Accueil RGPD Des solutions pour se mettre en conformité

RGPD Des solutions pour se mettre en conformité

Sommaire du dossier

Le casse-tête de la mise en conformité avec le RGPD peut être simplifié par une bonne organisation et l’utilisation d’outils pertinents. Des solutions logicielles viennent soutenir et faciliter la mise en œuvre de cette réglementation sur la protection des données à caractère personnel.

En pratique, par quel bout prendre le Règlement Général sur la Protection des Données, ou RGPD ? Se mettre en conformité avec ce règlement européen entré en vigueur le 25 mai 2018 est un projet complexe pour beaucoup d’entreprises. C’est un projet IT, organisationnel et humain. Xavier Leclerc, PDG de l’éditeur DPMS, et président de l’Union des Data Protection Officer (DPO), remarque : « Le niveau de connaissances est très faible, et certains sont en panique. Pourtant, il s’agit parfois des évolutions de l’existant, avec la CNIL, la loi Informatique et Libertés de 2005 et la fonction de Correspondant Informatique et Libertés (CIL). »

Laurent Clerc

Laurent Clerc, cofondateur de BMI System, interrogé début mai, assure : « Le niveau de connaissance est très hétérogène. Si quelques grandes entreprises sont très avancées, d’autres n’ont encore rien fait. Le 25 mai n’est que la première étape. Les données personnelles sont partout dans les entreprises, pouvant se nicher dans n’importe quel document. Aussi doivent-elles porter des projets longs, qui impliquent tout le monde et donc de modifier les comportements, de réorganiser l’entreprise et d’avoir une vue globale de leurs traitements. »

Marine Brogli

Marine Brogli, ancienne responsable juridique et CIL chez Ikea, a fondé DPO Consulting qui propose depuis juin 2016 des services autour du RGPD : conseil, formation et externalisation de la fonction de DPO. Elle ajoute : « Le marché n’est pas mature. Les PME se réveillent depuis quelques semaines, parfois paniquées. Le RGPD est perçu comme une contrainte réglementaire et une question budgétaire. Il ne faut surtout pas paniquer ! Il faut l’envisager comme une opportunité pour rationaliser, harmoniser et centraliser ses processus et gagner en productivité. Par exemple, pour les acteurs du CRM, c’est une opportunité pour faire évoluer leur business model. Même les startups doivent s’y mettre. Pour les levées de fonds, il faut prouver qu’on a initié une démarche RGPD. Le plan de mise en conformité est néanmoins un projet de longue haleine, consommateur de ressources : de 400 à 600 jours/homme à 50 000 jours/homme selon la typologie de données, la maturité en matière de protection des données personnelles et la taille de l’entreprise. Il n’y a pas d’autre choix que de se mettre en conformité : il faut d’ici la fin de l’année pouvoir prouver avoir un plan d’actions et qu’on a débloqué du budget pour le mettre en œuvre. »

Robert Raïola

D’après Robert Raïola, directeur marketing de Mega, « la mise en œuvre du RGPD n’est pas une question de sécurité des données, comme l’envisagent certaines PMI, Le RGPD impose aux entreprises de s’interroger sur la légitimité des finalités de leur utilisation des données personnelles, de savoir quels processus métiers utilisent ce type de données. Nous qui avons beaucoup de clients dans la banque et l’assurance, qui manipulent de nombreuses données avec un haut niveau de complexité, nous avons depuis un an des demandes d’aide pour leur démarche de mise en conformité RGPD. »

Dominique Orban de Xivry, directeur de l’éditeur belge Rever, relève une des zones d’ombre du règlement : « Le RGPD ne précise pas le niveau de granularité d’un traitement : le service public fédéral des finances belge a déclaré seulement neuf traitements ! Remarquons qu’en Belgique, malgré l’existence de la Commission de la protection de la vie privée depuis 2004, il n’y a pas le niveau de maturité qui existe en France, pays de la loi Informatique et Libertés où la CNIL s’est activée depuis 40 ans. Les entreprises belges ne sont pas prêtes à appliquer le RGPD, même si certaines s’en préoccupent. L’Allemagne est bien avancée. »

> DPO Consulting – Radar du module Conformité et la page d’accueil du module Registre

