Avalanche de solutions conformes RGPD

Les offres de services, conseils et logiciels de mise en conformité au RGPD se multiplient. Au niveau de l’application des textes légaux, c’est encore la Tour de Babel.

Pourquoi la confusion règne-t’elle encore alors que le Règlement Général sur la Protection des Données à caractère privée cherche précisément à harmoniser la régulation des données dans l’ensemble des pays de l’Union Européenne ? Sans doute à cause de lectures rapides du copieux texte légal RGPD (99 articles) et aussi d’idées reçues toujours vivaces.

Une protection de l’internaute grand public

Le RGPD succède et renforce la loi informatique et liberté (n° 78-17) relative à l’informatique, aux fichiers et aux libertés qui pose des bases fondamentales ; depuis le 6 janvier 1978, date de sa publication, ce texte a été modifié par 19 lois et ordonnances.

En particulier, cet héritage comprenait déjà  l’obligation de consentement préalable à la récupération et au traitement des données, le droit d’accès à ses données, le droit de rectification de ses données ainsi que le droit d’opposition, pour un motif légitime.

La mise en conformité des systèmes d’information ne devrait donc pas démarrer avec l’entrée en vigueur du RGPD du 25 mai 2018, mais bien faire l’objet d’une évolution régulière.

Le nouveau texte Européen introduit davantage de transparence, de confidentialité et de traçabilité pour le grand public. L’information sur les données à caractère privée doit rester claire et compréhensible par le citoyen, à présent protégé par un droit à l’oubli, à l’effacement ou au transfert de ses données personnelles, ainsi qu’à la limitation des traitements.

Des outils de gouvernance des données

Pour recenser les activités de traitements de données, on peut s’appuyer sur les exemples de registres proposés par la CNIL ; le premier est consacré aux traitements de données personnelles sous votre responsabilité et le second aux traitements opérés, en tant que sous-traitant, pour le compte de clients.

En quête d’une solution opérationnelle, le DPO (Data Protection Officer, ou Délégué à la Protection des Données personnelles) doit tenir compte du contexte législatif, des référentiels et des spécificités linguistiques propres à chaque pays où son organisation interagit avec les citoyens Européens.

Une solution multilingue, avec interfaces en français, en anglais, en allemand…, pourra faciliter les échanges  avec les DPO régionaux et la cohérence d’ensemble.

Pour le suivi d’un registre étendu, le logiciel Privacil du Français DPMS couvre la gestion des contrats, traitements et demandes de droits (accès, rectification, opposition), tout en proposant de suivre un plan d’actions. Il contribue aussi à gérer les violations de données ainsi que l’analyse d’impact sur la vie privée.

Selon une étude TechValidate, 18% des organisations seulement auraient la capacité de supprimer, à la demande, des informations personnelles de l’ensemble de leurs bases, alors qu’il s’agit d’un processus requis pour toutes les entreprises opérant sur les marchés de l’UE, depuis le 25 mai dernier.

Cette même étude révèle que seuls 8% des 1200 cadres et employés du secteur IT sondés pensent être en mesure de collecter et d’exporter les données de leur infrastructure informatique vers un tiers, à la demande d’un particulier.

Pour offrir une meilleure compréhension des données, de leur conformité et des preuves électroniques, la solution Commvault Data Platform aide à protéger et gérer les données sur l’ensemble des supports de travail, sur site comme en cloud hybride. Le composant SDG (Sensitive Data Governance) traite plusieurs cas d’usage de gouvernance des données, simplifiant la gestion des risques des serveurs de fichiers et des postes de travail.

Des services prêts et conformes au RGPD

Les applications Web et les services mobiles doivent aussi évoluer pour offrir une maîtrise des données privées par leur propriétaire, l’utilisateur lui-même. C’est l’objet de plusieurs logiciels à l’instar du Personal DataWallet de FollowAnalytics, éditeur d’offres CRM mobiles.

FollowAnalytics collecte de nombreuses données sensibles (géolocalisation, pages visitées, parcours d’achat) via sa plateforme, notamment comme sous-traitant. À ce titre, la société a pris les mesures nécessaires pour devenir conforme au RGPD et propose son infrastructure pour accompagner d’autres entreprises à se rendre conformes au RGPD vis-à-vis de leurs clients finaux sur le web comme sur mobiles.

Le logiciel Personal DataWallet donne accès aux finalités de traitement, aux données et aux droits des utilisateurs afin qu’ils accordent ou non leur consentement et puissent formuler des demandes de suppression.

La formation des équipes pour répondre à leurs enjeux de gouvernance, de qualité et de protection des données reste un domaine crucial. C’est pourquoi l’éditeur QualitAdd propose avec sa solution Depeo un service de E-learning guidant les entreprises dans la mise en place de leur dispositif de mise en conformité au RGPD. On y trouve une gestion des demandes sur les données personnelles traitées, une gestion des incidents survenues sur les données personnelles qui ont été collectées et un registre de traitements pour permettre de déclarer et documenter les traitements des données personnelles et leurs risques inhérents.

La formation à distance s’est emparée du sujet, notamment chez Calimedia, LexbaseWavestone et dans de nombreux cabinets juridiques, établissements de formation et administrations.

Les services RGPD d’Entreprises de Services Numériques s’appuient sur des solutions de protection de données et des activités de conseil. Atos y ajoute ses technologies de paiement sécurisées comme la tokenisation et son réseau de SOC (Security Operation Centers) afin de fournir une surveillance continue et d’évaluer à tout moment la stratégie opérationnelle de sécurité ainsi que les risques portant sur la confidentialité des données.

 

Auteur de l’article : la Rédaction

Journaliste et fondateur de l'agence éditoriale PulsEdit, Olivier Bouzereau coordonne la communauté open source OW2, conçoit des services et contenus en ligne, des conférences et formations pour les professionnels du numérique, des médias et de la santé. Profil LinkedIn.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *