Document d'Enregistrement Universel 2021

Chapitre 4. Responsabilité Sociétale de l’Entreprise – Performance extra-financière

La politique Groupe en matière de protection des données est publiquement accessible sur le site Internet du Groupe, dans la bibliothèque RSE. Les questions inhérentes à la protection des données sont centralisées et chaque salarié peut directement faire appel au GDPO et à ses équipes : privacyofficer@publicisgroupe.com.

3) Avec les fournisseurs et partenaires

Les fournisseurs font l’objet d’une revue initiale dont l’objet est d’évaluer leurs process et politiques tant en matière de protection que de sécurité des données, de vérifier leur conformité et de comprendre leurs pratiques. Les différentes équipes GDPO, GDPOps et GSO travaillent ensemble pour ces revues initiales. Les fournisseurs et partenaires doivent aussi répondre à une autoévaluation de conformité avec les lois et règlements ou encore bonnes pratiques. Les contrats contiennent des obligations contractuelles strictes notamment des déclarations et garanties en matière de protection des données. La diffusion d’un DPA (Data Processing Addendum) est systématique auprès des fournisseurs, partenaires et éditeurs. Dès lors qu’il s’agit de données sensibles (RH, financières, santé…) des analyses approfondies sont conduites pour vérifier les questions de protection, sécurité et conformité.

Ces travaux se font en coopération avec la Direction des achats (voir chapitre 4.2.7 du présent document).

4.2.3.3 Sécurité des données : Rôle du Global Security Office (GSO)
1) Gouvernance, rôle et mission

Au sein de Publicis Groupe la sécurité de l’information relève de la responsabilité de chacun. Il s’agit de protéger les informations sensibles et notamment celles des clients. L’ensemble du programme de sécurité est dirigé par une équipe dédiée du Global Security Office (GSO), qui rassemble des professionnels très expérimentés, dont les expertises sont certifiées tels que CISSP, CISA, CISM, CRISC, etc. Le GSO a la responsabilité des politiques, des guidelines et des standards appliqués partout. L’ensemble du programme repose sur une logique de progrès permanent, avec une évaluation en continue des risques de sécurité et le suivi de l’application des règles du Groupe. Les travaux du GSO sont pilotés et suivis par le Top management du Groupe.

Le GSO pilote plusieurs programmes comme la conformité, le risk management, les tests de sécurité ou de vulnérabilité, les revues techniques, les plans de continuité de service et l’éducation des salariés à ces risques. Une attention particulière porte sur la formation de toutes les équipes en utilisant différents moyens (blogs, articles, vidéos…) en six langues (français, anglais, espagnol, chinois, portugais, allemand) afin de construire une culture de la sécurité dans l’ensemble du Groupe. Tous les salariés doivent suivre chaque année un module obligatoire sur la sécurité des données et informations, auquel s’ajoute des formations à la demande comme par exemple la sécurité du code ou les bonnes pratiques pour créer une application très sécurisée. L’équipe du GSO anime une communication trimestrielle rappelant les bonnes pratiques de sécurité, avec des mises en garde régulières par rapport à des procédés malhonnêtes.

Une équipe est dédiée au suivi des risques de cybercrime (ransom malware, phishing…), et le SOC – Security Operations Center – est opérationnel 24/7 et prêt à intervenir pour protéger les infrastructures, les systèmes, les informations et les data et, le cas échéant, activer des plans de continuité (business continuity plan) et des plans de reprise après sinistre (disaster recovery plan).

En 2020 puis 2021, les équipes GSO ont été fortement impliquées pour le déploiement rapide et le support du télétravail, veillant à la bonne continuité des systèmes et des services, et sont restées mobilisées face aux cyberattaques.

2) Certifications et conformité

Le programme GSO fait l’objet tout au long de l’année de multiples audits externes indépendants conduits par des parties tierces, pour des raisons évidentes de conformité, mais aussi à la demande de nos clients et partenaires, ceci afin de maintenir les meilleurs niveaux d’assurance et de continuer l’amélioration des systèmes d’année en année. Les équipes du GSO travaillent étroitement avec les équipes projets des agences afin de s’assurer de la conformité à l’égard des attentes des clients. Cela signifie suivre les certifications externes comme l’ISO 27001 ou ISO 22301, tout comme les standards plus spécifiques comme Payment Card Industry data Security Standard (PCI DSS) ou Health Insurance Portability Accounting Act (HIPAA) ou Service Organization Control (SOC) Trust Criteria. Les politiques Groupe de sécurité de l’information (Information Securities Policies) sont alignées sur les standards ISO 27001 ; les entités les plus importantes du Groupe aux États-Unis, en Inde et au Royaume-Uni sont certifiées ISO 27001, le GSO assurant le suivi de ces certifications ; il travaille en étroite collaboration avec les équipes GDPO et GDPOps. (voir paragraphe précédent). Les activités d’Epsilon ont également une certification ISO 22301 pour les plans de continuité (business continuity plan).

Les questions inhérentes à la sécurité des données sont centralisées et chaque salarié peut directement faire appel au GSO et à ses équipes : askgso@publicisgroupe.com.

3) Avec les fournisseurs et partenaires

L’un des principes-clés est d’étendre les exigences internes de sécurité aux fournisseurs et aux partenaires. Le GSO pilote le programme de Security Risk management, en coopération avec la Direction des achats du Groupe (voir chapitre 4.2.7 du présent document). Il s’agit de procéder aux évaluations formelles des risques de sécurité, de passer en revue différents contrôles administratifs, techniques et de sécurité physique allant au-delà des principes énoncés dans la politique générale publiquement accessible dans la bibliothèque RSE du site Internet du Groupe. Ces due diligence ont également lieu pendant la durée du contrat avec les fournisseurs concernés.