Simplifier la conformité RGPD avec des solutions techniques performantes

Depuis l’intégration du RGPD en 2018 et la création de mon premier registre des traitements des données personnelles, je rêve d’une solution technique qui permettrait de mettre en conformité simplement un site web ou n’importe quelle plateforme que j’intègre dans une organisation.

Le 18 juin 2024, lors de l’événement « le Printemps des DPO », j’ai découvert une multitude de solutions en ligne permettant de réaliser sa mise en conformité. Cette découverte a été une révélation, car il y a un an, malgré un benchmark approfondi, je n’avais trouvé aucune solution technique RGPD permettant à mon DPO (juriste) de réaliser un audit technique fiable des sites web. Aujourd’hui, j’ai enfin trouvé des outils qui répondent à mes attentes.

🔍 Les solutions techniques découvertes

Lors de cet événement, j’ai découvert plusieurs solutions répondant à mes besoins. Voici une analyse des trois solutions les plus prometteuses :

1. Leto

Avantages :

• Utilisation de l’IA pour automatiser les processus de conformité, ce qui réduit la charge de travail et augmente la précision.
• Cartographie automatisée des données personnelles, facilitant l’inventaire des traitements.
• Gestion des sous-traitants avec une vaste base de données, simplifiant la documentation et la conformité.
• Suivi en temps réel des changements dans l’entreprise, crucial pour maintenir une conformité continue.
• Hari, l’IA copilote RGPD, pourrait être un atout pour les questionnaires de sécurité et de conformité.

Inconvénients :

• Peut nécessiter une certaine familiarité technique pour maximiser l’utilisation des fonctionnalités avancées de l’IA.

2. Dastra

Avantages :

• Fonctionnalités avancées pour l’inventaire des traitements et la gestion des risques, y compris les AIPD (Analyses d’Impact sur la Protection des Données).
• Automatisation des processus de mise en conformité, facilitant la gestion des droits des personnes.
• Interface intuitive et outils de sensibilisation, bénéfiques pour la formation et la collaboration des équipes.
• Suivi des sous-traitants et gestion des contrats de traitement, avec alertes et notifications pour la conformité continue.

Inconvénients :

• Moins d’accent sur l’automatisation par l’IA par rapport à Leto, augmentant la charge de travail pour certaines tâches.

3. Witik

Avantages :

• Plateforme SaaS (« Software as a Service » ou en français : « logiciel en tant que service ») avec gestion centralisée et automatisée des processus de conformité RGPD et normes ISO 27001 / 27701.
• Découverte et classification automatisées des données sensibles, facilitant la gestion de la conformité.
• Gestion complète des risques des tiers, y compris la documentation nécessaire pour la conformité RGPD.
• Outils de collaboration et tableau de bord convivial pour une vue d’ensemble accessible de l’état de conformité.
• Automatisation continue des découvertes de données, maintenant la conformité à jour.

Inconvénients :

• Période d’essai limitée, pouvant restreindre l’évaluation complète des fonctionnalités.
• Configuration initiale potentiellement complexe, nécessitant du temps pour adapter le système aux besoins spécifiques.

🎯 Recommandations

Choix de la solution

• Pour l’automatisation avancée et l’utilisation de l’IA : Leto semble être la meilleure option grâce à ses capacités d’automatisation et d’IA.
• Pour la gestion des risques et l’inventaire détaillé des traitements : Dastra offre des outils robustes pour la gestion des risques et l’inventaire des traitements.
• Pour une gestion centralisée et une collaboration fluide : Witik pourrait être le choix idéal en raison de sa plateforme SaaS et de ses outils de collaboration.

Besoins des différents acteurs impliqués dans la mise en conformité

L’adoption d’une solution technique RGPD ne pourra se faire que si elle répond aux besoins des différents acteurs impliqués dans la mise en conformité. Parmi ces besoins, je mets un accent particulier sur l’audit technique et la création des fiches du registre des opérations de traitement.

