Rapport Annuel du Groupe ADP

I nformat i ons soc i ales , env i ronnementales et soc i étales

Développer une culture de la responsabilité et de l’éthique au bénéfice de l’ensemble de nos parties prenantes

4.5.4 AGIR AVEC ÉTHIQUE ET RESPONSABILITÉ

4.5.4.1 Le programme Éthique et compliance Politique et objectifs

et économique, conseil d’administration (son comité d’audit et des risques et, sur les sujets de culture, son comité RSE). Le plan d’actions en matière d’éthique et de compliance est validé, chaque année, par le comité exécutif ainsi que par le conseil d’administration et son comité d’audit et des risques. En parallèle, le comité RSE du conseil d’administration revoit les actions relatives à la diffusion de la culture éthique et compliance au sein du groupe à partir des résultats du Baromètre du climat éthique. Les risques liés à l’éthique et la compliance sont décrits dans le chapitre Risques et gestion des risques. Ils sont copilotés par la direction Éthique et données personnelles ainsi que la direction juridique et des Assurances. Aéroports de Paris est par ailleurs adhérent de Transparency International, du Cercle Éthique des Affaires (la Directrice de l’éthique et des données personnelles du Groupe y a été élue Présidente), d’Entreprises pour les Droits de l’Homme et de Ressources Humaines Sans Frontières, ce qui permet de s’enrichir des meilleures pratiques des entreprises et de nourrir les réflexions sur l’éthique et la compliance au sein du groupe et avec les autres entreprises adhérentes de ces organisations. Les processus de traitements de données à caractère personnel sont conformes à la réglementation (Règlement Général sur la Protection des Données ou RGPD et Loi Informatique et Libertés). Les exigences réglementaires sont prises en compte dès la conception des projets ( Privacy by Design ) et par défaut tout au long de la vie des traitements ( Privacy by Default ). Aéroports de Paris SA a désigné un Délégué à la Protection des Données (DPD) et des Correspondants (CPD) dans chaque direction qui sont les véritables relais du DPD. Une politique groupe de protection des données est définie, mise en œuvre et contrôlée. Elle s’appuie sur la Politique de Sécurité des Systèmes d’Information Groupe et la politique générale de protection de l’information. En 2021, une charte d’application de la politique de protection des données a été créée et est mise à disposition de l’ensemble des collaborateurs. En 2023, lors de la mise à jour du code de conduite Éthique et compliance, des principes groupe relatif à la protection des données personnelles ont été redéfinis. Une plateforme de pilotage de conformité au RGPD est déployée. Elle comporte notamment le registre des traitements. Des méthodes groupe sont mises en place (ex : méthode Analyse d’impact) et des indicateurs sont partagés par les différentes entités. La méthodologie de conduite des projets SI prend en compte la protection des données personnelles. Les parties prenantes sont informées du traitement de leurs données. Une procédure centralisée Aéroports de Paris SA est mise en œuvre pour répondre aux demandes d’exercice de droits qui sont documentées dans la plateforme de pilotage de la conformité. Une procédure de gestion des violations des données existe et est mise en œuvre. Un dispositif d’astreinte et gestion de crise permet de réagir en cas de violation de données. La direction Éthique et Données personnelles assure également la coordination du Plan de vigilance et la structuration de son volet Droits Humains dans le cadre de la gouvernance dédiée au devoir de vigilance du groupe (cf. chapitre dédié au Plan de vigilance).

Pour le Groupe ADP, l’éthique et la compliance recouvrent le respect des lois et règlements et des valeurs du groupe. Le programme Éthique et compliance s’appuie notamment sur : ◆ le programme anticorruption conforme à la loi Sapin II (Loi n 2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique) ; ◆ une politique de protection des données à caractère personnel est mise en place dans le respect du Règlement général sur la Protection des données Personnelles (RGPD) du 27 avril 2016 et de la Loi n 78-17 relative à l’informatique, aux fichiers et aux libertés, dite « Informatique et Libertés » du 6 janvier 1978 ; ◆ un plan de vigilance répondant aux exigences de la loi n 2017- 399 du 27 mars 2017 relative au devoir de vigilance des sociétés mères et des entreprises donneuses d’ordre. Une gouvernance dédiée La direction Éthique et Données personnelles a été créée en 2018. En 2021, elle a élargi son périmètre en intégrant la partie protection des données personnelles, la coordination du plan de vigilance et de sa dimension « droits humains ». En 2023, elle a revu son organisation en cinq pôles : ◆ enquête et diffusion de la culture éthique et compliance ; ◆ déploiement du programme et pilotage des contrôles éthique et compliance ; ◆ prévention des risques projets/évaluation des tiers ; La direction Éthique et Données personnelles définit et copilote le plan d’actions Éthique, Compliance et données personnelles avec la direction juridique et des Assurances. Pour décliner le plan dans les filiales du groupe, ces directions s’appuient sur les référents Éthique & compliance de ses filiales. Pour assurer la proximité de la démarche, 26 référents, soit 1 pour 1000 collaborateurs environ, permettent de promouvoir la culture éthique et compliance mais aussi de suivre la mise en œuvre des référentiels auprès des équipes concernées. Par exemple, TAV Airports compte un référent par filiale. En complément de ces référents, 20 relais sont nommés au sein des directions supports au niveau de la Maison- mère pour irriguer les différents process des pratiques Éthiques et compliance et ainsi prévenir les risques afférents. Ce réseau contribue également à la mise en œuvre des bonnes pratiques telle que la remontée des registres Cadeaux et invitations et conflits d’intérêts tous les ans. Le programme éthique et compliance est suivi dans les différentes instances du groupe : comité exécutif, comité social ◆ protection des données personnelles ; ◆ devoir de vigilance/Droits Humains. Sa Directrice est rattachée au Président-directeur général ce qui garantit son indépendance notamment pour le traitement des alertes.

4

361

AÉROPORTS DE PARIS / DOCUMENT D’ENREGISTREMENT UNIVERSEL 2023