Aller au contenu

Simplifier la conformité RGPD avec des solutions techniques performantes

DPO en stress ? Pas de panique, on a la solution ! 🤗

Depuis l’intégration du RGPD en 2018 et la création de mon premier registre des traitements des données personnelles, je rêve d’une solution technique qui permettrait de mettre en conformité simplement un site web ou n’importe quelle plateforme que j’intègre dans une organisation.

Le 18 juin 2024, lors de l’événement « le Printemps des DPO », j’ai découvert une multitude de solutions en ligne permettant de réaliser sa mise en conformité. Cette découverte a été une révélation, car il y a un an, malgré un benchmark approfondi, je n’avais trouvé aucune solution technique RGPD permettant à mon DPO (juriste) de réaliser un audit technique fiable des sites web. Aujourd’hui, j’ai enfin trouvé des outils qui répondent à mes attentes.

🔍 Les solutions techniques découvertes

Lors de cet événement, j’ai découvert plusieurs solutions répondant à mes besoins.

1. Leto

Avantages :

  • Utilisation de l’IA pour automatiser les processus de conformité, ce qui réduit la charge de travail et augmente la précision.
  • Cartographie automatisée des données personnelles, facilitant l’inventaire des traitements.
  • Gestion des sous-traitants avec une vaste base de données, simplifiant la documentation et la conformité.
  • Suivi en temps réel des changements dans l’entreprise, crucial pour maintenir une conformité continue.
  • Hari, l’IA copilote RGPD, pourrait être un atout pour les questionnaires de sécurité et de conformité.

Inconvénients :

  • Peut nécessiter une certaine familiarité technique pour maximiser l’utilisation des fonctionnalités avancées de l’IA.

2. Dastra

Avantages :

  • Fonctionnalités avancées pour l’inventaire des traitements et la gestion des risques, y compris les AIPD (Analyses d’Impact sur la Protection des Données).
  • Automatisation des processus de mise en conformité, facilitant la gestion des droits des personnes.
  • Interface intuitive et outils de sensibilisation, bénéfiques pour la formation et la collaboration des équipes.
  • Suivi des sous-traitants et gestion des contrats de traitement, avec alertes et notifications pour la conformité continue.

Inconvénients :

  • Moins d’accent sur l’automatisation par l’IA par rapport à Leto, augmentant la charge de travail pour certaines tâches.

3. Witik

Avantages :

  • Plateforme SaaS (« Software as a Service » ou en français : « logiciel en tant que service ») avec gestion centralisée et automatisée des processus de conformité RGPD et normes ISO 27001 / 27701.
  • Découverte et classification automatisées des données sensibles, facilitant la gestion de la conformité.
  • Gestion complète des risques des tiers, y compris la documentation nécessaire pour la conformité RGPD.
  • Outils de collaboration et tableau de bord convivial pour une vue d’ensemble accessible de l’état de conformité.
  • Automatisation continue des découvertes de données, maintenant la conformité à jour.

Inconvénients :

  • Période d’essai limitée, pouvant restreindre l’évaluation complète des fonctionnalités.
  • Configuration initiale potentiellement complexe, nécessitant du temps pour adapter le système aux besoins spécifiques.

4. Data Legal DRIVE

Avantages :

  • Plateforme intuitive et conçue spécifiquement pour la gestion de la conformité RGPD.
  • Gestion centralisée des documents juridiques et des registres de traitements, facilitant le suivi des audits et des actions correctives.
  • Interface collaborative permettant aux équipes juridiques et techniques de travailler conjointement pour une mise en conformité efficace.
  • Outils de gestion de consentement, de droits des personnes, et de traçabilité des actions.
  • Intégration avec des outils tiers pour automatiser les flux de données et les processus de conformité, réduisant ainsi les risques d’erreurs manuelles.

Inconvénients :

  • Moins d’automatisation par IA par rapport à d’autres solutions comme Leto, ce qui peut nécessiter davantage de ressources humaines pour certaines tâches.
  • Courbe d’apprentissage pour les équipes non spécialisées dans la conformité ou le droit.

🎯 Recommandations

Choix de la solution

  • Pour l’automatisation avancée et l’utilisation de l’IA : Leto semble être la meilleure option grâce à ses capacités d’automatisation et d’IA.
  • Pour la gestion des risques et l’inventaire détaillé des traitements : Dastra offre des outils robustes pour la gestion des risques et l’inventaire des traitements.
  • Pour une gestion centralisée et une collaboration fluide : Witik pourrait être le choix idéal en raison de sa plateforme SaaS et de ses outils de collaboration.

Besoins des différents acteurs impliqués dans la mise en conformité

L’adoption d’une solution technique RGPD ne pourra se faire que si elle répond aux besoins des différents acteurs impliqués dans la mise en conformité. Parmi ces besoins, je mets un accent particulier sur l’audit technique et la création des fiches du registre des opérations de traitement.

Il est évident que les entreprises ont des difficultés énormes à trouver la bonne personne pour cette mission. Les profils juristes sont très informés sur les tenants et aboutissants du RGPD, mais n’ont aucune base technique, ce qui rend difficile la mise en place d’une bonne gouvernance des données. Quant aux profils techniques, comme les responsables techniques ou les product owners, ils peuvent réaliser un bon audit s’ils sont formés à la réglementation.

