Confidentialité et protection des données

PROTECTION DES DONNÉES ET DES SYSTÈMES INFORMATIQUES

L’informatique est au cœur de toutes les activités d’Air France-KLM : réservation des passagers, gestion du programme des vols, enregistrement des bagages, calcul des tarifs des billets, maintenance des appareils, information des équipages.

La protection des données est un enjeu crucial pour le Groupe, dont dépendent les performances opérationnelles et économiques, et la confiance que lui portent ses clients.

Le groupe Air France-KLM gère ses risques de cybersécurité en relation avec les autorités nationales et coopère avec les agences européennes compétentes (EASA, ENISA). Air France-KLM participe aux groupes de travail cybersécurité des principales associations du métier de l’aérien (IATA, E4A, GIFAS) et contribue aux travaux d’étude d’associations spécialisées en cybersécurité (CLUSIF, CESIN, CIGREF, R2GS, European Aviation ISAC).

Des benchmarks permanents et une agence indépendante de cybernotation permettent de comparer le Groupe avec d’autres acteurs du transport aérien. En décembre 2018, Air France-KLM se situe en tête des compagnies « Majors ». Air France-KLM utilise l’expertise de consultants leaders sur le marché de la cybersécurité et coopère activement avec les entreprises avec lesquelles son système d’information est connecté.

Afin d’offrir le meilleur niveau de protection au sol et en vol, le groupe Air France-KLM a développé ces dernières années quatre grands programmes de cybersécurité :

– Un programme d’intensification de l’efficacité des dispositifs techniques de cybersécurité visant à s’adapter à l’évolution des cybermenaces.

–  Un programme de sensibilisation globale de l’ensemble des collaborateurs. Pour développer la culture de la cybersécurité, aider les collaborateurs d’Air France-KLM à acquérir les bons comportements dans leur environnement digital, ce programme vise à mobiliser l’intelligence collective de chaque équipe au travers d’un module en ligne, d’une trentaine de minutes, simple à utiliser et sans langage technique.

– Un programme de conformité réglementaire.

– Un programme de support à la transformation digitale pour apporter une expérience simplifiée à l’utilisateur.

Ces programmes sont présentés annuellement au Comité Exécutif ainsi qu’au Comité d’Audit du Conseil d’administration, afin d’en assurer le sponsorship au plus haut niveau. Ils sont soutenus par une Gouvernance Cybersécurité qui repose sur :

– un cadre normatif de cybersécurité pour l’informatique au sol et pour les systèmes embarqués (politique de sécurité fondée sur la série de normes internationales ISO 27000 et autres standards ou règlements applicables aux activités d’Air France) ;

– un plan annuel de surveillance des risques liés aux technologies numériques (audits), ainsi que des tests de gestion de crise cyber avec le Centre de Contrôle des Opérations du Groupe et les Autorités ;

– trois comités de direction portant des regards croisés. Le Comité de direction informatique du Groupe juge notamment de l’adéquation entre les cyberrisques et les investissements informatiques. Le Comité Cyber Avion, présidé par le dirigeant responsable, arbitre les orientations de réduction des cyberrisques potentiels sur la sécurité des vols. Enfin, le Comité de performance Sûreté, présidé par le directeur de la Sûreté, évalue l’efficacité de la réduction des risques génériques de sûreté, dont la cybersécurité.

– un reporting du risque résiduel de cybersécurité dans la feuille des risques opérationnels majeurs pilotée par la Direction du contrôle interne.


CONFIDENTIALITÉ DES DONNÉES PERSONNELLES

En 2018, un nouveau règlement européen visant à protéger les données à caractère personnel, le RGPD (Règlement Général sur la Protection des Données), est entré en application. Il a remplacé les lois en vigueur en France et aux Pays-Bas, avec, d’une part, des droits étendus pour les personnes concernées, et d’autre part, une responsabilité et des obligations renforcées pour les responsables de traitement, nécessitant la preuve de leur conformité en matière de protection des données à caractère personnel.

Air France et KLM, en tant que responsables de traitement, ont déployé un vaste programme pour répondre aux exigences du RGDP dans tous les domaines métiers et à tous les niveaux de l’organisation. Ce programme a permis de renforcer les politiques de cybersécurité et de définir un cadre de référence pour la gestion des données à caractère personnel destiné au respect des principes de protection des données dès la conception et par défaut.

Un comité de gouvernance est organisé conjointement avec les Délégués à la Protection des Données d’Air France et de KLM. Il travaille en étroite collaboration avec les comités exécutifs pour assurer une conformité totale des opérations. Le programme a fourni les nouveaux outils et cadres de référence dans les processus métiers pour répondre aux exigences du RGPD. Ces exigences et leur mise en œuvre ont été minutieusement examinées par des conseils externes qui s’assurent que les actions mises en œuvre permettent d’assurer la conformité.

En 2018, le groupe Air France-KLM offre un niveau de conformité adéquate au RGPD. Les salariés et les fournisseurs du Groupe ont réussi à modifier leurs pratiques pour mettre en œuvre toutes les exigences dans leurs activités quotidiennes. Les projets et les contrats s’appuient sur un cadre de référence RGPD strict, dans lequel le management est impliqué. L’intégration et le renforcement de ce cadre se poursuivront en 2019, en incorporant les nouvelles lignes directrices publiées par les Autorités de Protection des Données.


© AIR FRANCE KLM