Il est évident que les entreprises ont des difficultés énormes à trouver la bonne personne pour cette mission. Les profils juristes sont très informés sur les tenants et aboutissants du RGPD, mais n’ont aucune base technique, ce qui rend difficile la mise en place d’une bonne gouvernance des données. Quant aux profils techniques, comme les responsables techniques ou les product owners, ils peuvent réaliser un bon audit s’ils sont formés à la réglementation.

Un autre persona à considérer est le chef de projet métier, qui prend souvent la casquette de chef de projet web le temps de la création d’un site. Son expertise repose sur la confiance en l’agence web avec laquelle il travaille, mais cela peut être une loterie.

Mon constat sur le terrain est que les personnes chargées de la mise en conformité des solutions web de leur entreprise ont souvent une seule corde à leur arc.

C’est pourquoi la solution RGPD idéale doit transformer la fonction de responsable opérationnel des traitements en un rôle disruptif. Elle doit être capable :

👉 D’aider l’utilisateur à détecter tous les points de prélèvement des données personnelles :

• Formulaires : Les formulaires sont des points courants de collecte de données personnelles sur les sites web.
• Iframes : Les iframes, notamment ceux intégrant des contenus de YouTube ou de réseaux sociaux, peuvent aussi collecter des données.
• CAPTCHA : Les CAPTCHA sont utilisés pour vérifier que l’utilisateur est humain et peuvent aussi collecter des informations personnelles.
• Tags : Les tags, souvent utilisés pour le suivi et l’analyse, collectent des données personnelles.
• Cookies : Largement utilisés pour suivre les activités des utilisateurs sur les sites web et collecter des données personnelles.
• API : Les API permettent l’échange de données entre systèmes et peuvent également être des points de collecte de données personnelles.
• Widgets de chat en direct : Souvent utilisés pour la communication en temps réel avec les visiteurs du site et peuvent collecter des données personnelles.
• Boutons de partage social : Peuvent collecter des informations sur les utilisateurs lorsqu’ils partagent du contenu sur les réseaux sociaux.

👉 D’assister l’utilisateur dans la création des fiches de registre :

• Soit en préremplissant les données pouvant être capitalisées,
• Soit en guidant l’utilisateur pour l’aider à trouver les informations manquantes.

👉 D’indiquer les mesures de sécurité à mettre en place pour protéger les données personnelles.

👉 De créer un plan de mise en conformité intuitif et de suivre les actions de manière performante.

🌟 Ma wishlist des fonctionnalités IA

Bien que les solutions actuelles offrent déjà beaucoup de fonctionnalités avancées, voici quelques idées supplémentaires que j’aimerais voir développées :

• Une aide intuitive pour détecter les sous-traitants, par exemple en scannant l’URL du site à mettre en conformité.
• Un crawler pour la mise à jour de la base de connaissance de l’IA : Un crawler qui analyserait régulièrement les pages de politique de confidentialité des sites web pour mettre à jour automatiquement la base de connaissance de l’IA, permettant ainsi de fournir des recommandations toujours à jour.
• Une assistance à l’implémentation des fiches de registre : Une IA capable d’assister le DPO dans la création des fiches de registre des traitements en pré-remplissant certains champs grâce à sa base de connaissances.
• Un export des informations pour la politique de confidentialité : Une fonctionnalité permettant d’extraire facilement les informations du registre des traitements qui doivent figurer obligatoirement dans la page de politique de confidentialité, tout en laissant aux juristes la possibilité de rédiger eux-mêmes les documents.

☕ Conclusion

La mise en conformité d’un site web est une tâche complexe, surtout pour les profils juridiques qui doivent connaître parfaitement le cycle de vie d’un projet web pour maîtriser correctement le cycle de vie des données. L’adoption d’une solution technique RGPD ne pourra se faire que si les éditeurs de logiciels répondent aux besoins UX des DPO.

L’émergence de ces solutions et l’augmentation de leur efficacité provoqueront sans aucun doute un effet rebond sur la mise en conformité. Elles pourront à terme être utilisées pour diagnostiquer les sous-traitants qui ne jouent pas le jeu de l’Europe.