Pourquoi GDPR Workplace ?

Constitution du registre

Mise en conformité RGPD : recueillir facilement et rapidement l’information sur les traitements pour la constitution du registre

Une des premières taches d’envergure, extrêmement chronophage, d’un projet de mise en conformité RGPD réside dans le recueil des éclairages permettant dans un premier temps d’identifier les traitements concernés, puis de décrire chacun de ces traitements.

Pour mesurer concrètement l’impact du règlement européen sur la protection des données, la CNIL recommande ainsi de « commencer par recenser de façon précise les traitements de données personnelles mis en œuvre »[1]. Pour chaque traitement identifié, la CNIL recommande ensuite de s’interroger sur les 6 thématiques suivantes :

« QUI ? (à savoir la liste des responsables des services opérationnels et des sous-traitants), QUOI ? (à savoir les catégories de données traitées avec identifications des données susceptibles de soulever des risques en raison de leur sensibilité particulière, par exemple, les données relatives à la santé ou les infractions), POURQUOI ? (à savoir les finalités pour lesquelles les données sont collectées ou traitées, OÙ ? (à savoir la liste des pays où les données sont hébergées ou éventuellement transférées), JUSQU’À QUAND ? (à savoir la durée de conservation de chaque catégorie de données), COMMENT ? (à savoir la liste des mesures de sécurité mises en œuvre pour minimiser les risques d’accès non autorisés aux données) ».[2]

Ce recensement s’effectue traditionnellement au travers de rencontres et d’entretiens auprès des principaux acteurs identifiés ou par communication d’un fichier Excel à renseigner par ces derniers. Ces informations sont ensuite consolidées, généralement de façon manuelle. Tout cela est donc très fastidieux, prend du temps et surtout, mobilise des ressources (internes et/ou externes) sans forcément apporter beaucoup de valeur ajoutée !

C’est là où le digital peut démontrer tout son intérêt ! Une application web peut donc permettre à une entreprise de solliciter rapidement et facilement l’ensemble de ses salariés. Cela permet ainsi d’identifier de façon plus exhaustive à la fois les traitements de données existants (y compris ainsi le shadow IT) et l’ensemble des éclairages nécessaires pour alimenter la fiche de chaque traitement identifié.

Recueil des informations - GDPR Workplace

Ensuite, ces différentes informations sont remontées directement dans un formulaire de fiche de traitement : le responsable du traitement peut alors investiguer si nécessaire, arbitrer puis décider.

Cartographie des traitements

En résumé, grâce à GDPR Workplace, avec un questionnaire simple à renseigner, une alimentation automatisée de chaque fiche de traitement pour validation, il devient simple et rapide de constituer les fiches du registre des traitements !

Priorisation des actions

Mise en conformité RGPD : identifier facilement les risques et prioriser rapidement les actions à mener

Après la constitution des fiches de traitement, une des tâches d’envergure, d’un projet de mise en conformité RGPD, réside dans l’analyse des données du registre afin d’identifier les risques et de prioriser les actions à mener.

Le nombre de traitements recensés, croisé avec le nombre de points de conformité à couvrir, a pour conséquence de créer un champ du possible des risques potentiels qui peuvent rapidement devenir signifiants. La hiérarchisation des travaux à mener en devient d’autant plus délicate, ardue, complexe.

Plutôt que de se noyer sous une profusion d’informations, la transformation visuelle des données facilite la compréhension des enjeux. Les informations sortent de leur complexité première pour devenir riche de sens. Dans le contexte d’un projet de mise en conformité RGPD, c’est là que les outils de data visualisation peuvent démontrer tout leur intérêt !

  • Un premier outil de data visualisation intégré, dans GDPR Workplace, permet d’obtenir une vision globale de la nature des risques pour chaque traitement :
Cartographie des risques - Analyse des traitements
La gravité des risques est affichée sur l’axe horizontal, le nombre de risques est affiché sur l’axe vertical, la taille des cercles indique le nombre de personnes ayant répondu, la couleur des cercles correspond à une entité. Un système de filtres permet de visualiser ou de masquer les réponses des différentes entités, ou d’agréger les applications par thème.
  • Un second outil de data visualisation intégré, dans GDPR Workplace, permet d’obtenir une vision détaillée de la nature des risques pour un traitement :
Cartographie des risques - Risques et actions
Les risques sont répartis en thèmes : nature des données, durée et lieu de stockage, usages, pratiques et sensibilisation des acteurs internes, sécurité informatique.
  • Un troisième outil de data visualisation, intégré dans GDPR Workplace, permet d’obtenir une vision des risques par entité et d’effectuer des zooms sur les entités ou fournisseurs à risques :
Cartographie des risques
Le niveau de risque est indiqué par la couleur. le nombre de traitements par individu est indiqué par la taille. Un système de filtres permet de visualiser l’information selon des critères spécifiques.

Pour faire court, dans GDPR Workplace, avec des outils de data visualisation intuitifs, il devient simple et rapide d’analyser les risques et de prioriser les actions à mener !