Confiance numérique et transparence

M. Orban poursuit par une comparaison : « Le RGPD est la toute première réglementation en la matière. Je fais le parallèle avec l’aéronautique qui avait pour objectif originel de faire décoller les avions. Peu à peu les règles de circulation aérienne se sont établies. La confiance dans l’aviation a deux conditions : des avions fiables et une réglementation qui permet de prendre l’avion sans risque. Quand les données personnelles sont entrées dans l’espace public, notamment avec les réseaux sociaux, elles sont devenues un enjeu. La confiance numérique s’établit avec des systèmes d’informations fiables et une règlementation qui protège les individus, dont le RGPD est le premier maillon. Savoir, c’est pouvoir, et les technologies peuvent représenter des moyens pour abuser du pouvoir. Il s’agit de mieux gouverner les données. Suite à l’entrée en vigueur du RGPD, de bonnes pratiques vont se dégager. Les entreprises ont intérêt à être transparentes et propres. Il faut être particulièrement vigilant sur deux points. D’abord, sur la mise à jour des données : c’est une course perpétuelle où on est toujours en retard, afin d’avoir des données exactes, complètes et à jour. Ensuite sur les données en sous-traitance, et leur lieu de stockage. J’utilise une solution en SaaS : où sont stockées les données, en Union Européenne ou ailleurs ? »

Un projet transverse

Le site de la CNIL qui donne des lignes directrices, est une mine d’informations indispensable pour tout responsable de traitement ou Data Protection Officer (DPO). Le DPO a un rôle de surveillance et de contrôle. Une autorité de contrôle peut lui demander de fournir des preuves de conformité dans des délais très courts. Le non-respect du RGPD peut entraîner des amendes qui vont de 10 à 20 millions d’euros, ou de 2 à 4 % du chiffre d’affaires total, selon le montant le plus élevé des deux.

Le responsable de traitement joue quant à lui, en relation avec le DSI ou l’assurance qualité, un rôle opérationnel. Toutefois le chantier concerne toute l’entreprise : ses collaborateurs, ses traitements, ses applications et ses données. Toute donnée pouvant, directement ou indirectement, être utilisée pour identifier une personne physique, est soumise à la règlementation. Le projet demande une collaboration étendue et transverse à tous les départements de l’entreprise : marketing, commercial, juridique, ressources humaines, sécurité, informatique…

Une démarche globale de mise en conformité implique d’abord une étude préliminaire afin de définir une organisation adéquate, les responsables de traitement, les DPO. Il s’agit d’identifier des catégories de données et dans quels processus elles sont utilisées. Pour les processus critiques en termes de protection des données personnelles, une analyse d’impact est ensuite à réaliser. « Il s’agit d’établir des priorités dans les actions à mener, en analysant les non-conformités les plus récurrentes, prévient Xavier Leclerc. On a beau cartographier les traitements, il faut faire attention aux trous dans la raquette, les traitements qui ne dépendent pas du SI de l’entreprise : par exemple, la vidéosurveillance, le contrôle d’accès par badge, les processus RH peuvent être séparés. » Le privacy by design est de mise pour les nouveaux développements du SI. Il faut mettre en place un système de gestion et de traçabilité des incidents. Il faut s’assurer également que ses sous-traitants respectent leurs obligations en matière de sécurité, de confidentialité et de documentation de leur activité. Muriel Assuline, avocate du cabinet Assuline & Partners, recommande « d’avoir une charte RGPD intégrée aux appels d’offres et de mettre en place des avenants lors du processus de révision annuelle des contrats. »

La conformité au fil de l’eau

Vous êtes fier de votre fichier Excel bien propre au 25 mai ? C’est bien ! Mais permet-il une gestion dynamique des traitements de données à caractère personnel ? Au gré de l’activité de l’entreprise, du cycle de vie des données, de l’évolution des traitements, il faut être conforme au fil de l’eau. Il faut être en mesure d’aller chercher les données à caractère personnel dans des documents non structurés.

Tout nouveau traitement de données personnelles initié, par exemple dans le cadre d’un projet marketing, doit être conforme aux exigences du RGPD. M. Orban précise : « Afin de garantir le droit des personnes à disposer de leurs informations personnelles, les entreprises sont obligées d’identifier la donnée, le traitement et l’application. Remarquons qu’il peut y avoir un conflit entre ce qu’il est nécessaire de supprimer dans le cadre du droit à l’oubli par rapport à l’obligation légale de conservation de données (une transaction ayant généré des écritures comptables par exemple). »

Bertrand Blond, DSI de Cerfrance Alliance Centre confirme : « Même s’il y a le droit à l’oubli, en tant que cabinet d’expertise comptable, nous avons des durée légales de conservation des données, »

Face à un niveau de complexité qui refroidit les ardeurs de nombre d’entreprises, de DSI et de directions métier, des outils logiciels peuvent aider à structurer la démarche de conformité. Si Excel peut dans certains cas suffire, l’outil va dépendre de la taille de l’entreprise et des types de données et de bases de données à gérer.

