en fr

Protection des données et des systèmes d’informations

Les systèmes d’informations étant au cœur de toutes les activités d’Air France-KLM (réservations des clients, gestion du programme des vols, maintenance des appareils, etc.), le Groupe place au centre de ses priorités la protection des données personnelles, élément clé de la confiance accordée au Groupe par ses clients.

Des benchmarks permanents et une agence indépendante de cybernotation nous permettent de rester informés des mesures mises en œuvre par d’autres acteurs du transport aérien et ainsi d’adapter notre dispositif, le cas échéant. En décembre 2021, les centres Informatiques d’Air France- KLM se situent à un cyber score supérieur à la fourchette haute de l’industrie du transport aérien.

Afin de gérer les risques de cybersécurité, la stratégie du Groupe repose sur plusieurs initiatives :

Pour offrir le meilleur niveau de protection au sol et en vol,

Air France-KLM a augmenté les effectifs dédiés à la cyber sécurité et accru le financement de plusieurs grands programmes :

Ces programmes sont présentés chaque année au Comité exécutif du Groupe ainsi qu’au Comité d’audit du Conseil d’administration d’Air France-KLM, afin d’en assurer le parrainage au plus haut niveau.

Ils sont soutenus par une Gouvernance Cybersécurité qui repose sur :

Confidentialité des données personnelles :

Parfaitement conscient que la protection de la vie privée et des données personnelles sont un sujet de plus en plus sensible, à juste titre, le Groupe place cet enjeu au cœur de ses priorités et s’emploie à une conformité la plus absolue avec la réglementation.

En 2022, au-delà du renforcement des dispositifs existants en matière de gouvernance de la Protection des Données, de gestion des violations de données et de formation dans le cadre du programme de conformité annuel.

L’accent a été mis sur la conformité des transferts de données à caractère personnel en dehors de l’Espace économique européen, après l’invalidation par la Cour de justice de l’Union européenne du Privacy Shield dans l’affaire « Schrems IT ». En conséquence, le Comité européen de la protection des données (CEPD) a recommandé, pour ces transferts, la réalisation d’évaluations de l’impact du transfert de données (DTIA) et l’utilisation de nouveaux modèles de clauses contractuelles types. 

L’efficacité globale du cadre de respect de la vie privée est évaluée régulièrement grâce à un programme d’audit interne spécifique. Ce cadre a été amélioré et renforcé depuis 2019. Un audit a posteriori sera effectué pour s’assurer du caractère suffisant des améliorations apportées.

En 2022, en parallèle des demandes RGPD envoyées directement aux compagnies, Air France et KLM ont enregistré et traité un total de 9 plaintes concernant la protection des données personnelles : 1 de l’autorité hollandaise DPA (Autoriteit Persoonsgegevens) et 8 provenant de la CNIL.

Pour aller plus loin