5. Confidentialité des données personnelles
Description du risque
Les activités de publicité et de communication impliquent le traitement d’un volume significatif de données personnelles. Les lois et règlements relatifs à la protection des données personnelles sont complexes, en constante évolution, diffèrent selon les pays et engendrent des coûts importants et croissants de mise en conformité. Les autorités de contrôle font preuve d’une vigilance accrue en infligeant des sanctions pécuniaires de plus en plus élevées. Les politiques de contrôle, l’interprétation des réglementations par les régulateurs ainsi que les contraintes relatives aux transferts transfrontaliers de données deviennent de plus en plus strictes. Dans le cadre de sa stratégie numérique, l'Union européenne a introduit des réglementations qui affectent le secteur du marketing et de la publicité avec l’ambition de faire évoluer l’Union européenne vers un marché numérique unique et de « créer un espace numérique plus sûr où les droits fondamentaux des utilisateurs sont protégés et d’établir des conditions de concurrence équitables pour les entreprises ». Il s’agit notamment du Digital Services Act, du Digital Markets Act et du Data Governance Act.
À la suite du règlement général relatif à la protection des données (UE) 2016/679 (UE RGPD), un nombre croissant de pays a adopté une réglementation sur la protection des données personnelles. Aux États‑Unis, en l’absence d’une réglementation fédérale, de nombreux Etats, dont la Californie, la Virginie, le Colorado, le Connecticut, l'Iowa, le Montana et l'Utah, ont adopté des lois sur la protection des données. Ces lois renforcent les exigences relatives à la manière dont les entreprises sont autorisées à utiliser les informations personnelles des consommateurs. D’autres États américains ont adopté ou sont en voie de proposer leurs propres projets de lois sur la protection des données personnelles qui, s’ils sont votés, continueront de rendre la situation complexe en fragmentant davantage le paysage législatif. De plus, certains Etats américains ont introduit de nouvelles lois régissant le traitement des données sensibles. Il est probable que d'autres Etats américains suivent cette approche dans un avenir proche.
De nombreux autres pays ont adopté des lois sur la protection des données personnelles, notamment le Brésil, la République populaire de Chine, l’Inde, l’Australie, les Emirats Arabes Unis et l’Arabie Saoudite.
L'Intelligence artificielle (IA) s'est développée rapidement ces derniers temps et est couramment utilisée pour des activités liées à la publicité. Ce développement s'accompagne d'une attention accrue de la part des régulateurs. De nombreux pays mettent en place des lois et règlements spécifiques à l'IA, notamment au niveau de l'Union européenne (Artificial Intelligence Act approuvé par le Parlement européen) et de certains Etats américains.
Le Groupe traitant de plus en plus de données à caractère personnel, pourrait faire l’objet d’une surveillance accrue de la part des autorités de contrôle. Toute atteinte aux lois et règlements applicables pourrait, en plus d’actions en responsabilité et de sanctions prononcées à l’encontre du Groupe (y compris pécuniaires) créer une perte de confiance des clients et avoir un impact défavorable sur la réputation et les activités du Groupe. De plus, toute perte ou divulgation non autorisée de données à caractère personnel peut engendrer des dommages conséquents pour les personnes concernées et engager la responsabilité du Groupe.
Gestion du risque
Le GDPO (Global Data Privacy Office) fait partie de la Direction juridique du Groupe qui reporte au Secrétariat Général. Son rôle est de superviser le programme de protection des données, de conseiller les agences sur les questions de protection et de les aider sur le management des risques. D’un point de vue opérationnel, le GDPO s’appuie sur la Global Data Privacy Operations Team (GDPOps) comprenant les Privacy Leads et Data Privacy Stewards dans les différents pays, en charge de la mise en œuvre et du suivi du programme de conformité. Les équipes GDPO et les GDPOps travaillent en étroite relation avec le GSO (Global Security Office), dès qu’il est question de sécurité des données.
La politique de protection des données repose sur le principe de Privacy‑by‑Design et doit veiller à être en conformité avec les lois et bonnes pratiques en vigueur. Les procédures internes encadrent ces aspects et sont disponibles sur le site Internet du Groupe. Cette politique de Privacy‑by‑Design intègre les problématiques liées à l’usage de l’intelligence artificielle (IA) dans des process et différents systèmes, afin que les responsabilités soient claires, avec une surveillance rigoureuse et une gouvernance forte.
Les fournisseurs font l’objet d’une revue initiale dont l’objet est d’évaluer leurs process et politiques tant en matière de protection que de sécurité des données, de vérifier leur conformité et de comprendre leurs pratiques. Les différentes équipes GDPO, GDPOps et GSO travaillent ensemble pour ces revues initiales.
Un processus Groupe est dédié à la réponse aux incidents (Incident Response Process) afin de gérer les incidents de cybersécurité et des violations de données.
La formation de tous les salariés a lieu chaque année avec des rappels sur le RGPD européen (règlement général pour la protection des données), le CCPA (California Consumer Privacy Act) de même que sur la sécurité des données. Des formations ad hoc sont effectuées en complément et en fonction des besoins.