La politique Groupe de protection des données repose sur des principes clés comme la transparence et le respect des droits individuels. La politique Privacy-by-Design and Default permet aux équipes d’être guidées sur la manière de prendre en compte dans leurs activités quotidiennes les questions liées à la protection des données et d’être en conformité avec les lois et bonnes pratiques en vigueur. Cette approche très en amont facilite une coopération avec toutes les équipes dès les premières étapes d’un projet, afin que la protection des données soit bien intégrée dans les systèmes et les solutions, en étroite relation avec les équipes au côté des clients et leurs partenaires. [ESRS 2 MDR-P]
Ces questions de conformité sont traitées avec vigilance, afin de s’assurer que les équipes sont bien formées et accompagnées pour maintenir un standard élevé de conformité. La formation est obligatoire pour tous les salariés sur les principes de protection des données ainsi que sur les questions de sécurité. Des formations plus spécifiques et approfondies sont données quand il y a des enjeux territoriaux spécifiques comme sur le RGPD européen/ Royaume-Uni (règlement général pour la protection des données) ou pour les réglementations des différents États aux États-Unis, ou encore, celles liées à une industrie comme sur la publicité digitale.
Comme l’exige la loi, le Groupe offre aux consommateurs l’accès à leurs droits en matière de protection de la vie privée. Par exemple, avec Epsilon, certains droits peuvent être exercés à l’aide d’un outil automatisé : https://legal.epsilon.com/dsr. En outre, aux États-Unis, Epsilon indique dans sa politique de confidentialité le nombre de demandes reçues par les consommateurs au cours de l’année précédente : https://legal.epsilon.com/us/NA-products-privacy-policy. [ESRS 2 MDR-A]
En 2025, Publicis Groupe a été évalué par CyberVadis et reste dans le 1 % des entreprises les plus performantes sur le sujet de la sécurité et de la protection des données (note 2025 : 980/1 000), grâce au travail réalisé en commun entre le GDPO et le GSO.
Une synthèse des politiques de protection des données figure dans Janus et est publiquement accessible sur le site Internet du Groupe, dans la bibliothèque RSE. Les salariés peuvent directement faire appel au GDPO et à ses équipes : privacyofficer@publicisgroupe.com. [ESRS 2 MDR-P]
Les fournisseurs font l’objet d’une revue initiale dont l’objet est d’évaluer leurs process et politiques tant en matière de protection que de sécurité des données, de vérifier leur conformité et de comprendre leurs pratiques. Les différentes équipes GDPO, GDPOps et GSO travaillent ensemble pour ces revues initiales. Les fournisseurs et partenaires doivent aussi répondre à une autoévaluation de conformité avec les lois et les bonnes pratiques. Les contrats contiennent des obligations contractuelles strictes notamment des déclarations et garanties en matière de protection des données. La diffusion d’un DPA (Data Processing Addendum) est systématique auprès des fournisseurs, partenaires et éditeurs. Ces travaux se font en coopération avec la Direction des achats (voir sections 4.3.10). [ESRS 2 MDR-A]
La politique Privacy-by-Design intègre les enjeux liés à l’usage de l’intelligence artificielle (IA) dans des process et différents systèmes, afin que les responsabilités soient claires, avec une surveillance rigoureuse et une gouvernance forte. L’environnement réglementaire autour de l’IA est en permanente évolution, avec de nombreux pays ayant introduit des lois spécifiques pour l’IA, de même que l’Europe avec le AI Act. Le Groupe a pris un certain nombre de mesures afin de s’assurer que les salariés sont formés à ces nouveaux usages et aux enjeux qui en résultent. Les équipes juridiques portent une attention particulière sur les termes figurant dans les contrats tant avec les clients que les fournisseurs.
Au sein de Publicis Groupe la sécurité de l’information relève de la responsabilité de chacun. Le programme de sécurité est dirigé par une équipe dédiée du Global Security Office (GSO), qui rassemble des professionnels très expérimentés, dont les expertises sont certifiées, par exemple : CISSP, CISA, CISM, et CRISC.
Les politiques de sécurité des données, les guidelines et les standards utilisés dans le Groupe sont sous la responsabilité du GSO. Le programme de sécurité repose sur une logique d’amélioration continue, avec une évaluation en continu des risques de sécurité et le suivi de l’application des politiques de sécurité. Les travaux du GSO sont supervisés par le Top Management du Groupe.
Le GSO pilote plusieurs programmes comme la conformité en sécurité, le risk management, les tests de vulnérabilité, les revues techniques, les plans de continuité et l’éducation des salariés à ces risques de sécurité. Une attention particulière porte sur la formation de toutes les équipes en utilisant différents moyens de communication (blogs, articles, vidéos, tests, graphiques…), avec des contenus disponibles en six langues (français, anglais, espagnol, chinois, portugais, allemand) afin de construire une culture de la sécurité dans l’ensemble du Groupe.
Tous les salariés doivent suivre une formation obligatoire sur la sécurité des données à leur entrée dans le Groupe, puis, suivre les mises à jour annuelles. À cela s’ajoutent d’autres formations à la demande, en fonction des responsabilités. Le GSO anime une communication régulière pour renforcer les bonnes pratiques, et mettre en lumière les menaces émergentes.
Le Security Operations Center (SOC) est opérationnel 24/7, en alerte par rapport aux cyberattaques comme les ransomware, malware, phishing. Il est prêt à intervenir pour protéger les infrastructures, les systèmes et les data et, le cas échéant, activer des plans de continuité (business continuity plan et disaster recovery plan). [ESRS 2 MDR-A]