Analyse d’impacts

Mise en conformité RGPD : réaliser rapidement les études d’impact nécessaires

L’article 35 du RGPD prévoit la conduite d’une analyse d’impact sur la protection des données (DPIA - Data Protection Impact Assessment), lorsqu‘un traitement de données personnelles est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées.[3]

La CNIL souligne qu’une étude d’impact contient à minima une description systématique des opérations de traitement envisagées et les finalités du traitement, y compris, le cas échéant, l'intérêt légitime poursuivi par le responsable du traitement; une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités; une évaluation des risques sur les droits et libertés des personnes concernées et les mesures envisagées pour faire face aux risques, y compris les garanties, mesures et mécanismes de sécurité visant à assurer la protection des données à caractère personnel et à apporter la preuve du respect du règlement.[4]

La CNIL propose par ailleurs depuis 2018 un logiciel open source qui facilite la conduite et la formalisation d’analyses d’impact sur la protection des données telles que prévues par le RGPD.[5]

Or, à partir des informations validées pour chaque fiche de traitement, il est possible de produire de façon automatique non seulement la liste des traitements nécessitant une analyse d’impact mais aussi la liste des points justifiant cette analyse.

De plus, afin de gagner du temps en évitant une ressaisie d’un certain nombre d’informations des fiches des traitements concernés par une analyse d’impact, les informations utiles déjà existantes dans la fiche de traitement sont directement reprises dans le module « analyse d’impact » de GDPR Workplace. Ce module intègre par ailleurs l’ensemble des questions complémentaires, telles que formulées dans l’outil de la CNIL ainsi que la démarche proposée dans l’outil de la CNIL afin de finaliser chaque analyse d’impact.

La cartographie des risques est automatiquement mise à jour dès que l’analyse d’impact est validée.

En bref, dans GDPR Workplace, vous pourrez retrouver un module reprenant l’approche de l’outil de la CNIL mais évitant les ressaisies d’informations, il devient simple et rapide de réaliser les études d’impact à mener !

Suivi des actions de mise en conformité

Mise en conformité RGPD : piloter de façon personnalisée et documenter de façon centralisée, son plan d’actions de mise en conformité

L’un des objectifs de GDPR Workplace est de prendre en charge le maximum de taches chronophages et/ou sans valeur ajoutée, comme notamment : le recueil des informations associées à chacun des traitements identifiés en amont, la consolidation de ces informations pour la constitution des fiches de traitements, l’alimentation des PIA avant finalisation et enfin, l’analyse et la priorisation des risques.

Macro planning GDPR

En prenant en charge ces différentes taches, GDPR Workplace a vocation à libérer du temps des équipes internes et/ou externes mobilisées sur le projet. Ces équipes peuvent alors se focaliser sur les travaux pour lesquels leur expertise est essentielle. Ainsi, sur la base du diagnostic de conformité proposé, cette expertise est notamment incontournable pour valider le diagnostic, définir et préciser les différentes actions concrètes à engager.

Or, les actions devant être menées peuvent être de nature extrêmement variée, selon la taille de l’entreprise ou de l’organisme public ou privé, selon son activité, selon son organisation et ses modes de fonctionnement, selon les résultats du diagnostic réalisé, …

Le module de pilotage des actions a ainsi été conçu pour être le plus souple possible et s’adapter aux situations les plus diverses.

Concrètement, la création des chantiers est à votre main : c’est vous qui décidez de la structuration de votre plan d’actions. C’est également vous qui décidez de la création d’étiquettes spécifiques afin de faciliter son pilotage.

Un dispositif de messagerie, dédiée à chaque action, favorise par ailleurs le travail collaboratif et les échanges de façon simple et rapide.

Bref, dans GDPR Workplace, avec un module de suivi des actions totalement à votre main, il devient simple et rapide de piloter les actions définies dans le cadre de votre projet de mise en conformité !

Suivi des violations de données et des demandes

Mise en conformité RGPD : piloter de façon personnalisée et documenter de façon centralisée les actions menées pour garantir le droit des personnes

Dans les faits, selon la taille de l’entreprise ou de l’organisme public ou privé, son activité, son organisation et ses modes de fonctionnement, il existe une grande diversité de processus internes et d’outils permettant d’identifier et de traiter [6] :

  • Les réclamations et les demandes des personnes concernées quant à l’exercice de leurs droits
  • Les violations de données

Comme pour le module de suivi des actions de mise en conformité, le module de suivi des violations de données ainsi que le module de suivi des demandes ont été conçus pour s’adapter aux situations les plus variées.

Concrètement, la création des natures d’incidents et des natures de demandes sont à votre main : c’est vous seul qui décidez de leur structuration. C’est également vous qui décidez de la création d’étiquettes spécifiques afin de les piloter au mieux.

Grace à ces deux modules, toute l’information relative aux éventuelles violations de données ou demandes reste documentée et centralisée au sein de l’application : le détail des incidents rencontrés, les mesures correctives entreprises, les informations transmises, les déclarations communiquées à la CNIL, ...

Bref, dans GDPR Workplace, avec un module de suivi des violations de données et de suivi des demandes totalement à votre main, il devient simple de piloter et de documenter votre mise en conformité.

[1] https://www.cnil.fr/fr/cartographier-vos-traitements-de-donnees-personnelles

[2] https://www.cnil.fr/fr/cartographier-vos-traitements-de-donnees-personnelles

[3] https://www.cnil.fr/fr/gerer-les-risques

[4] https://www.cnil.fr/fr/gerer-les-risques

[5] https://www.cnil.fr/fr/outil-pia-telechargez-et-installez-le-logiciel-de-la-cnil

[6] https://www.cnil.fr/fr/organiser-les-processus-internes