Rapport Annuel 2024 - Groupe ADP

4 RAPPORT DE DURABILITÉ ENJEUX GOUVERNANCE

Enfin, l'évaluation des tiers peut conduire à abandonner le projet et ne pas rentrer dans une relation d’affaires lorsque les risques sont considérés comme trop importants et non remédiables. À date, le Groupe n’a pas eu à rompre une relation d’affaires établie pour des faits éthiques et compliance. Selon le type de relation, la nature du projet, le pays d'opération, l'évaluation des risques liées aux tiers comprend des diligences graduelles qui peuvent aller jusqu’au déclenchement : u d’un audit de pré-acquisition dans le cadre d’un projet de fusion-acquisition. Les audits pré-acquisition initiés par le Groupe en 2024, peuvent, en fonction de la cible, porter sur les volets Éthique & Compliance, ESG (Environnement Social et Gouvernance), Cybersécurité, Droits Humains et/ ou protection des données personnelles. Ils complètent les due diligences réalisées sur les volets juridiques, financiers habituels dans ce type d'opérations ; u d’un plan d’actions mis en œuvre avant contractualisation et après acquisition le cas échéant, pouvant inclure si nécessaire un audit post-acquisition. Le Pôle chargé de ces missions au sein de la Direction Éthique et Protection des données personnelles est également vigilant au caractère sensible des données qui u d’une enquête terrain ; Les dispositifs de cartographie des risques, de contrôle et d’audit interne constituent une démarche globale au service de la maîtrise des activités du groupe. Le dispositif de contrôle s'articule sur 3 niveaux : autoévaluations ou évaluations par le métier, contrôles terrains et audit. Sur la protection des données, des contrôles clés sont réalisés depuis 2021. La plateforme de pilotage de conformité RGPD et les supports de documentation permettent de suivre les plans d’actions par traitements ou par directions. Chaque nouveau projet traitant des données à caractère personnel identifié par le réseau CPD est inscrit dans la plateforme de pilotage de la conformité au RGPD (ARIEL). Ce principe permet de détecter les risques dès la conception du projet (Privacy By Design) . Seules les données nécessaires sont collectées, traitées et conservées de façon sécurisée (Privacy by Default) . La plateforme de pilotage de conformité au RGPD (ARIEL) comporte les registres : Une méthodologie groupe d’Analyse d’impact à la Protection des Données (AIPD). À l’issue d’une AIPD, un plan d’actions (définitions de clauses, conventions, encadrement des transferts éventuels hors UE, formations...) est établi et validé par le responsables de traitement qui en signant s’engage à suivre son déploiement. Conscient de ces enjeux, Aéroports de Paris soumet Tout prestataire accédant à des informations sensibles à une stricte confidentialité : Clause du marché, Accord de non divulgation-NDA, Règlement intérieur le cas échéant, etc. peuvent être stratégiques et confidentielles. Gestion des risques et de contrôle interne u des traitements ; u des violations de données ; u des demandes d’exercice de droits.

Aéroports de Paris SA met en œuvre une procédure centralisée pour répondre aux demandes d’exercice de droits et gérer les violations de données et les documente dans la plateforme de pilotage de la conformité. Un dispositif d’astreinte et gestion de crise permet de les traiter dans les meilleurs délais. Une adresse électronique est accessible à l’ensemble de l’équipe DPD afin de traiter ces demandes : informatique.libertes@adp.fr

Les parties prenantes sont informées du traitement de leurs données aux endroits où la collecte de données a lieu : des mentions d’information sont présentes sur les formulaires de contact, pages web, outils informatiques. Une politique d'information des traitements de données à caractère personnel effectués par Aéroports de Paris et la Procédure de demande d’exercice de droits sont communiquées au public sur le site du Groupe ADP : Protection de vos données à caractère personnel – Paris Aéroport. Cette dernière a fait l’objet d’évolutions en 2024 dans une démarche d’amélioration continue d’information des droits des personnes. Les équipes dédiées à la protection des données personnelles d'ADP SA, Hub One, Extime Duty Free Paris et Hologarde effectuent des auto-évaluations dans le cadre du contrôle interne, complétées ensuite par des tests terrain de l'équipe centralisée du Contrôle interne. Aéroports de Paris SA suit la mise en conformité des entités du groupe au travers notamment un comité groupe (deux à trois fois par an). Sur le programme anticorruption, les contrôles sont menés depuis 2023 sur la base d’un Manuel des contrôles clés groupe. Ces contrôles, effectifs sur chaque pilier de la loi Sapin II permettent d’évaluer la conformité du dispositif et mettre en place les plans d’actions nécessaires. La direction Éthique et données personnelles appuyée par les 26 référents Éthique et Compliance des entités contrôlées mènent les autoévaluations suivies de tests terrains réalisés par l'équipe centralisée du Contrôle interne (sauf pour les filiales du groupe TAV, pour lesquelles l'équipe Contrôle Interne de TAV Holding mène les tests terrains). En 2024 les manuels des contrôles clés anticorruption et protection des données ont été revus dans l'optique d'une nouvelle campagne d'auto-évaluation en 2025. En complément, l’articulation des trois niveaux de contrôle (auto-évaluation, contrôles terrain et audit) a été renforcée pour l’Éthique et la compliance afin de garantir la pleine couverture du périmètre à contrôler. Le directeur de l’audit partage à la direction Éthique et données personnelles le plan d’audit afin de veiller à la bonne prise en compte des sujets éthiques.

502

AÉROPORTS DE PARIS w DOCUMENT D’ENREGISTREMENT UNIVERSEL 2024