Le GSO pilote la sécurité qui fait l’objet d’audits externes indépendants tout au long de l’année, à la demande des clients et partenaires. Ces audits permettent de maintenir les meilleurs niveaux d’assurance et de conduire un processus d’amélioration continue. Les équipes du GSO travaillent étroitement avec les équipes projets des agences afin de s’assurer de la conformité à l’égard des cahiers des charges des clients, et avec des certifications externes comme ISO 27001 ou ISO 22301, Payment Card Industry data Security Standard (PCI DSS), le Service Organization Control (SOC) Trust Criteria. Les politiques Groupe de sécurité de l’information (Information Securities Policies) sont alignées sur les standards ISO 27001 pour les services essentiels en interne, comme l’IT, les RH et la sécurité des données. Certaines entités sont certifiées ISO 22301 pour les dispositifs spécifiques de continuité (business continuity plan).
Les salariés du Groupe peuvent faire appel au GSO et aux équipes du help desk : askgso@publicisgroupe.com.
Les fournisseurs travaillant avec le Groupe doivent obligatoirement répondre à des critères spécifiques de sécurité, parties intégrantes du contrat. Le GSO, avec la Direction des achats du Groupe, pilote le programme de Vendor Security Risk management. Cela repose sur des évaluations formelles des risques de sécurité des fournisseurs, afin d’évaluer les contrôles administratifs, techniques et de sécurité physique, afin de protéger les systèmes d’information du Groupe. [ESRS 2 MDR-A]
Alors que l’intelligence artificielle (IA) devient un moteur de l’innovation en entreprise, le Groupe s’est engagé pour assurer son développement de manière responsable et sécurisée. L’adoption de l’IA doit être guidée par des règles de sécurité et de conformité, ainsi que par les meilleures pratiques éthiques. Le GSO évalue la sécurité des fournisseurs de services d’IA, effectue des examens de l’architecture de sécurité, et conduit des tests de sécurité. L’objectif est d’avoir une intégration de l’IA efficace et protégée, plaçant la sécurité au cœur de l’innovation.
La politique de Sécurité des Systèmes d’Information est partie intégrante du Code de conduite et d’éthique Janus ; elle est publiquement accessible dans la bibliothèque RSE du site Internet du Groupe. [ESRS 2 MDR-P]
Le système d’alerte avec la plateforme externe Ethics Concerns à l’adresse suivante : https://publicis.whispli.com/lp/ethicsconcerns permet de recueillir tout type d’alertes, qu’elles soient internes ou externes. Tous les signalements reçus sont traités dès lors qu’ils sont suffisamment précis et étayés. Le traitement est assuré par la Direction de la conformité sous la supervision du Secrétariat Général. Les investigations sont conduites par la Direction de l’audit interne ou par la Direction juridique, avec les moyens appropriés en fonction des sujets, et en veillant à préserver une stricte confidentialité. Les lanceurs d’alertes sont protégés par la confidentialité des échanges et toute forme de représailles à l’encontre d’un lanceur d’alerte agissant de bonne foi est strictement interdite. Chaque cas est suivi de manière précise, afin de s’assurer que les actions adéquates ont été mises en œuvre, et les mesures correctives appliquées (voir la section 4.4.2.1.). [S4-3-25 (b), (c) & (d), S4-3-26 & 27]
Le respect de la confidentialité des données et des projets des clients est une valeur cardinale. Elle est requise de la part de 100 % des salariés, en complément des obligations souscrites par les salariés dans leur contrat de travail avec le Groupe. Les équipes peuvent avoir accès à des informations sensibles ; faire signer des engagements de confidentialité spécifiques (NDA – non-disclosure agreements) est devenu systématique. La propriété intellectuelle, quel que soit le type de créations ou de réalisations, est également protégée. Les experts en droit des marques ou droit d’auteur ou du droit des bases de données (databases), au sein des équipes juridiques, doivent être sollicités très en amont des projets. Les spécialistes de la protection et de la sécurité des données doivent également être associés à tous les projets afin de s’assurer que ces questions sont traitées rigoureusement.
Entreprise de création, Publicis Groupe est depuis toujours attachée au respect et à la protection de la propriété intellectuelle, sujet de plus en plus complexe à gérer dans un monde digital, ultra-connecté, et avec des images issues de l’intelligence artificielle. C’est dans cet esprit que l’équipe PMX Digital a mis en place un contrat exclusif avec WIPO (World Intellectual Property Organization) permettant d’identifier et d’exclure les sites qui se rendent coupables de violation de la propriété intellectuelle. Le respect de la propriété intellectuelle fait partie des principes-clés exposés dans la formation obligatoire Generative AI Ethics and Responsible Use.
