En 2024, Publicis Groupe a été évalué par Cybervadis et reste dans le 1% des entreprises les plus performantes sur le sujet de la sécurité et de la protection des données (note 2024 : 971/1 000), grâce au travail réalisé en commun entre le GDPO et le GSO.
Une synthèse des politiques de protection des données figure dans Janus et est publiquement accessible sur le site Internet du Groupe, dans la bibliothèque RSE. Les salariés peuvent directement faire appel au GDPO et à ses équipes : privacyofficer@publicisgroupe.com. [S4-1-15]
Les fournisseurs font l’objet d’une revue initiale dont l’objet est d’évaluer leurs process et politiques tant en matière de protection que de sécurité des données, de vérifier leur conformité et de comprendre leurs pratiques. Les différentes équipes GDPO, GDPOps et GSO travaillent ensemble pour ces revues initiales. Les fournisseurs et partenaires doivent aussi répondre à une autoévaluation de conformité avec les lois et les bonnes pratiques. Les contrats contiennent des obligations contractuelles strictes notamment des déclarations et garanties en matière de protection des données. La diffusion d’un DPA (Data Processing Addendum) est systématique auprès des fournisseurs, partenaires et éditeurs. Ces travaux se font en coopération avec la Direction des achats (voir sections 4.3.9 & 4.3.10). [S4-31 (a)]
La politique Privacy-by-Design intègre les enjeux liés à l’usage de l’intelligence artificielle (IA) dans des process et différents systèmes, afin que les responsabilités soient claires, avec une surveillance rigoureuse et une gouvernance forte. L’environnement réglementaires autour de l’IA est en permanente évolution, avec de nombreux pays ayant introduit des lois spécifiques pour l’IA, de même que l’Europe avec le AI Act. Le Groupe a pris un certain nombre de mesure afin de s’assurer que les salariés sont formés à ces nouveaux usages et aux enjeux qui en résultent. Les équipes juridiques portent une attention particulière sur les termes figurant dans les contrats tant avec les clients que les fournisseurs.
Au sein de Publicis Groupe la sécurité de l’information relève de la responsabilité de chacun. Il s’agit de protéger les informations sensibles et notamment celles des clients. L’ensemble du programme de sécurité est dirigé par une équipe dédiée du Global Security Office (GSO), qui rassemble des professionnels très expérimentés, dont les expertises sont certifiées, par exemple: CISSP, CISA, CISM, et CRISC. Le GSO a la responsabilité des politiques de sécurité, des guidelines et des standards utilisés partout dans le Groupe. Le programme de sécurité repose sur une logique d’amélioration continue, avec une évaluation en continu des risques de sécurité et le suivi de l’application des politiques de sécurité. Les travaux du GSO sont supervisés par le Top Management du Groupe.
Le GSO pilote plusieurs programmes comme la conformité en sécurité, le risk management, les tests de sécurité et de vulnérabilité, les revues techniques, les plans de continuité et l’éducation des salariés à ces risques de sécurité. Une attention particulière porte sur la formation de toutes les équipes en utilisant différents moyens de communication (blogs, articles, vidéos, tests, graphiques…), avec des contenus disponibles en six langues (français, anglais, espagnol, chinois, portugais, allemand) afin de construire une culture de la sécurité dans l’ensemble du Groupe.
Tous les salariés doivent suivre chaque année une formation obligatoire sur la sécurité des données et informations à leur entrée dans le Groupe, puis des mises à jour annuelles. A cela s’ajoute d’autres formations à la demande, en fonction des responsabilités comme sur la sécurité du code. L’équipe du GSO anime une communication régulière auprès de tous les salariés rappelant les bonnes pratiques de sécurité, et mettant en lumière les menaces existantes.
Le Security Operations Center (SOC) , suit des risques de cybercrime (ransomware, malware, phishing) . Il est opérationnel 24/7 et prêt à intervenir pour protéger les infrastructures, les systèmes, les informations et les data et, le cas échéant, activer des plans de continuité (business continuity plan et disaster recovery plan) . [S4-4-31 (a)]
Le GSO pilote la sécurité qui fait l’objet d’audits externes indépendants tout au long de l’année. Ces audits sont conduits par des tierces parties et parfois à la demande de nos clients et partenaires, ceci afin de maintenir les meilleurs niveaux d’assurance et de conduire un processus d’amélioration continue. Les équipes du GSO travaillent étroitement avec les équipes projets des agences afin de s’assurer de la conformité à l’égard des cahiers des charges des clients. Cela signifie, suivre les certifications externes comme l’ISO 27001 ou ISO 22301, Payment Card Industry data Security Standard (PCI DSS), le Service Organization Control (SOC) Trust Criteria. Les politiques Groupe de sécurité de l’information (Information Securities Policies) sont alignées sur les standards ISO 27001 pour les entités les plus critiques. Le GSO assure le suivi de ces certifications ISO 27001 pour les entités, agences et départements où cela est impératif, comme les centres de services partagés, avec les services IT, les services généraux, les RH et la sécurité. Le GSO prépare les audits externes, afin de s’assurer que les standards sont suivis. Certaines entités sont certifiées ISO 22301 pour les dispositifs spécifiques de continuité (business continuity plan) . Les salariés du Groupe peuvent faire appel au GSO et aux équipes du help desk : askgso@publicisgroupe.com.
Les fournisseurs travaillant avec le Groupe doivent obligatoirement répondre à des critères spécifiques de sécurité, partie intégrante du contrat. Le GSO pilote le programme de Supplier Security Risk management, avec la Direction des achats du Groupe (voir sections 4.3.9 & 4.3.10). Le GSO conduit des évaluations formelles des risques de sécurité des fournisseurs, afin de passer en revue différents contrôles administratifs, techniques et de sécurité physique. Ces évaluations sont régulières afin de protéger les systèmes d’information du Groupe. [S4-4-31 (a)]
