Les systèmes d’informations étant au cœur de toutes les activités d’Air France-KLM (réservations des clients, gestion du programme des vols, maintenance des appareils, etc.), le Groupe place au centre de ses priorités la protection des données personnelles, élément clé de la confiance accordée au groupe par ses clients.
Des benchmarks permanents et une agence indépendante de cybernotation nous permettent de rester informés des mesures mises en œuvre par d’autres acteurs du transport aérien et ainsi d’adapter notre dispositif, le cas échéant. En décembre 2021, les centres Informatiques d’Air France- KLM se situent à un cyber score supérieur à la fourchette haute de l’industrie du transport aérien.
Coopération étroite avec les autorités nationales et les agences européennes compétentes (EASA, ENISA).
Appel à l’expertise de consultants leader sur le marché de la cybersécurité et collaboration active avec les entreprises connectées à son système d’information.
Participation à des groupes de travail avec les principales associations du métier de l’aérien (IATA, A4E, etc.) et contribution aux travaux d’étude d’associations spécialisées en cybersécurité (CLUSIF, CESIN, CIGREF,etc.)
Un programme de sensibilisation globale de l’ensemble des collaborateurs du Groupe avec une formation Cyber obligatoire
Un programme de conformité réglementaire qui inclut notamment un niveau de protection et de supervision spécifique pour les systèmes essentiels.
Un programme de support à la transformation numérique pour apporter une expérience
simplifiée et sécurisée à l’utilisateur.
Ces programmes sont présentés chaque année au Comité exécutif du Groupe ainsi qu’au Comité d’audit du Conseil d’administration d’Air France-KLM, afin d’en assurer le parrainage au plus haut niveau.
Ils sont soutenus par une Gouvernance Cybersécurité qui repose sur :
Un cadre normatif de cybersécurité pour l’informatique au sol et pour les systèmes embarqués (politique de sécurité fondée sur la série de normes internationales ISO 27000 et autres standards ou règlements applicables aux activités d’Air France–KLM)
Un plan annuel de surveillance des risques liés aux technologies numériques, ainsi que des tests de gestion de crise cyber avec le Centre de Contrôle des Opérations et les Autorités
Trois comités de Direction portant des regards croisés. Le Comité de direction informatique du Groupe juge notamment de l’adéquation entre les cyber risques et les investissements informatiques. Le Comité Cyber Avion, présidé par le dirigeant responsable, arbitre les orientations de réduction des cyber risques potentiels sur la Sécurité Des Vols. Enfin, le Comité de performance Sûreté évalue l’efficacité de la réduction des risques génériques de sûreté, dont la cybersécurité
Un reporting du risque résiduel de cybersécurité dans la feuille des risques opérationnels majeurs pilotée par la Direction du Contrôle interne.
Parfaitement conscient que la protection de la vie privée et des données personnelles sont un sujet de plus en plus sensible, à juste titre, le Groupe place cet enjeu au cœur de ses priorités et s’emploie à une conformité la plus absolue avec la réglementation.
En 2021, au-delà du renforcement des dispositifs existants en matière de gouvernance de la Protection des Données, de gestion des violations de données et de formation dans le cadre du programme de conformité annuel.
Mise en œuvre des lignes directrices des autorités de protection des données du Groupe et
de la recommandation de la Commission Nationale de l’Informatique et des Libertés (CNIL) en
matière de « gestions des cookies et autres traceurs » sur les environnements web et
applications mobiles du Groupe
Lancement d’un programme de déploiement des nouveaux modèles de Clauses
Contractuelles Types de la Commission Européenne et des recommandations du Comité
Européen de Protection des Données (CEPD) en matière de transferts de données hors de
l’Espace Economique Européen (publiés à l’issue de l’analyse de l’arrêt de la Cour de justice de
l’Union européenne invalidant le Privacy Shield dans l’affaire « Schrems II »)
Accompagnement des mesures imposées dans le cadre de la gestion de la crise sanitaire liée
à la pandémie de Covid-19, en France et à l’international, et support des initiatives lancées en la
matière par les compagnies du Groupe.
L’efficacité globale du cadre de respect de la vie privée est évaluée régulièrement grâce à un programme d’audit interne spécifique. Ce cadre a été amélioré et renforcé depuis 2019. Un audit a posteriori sera effectué pour s’assurer du caractère suffisant des améliorations apportées.
En 2021, en parallèle des demandes RGPD envoyées directement aux compagnies, Air France et KLM ont enregistré et traité un total de 13 plaintes concernant la protection des données personnelles : 5 de l’autorité hollandaise DPA (Autoriteit Persoonsgegevens) et 8 provenant de la CNIL.