Des plateformes collaboratives

L’outil SaaS MyDPO, développé par DPO Consulting, se compose de plusieurs modules : programme de mise en conformité, registre des traitements (143 référentiels métiers), coffre-fort sécurisé pour conserver les preuves de conformité, gouvernance (gestion des requêtes et notifications des violations). Ce dernier module, selon un de ses utilisateurs, Weproov qui propose une solution digitale pour effectuer constat et état des lieux, facilite la gestion des droits des personnes concernées, avec un système de tickets, et des modèles de courriers de réponse en plusieurs langues. Un module de e-learning sera ajouté durant cet été, un second pour gérer les analyses d’impact à la fin de l’année. Karin Schell, gestionnaire de compte chez DPO Consulting, précise deux points : « Les responsables de traitement font partie des directions métier. La tenue du registre doit être très simple pour eux. Des cabinets d’avocat et de conseil qui proposent des services d’externalisation du DPO souhaitent utiliser notre outil. » Le tarif du logiciel dépend de la cible : 10 euros par mois et par utilisateur pour les startups. Les prix grimpent pour les PME et les cabinets.

La solution SaaS Real GDPR Software du belge Rever, spécialiste de la gestion et de la gouvernance des données, est commercialisée depuis dix mois. Elle a été développée avec ActeCil pour son expertise en conformité en gestion des données personnelles et GeolSemantics pour sa connaissance de la sémantique et de la linguistique. Real GDPR Software est un outil collaboratif de gestion de flux et de répartition des tâches relatives au RGPD. Il permet d’avoir une vue hélicoptère sur les traitements et de conserver les analyses d’impacts déclarées.

L’éditeur Mega, spécialisé dans l’architecture d’entreprise et d’analyse des processus métier, propose l’espace de travail collaboratif Hopex GDPR. Le prototype d’Hopex GDPR a vu le jour en avril 2017. Développé en mode agile, il continue d’évoluer. Il a pour but d’aider l’entreprise dans sa gouvernance des données personnelles, les DPO et les parties prenantes à bien gérer les données à caractère personnel. Le logiciel est un support à la démarche globale de conformité. Il facilite la catégorisation et priorisation des données, la consultation des flux de données, et la génération de rapports. Hopex propose des contrats-types pour la relation avec les sous-traitants.

> Tableaux d’évaluation des risques par catégories de données et d’analyses d’impact dans le logiciel Hopex GDPR

Le DPO, capitaine au long cours du navire RGPD

Jamespot, éditeur d’un réseau social d’entreprise, a lancé la solution SaaS Captain DPO au premier trimestre 2018. Elle s’adresse aux DPO et responsables de traitement PME et aux collectivités pour les aider à faire leur travail. « Le DPO voit les tâches du jour à effectuer et peut les répartir, indique Eric Bounyavath, directeur commercial de Jamespot. Il a accès à la liste des applications concernées. Dans chaque fiche du registre des traitements, il visualise rapidement qui sont les responsables du traitement. Il a accès aux traitements relatifs à un processus, par exemple la gestion de la paie. » Si Captain DPO ne propose pas encore d’analyse d’impacts, l’outil est amené à évoluer : le prochain module sera consacré à la gestion de crises. Il est proposé à 129 euros HT par mois pour l’accès à un responsable plus le registre des traitements d’une entreprise, avec 19 euros mensuels en sus par utilisateur supplémentaire, et, pour les groupes, 49 euros par registre d’entreprise complémentaire.

> Tableau de bord du DPO dans Captain DPO, avec les tâches à réaliser

Oryga est une plateforme de mise en conformité au RGPD et de protection des données à caractère personnel développée au second semestre 2017 par BMI System, spécialiste de la conformité des données sensibles dans le secteur de la santé, en partenariat avec Ageris Group. Elle a pour objectifs d’aider le responsable à élaborer la base documentaire requise par les autorités, d’effectuer les analyses d’impact et les audits. Ainsi, dans le cadre de l’analyse d’impact, « la cartographie des risques initiaux mène à un plan d’actions préventives ou correctives pour arriver à des risques résiduels de niveau acceptable, » met en exergue Laurent Clerc, cofondateur de l’éditeur. Les fiches de traitement sont pré-remplies pour gagner du temps. L’outil gère le cycle de vie de la fiche jusqu’à la désactivation du traitement : la minimisation de la conservation des données personnelles en fonction de la finalité implique la suppression des données après la durée de conservation prévue. La solution fournit les indicateurs et les tableaux de bord nécessaires au pilotage de la gouvernance des données à caractère personnel. Il possède un module de suivi des contrats, des audits des sous-traitants IT et métier, et des plans d’actions afférents. « Nous avons testé l’outil dans le cadre de notre chantier RGPD interne, poursuit Laurent Clerc. Nous avons des clients dans la pharmacie et les dispositifs médicaux, la banque, les transports, chez les notaires. » Oryga propose trois niveaux d’offres : monosite et monolingue à 1 500 euros par mois, multisites et bilingue à 3 500 euros par mois, sur mesure pour les besoins complexes.

