Document d'enregistrement universel 2023

Glossaire

4.3.3 Protection des données : Rôle du Global Data Privacy Office (GDPO)

1) Gouvernance, organisation et mission

Le GDPO (Global Data Privacy Office) est une équipe expérimentée, avec des spécialistes, des avocats et des professionnels certifiés, travaillant sous la supervision du Chief Data Protection Officer (CDPO). Le GDPO fait partie de la Direction juridique du Groupe qui reporte au Secrétariat Général. Son rôle est de superviser le programme de protection des données, de conseiller les agences sur les questions de protection et de les aider sur le management des risques. Il participe aussi à différentes instances professionnelles ou initiatives communes comme IAB EU’s Transparence & Consent Framework et le IAB, US’ CCPA Framework. Le déploiement du programme mondial de protection des données est géré par une équipe centrale, en charge de la mise en œuvre et de l’assistance auprès des responsables locaux, Country/Regional Privacy Operational Leads. Ces derniers travaillent étroitement avec les Data Privacy Stewards désignés dans chaque agence pour mettre en place le plan d’action, dans le monde entier. Ce fonctionnement hybride, avec une gouvernance centralisée et locale, permet de s’assurer que les entités sont toutes alignées derrière les mêmes principes et règles, tout en permettant aux agences de répondre à des enjeux plus spécifiques liées à leur pays ou région. 

Les équipes GDPO et les GDPOps travaillent en étroite relation avec le GSO (Global Security Office), sur des volets techniques ou organisationnels permettant d’assurer la protection de données personnelles, leur cryptage, le transfert et la conservation, ainsi que la destruction. Un process Groupe est dédié à la réponse aux incidents (Incident Response Process) afin de gérer les incidents de cybersécurité et des violations de données.

La politique Groupe de protection des données repose sur des principes clés comme la transparence et le respect des droits individuels. La politique Privacy‑by‑Design et celle de Default policy permettent aux équipes d’être guidées sur la manière de prendre en compte dans leurs activités quotidiennes les questions liées à la protection des données et d’être en conformité avec les lois et bonnes pratiques en vigueur. Cette approche très en amont facilite une coopération avec toutes les équipes dès les premières étapes d’un projet, afin que la protection des données soit bien intégrée dans les systèmes et les solutions, en étroite relation avec les équipes au côté des clients et leurs partenaires. Cette politique Privacy‑by‑Design intègre les problématiques liées à l’usage de l’intelligence artificielle (IA) dans des process et différents systèmes, afin que les responsabilités soient claires, avec une surveillance rigoureuse et une gouvernance forte.

Ces questions de conformité sont traitées avec vigilance, afin de s’assurer que les équipes sont bien formées et accompagnées pour maintenir un standard élevé de conformité. La formation est obligatoire pour tous les salariés sur les principes de protection des données ainsi que sur les questions de sécurité. Des formations plus spécifiques et approfondies sont données quand il y a des enjeux territoriaux spécifiques comme sur le RGPD européen (règlement général pour la protection des données) ou le CCPA (California Consumer Privacy Act), ou liés à une industrie comme celle sur la publicité digitale.

Comme l’exige la loi, le Groupe offre aux consommateurs l’accès à leurs droits en matière de protection de la vie privée. Par exemple, avec Epsilon, certains droits peuvent être exercés à l’aide d’un outil automatisé : https://legal.epsilon.com/dsr. En outre, aux États‑Unis, Epsilon indique dans sa politique de confidentialité le nombre de demandes reçues par les consommateurs au cours de l’année précédente : https://legal.epsilon.com/us/NA‑products‑privacy‑policy.

En 2023, Publicis Groupe, en tant que Data Controller, n’a pas notifié de violation de données à un régulateur.

2) Certification

En 2023, Publicis Groupe a été évalué par Cybervadis et reste dans le 1% des entreprises les plus performantes sur le sujet de la sécurité et de la protection des données (note 2023 : 958/1 000), grâce au travail réalisé en commun entre le GDPO et le GSO.

Une synthèse des politiques de protection des données figure dans Janus et est publiquement accessible sur le site Internet du Groupe, dans la bibliothèque RSE. Les questions inhérentes à la protection des données sont centralisées et chaque salarié peut directement faire appel au GDPO et à ses équipes : privacyofficer@publicisgroupe.com.

3) Avec les fournisseurs et partenaires

Les fournisseurs font l’objet d’une revue initiale dont l’objet est d’évaluer leurs process et politiques tant en matière de protection que de sécurité des données, de vérifier leur conformité et de comprendre leurs pratiques. Les différentes équipes GDPO, GDPOps et GSO travaillent ensemble pour ces revues initiales. Les fournisseurs et partenaires doivent aussi répondre à une autoévaluation de conformité avec les lois et les bonnes pratiques. Les contrats contiennent des obligations contractuelles strictes notamment des déclarations et garanties en matière de protection des données. La diffusion d’un DPA (Data Processing Addendum) est systématique auprès des fournisseurs, partenaires et éditeurs. Ces travaux se font en coopération avec la Direction des achats (voir section 4.3.9 du présent document).