6. Cybercriminalité et défaillance des systèmes d’information
Le numérique se développe à un rythme élevé et la dépendance envers les technologies de l’information n’a jamais été aussi importante. Cette dépendance entraîne des risques pour le Groupe tels qu’une attaque malveillante, une défaillance technique, ou une menace interne pouvant mener à une interruption de services, une fuite de données personnelles, une altération ou divulgation d’informations confidentielles.
Les défaillances des systèmes peuvent résulter tant d’activités malveillantes, d’événements naturels que d’une panne technique. Ces défaillances peuvent impacter aussi bien le Groupe directement que l'un de ses partenaires ou fournisseurs. Cela peut potentiellement entraîner de longues périodes de dysfonctionnement et entraver la capacité du Groupe à servir ses clients.
Les activités malveillantes peuvent se présenter sous forme d’attaques par déni de service, de cyberattaques de type « rançongiciel » génériques ou ciblées impactant directement les infrastructures du Groupe ou les systèmes de ses fournisseurs ou partenaires. 2020 a marqué une accélération et une professionnalisation significative dans un contexte de pandémie et de changement important des modes de travail. Ces différentes attaques peuvent entraver l’exercice normal des activités commerciales et même les suspendre momentanément tout en infectant potentiellement les livrables aux clients voire leurs propres environnements réseaux causant ainsi des dommages importants.
La forte croissance de l’utilisation des logiciels et infrastructures informatiques externalisés (Cloud Computing) étend la « surface d’attaque » du Groupe et augmente la complexité de la sécurisation des données et outils.
Des menaces en interne, bien que normalement non malveillantes, peuvent également nuire gravement à l’exercice normal des activités commerciales. Le personnel non formé ou mal informé peut involontairement divulguer des informations confidentielles ou personnelles, ou être involontairement victime des nombreuses cyberattaques (hameçonnage ciblé ou non, fraude au Président, etc.). L’employé malveillant ou mécontent, bien que cette situation soit rare, peut également entraîner de graves atteintes à la réputation ou des dommages financiers en publiant volontairement des informations confidentielles et sensibles ou en commettant des actes de sabotage entraînant une défaillance technique.
Ces risques de cybercriminalité et de défaillance des systèmes d’information peuvent avoir des conséquences défavorables, y compris en termes de coûts (coût de remédiation, pénalités contractuelles dues aux clients, amendes ou mises en cause de la responsabilité) de perte de revenus ou de réputation pour le Groupe.
7. Confidentialité des données personnelles
Les activités de publicité et de communication impliquent le traitement d’un volume significatif de données personnelles. La règlementation relative à la protection des données personnelles est complexe, en constante évolution, diffère selon les pays et engendre des coûts importants et croissants de mise en conformité. Les autorités de contrôle européennes font preuve d’une vigilance accrue en émettant des sanctions pécuniaires de plus en plus élevées. Les politiques de contrôle, l’interprétation des réglementations par les régulateurs ainsi que les contraintes relatives aux transferts transfrontaliers de données deviennent de plus en plus strictes. L’Union européenne a également introduit des réglementations qui affectent le secteur du marketing et de la publicité avec l’ambition de faire évoluer l’Union européenne vers un marché numérique unique et de « créer un espace numérique plus sûr où les droits fondamentaux des utilisateurs sont protégés et d’établir des conditions de concurrence équitables pour les entreprises ». Il s’agit du Digital Services Act, du Digital Markets Act, du Data Governance Act et de la réglementation ePrivacy.
À la suite du règlement général relatif à la Protection des Données (UE) 2016/679 du 27 avril 2016 de l’Union européenne (RGPD), de plus en plus d’États dans le monde adoptent une règlementation sur la protection des données personnelles. Aux États-Unis, en l’absence d’une réglementation fédérale, la Californie s’est dotée du California Consumer Privacy Act (CCPA) entré en vigueur en janvier 2020, complété en octobre 2020 par le California Privacy Rights Act (CPRA) entré en vigueur en janvier 2023. Le CCPA exige la mise en place de mécanismes (opt-out) permettant à l’utilisateur de refuser la vente de ses données personnelles. Le CPRA renforçe les exigences relatives à la manière dont les entreprises sont autorisées à utiliser les informations personnelles des consommateurs en Californie. D'autres États américains ont adopté ou sont en voie de proposer leurs propres projets de lois sur la protection des données personnelles qui, s'ils sont adoptés, continueront de rendre la situation complexe avec un morcèlement du paysage législatif. Un projet de loi fédérale sur la protection des données personnelles pourrait être réintroduit en 2023.
En 2021, le Brésil et la République populaire de Chine ont adopté leur loi sur la protection des données personnelles. En 2022, d'autres pays comme l'Inde, l’Australie et l’Arabie Saoudite introduisent des lois plus substantielles sur la protection des données personnelles.
Toute perte ou divulgation non autorisée de données à caractère personnel peut engendrer des dommages conséquents pour les personnes concernées, qui peuvent engager la responsabilité du Groupe. Le Groupe, qui traite de plus en plus de données à caractère personnel, pourrait faire l’objet d’une surveillance accrue de la part des autorités de contrôle. Toute atteinte aux réglementations applicables pourrait, en plus d’actions en responsabilité et de sanctions prononcées à l’encontre du Groupe, y compris pécuniaires, créer une perte de confiance des clients et avoir un impact défavorable sur la réputation et les activités du Groupe.