> Cartographie des risques dans Oryga

Le groupe d’édition, de conseil et services Data Privacy Management System (DPMS) propose PrivaCIL, logiciel lancé en 2008 à destination des Correspondants Informatique et Libertés (CIL) et qui a évolué depuis deux ans pour prendre en compte le RGPD. Cet outil en mode SaaS d’accompagnement permet au DPO de travailler avec son réseau, de pousser de nouvelles procédures et des actions correctives, de réaliser des analyses d’impact, de gérer les notifications de violations de données, de tenir le registre des sous-traitants.

> Tableau de bord du logiciel PrivaCIL

Automatiser les processus

DPMS fournit des référentiels, à adapter aux spécificités de l’entreprise. Il propose, via son entité Anaxil des prestations de DPO externe mutualisé, un service choisi par une centaine de bailleurs sociaux, collectivités et avocats, et des formations au RGPD.

L’éditeur américain Pegasystems, spécialiste de la relation client et des processus métiers, a choisi quant à lui l’angle de l’automatisation des processus. Il vise les très grandes entreprises : « Nous faisons en sorte que le RGPD soit appliqué de façon cohérente dans tous les métiers et entités de l’entreprise, souligne Sylvain Harault, directeur solutions pour l’Europe de l’Ouest de l’éditeur américain Pegasystems : il faut être en mesure de répondre aux requêtes de consultation, de limitation ou de suppression des données et de déclencher les actions pertinentes vis-à-vis du client en fonction de son niveau de sensibilité quant à la protection des données personnelles (par exemple un appel téléphonique sortant). Ainsi, les processus de conformité au RGPD pourront être déclenchés automatiquement dans notre application de CRM Pega. Les objectifs sont de tracer les données et les interactions, de gérer les dossiers de façon centralisée et cohérente, d’améliorer la productivité, et la satisfaction client. La protection des données personnelles peut être une opportunité pour créer des interactions positives avec le client. » L’éditeur offre GDPR Accelerator aux entreprises qui utilisent son logiciel de CRM Pega Customer Service ou sa plateforme de développement applicatif. L’outil rassemble des modèles configurables à partir de processus et de règles métier types (facturation, service client, marketing…) permettant d’accélérer la création d’un portail automatisé pour gérer les requêtes liées au RGPD. GDPR Accelerator permet d’automatiser les demandes d’extractions des données utilisateur/ client disséminées dans tous les systèmes de l’entreprise. La plateforme d’automatisation des processus orchestre ces demandes à travers l’ensemble des systèmes. A l’avenir, l’intelligence artificielle devrait identifier des modèles de comportement client pour anticiper et atténuer le mécontentement des clients afin d’éviter la suppression potentielle de certaines données.

> Tableau de bord de GDPR Accelerator

Ainsi, la réussite du chantier RGPD repose sur une bonne organisation, la coopération entre les parties prenantes, la diffusion d’une culture d’entreprise qui privilégie la confidentialité des données, et des outils adaptés à la situation de l’entreprise. Microsoft et Apple ont annoncé qu’ils vont activer les dispositions du RGPD dans le monde entier, au-delà de l’Union Européenne.

 

 

Des serious games pour se former

Des serious games dédiés au RGPD ou à la protection des données personnelles existent pour sensibiliser de façon ludique les collaborateurs.

L’agence de gamification Œil pour œil propose le serious game Mission GDPR, prêt à l’emploi, avec possibilité de le personnaliser pour le client, comme il l’a fait pour Axa. Le pitch du jeu : la Data team est une équipe de super compliance officers, chargés d’aider les organisations dans leur transition vers la conformité RGPD. A chaque “data fail” constatée, ils interviennent de manière décalée, afin de rappeler les fondamentaux de la protection des données, expliquer les nouveautés RGPD et prévenir les risques lies à de mauvaises pratiques.

 

> Serious game Mission GDPR d’Œil pour œil

Vous pouvez apprendre en vous amusant avec Datak de la Radio Télévision Suisse Romande (RTSR). C’est un jeu interactif autour des usages et des risques associés à la protection des données personnelles, dans le cadre d’une ville imaginaire, Dataville.

L’éditeur DPMS lance un serious game dédié au RGPD en e-learning ou en complément d’une formation en présentiel, de même que son confrère BMI System, avec son partenaire Haas Avocats et un spécialiste des jeux sérieux. A vos jeux, prêts, apprenez !