Les solutions de conformité RGPD aident les DPO à gagner du temps et à être efficaces dans leur projet de compliance. Elles doivent proposer un certain nombre de fonctionnalités essentielles, sous peine de ne pas être conformes aux standards du marché.
Le marché mondial des services liés au RGPD est estimé à 2 milliards de dollars en 2022. Il devrait atteindre une taille de 7,4 milliards de dollars d’ici 2030, avec un taux de croissance annuel composé (TCAC) de 17,7 % sur la période d’analyse (2022 / 2030).
Les solutions de conformité RGPD, l’un des principaux segments de ce marché, devraient enregistrer un TCAC de 16,9 % et atteindre 4,4 milliards de dollars à la fin de la période de prévision, selon une étude intitulée « GDPR Services: Global Strategic Business Report » et publiée par le cabinet d’études Research and Markets.
1) Le diagnostic : pour évaluer son niveau de maturité RGPD
Les solutions de conformité RGPD comportent un certain nombre de fonctionnalités qui permettent aux entreprises de mener à bien leur chantier de compliance. Parmi elles, figure tout d’abord la capacité à diagnostiquer l’état d’avancement de la mise en conformité au RGPD.
La fonctionnalité « diagnostic » (on peut également parler d’audit) permet de mesurer les écarts entre la situation actuelle de l’entreprise et les exigences de la protection des données à caractère personnel. Le diagnostic est une étape préalable à tout plan d’action structuré. Il facilite l’identification des points d’amélioration pour la mise en place d’une stratégie efficace et pérenne.
Il peut être réalisé à partir de questionnaires rédigés par les experts de l’éditeur de la solution, à partir de modèles fournis par le logiciel ou encore de questionnaires conçus directement par l’entreprise cliente. Cette démarche est globale, elle doit porter sur l’ensemble des mesures juridiques, organisationnelles et techniques liées à la mise en conformité RGPD.
2) Le mapping : pour cartographier les traitements de données personnelles
Une des fonctionnalités essentielles des solutions de conformité RGPD est le mapping des traitements de données personnelles. Elle permet d’obtenir une vue à 360° des données personnelles traitées par l’entreprise, que ce soit en qualité de responsable de traitement ou en qualité de sous-traitant.
Pour être en capacité de mesurer l’impact du RGPD sur les activités de l’entreprise et répondre à ses exigences, la CNIL rappelle que toute organisation doit recenser précisément les différents traitements de données personnelles qu’elle met en œuvre, ainsi que les catégories de données personnelles concernées, les objectifs poursuivis par les opérations de traitements de données, les acteurs (internes ou externes) qui interviennent sur ces données (dont les prestataires sous-traitants) et les différents flux, en indiquant l’origine et la destination des données, afin notamment d’identifier les éventuels transferts de données hors de l’Union européenne.
3) La gestion des demandes d’exercice de droits
Les personnes dont les données sont traitées par une entreprise peuvent exercer un certain nombre de droits : droit d’accès, de rectification, d’opposition, d’effacement, droit à la portabilité et à la limitation du traitement. Les solutions de conformité RGPD proposent des interfaces permettant aux personnes concernées (consommateurs, prospects, clients, collaborateurs, partenaires…) d’exercer en toute simplicité ces droits.
Une fois les demandes réalisées, il est important de les centraliser au sein d’une console unique et de notifier le ou les services ou personnes responsables de leur exécution. Au niveau du système d’information de l’entreprise, il est également nécessaire de prévoir les outils techniques qui permettront la bonne prise en compte de ces remontées.
Par exemple, pour le droit à la portabilité, une possible implémentation technique consiste à prévoir une fonctionnalité permettant à la personne concernée de télécharger ses données dans un format standard lisible par un ordinateur (CSV, XML, JSON, etc.)
Le logiciel Deepeo d’Infotel est une solution logicielle on-premise qui opère directement dans le SI des entreprises. Ses Agents on-premise permettent de faire appliquer et d’automatiser le RGPD au cœur des bases de données des clients. Pour le droit à l’effacement, par exemple, c’est l’intégralité des données détenues par une entreprise à propos d’une personne qui doit être effacée, même dans les sauvegardes ou les solutions de restauration, ainsi que dans les bases des éventuels sous-traitants.
4) Le recensement et la description des violations de données
Une violation de données est un incident de sécurité, d’origine malveillante ou non et se produisant de manière intentionnelle ou non, ayant comme conséquence de compromettre l’intégrité, la confidentialité ou la disponibilité de données personnelles.
Le RGPD introduit l’obligation d’enregistrer, dans un registre interne, toutes les violations de données personnelles. Dans certains cas, il prévoit également de notifier la violation à la CNIL et de communiquer la violation aux personnes dont les données personnelles ont été affectées.
La plupart des solutions de conformité RGPD prévoient une interface permettant d’identifier, lister et décrire les violations subies. Le fait de les centraliser offre une vue globale facilitant l’analyse de la gravité de chaque incident et une meilleure coordination des actions de remédiation à mettre en œuvre.
5) L’évaluation des risques associés aux traitements de données personnelles
Afin de faire gagner un temps précieux aux DPO, les solutions de conformité RGPD proposent des fonctionnalités permettant d’évaluer de manière automatique le risque lié aux traitements de données personnelles et de réaliser des analyses d’impact relatives à la protection des données (AIPD). Les AIPD sont des outils importants pour la responsabilisation des organismes : elles les aident non seulement à construire des traitements de données respectueux de la vie privée, mais aussi à démontrer leur conformité au RGPD. Elles sont obligatoires pour les traitements susceptibles d’engendrer des risques élevés.
Une AIPD contient au minimum une description systématique des opérations de traitement envisagées et les finalités du traitement, une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités, une évaluation des risques sur les droits et libertés des personnes concernées, et les mesures envisagées pour faire face aux risques, y compris les garanties, mesures et mécanismes de sécurité visant à assurer la protection des données à caractère personnel et à apporter la preuve du respect du règlement.
Les cinq fonctionnalités clés décrites précédemment permettent aux DPO de mener leur projet de mise en conformité avec plus de rapidité. Elles leur offrent des outils et des interfaces qui contribuent à plus de rigueur, de communication et de collaboration entre les parties prenantes d’un tel projet, que ce soit en interne ou en externe.