En détail

Confiance client

Confidentialité et protection des données


PROTECTION DES DONNÉES ET DES SYSTÈMES INFORMATIQUES

L’informatique est au cœur de toutes les activités d’Air France-KLM : réservation des passagers, gestion du programme des vols, enregistrement des bagages, calcul des tarifs des billets, maintenance des appareils, information des équipages.

La protection des données est un enjeu crucial pour le Groupe, dont dépendent les performances opérationnelles et économiques, et la confiance que lui portent ses clients.

Le groupe Air France-KLM gère ses risques de cybersécurité en relation avec les autorités nationales et coopère avec les agences européennes compétentes (EASA, ENISA). Air France-KLM participe aux groupes de travail cybersécurité des principales associations du métier de l’aérien (IATA, E4A, GIFAS) et contribue aux travaux d’étude d’associations spécialisées en cybersécurité (CLUSIF, CESIN, CIGREF, R2GS, European Aviation ISAC).

Des benchmarks permanents et une agence indépendante de cybernotation permettent de comparer le Groupe avec d’autres acteurs du transport aérien. En décembre 2019, Air France-KLM se situe en tête des compagnies « Majors ». Air France-KLM utilise l’expertise de consultants leaders sur le marché de la cybersécurité et coopère activement avec les entreprises avec lesquelles son système d’information est connecté.

Afin d’offrir le meilleur niveau de protection au sol et en vol, le groupe Air France-KLM a développé ces dernières années quatre grands programmes de cybersécurité :

  • Un programme d’intensification de l’efficacité des dispositifs techniques de cybersécurité visant à s’adapter à l’évolution des cybermenaces.
  • Un programme de sensibilisation globale de l’ensemble des collaborateurs
  • Un programme de conformité réglementaire.
  • Un programme de support à la transformation digitale pour apporter une expérience simplifiée à l’utilisateur.

Ces programmes sont présentés annuellement au Comité Exécutif ainsi qu’au Comité d’Audit du Conseil d’administration, afin d’en assurer le sponsorship au plus haut niveau. Ils sont soutenus par une Gouvernance Cybersécurité qui repose sur :

  • Un cadre normatif de cybersécurité pour l’informatique au sol et pour les systèmes embarqués (politique de sécurité fondée sur la série de normes internationales ISO 27000 et autres standards ou règlements applicables aux activités d’Air France) ;
  • Un plan annuel de surveillance des risques liés aux technologies numériques (audits), ainsi que des tests de gestion de crise cyber avec le Centre de Contrôle des Opérations du Groupe et les Autorités ;
  • Trois comités de direction portant des regards croisés. Le Comité de direction informatique du Groupe juge notamment de l’adéquation entre les cyberrisques et les investissements informatiques. Le Comité Cyber Avion, présidé par le dirigeant responsable, arbitre les orientations de réduction des cyberrisques potentiels sur la sécurité des vols. Enfin, le Comité de performance Sûreté, présidé par le directeur de la Sûreté, évalue l’efficacité de la réduction des risques génériques de sûreté, dont la cybersécurité.
  • Un reporting du risque résiduel de cybersécurité dans la feuille des risques opérationnels majeurs pilotée par la Direction du contrôle interne.

CONFIDENTIALITÉ DES DONNÉES PERSONNELLES

En vigueur depuis mai 2018, le règlement européen visant à protéger les données à caractère personnel, le RGPD (Règlement Général sur la Protection des Données) a nécessité de nouvelles actions.  Il étend d’une part, les droits pour les personnes concernées, et renforce d’autre part, la responsabilité et les obligations pour les responsables de traitement, nécessitant la preuve de leur conformité en matière de protection des données à caractère personnel.

Pour répondre aux exigences du RGPD, Air France et KLM ont déployé en 2018 un vaste programme pour renforcer les politiques de cyber sécurité et définir un cadre de référence pour la gestion des données à caractère personnel destiné au respect des principes de protection des données dès la conception et par défaut. 

Ce programme s’est poursuivi tout au long de l’année 2019. L’accent a été davantage mis sur l’efficacité opérationnelle, tandis que la conception et la mise en œuvre de la gouvernance, des politiques et du registre ont été globalement finalisées en 2018.

En janvier 2019, la responsabilité du respect de la vie privée a été officiellement transférée à l’entreprise, représentée par les membres des comités exécutifs d’Air France et de KLM en tant que responsables du traitement des données internes. Les autres fonctions de responsable du traitement des données internes et de coordonnateur de la confidentialité ont été renforcées. 

Des réunions régulières entre les coordonnateurs de la protection de la vie privée et les responsables du traitement des données internes ont été instituées, afin d’assurer la gouvernance. Une seconde session de formation en ligne a été déployée auprès des salariés d’Air France et de KLM dont les fonctions sont liées aux développements et aux initiatives concernant l’utilisation des données personnelles.

L’efficacité globale du cadre de respect de la vie privée est évaluée régulièrement grâce à un programme d’audit interne dédié. Ce cadre a été amélioré en 2019, et sera encore renforcé. À cet égard, de nouvelles améliorations seront mises en œuvre en 2020.

 


© AIR FRANCE KLM