Les systèmes d’informations étant au cœur de toutes les activités d’Air France-KLM (réservations des clients, gestion du programme des vols, maintenance des appareils, etc.), le Groupe place au centre de ses priorités la protection des données personnelles, élément clé de la confiance accordée au Groupe par ses clients.
Des benchmarks permanents et une agence indépendante de cybernotation nous permettent de rester informés des mesures mises en œuvre par d’autres acteurs du transport aérien et ainsi d’adapter notre dispositif, le cas échéant. En décembre 2021, les centres Informatiques d’Air France- KLM se situent à un cyber score supérieur à la fourchette haute de l’industrie du transport aérien.
Coopération étroite avec les autorités nationales et les agences européennes compétentes (EASA, ENISA).
Appel à l’expertise de consultants leader sur le marché de la cybersécurité et collaboration active avec les entreprises connectées à son système d’information.
Participation à des groupes de travail avec les principales associations du métier de l’aérien (IATA, A4E, etc.) et contribution aux travaux d’étude d’associations spécialisées en cybersécurité (CLUSIF, CESIN, CIGREF,etc.)
Un programme de sensibilisation globale de l’ensemble des collaborateurs du Groupe avec une formation Cyber obligatoire
Un programme de conformité réglementaire qui inclut notamment un niveau de protection et de supervision spécifique pour les systèmes essentiels.
Un programme de support à la transformation numérique pour apporter une expérience simplifiée et sécurisée à l’utilisateur.
Un plan visant à fournir les solutions et les infrastructures de cybersécurité les plus efficaces pour s’adapter en permanence à l’évolution des cybermenaces. Ce plan comprend une police d’assurance cybernétique
Une infrastructure et des services de cybersécurité de pointe, avec une organisation solide coordonnée autour du SOC (Security Operations Center), y compris nos affiliés et partenaires.
Ces programmes sont présentés chaque année au Comité exécutif du Groupe ainsi qu’au Comité d’audit du Conseil d’administration d’Air France-KLM, afin d’en assurer le parrainage au plus haut niveau.
Ils sont soutenus par une Gouvernance Cybersécurité qui repose sur :
Un cadre normatif de cybersécurité pour l’informatique au sol et pour les systèmes embarqués (politique de sécurité fondée sur la série de normes internationales ISO 27000 et autres standards ou règlements applicables aux activités d’Air France–KLM)
Un plan annuel de surveillance des risques liés aux technologies numériques, ainsi que des tests de gestion de crise cyber avec le Centre de Contrôle des Opérations et les Autorités
Trois comités de Direction portant des regards croisés. Le Comité de direction informatique du Groupe juge notamment de l’adéquation entre les cyber risques et les investissements informatiques. Le Comité Cyber Avion, présidé par le dirigeant responsable, arbitre les orientations de réduction des cyber risques potentiels sur la Sécurité Des Vols. Enfin, le Comité de performance Sûreté évalue l’efficacité de la réduction des risques génériques de sûreté, dont la cybersécurité
Un reporting du risque résiduel de cybersécurité dans la feuille des risques opérationnels majeurs pilotée par la Direction du Contrôle interne.
Parfaitement conscient que la protection de la vie privée et des données personnelles sont un sujet de plus en plus sensible, à juste titre, le Groupe place cet enjeu au cœur de ses priorités et s’emploie à une conformité la plus absolue avec la réglementation.
En 2022, au-delà du renforcement des dispositifs existants en matière de gouvernance de la Protection des Données, de gestion des violations de données et de formation dans le cadre du programme de conformité annuel.
L’accent a été mis sur la conformité des transferts de données à caractère personnel en dehors de l’Espace économique européen, après l’invalidation par la Cour de justice de l’Union européenne du Privacy Shield dans l’affaire « Schrems IT ». En conséquence, le Comité européen de la protection des données (CEPD) a recommandé, pour ces transferts, la réalisation d’évaluations de l’impact du transfert de données (DTIA) et l’utilisation de nouveaux modèles de clauses contractuelles types.
L’efficacité globale du cadre de respect de la vie privée est évaluée régulièrement grâce à un programme d’audit interne spécifique. Ce cadre a été amélioré et renforcé depuis 2019. Un audit a posteriori sera effectué pour s’assurer du caractère suffisant des améliorations apportées.
En 2022, en parallèle des demandes RGPD envoyées directement aux compagnies, Air France et KLM ont enregistré et traité un total de 9 plaintes concernant la protection des données personnelles : 1 de l’autorité hollandaise DPA (Autoriteit Persoonsgegevens) et 8 provenant de la CNIL.
