Le Belge Rever s’est associée à l’entreprise française Actecil pour mettre au point une suite logicielle qui permet à chacun des acteurs de l’ entreprise (CDO, DPO, juriste, métier, technique) de contribuer au travail collaboratif de mise en conformité au nouveau Règlement Général sur la Protection des Données (GDPR) dans son domaine de spécialisation.
Dans moins d’un an, toutes les entreprises européennes et/ou installées sur le territoire de l’Union Européenne devront être en conformité avec le nouveau Règlement Général sur la Protection des Données (GDPR), concernant la « protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ». La suite logicielle de Rever, une division du laboratoire d’ingénierie des bases de données de l’Université de Namur en Belgique, et Actecil, qui accompagne des organismes privés ou publics dans leur démarche de conformité liée aux législations encadrant l’usage des données à caractère personnel, peut aider les CDO, DPO et juriste ainsi que les collaborateurs métier et technique à collaborer pour y arriver. « La suite logicielle que nous avons créée permet de construire et de maintenir un « référentiel GDPR » contenant le registre des traitements (aspects métiers) et ses liens avec les applications informatiques (aspects techniques) », explique Dominique Orban, de la société Rever, spécialisée dans le traitement des données et de l’information d’entreprise.
Un référentiel à trois niveaux de description
Ce référentiel se compose de trois niveaux de description. D’abord les traitements, qui décrivent les différentes activités de l’entreprise concernées par la GDPR, du point de vue du « métier ». Ces traitements peuvent être automatisés ou manuels, ou les deux à la fois. Les différentes informations sont enregistrées au moyen d’un logiciel spécialisé doté d’une interface simple et conviviale. Ce logiciel assure par ailleurs la gestion des versions au fil du temps et intègre les outils permettant de spécifier et de suivre les tâches à accomplir pour la mise en conformité.
Les cartes des données personnelles décrivent, elles, les localisations des données personnelles dans les différentes bases de données de l’entreprise. L’affectation aux données techniques du nom des données indiquée dans les traitements permet de relier les traitements à la réalité technique.
Enfin les cartes des programmes, décrivent quant à elles les traitements
automatisés utilisant les données personnelles. Ces cartes permettent notamment de tracer l’utilisation des données personnelles par les processus, de vérifier ceux qui les modifient, les lisent… Ces informations permettent notamment de réaliser des analyses d’impact, par exemple dans le cas de « privacy by redesign » ou pour l’établissement d’un PIA (Privacy Impact Assesment).
.
