement européen sur la protection des données (RGPD), ont amené le Groupe ADP à déployer des plans de mise en conformité.  Les dispositifs de protection des informations et des systèmes d’information du groupe s’appuient sur : • des politiques Groupe relatives à la protection de l’information, Protection de l’information et systèmes d’information

à la protection des données personnelles et à la sécurité des systèmes d’information ;

Les assurances

Les conséquences financières de certains risques peuvent être couvertes par des polices d’assurance lorsque leur ordre de grandeur le justifie et selon la disponibilité de couvertures

• des organisations et des gouvernances dédiées pilotées par le responsable Sécurité Systèmes d’information (RSSI) Groupe.

- 16 -

RESPONSABILITÉ SOCIÉTALE D’ENTREPRISE 2018

GROUPE ADP