Un autre persona à considérer est le chef de projet métier, qui prend souvent la casquette de chef de projet web le temps de la création d’un site. Son expertise repose sur la confiance en l’agence web avec laquelle il travaille, mais cela peut être une loterie.

L'infographie est intitulée "Étapes clés pour la mise en conformité au RGPD". Elle est composée de quatre étapes principales, chacune représentée par une boîte avec un numéro et un titre, connectées par des flèches pour montrer le flux du processus. Étape 1 : Audit des Données Un cercle bleu foncé avec le numéro "01" en blanc au centre. En dessous, un texte indiquant "Audit des Données". Étape 2 : Identification des Sous-traitants Un cercle bleu foncé avec le numéro "02" en blanc au centre. En dessous, un texte indiquant "Identification des Sous-traitants". Étape 3 : Mise en Place des Mesures de Sécurité Un cercle bleu foncé avec le numéro "03" en blanc au centre. En dessous, un texte indiquant "Mise en Place des Mesures de Sécurité". Étape 4 : Suivi et Mise à Jour Continue Un cercle bleu foncé avec le numéro "04" en blanc au centre. En dessous, un texte indiquant "Suivi et Mise à Jour Continue". Chaque étape est reliée par une flèche bleue indiquant la progression de l'une à l'autre.

Mon constat sur le terrain est que les personnes chargées de la mise en conformité des solutions web de leur entreprise ont souvent une seule corde à leur arc.

C’est pourquoi la solution RGPD idéale doit transformer la fonction de responsable opérationnel des traitements en un rôle disruptif. Elle doit être capable :

👉 D’aider l’utilisateur à détecter tous les points de prélèvement des données personnelles :

  • Formulaires : Les formulaires sont des points courants de collecte de données personnelles sur les sites web.
  • Iframes : Les iframes, notamment ceux intégrant des contenus de YouTube ou de réseaux sociaux, peuvent aussi collecter des données.
  • CAPTCHA : Les CAPTCHA sont utilisés pour vérifier que l’utilisateur est humain et peuvent aussi collecter des informations personnelles.
  • Tags : Les tags, souvent utilisés pour le suivi et l’analyse, collectent des données personnelles.
  • Cookies : Largement utilisés pour suivre les activités des utilisateurs sur les sites web et collecter des données personnelles.
  • API : Les API permettent l’échange de données entre systèmes et peuvent également être des points de collecte de données personnelles.
  • Widgets de chat en direct : Souvent utilisés pour la communication en temps réel avec les visiteurs du site et peuvent collecter des données personnelles.
  • Boutons de partage social : Peuvent collecter des informations sur les utilisateurs lorsqu’ils partagent du contenu sur les réseaux sociaux.

👉 D’assister l’utilisateur dans la création des fiches de registre :

  • Soit en préremplissant les données pouvant être capitalisées,
  • Soit en guidant l’utilisateur pour l’aider à trouver les informations manquantes.

👉 D’indiquer les mesures de sécurité à mettre en place pour protéger les données personnelles.

👉 De créer un plan de mise en conformité intuitif et de suivre les actions de manière performante.

🌟 Ma wishlist des fonctionnalités IA

Bien que les solutions actuelles offrent déjà beaucoup de fonctionnalités avancées, voici quelques idées supplémentaires que j’aimerais voir développées :

  • Une aide intuitive pour détecter les sous-traitants, par exemple en scannant l’URL du site à mettre en conformité.
  • Un crawler pour la mise à jour de la base de connaissance de l’IA : Un crawler qui analyserait régulièrement les pages de politique de confidentialité des sites web pour mettre à jour automatiquement la base de connaissance de l’IA, permettant ainsi de fournir des recommandations toujours à jour.
  • Une assistance à l’implémentation des fiches de registre : Une IA capable d’assister le DPO dans la création des fiches de registre des traitements en pré-remplissant certains champs grâce à sa base de connaissances.
  • Un export des informations pour la politique de confidentialité : Une fonctionnalité permettant d’extraire facilement les informations du registre des traitements qui doivent figurer obligatoirement dans la page de politique de confidentialité, tout en laissant aux juristes la possibilité de rédiger eux-mêmes les documents.

☕ Conclusion

La mise en conformité d’un site web est une tâche complexe, surtout pour les profils juridiques qui doivent connaître parfaitement le cycle de vie d’un projet web pour maîtriser correctement le cycle de vie des données. L’adoption d’une solution technique RGPD ne pourra se faire que si les éditeurs de logiciels répondent aux besoins UX des DPO.

L’émergence de ces solutions et l’augmentation de leur efficacité provoqueront sans aucun doute un effet rebond sur la mise en conformité. Elles pourront à terme être utilisées pour diagnostiquer les sous-traitants qui ne jouent pas le jeu de l’Europe.

Carole LAVOCAT

Ce sujet vous a plu, mais vous avez encore des questions sans réponses. N’hésitez pas à commenter cet article, je serai ravie de vous répondre.

Carole Lavocat

Vous allez adorer !

Newsletter !

Nous ne spammons pas ! Consultez notre politique de confidentialité pour plus d’informations.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.