La diffusion de la DPA (Data Processing Addendum) est systématique auprès des fournisseurs, partenaires et éditeurs. Avec les équipes juridiques, des due diligences sont effectuées auprès des fournisseurs, portant sur les deux aspects : la protection des données personnelles par le GDPO et les contrôles de sécurité par le GSO. Le mode opératoire est adapté aux contraintes de chaque secteur et permet une grande réactivité si des mesures correctives doivent être mise en œuvre afin que le fournisseur soit en conformité avec les standards du Groupe.
La sécurité de l’information relève de la responsabilité de chacun. Il s’agit de protéger les informations sensibles du Groupe et celles des clients. L’ensemble du programme de sécurité est dirigé par une équipe centrale et dédiée au sein du Global Security Office (GSO), qui rassemble des professionnels très expérimentés, dont les expertises sont certifiées par des standards internationaux tels que CISSP, CISA, CISM, CRISC pour ne citer que quelques-unes.
Le GSO a la responsabilité des politiques, des guidelines et standards appliqués partout, avec une gouvernance en lien direct avec le Top management de l’entreprise pour valider les orientations et plans d’actions. Le programme de sécurité de l’information suit une approche fondée sur l’évaluation permanente des risques et le contrôle continu des règles appliquées. Le GSO pilote plusieurs programmes comme la conformité, le risk management, les tests de sécurité, les revues techniques, les plans de continuité de service et l’éducation des salariés à ces risques. Une attention particulière porte sur la formation de toutes équipes en utilisant différents moyens (blogs, articles, vidéos…) en six langues (français, anglais, espagnol, chinois, portugais, allemand) afin de construire une culture de la sécurité dans l’ensemble du Groupe.
Une équipe est dédiée au suivi des risques de cybercrime (ransom malware, phishing…), et le SOC – Security Office Center – est opérationnel 24h sur 24h et prêt à intervenir pour protéger les infrastructures, les systèmes, les informations et les data. La réactivité est essentielle afin de garantir une continuité de service fluide pour les utilisateurs ; le GSO est responsable des plans de continuité (business continuity plan) et des plans de reprise après sinistre (disaster recovery plan). Des tests de vulnérabilité sont faits régulièrement par les équipes, et font l’objet d’audits externes chaque année par un tiers indépendant.
Les équipes du GSO travaillent étroitement avec les équipes projets des agences afin de s’assurer de la conformité à l’égard des attentes des clients. Cela signifie suivre les certifications externes comme l’ISO 27001 ou des standards plus spécifiques comme PCI DSS (Payment Card Industry Data Security Standard) ou HIPAA (Health Insurance Portability Accounting Act). Les politiques Groupe de sécurité de l’information (Information Securities Policies) sont alignées sur les standards ISO 27001 et plusieurs entités du Groupe en Inde, au Royaume-Uni sont certifiées ISO 27001, le GSO assurant le suivi de ces certifications.
Avec l’intégration d’Epsilon, les équipes spécialisées ont rejoint le GSO permettant d’étendre les programmes de conformité, avec un suivi étroit d’autres certifications faites par des tiers : ISO 27001, ISO 22301, PCI DSS, HIPAA, SOC 1 et 2 (Service Organization Control), GDPR/CCPA (European General Data Protection Regulation/California Consumer Protection Act).
Le GSO travaille en étroite collaboration avec le GDPO (voir paragraphe précédent) sur de nombreux sujets de conformité. Les travaux du GSO sont suivis par la Direction générale du Groupe.
Le GSO pilote et suit le programme d’évaluation des partenaires et fournisseurs, en partenariat avec la Direction des achats. Il s’agit de procéder aux évaluations formelles de sécurité afin d’identifier et anticiper les risques éventuels (voir chapitre 2 du présent document).
La prise de conscience environnementale s’est nettement accélérée ces dernières années, les études réalisées par nos agences sur les attentes des consommateurs mettent clairement en avant des aspirations en faveur d’une consommation plus responsable.
Avec nos clients, nous devons encourager de nouveaux modes de consommation durables et responsables. La publicité et la communication demeurent indispensables aux entreprises pour faire connaître leurs produits et services, pour se développer auprès de leurs clients – les consommateurs-citoyens – et de pérenniser leurs activités et les emplois. Parallèlement, l’offre de produits et de services n’a jamais été aussi large. Le client final est très volatile et exigeant, à la recherche du meilleur rapport qualité-prix dans l’instant, parfois au prix de quelques contradictions.
Pour les agences du Groupe, il importe que le citoyen-consommateur puisse toujours exercer son libre arbitre et faire un choix éclairé. Face aux grands défis de société (réduction des inégalités, changement climatique…) nombreux sont ceux qui veulent changer de mode de consommation ; tout un chacun est concerné dans ses propres attitudes et ses envies. Les agences aspirent à être des accompagnateurs et des facilitateurs des changements de comportements des citoyens-consommateurs, et à accompagner leurs clients dans leurs projets complexes de transformation. Les engagements du Groupe en matière de marketing responsable sont là pour une mise en pratique permanente.
